Documentos legales

Política de privacidad

Tratamiento de datos personales, derechos ARCO, encargados del tratamiento y conservación.

Política de privacidad TogApp

Última actualización: 2026-06-08.


Cláusulas mínimas requeridas por la arquitectura del producto

Estas cláusulas son load-bearing para el motor: si el redactado final las omite o las cambia sustancialmente, el modelo de datos, las RLS y la infraestructura dejan de ser legales. Documentadas aquí para que el equipo legal las preserve en sustancia aunque cambie el wording.

1. Responsable del tratamiento

Responsable: TogApp Tech Solutions S.L. (en adelante, "TogApp"), CIF B27635820, domicilio social en Calle Pilar de Zaragoza 54, Bloque D, 2D, 28028 Madrid (España). Datos identificativos completos en el Aviso Legal.

Contacto en materia de protección de datos: info@togapp.es.

Delegado de Protección de Datos (DPD). TogApp no ha designado DPD por no concurrir ninguno de los supuestos del Art. 37 RGPD: no es autoridad pública, su actividad principal no consiste en operaciones de tratamiento que requieran observación habitual y sistemática de interesados a gran escala, ni en el tratamiento a gran escala de categorías especiales de datos. Esta decisión se revisará si cambia el perfil de tratamiento (p. ej., al superar un volumen relevante de interesados activos). Mientras tanto, las consultas de privacidad se atienden en info@togapp.es.

2. Datos tratados y finalidades

TogApp trata los siguientes datos personales con las finalidades indicadas:

2.1. Datos de identidad y colegiación
  • Nombre, apellidos, NIF, número de colegiado, colegio, certificado de ejerciente.
  • Finalidad: verificar que el usuario es abogado colegiado ejerciente, requisito legal para operar.
  • Base jurídica: ejecución del contrato de servicios TogApp (Art. 6.1.b RGPD).
2.2. Datos de contacto
  • Email, teléfono móvil (opcional para notificaciones push y, en sustituciones urgentes, para contacto directo entre abogado contratante y sustituto).
  • Finalidad: gestión de la cuenta, notificaciones del servicio, contacto entre las partes en una sustitución.
  • Base jurídica: ejecución del contrato (Art. 6.1.b RGPD).
2.3. Datos fiscales
  • Régimen fiscal, territorio (Península/Baleares, Canarias, Ceuta/Melilla), retención IRPF aplicable, mandato de facturación por terceros (Art. 5 RD 1619/2012), datos para emisión de facturas.
  • Finalidad: emisión de las facturas F1 (sustituto → publicador, por mandato) y F2 (TogApp → sustituto, por comisión), conforme al modelo de marketplace y a la fiscalidad española.
  • Base jurídica: ejecución del contrato (Art. 6.1.b RGPD) y obligación legal en materia tributaria (Art. 6.1.c RGPD).
  • Conservación: hasta 10 años, por aplicación combinada de la obligación mercantil de conservación (Art. 30 Código de Comercio), la prescripción tributaria (Art. 66 Ley 58/2003 General Tributaria) y la conservación de los reportes DAC7 (RD 117/2024), en coherencia con la cláusula 13 de los Términos y Condiciones.
2.4. Datos de pago
  • Información de tarjeta y cuenta bancaria es tratada directamente por Stripe Payments Europe Ltd. (encargado y, en parte, corresponsable). TogApp no almacena números de tarjeta ni IBAN; sólo identificadores de Stripe (stripe_customer_id, stripe_account_id) y metadatos de operación (importes, estados, timestamps).
  • Base jurídica: ejecución del contrato.
2.5. Datos de las sustituciones
  • Sede del juzgado, fecha y hora del juicio, tipo de actuación, honorarios pactados, estado, postulaciones, mensajes intercambiados, calificaciones cruzadas tras finalización.
  • Finalidad: prestación del servicio de marketplace y reputación entre usuarios.
  • Base jurídica: ejecución del contrato.
2.6. Documentación adjunta a las sustituciones
  • Escritos, expedientes y comunicaciones que las partes intercambian para la preparación del juicio.
  • Almacenamiento: en buckets privados de Supabase Storage, cifrados en reposo por la infraestructura de Supabase, con políticas RLS que restringen el acceso a los participantes activos en cada sustitución y mediante URLs firmadas de corta duración.
  • Compromiso operativo de no acceso: TogApp se compromete a no consultar el contenido de la documentación de las sustituciones en el curso ordinario de su operación. Este compromiso es organizativo: el almacenamiento no está cifrado de extremo a extremo, por lo que personal autorizado con credenciales de administración podría técnicamente acceder al contenido. Dicho acceso solo se produce de forma excepcional —requerimiento de autoridad judicial o administrativa competente, o soporte expresamente solicitado por las partes— y queda registrado en nuestro registro interno de auditoría (ver §6).
  • Conservación: limitada a la finalidad. La documentación de preparación del juicio se elimina automáticamente a los 30 días desde que la sustitución alcanza un estado final (completada, cancelada o expirada). El reporte de realización del servicio se conserva durante el plazo legal de 10 años como prueba de la prestación.
  • Base jurídica: ejecución del contrato y respeto al deber profesional de secreto que incumbe a los abogados usuarios.
2.7. Datos técnicos y de uso
  • Logs de acceso (IP, user-agent, timestamp), eventos analíticos (PostHog, EU/Frankfurt), errores capturados (Sentry).
  • Finalidad: seguridad, prevención del fraude, mejora del producto.
  • Base jurídica: interés legítimo (Art. 6.1.f RGPD) en seguridad y operación, complementado por consentimiento para analítica no esencial.
  • PII en logs: TogApp aplica una política estricta de no logueo de PII. Sólo se loguean identificadores internos; nunca emails, NIFs ni contenidos de mensajes.

3. Encargados del tratamiento (sub-encargados)

TogApp se apoya en los siguientes proveedores como encargados del tratamiento. Todos cuentan con cláusulas estándar y, cuando aplica, transferencias internacionales bajo SCC o equivalente.

ProveedorFunciónLocalizaciónNotas
Supabase Inc.Base de datos (Postgres), autenticación, almacenamiento de archivos, realtimeRegión EU (Frankfurt)Bucket privado para documentación adjunta. RLS activado en todas las tablas.
Vercel Inc.Hosting de la aplicación web, CDN, ejecución de Server ActionsRegión EU (Frankfurt) por defecto para funciones serverlessLogs de runtime no contienen PII.
Stripe Payments Europe Ltd.Procesamiento de pagos, KYC del sustituto, custodia de fondos en cuenta plataforma, payouts SEPAIrlanda (UE)Stripe es responsable autónomo del cumplimiento PCI-DSS. KYC del sustituto delegado a Stripe Connect Express.
ResendEnvío de email transaccional (alta, recordatorios, notificaciones del servicio)UENo se envían contenidos sensibles por email; las comunicaciones operativas pasan por la plataforma.
SentryCaptura y agregación de errores en cliente y servidorEU (DSN europeo)Filtros de scrubbing activos para evitar fuga de PII en stack traces.
PostHog Cloud EUAnalítica de producto y session replayFrankfurt (EU)Persons identificados sólo con user_id; no se envían emails ni nombres. Replay con masking de inputs sensibles.

La lista actualizada de sub-encargados con sus cláusulas correspondientes se mantiene a disposición del usuario que la solicite a info@togapp.es.

4. Comunicaciones a terceros

Más allá de los sub-encargados anteriores, TogApp no comunica datos personales a terceros salvo:

  • A las partes de la propia sustitución (un publicador ve a los sustitutos que se postulan a su juicio y viceversa, en lo estrictamente necesario para decidir y formalizar la sustitución).
  • A la AEAT y demás administraciones tributarias en cumplimiento de obligaciones legales (modelos tributarios como 303, 111 o 347 y cualquier otro exigido por la normativa aplicable), así como la comunicación informativa DAC7 (modelo 238) descrita a continuación.
  • A los Colegios de Abogados, únicamente para verificación de colegiación, en los términos que se acuerden con cada colegio.
  • A las autoridades judiciales o administrativas cuando exista requerimiento legal.

Comunicación DAC7 (modelo 238). TogApp es operador de plataforma en el sentido de la Directiva (UE) 2021/514 (DAC7) y del RD 117/2024, por mediar en un servicio personal (la sustitución judicial) a cambio de contraprestación. En consecuencia, TogApp está obligada a comunicar anualmente a la AEAT (modelo 238, en enero respecto del año natural anterior) los datos de los abogados sustitutos que tengan la condición de "vendedor reportable" —quienes en el año superen 30 operaciones o 2.000 € de contraprestación bruta—. Los datos comunicados incluyen identificación, NIF, domicilio fiscal, identificador de la cuenta financiera de cobro, número de operaciones, contraprestación e importes retenidos. TogApp informará a cada sustituto reportable de los datos que le conciernen antes del 31 de enero del año de presentación.

