Legal
Política de privacidad
Versión 1.0 · Última actualización: 21 maggio 2026
1. Responsable del tratamiento
El responsable del tratamiento de los datos personales recopilados a través del servicio Neural Data Studio (el "Servicio") es:
- CodeLab s.r.l.s.
- Domicilio social: Corso Giuseppe Garibaldi 22, 00034 Colleferro (RM), Italia
- NIF/CIF: IT17925991006
- Consultas sobre privacidad: support@neuraldatastudio.ai
CodeLab s.r.l.s. no ha designado un Delegado de Protección de Datos (DPD) ya que no se encuentra en los supuestos de designación obligatoria previstos en el Art. 37 del RGPD. Para cualquier consulta relativa al tratamiento de datos personales puede dirigirse en todo momento a la dirección de correo electrónico indicada anteriormente.
2. Categorías de datos tratados
2.1 Datos de registro
Nombre, dirección de correo electrónico, contraseña (almacenada como hash bcrypt), proveedor OAuth opcional (Google, Microsoft, GitHub, Apple).
2.2 Datos de perfil
Idioma, zona horaria, rol dentro del tenant, preferencias de interfaz.
2.3 Datos de uso del servicio
Historial de consultas, prompts enviados al modelo de IA, SQL generado, resultado de la ejecución, marca de tiempo, consumo de tokens, plan activo. Estos datos son esenciales para proporcionar la funcionalidad de historial de consultas, la cuota mensual y la limitación de tasa.
2.4 Credenciales de conexión para sus bases de datos
Las cadenas de conexión y credenciales de las bases de datos que conecta al Servicio se cifran en reposo con cifrado de nivel enterprise y claves gestionadas en un vault dedicado. Nunca se envían al modelo de IA ni se comparten con terceros.
2.5 Datos de pago
Los datos de tarjeta de crédito son procesados exclusivamente por Stripe (véase §6). Solo almacenamos el identificador de cliente de Stripe, el plan suscrito y el historial de facturas.
2.6 Registros técnicos y de seguridad
Dirección IP, user-agent, marcas de tiempo de solicitudes API, eventos de autenticación, registro de auditoría de las operaciones realizadas sobre los datos. Utilizados para seguridad, detección de abusos y análisis de diagnóstico.
3. Finalidades del tratamiento y base legal
| Finalidad | Base legal (RGPD) |
|---|---|
| Prestación del servicio, gestión de cuenta y suscripción | Art. 6.1.b – ejecución de un contrato |
| Obligaciones fiscales y legales (facturación, contabilidad) | Art. 6.1.c – obligación legal |
| Seguridad, prevención del fraude, registro de auditoría | Art. 6.1.f – interés legítimo |
| Comunicaciones del servicio (correos transaccionales) | Art. 6.1.b – ejecución de un contrato |
| Boletín informativo, materiales de marketing | Art. 6.1.a – consentimiento (revocable) |
4. Suministro de datos
El suministro de datos necesarios para el registro y la ejecución del contrato es obligatorio: sin dichos datos no es posible prestar el Servicio. El suministro con fines comerciales es opcional y revocable en cualquier momento.
5. Métodos de tratamiento y seguridad
El tratamiento se realiza mediante medios electrónicos durante el tiempo estrictamente necesario para las finalidades descritas. Adoptamos medidas de seguridad técnicas y organizativas adecuadas, entre ellas:
- cifrado en tránsito en todo el tráfico de la aplicación;
- cifrado en reposo de la base de datos de configuración y las credenciales de usuario;
- contraseñas almacenadas solo como hashes con algoritmos resistentes a la fuerza bruta;
- claves criptográficas en un vault dedicado con controles de acceso RBAC;
- tokens de sesión de corta duración, tokens de actualización revocables y compatibilidad con MFA;
- registros de auditoría inmutables para todas las operaciones sensibles;
- copias de seguridad automáticas y procedimientos de recuperación ante desastres documentados;
- principio de mínimo privilegio para el personal autorizado.
6. Sub-encargados
Para prestar el Servicio nos apoyamos en los siguientes proveedores, que actúan como encargados del tratamiento de conformidad con el Art. 28 del RGPD:
| Proveedor | Finalidad | Ubicación |
|---|---|---|
| Microsoft Ireland Operations Ltd. | Alojamiento de infraestructura de aplicaciones, base de datos, vault de claves e inferencia del modelo de IA | UE |
| Stripe Payments Europe, Ltd. | Procesamiento de pagos, facturación, gestión de suscripciones | Irlanda, con posibles transferencias a Stripe Inc. (EE.UU.) bajo CCT |
| Resend, Inc. | Envío de correos transaccionales (verificación de cuenta, recibos, alertas de cuota) | EE.UU., bajo CCT y Marco de Privacidad de Datos |
| Cloudflare, Inc. | DNS, protección contra abusos, gestión de zona | Global, bajo CCT y Marco de Privacidad de Datos |
| Aruba S.p.A. | Cuentas de correo corporativo (soporte, ventas) | Italia |
Esta lista está actualizada a la fecha de publicación de esta política. Podemos añadir o sustituir sub-encargados notificándole por correo electrónico o mediante la versión actualizada de esta página con al menos 30 días de antelación para permitir objeciones motivadas.
