English · Español · Suomi · Deutsch · Français · Nederlands · Svenska · Norsk · Português · Русский

Política de Privacidad

Pataluha Ventures S.L. · Última actualización: 22 de mayo de 2026 · Versión 2.6

¿Busca el aviso de privacidad relativo a nuestro sitio web de marketing? Consulte https://solidmaint.com/privacy.

Cumplimos con el Reglamento General de Protección de Datos de la UE (RGPD) y con la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD 3/2018).

1. Responsable del Tratamiento

Pataluha Ventures S.L. («nosotros», «nos»), NIF B26627539, constituida en España, opera la plataforma SolidMaint (app de Cliente, app de Equipo, back-office web) y es el responsable del tratamiento de sus datos personales. SolidMaint S.L. (NIF B27612159, domicilio social c/o The Pool, Avda. Bulevar Príncipe Alfonso de Hohenlohe 2, 29602 Marbella, Málaga, España) es una filial de Pataluha Ventures S.L., constituida el 7 de mayo de 2026. Hasta que la plataforma sea transferida a SolidMaint S.L., Pataluha Ventures S.L. continúa siendo el único responsable del tratamiento. Contacto: privacy@solidmaint.com

2. Datos Personales que Recopilamos

Recopilamos distintas categorías de datos en función de la app que utilice usted (Cliente o Equipo). Cuando una categoría se aplica únicamente a una de las apps, se indica expresamente.

Datos de cuenta (ambas apps) — Nombre, dirección de correo electrónico, número de teléfono, foto de perfil, preferencia de idioma, rol.
Datos de autenticación (ambas apps) — Contraseña cifrada mediante hash, tokens de sesión, identificador federado opcional de Apple Sign In o Google Sign In, estado de desbloqueo biométrico opcional (Face ID / huella dactilar permanece en el dispositivo y nunca se transmite).
Datos del inmueble (app de Cliente) — Dirección, referencia catastral, detalles de construcción, equipos y electrodomésticos, documentos cargados.
Datos del servicio (ambas apps) — Solicitudes de servicio, historial de tareas, fotografías (antes / durante / después del trabajo), pies de foto, valoraciones, entradas en el registro de mantenimiento.
Datos de pago (app de Cliente) — Referencias de mandato SEPA, identificadores de cliente en Stripe, últimos cuatro dígitos de la tarjeta almacenados por Stripe (no almacenamos el número completo de la tarjeta). Las liquidaciones al equipo se realizan a través de Stripe Connect; la app de Equipo no recoge datos de tarjetas.
Grabaciones de voz (app de Equipo) — Notas de voz para informes de trabajo y modo de conducción asistida por IA (AI co-driving). Transcripción en el servidor mediante Google Gemini; el archivo de audio se elimina 30 días después de su carga; la transcripción se conserva junto al registro de la tarea.
Datos de OCR de tickets (app de Equipo) — Imágenes de tickets cargadas para la gestión de gastos; extracción de líneas de detalle en el servidor (nombre del establecimiento, fecha, artículos, totales) almacenada en el registro de gasto.
Datos de ubicación (app de Equipo) — Coordenadas GPS precisas mientras el temporizador de una tarea está activo, utilizadas para la verificación de geocerca de 100 metros y para la notificación del servicio en primer plano «rastreando ubicación durante tarea activa». La ubicación en segundo plano solo se solicita si usted activa voluntariamente (opt-in) el recordatorio de llegada al temporizador o mientras el temporizador está activo con la pantalla apagada. Las coordenadas se eliminan 8 semanas después de la finalización de la tarea y la emisión de la factura.
Datos de comunicación (ambas apps) — Mensajes de chat entre usted y la sede central (HQ), el equipo, los clientes o los participantes en el grupo de una tarea. Mensajes entrantes de WhatsApp retransmitidos a través de Twilio.
Tokens de notificaciones push (ambas apps) — Tokens push de dispositivo FCM (Android) / APNs (iOS) vinculados a su cuenta de usuario, utilizados para enviar notificaciones sobre solicitudes de servicio, asignaciones de tareas, aprobaciones y mensajes.
Diagnóstico de errores (ambas apps) — Informes de errores de Sentry, breadcrumbs (eventos de interacción del usuario, trazas de rendimiento) y una etiqueta `userId`, utilizados para el diagnóstico de fallos.
Datos de uso (ambas apps) — Marcas de tiempo de inicio de sesión, información del dispositivo (modelo, versión del sistema operativo), dirección IP (utilizada brevemente para la limitación de tasa de peticiones y verificaciones de seguridad; no se conserva como campo de perfil).
Datos gestionados por el operador (back-office de HQ) — Nuestro personal puede introducir, importar o tratar de otra forma sus datos de contacto e inmueble en su nombre como parte de los flujos operativos internos (por ejemplo, durante la incorporación, la planificación, el seguimiento o la coordinación del servicio). Dicho tratamiento puede incluir asistencia de inteligencia artificial; véase el §10 para conocer los encargados del tratamiento de IA que utilizamos.

3. Base Jurídica del Tratamiento

Ejecución de un contrato (Art. 6(1)(b) RGPD) — tratamiento necesario para prestar los servicios de mantenimiento que usted solicita y para abonar las remuneraciones al equipo.
Interés legítimo (Art. 6(1)(f) RGPD) — seguridad de la plataforma, prevención del fraude, diagnóstico de errores, análisis anónimos de la calidad del servicio.
Consentimiento (Art. 6(1)(a) RGPD) — comunicaciones de marketing (únicamente con activación voluntaria); persistencia de datos de entrenamiento de IA (véase §10).
Obligación jurídica (Art. 6(1)(c) RGPD) — conservación de registros fiscales y facturas (hasta 10 años — mínimo 6 años conforme al *Código de Comercio*, Art. 30, ampliado a 10 años cuando los registros sirven de soporte a una *base imponible negativa* conforme a la *Ley General Tributaria*, Art. 66 bis).

4. Cómo Utilizamos sus Datos

Prestación y mejora de nuestros servicios de mantenimiento de inmuebles.
Procesamiento de pagos (parte del cliente) y liquidación de pagos al equipo (parte del equipo mediante Stripe Connect).
Comunicaciones relativas a solicitudes de servicio, tareas, aprobaciones y mensajes.
Traducción automática de mensajes de chat entre usuarios que hablan distintos idiomas.
Funcionalidades asistidas por IA: reconocimiento de fotografías (Smart Scan), transcripción de voz (informes de voz del equipo, conducción asistida por IA), OCR de tickets, asistencia de agente, análisis de imágenes.
Verificación de la presencia del equipo en el inmueble mediante geocerca.
Diagnóstico de errores y analítica de producto.
Notificaciones de vencimiento de garantía para los equipos registrados.

Las conversaciones dentro de la app NO son privadas respecto a nosotros

Los mensajes en los chats de solicitudes de servicio (cliente ↔ equipo, cliente ↔ HQ, equipo ↔ HQ), el chat de IA con nuestro asistente dentro de la app, y las conversaciones de WhatsApp enrutadas a través de nuestra plataforma son visibles para el personal autorizado de HQ con las siguientes finalidades:

Supervisión de la calidad del servicio — verificación puntual de que la conversación entre usted y el miembro del equipo asignado es constructiva, de que los presupuestos coinciden con lo acordado y de que los problemas se identifican con antelación.
Mantenimiento rutinario del sistema y resolución de incidencias — comprensión de qué han solicitado los usuarios al asistente de IA cuando un turno de conversación falla, por qué una traducción ha producido un resultado incorrecto, o por qué una notificación no se ha entregado. Minimizamos este acceso, pero un informe del tipo «el sistema no funciona» no puede diagnosticarse sin revisar el turno fallido.
Resolución de controversias — cuando un cliente o un miembro del equipo notifica que la otra parte prometió X y entregó Y, HQ revisa el chat para mediar de forma imparcial con evidencia documentada.

Los mensajes están cifrados en tránsito y en reposo (HTTPS en tránsito; cifrado gestionado por AWS en el almacenamiento S3 y en la base de datos Neon Postgres). El cifrado protege frente a la interceptación por terceros y al acceso por parte del proveedor de infraestructura, pero no garantiza la privacidad de las conversaciones respecto al personal operativo de SolidMaint. Para asuntos confidenciales (reclamaciones legales, cuestiones de naturaleza similar a las de recursos humanos), contacte con privacy@solidmaint.com.

Esto es aplicable igualmente a los chats directos cliente ↔ equipo; la plataforma opera como un servicio gestionado, no como una herramienta de mensajería entre pares (peer-to-peer).

5. Comunicación de Datos / Encargados del Tratamiento (Subencargados)

Compartimos sus datos únicamente con los encargados del tratamiento y subencargados indicados a continuación. No vendemos sus datos personales. La lista refleja los flujos de datos reales en las apps y se actualiza cuando cambiamos de encargados.

| --- | --- | --- | --- |

| Stripe Payments Europe Ltd | Irlanda (matriz: Stripe Inc., EE. UU., con CCT) | Datos de tarjeta, referencias de mandato SEPA, identificadores de cliente/contratista, metadatos de pago. La app de Cliente recoge tarjetas dentro de la app mediante el SDK de Stripe; la app de Equipo solo recibe liquidaciones — no se recogen tarjetas. | Procesamiento de pagos (cliente) y liquidaciones al equipo mediante Stripe Connect Express. |

| Amazon Web Services (S3 + CloudFront) | Buckets de S3 en la UE (eu-central-1); caché perimetral de CloudFront global | Fotografías, grabaciones de voz, imágenes de tickets, documentos cargados. | Almacenamiento de archivos y distribución mediante CDN. La caché perimetral de CloudFront puede almacenar contenido fuera de la UE; se aplican CCT. (Migramos desde Cloudflare R2 en marzo de 2026 debido a bloqueos de operadores de Internet españoles sobre la CDN anterior.) |

| Google LLC — Gemini API | EE. UU., con CCT | Contenido de chats de IA, fotografías enviadas para análisis de imágenes, grabaciones de voz enviadas para transcripción, contenido de tickets y documentos enviados para análisis/OCR, y datos personales (como nombre, correo electrónico, teléfono, dirección) tratados por asistencia de IA en herramientas orientadas al cliente o al operador. Utilizamos el nivel de pago de Gemini de Google, en virtud del cual Google se compromete contractualmente a no utilizar las entradas ni las salidas para entrenar sus modelos. | Asistencia de IA en funcionalidades orientadas al cliente y al operador. |

| Google LLC — Firebase Cloud Messaging | EE. UU., con CCT | Token push de dispositivo FCM; carga útil mínima de notificación (sin datos personales en la carga útil). | Notificaciones push en Android. |

| Google LLC — Google Maps Platform | EE. UU., con CCT | Direcciones de inmuebles enviadas para geocodificación; visualización opcional de Street View. | Interfaz de mapas en las apps. |

| Sentry GmbH (encargado en AWS EE. UU.) | Viena (responsable); EE. UU. (tratamiento) | Informes de errores, breadcrumbs (interacciones, rendimiento), etiqueta `userId`, etiqueta de dispositivo. | Diagnóstico de errores y supervisión del rendimiento. |

| Twilio Inc. | EE. UU., con CCT y subencargados en la UE | Número de teléfono, contenido de mensajes SMS / WhatsApp. | Notificaciones por SMS y retransmisión de mensajes entrantes de WhatsApp. |

| Apple Inc. — Sign In with Apple | EE. UU., con CCT | Token OAuth de identificación; correo electrónico de retransmisión opcional si elige ocultar su dirección. | Inicio de sesión federado opcional. |

| Miembros del equipo asignados | UE (operando en España) | Nombre del cliente, dirección del inmueble, códigos de acceso, detalles de la tarea — únicamente para las tareas asignadas a dicho miembro del equipo. | Prestación del servicio. |

6. Transferencias Internacionales de Datos

El almacenamiento primario de datos (base de datos, almacenamiento de archivos) se encuentra en la UE. Algunos encargados del tratamiento operan en los Estados Unidos para funciones específicas (inferencia de IA, notificaciones push, diagnóstico de errores, correo electrónico, identidad OAuth); estas transferencias internacionales se basan en las Cláusulas Contractuales Tipo de la Comisión Europea conforme al Art. 46(2)(c) del RGPD. Cuando un encargado ofrece opciones de residencia de datos en la UE que hemos seleccionado, así se indica en la tabla del §5.

7. Plazos de Conservación

| Tipo de dato | Conservación |

| --- | --- |

| Datos de cuenta | Hasta la eliminación de la cuenta + período de gracia de 30 días |

| Grabaciones de voz (Equipo) | 30 días; la transcripción se conserva en el registro de la tarea |

| Imágenes de tickets (Equipo) | Conservadas en el registro de gasto hasta la eliminación de la cuenta |

| Coordenadas GPS de trabajos finalizados | 8 semanas tras la finalización de la tarea y la emisión de la factura |

| Mensajes de chat | Hasta la eliminación de la cuenta |

| Eventos de error de Sentry | 90 días (retención del plan por defecto de Sentry) |

| Registros de auditoría (eventos relevantes para la seguridad) | 2 años |

| Registros financieros (transacciones, facturas, justificantes de liquidación, PDFs de facturas, documentos contables de soporte) | Hasta 10 años — mínimo 6 años conforme al *Código de Comercio*, Art. 30, ampliado a 10 años para los registros que sirven de soporte a una *base imponible negativa* (bases imponibles negativas pendientes de compensación) conforme a la *Ley General Tributaria*, Art. 66 bis |

| Corpus de entrenamiento de IA (únicamente con consentimiento) | Hasta la retirada del consentimiento o la eliminación de la cuenta |

| Métricas agregadas anonimizadas | Indefinido; no pueden vincularse a usted |

8. Medidas de Seguridad

Protegemos sus datos con las siguientes medidas técnicas y organizativas:

TLS en tránsito — todo el tráfico entre cliente y servidor utiliza HTTPS con conjuntos de cifrado modernos; el protocolo HTTP es rechazado en el balanceador de carga.
Cifrado en reposo — cifrado gestionado por AWS en el almacenamiento de archivos S3, cifrado gestionado por el proveedor en la base de datos Neon Postgres, y cifrado gestionado por Sentry en los datos de diagnóstico.
Cifrado de contraseñas mediante hash — las contraseñas se almacenan como hashes bcrypt, nunca en texto plano.
Control de acceso basado en roles — las cuentas del back-office de HQ y del equipo tienen roles explícitos (administrador, supervisor, coordinador, soporte, operario, cliente) que determinan qué datos puede consultar cada rol.
Registro de auditoría — los eventos relevantes para la seguridad (inicio de sesión, cambios de rol, exportaciones de datos, eliminaciones de cuentas, cambios en los ajustes de datos de entrenamiento de IA) se registran y conservan durante 2 años.
Respuesta ante incidentes — supervisión de errores y fallos mediante Sentry con acceso controlado por el operador; los gestores de datos personales están etiquetados para una clasificación rápida durante incidentes de seguridad.

9. Sus Derechos (Artículos 15–22 del RGPD)

Acceso (Art. 15) — Descargue todos sus datos desde Perfil → Descargar mis datos.
Rectificación (Art. 16) — Edite su perfil en cualquier momento.
Supresión (Art. 17) — Elimine su cuenta desde Perfil → Eliminar cuenta, o siga la guía de eliminación de datos en `/legal/data-deletion`.
Portabilidad de los datos (Art. 20) — Exporte sus datos como archivo ZIP en formato legible por máquina.
Limitación del tratamiento (Art. 18) / Oposición (Art. 21) — Envíe un correo electrónico a privacy@solidmaint.com.
Retirar el consentimiento (Art. 7(3)) — Desactive la persistencia de datos de entrenamiento de IA en su perfil, o cancele la suscripción a los correos electrónicos de marketing mediante el enlace incluido en cualquiera de dichos correos.
Reclamación — Puede presentar una reclamación ante la autoridad de control española (Agencia Española de Protección de Datos, AEPD) en www.aepd.es o ante la autoridad de control competente en su país de la UE/EEE.

