1. Responsable del tratamiento
- Responsable: ImmigraFlow
- Domicilio: España
- Correo electrónico: hello@immigraflow.io
- Sitio web: https://immigraflow.io
2. Datos que recopilamos
Recopilamos los siguientes tipos de datos personales:
2.1. Datos proporcionados por el usuario
- Datos de identificación: nombre completo, número de pasaporte, nacionalidad, fecha de nacimiento, NIE/NIF.
- Datos de contacto: correo electrónico, número de teléfono.
- Datos de la solicitud: información sobre la situación migratoria, método de entrada en España, empadronamiento, antecedentes penales.
- Documentación: copias de pasaportes, certificados, contratos y otros documentos subidos a la plataforma.
- Datos de pago: procesados directamente por Stripe; no almacenamos datos de tarjeta de crédito.
2.2. Datos recopilados automáticamente
- Datos de navegación: dirección IP, tipo de navegador, idioma preferido, páginas visitadas.
- Cookies: según se describe en nuestra Política de Cookies.
3. Finalidades del tratamiento
Tratamos sus datos personales para las siguientes finalidades:
- Prestación del servicio: verificación de elegibilidad, preparación de documentación, gestión de solicitudes de regularización.
- Gestión de la cuenta: registro, autenticación y mantenimiento de su cuenta de usuario.
- Comunicaciones: envío de actualizaciones sobre el estado de su solicitud, notificaciones del servicio.
- Facturación: gestión de pagos y emisión de facturas.
- Asistente de IA: procesamiento de consultas legales a través de nuestro asistente de inteligencia artificial (con fines informativos, no constituye asesoramiento legal).
- Mejora del servicio: análisis agregado y anonimizado del uso de la plataforma.
- Cumplimiento legal: cumplimiento de obligaciones legales aplicables.
4. Base legal del tratamiento
| Finalidad | Base legal (Art. 6 RGPD) |
|---|
| Prestación del servicio | Ejecución del contrato (Art. 6.1.b) |
| Gestión de cuenta | Ejecución del contrato (Art. 6.1.b) |
| Comunicaciones del servicio | Interés legítimo (Art. 6.1.f) |
| Facturación | Obligación legal (Art. 6.1.c) |
| Asistente de IA | Consentimiento (Art. 6.1.a) |
| Mejora del servicio | Interés legítimo (Art. 6.1.f) |
5. Encargados del tratamiento (terceros)
Compartimos sus datos con los siguientes proveedores de servicios, que actúan como encargados del tratamiento:
| Proveedor | Servicio | Ubicación | Garantías |
|---|
| Supabase Inc. | Base de datos y autenticación | EE.UU. (región UE disponible) | Cláusulas contractuales tipo (CCT) |
| Vercel Inc. | Alojamiento web y analítica | EE.UU. | Cláusulas contractuales tipo (CCT) |
| Stripe Inc. | Procesamiento de pagos | EE.UU./Irlanda | Decisiones de adecuación + CCT |
| Resend Inc. | Envío de correos electrónicos | EE.UU. | Cláusulas contractuales tipo (CCT) |
| OpenRouter | Procesamiento de IA (asistente legal) | EE.UU. | Cláusulas contractuales tipo (CCT) |
6. Transferencias internacionales
Algunos de nuestros encargados del tratamiento tienen sede en Estados Unidos. Estas transferencias se realizan al amparo de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914), garantizando un nivel de protección adecuado conforme al RGPD.
7. Conservación de datos
- Datos de la solicitud: durante la vigencia del servicio y los plazos legales de conservación aplicables (mínimo 3 años tras la finalización del servicio).
- Datos de facturación: 6 años conforme a la legislación mercantil española.
- Datos de navegación: máximo 13 meses.
- Datos de cuenta: hasta que el usuario solicite su eliminación.
8. Derechos del usuario
Conforme al RGPD y la LOPDGDD, usted tiene los siguientes derechos:
- Acceso: obtener confirmación de si se tratan sus datos y acceder a los mismos.
- Rectificación: solicitar la corrección de datos inexactos.
- Supresión: solicitar la eliminación de sus datos cuando ya no sean necesarios.
- Limitación del tratamiento: solicitar la restricción del tratamiento en determinados supuestos.