5. Conservación de datos

CategoríaPlazo
Datos de cuenta activaMientras la cuenta esté activa.
Cuenta cancelada por el usuarioAnonimización inmediata de la PII no sujeta a obligación legal de conservación. Datos fiscales y de facturación: hasta 10 años (Art. 30 Código de Comercio, prescripción tributaria del Art. 66 LGT y conservación DAC7 del RD 117/2024).
Sustituciones completadas / canceladasDatos contables y de facturación: hasta 10 años desde la finalización. Los datos no fiscales se anonimizan al concluir su finalidad.
Documentación de preparación del juicioSe elimina automáticamente a los 30 días desde que la sustitución alcanza un estado final (completada, cancelada o expirada). El reporte de realización del servicio se conserva 10 años como prueba de la prestación.
Logs de seguridad90 días por defecto, hasta 1 año si hay investigación abierta.
Logs de webhooks de pago (idempotencia)90 días tras procesamiento; el event.id se conserva como mínimo el tiempo necesario para que Stripe no reentregue.

6. Seguridad

TogApp aplica medidas técnicas y organizativas conforme al Art. 32 RGPD:

  • Row Level Security activado en todas las tablas sin excepción.
  • Cifrado en tránsito (TLS 1.2+) y en reposo (cifrado nativo de Supabase y Stripe).
  • Documentación adjunta: bucket privado, cifrado en reposo de Supabase, URLs firmadas de corta duración y acceso restringido por RLS al participante activo en la sustitución. No se aplica cifrado de extremo a extremo a nivel de aplicación: la confidencialidad frente al equipo descansa en el compromiso operativo y en el control de accesos, no en criptografía que impida técnicamente la lectura (modelo "Opción B"). La infraestructura para un cifrado a nivel de aplicación con clave por sustitución está prevista y podría activarse si una evaluación de impacto (DPIA) lo exigiera.
  • Acceso del equipo TogApp a documentos: TogApp se compromete a no consultar el contenido en su operación ordinaria. Un administrador con credenciales podría técnicamente acceder; cualquier acceso excepcional (requerimiento judicial o de autoridad competente, o soporte expresamente solicitado por las partes) queda registrado en nuestro registro interno de auditoría.
  • Verificación obligatoria: nadie publica ni se postula sin pasar verificación previa de colegiación.
  • Logs sin PII: política estricta.
  • Webhooks de pago: verificación de firma e idempotencia obligatorias.
  • Soft delete: los datos de cuenta no se eliminan en hard delete; se anonimizan.

7. Brecha de seguridad

En caso de brecha que implique riesgo para los derechos y libertades de los usuarios, TogApp lo notificará a la AEPD (autoridad de control en materia de protección de datos) en menos de 72 h y a los usuarios afectados sin demora indebida (Arts. 33-34 RGPD). TogApp mantiene un protocolo interno de respuesta a incidentes para la detección, contención, evaluación y notificación de brechas.

8. Derechos del usuario

El usuario puede ejercer en cualquier momento sus derechos de:

  • Acceso a los datos personales tratados.
  • Rectificación de datos inexactos.
  • Supresión ("derecho al olvido"), con las limitaciones derivadas de obligaciones legales (datos fiscales 10 años).
  • Limitación del tratamiento.
  • Portabilidad de los datos en formato estructurado.
  • Oposición al tratamiento basado en interés legítimo.

Puedes ejercer la rectificación editando tus datos en tu perfil, y la supresión desde Cuenta y seguridad (eliminación de cuenta, que se procesa en ~24 h y puedes cancelar durante ese plazo). Para el acceso, la portabilidad, la oposición y la limitación, escribe a info@togapp.es; atenderemos tu solicitud en el plazo máximo de un mes (Art. 12 RGPD). También puedes ejercer cualquiera de estos derechos por esa misma vía.

El usuario tiene además derecho a presentar reclamación ante la AEPD (www.aepd.es).

9. Menores

TogApp no se dirige a menores y la condición de abogado colegiado ejerciente requiere mayoría de edad y titulación universitaria. La cuenta de un menor sería anómala; en caso de detectarse, se cancelaría inmediatamente.

10. Cookies y tecnologías similares

TogApp utiliza:

  • Cookies técnicas estrictamente necesarias para autenticación, sesiones y CSRF — no requieren consentimiento.
  • Cookies analíticas (PostHog) — requieren consentimiento. Banner conforme a la guía AEPD vigente.
  • No se utilizan cookies publicitarias ni de terceros con fines de marketing.

Detalle completo en la Política de cookies.

11. Comunicaciones comerciales

TogApp puede enviar al usuario comunicaciones del servicio (notificaciones de su cuenta y sus sustituciones) sin consentimiento adicional al ser indispensables para la prestación contractual. Las comunicaciones meramente comerciales (newsletters, novedades) requieren consentimiento explícito y son revocables desde el perfil.

12. Modificaciones de la política

Cualquier modificación material de esta política se comunica al usuario al siguiente acceso, con aceptación expresa requerida antes de continuar operando, en línea con el procedimiento de los Términos y Condiciones.