10. Tratamiento mediante IA y Persistencia de Datos de Entrenamiento

Parte del contenido de los usuarios y operacional es tratado por modelos de inteligencia artificial para habilitar funcionalidades (reconocimiento de fotografías, transcripción de voz, OCR, asistencia de agente, traducción de chats, análisis de documentos y otras asistencias de IA orientadas al cliente y al operador). Existen dos flujos diferenciados:

Inferencia (siempre activa) — El contenido relevante para la funcionalidad que usted utiliza, o para una acción del operador realizada en su nombre, se envía al modelo correspondiente (habitualmente la API de Google Gemini), el modelo devuelve un resultado, y dicho resultado se almacena en el registro relacionado (tarea, mensaje, gasto, inmueble, etc.). Este tratamiento es necesario para prestar la funcionalidad solicitada o para cumplir nuestro contrato de servicio con usted (Art. 6(1)(b) RGPD). Utilizamos el nivel de pago de Gemini de Google; conforme a los términos de la API de Google, las entradas y salidas de pago no se utilizan para entrenar los modelos de Google, y los registros transitorios de Google se conservan únicamente durante el tiempo necesario para la supervisión del uso indebido.
Persistencia de datos de entrenamiento (únicamente con consentimiento) — Si ha activado Datos de entrenamiento de IA en su perfil, conservamos adicionalmente la entrada y la salida de cada llamada de IA originada por su propia actividad en un archivo seudonimizado en nuestra propia infraestructura para la mejora de modelos. Este tratamiento se basa en el consentimiento (Art. 6(1)(a) RGPD) y usted puede retirarlo en cualquier momento. Las llamadas de IA realizadas por nuestros operadores en el marco de flujos de trabajo internos no pasan por este archivo de activación voluntaria; son datos operacionales, conservados únicamente durante el tiempo que existe el registro operacional correspondiente.

La retirada del consentimiento excluye sus llamadas futuras del archivo de entrenamiento y activa la eliminación de todos los registros de entrenamiento previamente archivados vinculados a su cuenta. Utilice Perfil → Datos de entrenamiento de IA para activar/desactivar, o Perfil → Eliminar datos de entrenamiento de IA para eliminar bajo demanda. La rutina de eliminación es `DELETE /v1/profile/ai-training-data` y también se invoca como parte de la eliminación completa de la cuenta (`gdpr-delete.ts`).

Las tablas operacionales que almacenan el estado de sesión de IA (`ai_sessions`, `ai_turns`, `ai_tool_calls`) son datos de ejecución, no datos de entrenamiento. Existen para permitir la reanudación tras una desconexión, la depuración por usuario y la auditoría por solicitud, y se eliminan en la misma cascada cuando usted elimina su cuenta o revoca el consentimiento.

11. Cookies y Tecnologías Similares

Utilizamos únicamente cookies y almacenamiento estrictamente necesarios. No establecemos cookies de publicidad, de seguimiento conductual ni de analítica de terceros.

Concretamente: un token de sesión de autenticación en `localStorage` (web) o `expo-secure-store` (móvil), registros anónimos de service worker / notificaciones push, e identificadores de diagnóstico de errores de la plataforma (Sentry).

El resto de nuestros encargados del tratamiento no establecen cookies en nuestras apps; únicamente reciben telemetría vinculada a la solicitud.

12. Privacidad de Menores

La plataforma no está destinada a usuarios menores de 18 años. No recopilamos conscientemente datos personales de menores. Si considera que un menor nos ha facilitado datos personales, póngase en contacto con privacy@solidmaint.com.

13. Modificaciones de esta Política

Le notificaremos los cambios materiales mediante correo electrónico y/o aviso dentro de la app con al menos 30 días de antelación a su entrada en vigor. El número de versión y la fecha que figuran al inicio de esta página indican cuándo fue actualizada por última vez.

14. Contacto

Para cualquier consulta relacionada con la privacidad: privacy@solidmaint.com.

Para la eliminación de cuenta, consulte la guía específica en /legal/data-deletion.