- Portabilidad: recibir sus datos en un formato estructurado y de uso común.
- Oposición: oponerse al tratamiento de sus datos en determinados supuestos.
- Revocación del consentimiento: retirar el consentimiento en cualquier momento, sin que afecte a la licitud del tratamiento previo.
Para ejercer sus derechos, envíe un correo electrónico a hello@immigraflow.io indicando su nombre completo y el derecho que desea ejercer. Responderemos en un plazo máximo de 30 días.
Si considera que sus derechos no han sido debidamente atendidos, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.
9. Seguridad
Implementamos medidas técnicas y organizativas adecuadas para proteger sus datos personales, incluyendo:
- Cifrado de datos en tránsito (TLS/HTTPS).
- Cifrado de datos en reposo en la base de datos.
- Control de acceso basado en roles.
- Auditorías periódicas de seguridad.
- Políticas de acceso restringido para el personal.
10. Menores de edad
ImmigraFlow no está dirigido a menores de 16 años. No recopilamos conscientemente datos de menores. Si un padre o tutor detecta que un menor ha proporcionado datos personales, puede contactarnos en hello@immigraflow.io para solicitar su eliminación.
11. Extensión de Chrome — ImmigraFlow Mercurio Auto-Fill
Adicionalmente a los datos tratados en la plataforma web, nuestra extensión de Chrome para el auto-rellenado de formularios del portal Mercurio trata los siguientes datos:
11.1. Datos tratados por la extensión
- Datos de sesión: token de autenticación almacenado exclusivamente en la memoria de sesión del navegador (
chrome.storage.session). Se elimina al cerrar el navegador. No se sincroniza entre dispositivos. - Datos de clientes: nombre, NIE/NIF, dirección y datos de solicitud del cliente, accedidos desde la plataforma ImmigraFlow únicamente durante la operación de auto-rellenado. No se almacenan localmente.
- Instantánea del DOM: descripción compacta de los campos de formulario de la página de Mercurio (etiquetas, tipos de campo, texto circundante). No incluye contenido personal de la página. Se envía al servidor para el emparejamiento por IA y se descarta inmediatamente después.
- Metadatos de certificados digitales: nombre del titular y NIF del certificado para el rellenado de la sección "presentador". Los archivos de certificado cifrados (.p12) nunca salen del servidor.
- Registro de operaciones: se registra cada operación de auto-rellenado (tipo de formulario, número de campos rellenados, duración) para auditoría interna.
11.2. Datos NO almacenados por la extensión
- Credenciales de acceso (correo y contraseña) — procesados por Supabase Auth, nunca almacenados localmente.
- Datos de clientes en almacenamiento persistente — toda la información se mantiene solo en memoria durante la sesión.
- Contenido de páginas web visitadas fuera de Mercurio — la extensión solo se activa en dominios autorizados de Mercurio.
- Archivos de certificado digital cifrados — solo los metadatos (nombre, NIF) se transmiten a la extensión.
11.3. Procesamiento por inteligencia artificial
La extensión utiliza IA (Claude Sonnet 4 via OpenRouter) para emparejar los campos del formulario de Mercurio con los datos del cliente. Este procesamiento se realiza en el servidor de ImmigraFlow, nunca en el navegador. La IA recibe una descripción estructurada de los campos del formulario (no el HTML completo) y devuelve las correspondencias. No se almacenan los datos procesados por la IA más allá de la sesión actual.
11.4. Permisos de la extensión
| Permiso | Finalidad |
|---|
storage | Almacenamiento de sesión (tokens) y preferencias (URL de API) |
activeTab | Detección de páginas de Mercurio en la pestaña activa |
sidePanel | Panel lateral para búsqueda de clientes y preview del auto-rellenado |
Acceso a sede.administracionespublicas.gob.es y mercurio.policia.es | Inyección del script de contenido para lectura de formularios y auto-rellenado |
Acceso a immigraflow.io | Comunicación con el servidor de ImmigraFlow para autenticación y datos |
12. Modificaciones
Nos reservamos el derecho de actualizar esta política de privacidad. Cualquier cambio será publicado en esta página con la fecha de la última actualización. En caso de cambios significativos, notificaremos a los usuarios por correo electrónico.
Para cualquier consulta relacionada con la protección de datos, puede contactarnos en: