Seguridad y privacidad
Tus datos jurídicos
son especialmente sensibles.
Cuando describes un problema legal, compartes información que puede afectar tu trabajo, tu familia o tu patrimonio. Tratamos esos datos con la máxima protección técnica y legal posible.
TLS 1.3
Cifrado en tránsito
AES-256
Cifrado en reposo
Datos en UE
Servidores europeos
Borrado bajo petición
Derecho al olvido efectivo
Protección técnica
Cifrado en cada capa.
Tránsito — TLS 1.3
Toda comunicación entre tu navegador y nuestros servidores usa TLS 1.3 con cipher suites modernos (ECDHE + AES-256-GCM). Certificado válido, renovación automática. HTTP sin cifrar redirige permanentemente a HTTPS.
Reposo — AES-256
La base de datos donde se almacenan las consultas, mensajes y datos de usuario está cifrada en reposo con AES-256. Las copias de seguridad también se cifran antes de almacenarse.
Contraseñas — bcrypt
Las contraseñas se almacenan como hashes bcrypt con salt individual. Nunca almacenamos contraseñas en texto claro ni en formato reversible.
Sesiones — CSRF + SameSite
Las sesiones usan tokens CSRF regenerados en cada formulario. Cookies con atributos HttpOnly, Secure y SameSite=Lax. Sin acceso desde JavaScript.
Infraestructura
Servidores en la Unión Europea.
Toda la infraestructura de Legia.es opera en servidores ubicados físicamente en la Unión Europea (España), sujetos al RGPD sin necesidad de acuerdos de transferencia internacional de datos.
Usamos hosting compartido en servidor dedicado con cPanel/LiteSpeed PHP en instalaciones certificadas ISO 27001. Los datos no salen de la UE salvo para las llamadas a los modelos de IA externos — ver sección de subencargados.
RGPD aplicado a datos jurídicos
Tus consultas pueden contener datos de categoría especial.
Las consultas jurídicas frecuentemente incluyen información sobre salud, situación familiar, orientación sexual, religión o procedimientos penales — datos de categoría especial según el RGPD (art. 9). Los tratamos con el nivel de protección que eso requiere.
Retención limitada
Los logs de peticiones a IA y los registros de costes se eliminan automáticamente a los 90 días. Las consultas y mensajes de usuarios registrados se conservan mientras el usuario tenga cuenta activa.
Derecho de borrado efectivo
Puedes solicitar el borrado de todos tus datos desde tu panel de usuario. El proceso elimina consultas, mensajes, documentos subidos y perfil en 72 horas. Sin periodos de retención artificiales.
Sin publicidad ni tracking
No instalamos cookies de publicidad. No compartimos datos con plataformas de marketing. No usamos píxeles de Facebook, Google Analytics de sesión ni ningún sistema de fingerprinting.
Mínimo de datos necesarios
La primera consulta no requiere registro. El email es opcional. Sólo recogemos los datos imprescindibles para responder tu consulta y, si te registras, para gestionar tu cuenta.
Acceso restringido
Solo los abogados colaboradores asignados a un caso escalado tienen acceso a esa consulta específica. No hay acceso masivo a consultas de usuarios por parte del equipo salvo para resolución de incidencias documentada.
Transferencias internacionales
Los modelos de IA de terceros (Alibaba Qwen, Anthropic, OpenAI) reciben el contenido de la consulta para procesar la respuesta. Esta transferencia está documentada y cubierta por cláusulas contractuales tipo de la UE.
Subencargados del tratamiento
Quién procesa tus datos. Todos listados.
Según el RGPD art. 28, tienes derecho a conocer todos los subencargados que procesan datos en nombre del responsable.
| Proveedor | Finalidad | Datos transferidos | Ubicación | Base legal |
|---|---|---|---|---|
| Alibaba Cloud / Qwen | Procesamiento de IA (proveedor principal) | Texto de la consulta (sin nombre ni email) | Singapur / UE | CCT art. 46 RGPD |
| Anthropic | Procesamiento de IA (fallback) | Texto de la consulta (sin nombre ni email) | EE.UU. | CCT art. 46 RGPD |
| OpenAI | Procesamiento de IA (reserva) | Texto de la consulta (sin nombre ni email) | EE.UU. | CCT art. 46 RGPD |
| Stripe | Pagos y facturación | Nombre, email, datos de pago | EE.UU. / UE | CCT art. 46 RGPD |
| Lucus Virtual (hosting) | Infraestructura de servidores | Todos los datos (almacenamiento) | España (UE) | Art. 28 RGPD |
| Google (OAuth) | Autenticación opcional | Email, nombre (solo si usas Google para login) | EE.UU. / UE | CCT art. 46 RGPD |
CCT = Cláusulas Contractuales Tipo aprobadas por la Comisión Europea. El texto de las consultas enviado a los proveedores de IA no incluye nombre ni email del usuario. Si la consulta contiene datos de identificación personal en el texto libre, el usuario tiene control sobre qué incluye.
Tus derechos
RGPD en la práctica, no en papel.
Acceso
Art. 15Desde tu panel → Configuración → Descargar mis datos. Respuesta en 72h.
Rectificación
Art. 16Datos del perfil editables directamente. Solicitud de rectificación vía email a privacidad@legia.es.
Supresión
Art. 17Desde tu panel → Configuración → Eliminar cuenta. Proceso completado en 72h. Irreversible.
Portabilidad
Art. 20Exportación de tus consultas y respuestas en JSON desde el panel de usuario.
Oposición
Art. 21Puedes oponerte al tratamiento de tus datos para cualquier finalidad no esencial en Configuración → Privacidad.
Reclamación
AEPDSi consideras que tus derechos han sido vulnerados, puedes reclamar ante la Agencia Española de Protección de Datos (aepd.es).
Contacto de privacidad
Para ejercer tus derechos o consultas sobre el tratamiento de datos.
Incidentes de seguridad
Si algo falla, te avisamos en 72 horas.
En caso de brecha de seguridad que afecte a datos personales, cumpliremos la obligación de notificación a la AEPD en el plazo máximo de 72 horas establecido por el RGPD (art. 33).
Si la brecha implica un riesgo alto para tus derechos y libertades, también recibirás notificación directa con el detalle de qué datos se han visto afectados y qué medidas hemos tomado.
Historial de incidentes comunicados: 0 desde el lanzamiento (marzo 2026).
Notificación a la AEPD
Máximo 72h desde la detección (RGPD art. 33)
Notificación a usuarios afectados
Si hay riesgo alto para sus derechos (RGPD art. 34)
Estado actual: sin incidentes
Actualizado: 26/04/2026