Todos los datos se almacenan en servidores ubicados en España y en la Unión Europea, cumpliendo estrictamente con el RGPD (Reglamento General de Protección de Datos) y la LOPD-GDD.

Utilizamos infraestructura cloud de primer nivel con centros de datos certificados ISO 27001, garantizando:

• Almacenamiento en territorio europeo
• Encriptación de datos en reposo y en tránsito
• Copias de seguridad automáticas diarias
• Redundancia para alta disponibilidad

Nunca transferimos datos fuera de la UE sin tu consentimiento explícito.

La seguridad de los datos es nuestra máxima prioridad. Implementamos múltiples capas de protección:

• Encriptación TLS 1.3 para todas las comunicaciones
• Encriptación AES-256 para datos almacenados
• Encriptación de credenciales de integraciones (OAuth tokens, API keys)
• Control de acceso basado en roles (RBAC) para limitar quién puede ver qué información
• Auditoría completa de accesos y modificaciones
• Autenticación de dos factores (2FA) disponible para todos los usuarios

Los documentos sensibles se almacenan en sistemas de almacenamiento objeto (S3-compatible) con encriptación adicional y políticas de acceso estrictas.

Sí, absolutamente. Veredicta está diseñado específicamente para cumplir con todas las normativas aplicables al sector legal:

• RGPD (UE 2016/679) - Reglamento General de Protección de Datos
• LOPD-GDD - Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales
• Ley 34/2002 - Servicios de la Sociedad de la Información (LSSI)
• Secreto profesional - Respetamos estrictamente el secreto profesional del abogado
• Normativa del Colegio de Abogados - Cumplimiento con los códigos deontológicos

Disponemos de contratos de tratamiento de datos (DPA) que puedes firmar con tu organización, y realizamos auditorías de seguridad periódicas.

Nunca vendemos ni compartimos tus datos con terceros para fines comerciales. El acceso está estrictamente limitado:

• Tú y tu equipo - Solo usuarios autorizados de tu organización
• Personal técnico de Veredicta - Solo para mantenimiento y soporte, bajo estrictos protocolos de seguridad
• Proveedores de infraestructura - Solo los necesarios para el funcionamiento del servicio (hosting, backups), todos con acuerdos de confidencialidad

Todos los accesos están registrados y auditados. Puedes solicitar un informe de accesos en cualquier momento.

Las integraciones (Google Drive, Dropbox, etc.) solo acceden a los datos que tú explícitamente autorizas mediante OAuth, y puedes revocar el acceso en cualquier momento.

Implementamos un sistema robusto de copias de seguridad y recuperación:

• Backups automáticos diarios con retención de 30 días
• Backups incrementales cada 6 horas
• Almacenamiento en múltiples ubicaciones para redundancia
• Pruebas de recuperación mensuales para garantizar la integridad
• Plan de continuidad de negocio (BCP) documentado

Además, puedes exportar todos tus datos en cualquier momento en formato estándar (JSON, CSV, PDF) desde el panel de administración.

Nuestro tiempo objetivo de recuperación (RTO) es de menos de 4 horas, y el punto objetivo de recuperación (RPO) es de máximo 6 horas.

Las integraciones están diseñadas con máxima seguridad:

• OAuth 2.0 - Autenticación estándar de la industria, sin almacenar contraseñas
• Tokens encriptados - Todas las credenciales se almacenan encriptadas en nuestra base de datos
• Permisos mínimos - Solo solicitamos los permisos estrictamente necesarios
• Revocación inmediata - Puedes desconectar cualquier integración en cualquier momento
• Sin acceso permanente - Los tokens tienen expiración y se renuevan automáticamente

Importante: Cuando importas archivos desde Google Drive o Dropbox, estos se descargan y almacenan en nuestros servidores (encriptados), por lo que no dependes de esos servicios para acceder a tus documentos indexados en Veredicta.

La IA de Veredicta funciona con máxima confidencialidad:

• Procesamiento local/privado - Los embeddings y búsquedas se realizan en nuestros servidores
• Modelos propios o bajo contrato - Utilizamos modelos de IA que garantizan confidencialidad contractual
• Sin entrenamiento con tus datos - Tus documentos nunca se usan para entrenar modelos externos
• RAG (Retrieval-Augmented Generation) - La IA solo accede a tus documentos cuando tú haces una consulta
• Sin almacenamiento permanente en servicios externos - Los datos no se envían a servicios de IA públicos sin tu consentimiento

Si utilizamos servicios de IA externos (como OpenAI, Anthropic, etc.), lo hacemos bajo acuerdos de procesamiento de datos (DPA) que garantizan que tus datos no se usan para entrenamiento y se eliminan tras el procesamiento.

Estamos en proceso de obtener las siguientes certificaciones:

• ISO 27001 - Gestión de Seguridad de la Información
• ISO 27018 - Protección de datos personales en la nube
• Esquema Nacional de Seguridad (ENS) - Para servicios públicos

Nuestros proveedores de infraestructura (hosting, almacenamiento) ya cuentan con estas certificaciones, y estamos trabajando para obtenerlas también a nivel de organización.

Realizamos auditorías de seguridad periódicas y pruebas de penetración anuales por empresas externas especializadas.

Por supuesto. Puedes ejercer todos tus derechos en cualquier momento:

• Acceso - Descarga todos tus datos desde el panel de administración
• Rectificación - Modifica cualquier dato incorrecto directamente en la plataforma
• Cancelación/Eliminación - Solicita la eliminación de tus datos (se eliminarán tras el período de retención legal)
• Oposición - Puedes oponerte al tratamiento de datos para ciertos fines
• Portabilidad - Exporta tus datos en formato estándar

Para ejercer estos derechos, puedes:

• Hacerlo directamente desde el panel de administración
• Enviar un email a privacidad@veredicta.legal
• Contactar con nuestro Delegado de Protección de Datos (DPO)

Responderemos a tu solicitud en un plazo máximo de 1 mes según establece el RGPD.

En caso de una brecha de seguridad:

• Notificación inmediata - Te notificaremos en menos de 72 horas según exige el RGPD
• Información detallada - Te proporcionaremos información completa sobre la naturaleza de la brecha, datos afectados y medidas tomadas
• Medidas correctivas - Actuaremos inmediatamente para contener y mitigar el impacto
• Notificación a la AEPD - Si es necesario, notificaremos a la Agencia Española de Protección de Datos

Disponemos de seguro de responsabilidad civil que cubre posibles daños derivados de brechas de seguridad.

Nuestro contrato de servicio incluye cláusulas específicas sobre responsabilidad y garantías de seguridad de datos.