7. Transferencias fuera de la UE
Cuando un sub-encargado trata datos fuera del Espacio Económico Europeo, la transferencia se realiza exclusivamente sobre la base de Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea y, cuando proceda, certificaciones bajo el Marco UE-EE.UU. de Privacidad de Datos. CodeLab s.r.l.s. verifica periódicamente la adecuación de dichas garantías.
8. Tratamiento de los datos de sus bases de datos
Las bases de datos que conecta al Servicio contienen sus datos ("Datos del Cliente"). CodeLab s.r.l.s. actúa como encargado del tratamiento respecto a dichos datos: los trata exclusivamente para ejecutar las consultas que usted inicia, devolver los resultados y generar las respuestas del asistente de IA.
- Las credenciales de conexión están cifradas en reposo y nunca se envían al modelo de IA.
- El esquema de las bases de datos (nombres de tablas, columnas, tipos) se lee y se envía al modelo de IA para generar SQL coherente con su estructura.
- Las filas devueltas por las consultas permanecen en su navegador y, si la conversación se guarda, en nuestro almacenamiento; nunca se reenvían al modelo de IA a menos que usted las incluya explícitamente en un prompt posterior.
- Las consultas aprobadas por el usuario se ejecutan en las bases de datos conectadas: el usuario es responsable de sus efectos.
9. Retención y eliminación
- Cuenta activa: los datos se conservan durante la duración de la relación.
- Eliminación de cuenta: los datos identificativos y las conexiones de usuario se eliminan de forma lógica durante 30 días (para permitir la restauración o exportación bajo solicitud) y luego se eliminan definitivamente de los sistemas de producción.
- Registros técnicos y de seguridad agregados: conservados hasta 24 meses con fines de seguridad, auditoría y detección de abusos.
- Datos fiscales y contables: conservados durante 10 años de conformidad con la legislación italiana.
- Copias de seguridad: copias de seguridad cifradas con un ciclo de rotación máximo de 35 días; una vez expirado el ciclo, los datos eliminados desaparecen también de las copias de seguridad.
10. Sus derechos
En cualquier momento puede ejercer los siguientes derechos, reconocidos en los Arts. 15-22 del RGPD:
- acceso a sus datos personales (Art. 15);
- rectificación de datos inexactos (Art. 16);
- supresión (Art. 17 – "derecho al olvido");
- limitación del tratamiento (Art. 18);
- portabilidad de datos en formato estructurado (Art. 20);
- oposición al tratamiento basado en interés legítimo (Art. 21);
- no ser objeto de decisiones automatizadas con efectos significativos (Art. 22);
- retirada del consentimiento al tratamiento basado en consentimiento, sin perjuicio de la licitud del tratamiento previo.
Para ejercer estos derechos, escríbanos a support@neuraldatastudio.ai desde la dirección de correo electrónico asociada a la cuenta. Responderemos en un plazo de 30 días, ampliable 60 días más para solicitudes complejas.
Tiene siempre el derecho a presentar una reclamación ante la Autoridad Italiana de Protección de Datos (Garante per la Protezione dei Dati Personali) (Piazza Venezia 11, 00187 Roma – www.garanteprivacy.it).
11. Cookies y tecnologías similares
El sitio web y la aplicación utilizan exclusivamente cookies técnicas y de sesión estrictamente necesarias para el funcionamiento del Servicio (autenticación, preferencias de tema, sesión de usuario). No utilizamos cookies de perfilado ni publicidad de terceros.
En el primer acceso mostramos un banner informativo que permite realizar elecciones granulares de preferencias (esenciales, siempre activas, y analítica, opcional). Actualmente no hay proveedores de analítica activos; la categoría está configurada y, si se activa en el futuro, funcionará únicamente con su consentimiento explícito. Puede revisar sus preferencias en cualquier momento a través del enlace "Preferencias de cookies" en el pie de página del sitio.
Stripe puede establecer cookies técnicas durante el proceso de pago; dichas cookies se limitan al dominio de Stripe y se rigen por su política de privacidad.
12. Tratamiento automatizado
El Servicio utiliza modelos de inteligencia artificial para generar SQL/MQL a partir de prompts en lenguaje natural. Estos modelos no producen decisiones con efectos jurídicos o significativos similares sobre usted: siempre conserva el control final, aprobando manualmente cada operación de escritura o DDL antes de su ejecución.
13. Menores
El Servicio no está destinado a personas menores de 18 años. No recopilamos intencionadamente datos personales de menores; si tuviéramos conocimiento de una cuenta creada por un menor, procederíamos a su eliminación inmediata.
14. Cambios en esta política
Podemos actualizar esta Política de privacidad en caso de cambios en el Servicio, la legislación aplicable o la lista de sub-encargados. La fecha y el número de versión en la parte superior de la página indican siempre la última revisión. En caso de cambios materiales enviaremos una notificación a la dirección de correo electrónico asociada a la cuenta.
15. Contacto
Para cualquier pregunta sobre el tratamiento de sus datos personales, escríbanos a support@neuraldatastudio.ai o a la dirección postal CodeLab s.r.l.s., Corso Giuseppe Garibaldi 22, 00034 Colleferro (RM), Italia.