Seguridad y privacidad
Infraestructura europea.
Cifrado militar. Zero-training.
Un abogado confía en Pensso con expedientes reales. No podemos permitirnos fallos en esto. Aquí están las decisiones técnicas y contractuales que protegen tus datos, explicadas sin jerga.
Cuatro pilares
Cómo protegemos los expedientes
que cargas en Pensso.
Infraestructura UE
Datos en Alemania, nunca fuera del EEE
Toda la plataforma corre en servidores físicos de Hetzner (Frankfurt). No hay transferencias internacionales fuera del Espacio Económico Europeo. La base de datos y el almacenamiento de archivos también viven en región UE.
Cifrado
AES-256 en reposo, TLS 1.3 en tránsito
Todo el contenido del usuario — expedientes, documentos, conversaciones, memorias — se cifra en reposo con AES-256. El tráfico entre tu navegador y Pensso va por TLS 1.3 con perfect-forward-secrecy.
Zero-training
Tus expedientes no entrenan a nadie
Los proveedores de modelos (Anthropic, OpenAI, Together) están contratados con cláusula zero-training y retención mínima. Ni nosotros ni ellos usamos tus casos para entrenar modelos base o fine-tunear.
RGPD
DPO, registro y derechos ARSULOPD
Tenemos DPO designado, registro de actividades de tratamiento actualizado, y los derechos del interesado (acceso, rectificación, supresión, limitación, oposición, portabilidad) operativos desde el primer día.
Preguntas al DPO
Dudas habituales sobre protección de datos.
¿Quién puede ver los expedientes que cargo en Pensso?
Sólo tú y los usuarios del mismo despacho a los que explícitamente les des acceso. El equipo de Pensso no tiene acceso de lectura rutinario a expedientes; sólo entra si tú abres un ticket de soporte y autorizas el acceso temporal para resolverlo.
¿Dónde están alojados físicamente los datos?
Frankfurt, Alemania. Servidores dedicados de Hetzner. La base de datos también vive en región europa. Los backups cifrados se replican dentro de la misma jurisdicción.
¿Pensso entrena modelos con mis casos?
No. No entrenamos modelos propios con datos de usuarios y los proveedores (Anthropic, OpenAI, Together) tienen cláusula de zero-training en el contrato firmado. Tus datos se usan exclusivamente para servirte la respuesta a ti.
¿Cuánto tiempo se retienen los datos del usuario?
Mientras tu cuenta esté activa, indefinidamente (tú eres el controlador). Al eliminar la cuenta, purgamos los datos en 30 días máximo, incluidos backups. Si quieres purga inmediata, lo solicitas al DPO y se hace.
¿Cómo puedo ejercer mis derechos RGPD?
Escribe a privacidad@pensso.com. Respondemos en menos de 72 horas. Te pediremos verificar identidad y procederemos con el derecho solicitado.
¿Hay DPA firmable? ¿Qué subprocesadores usa Pensso?
Sí. Te enviamos un DPA (Data Processing Agreement) estándar firmable electrónicamente si nos lo pides. La lista actualizada de subprocesadores está aquí abajo; avisamos con 30 días de antelación antes de añadir alguno nuevo.
Subprocesadores
Empresas que procesan datos en nombre de Pensso.
Avisamos por email con al menos 30 días de antelación antes de añadir un subprocesador nuevo o cambiar la ubicación de uno existente.
| Proveedor | Función | Ubicación |
|---|---|---|
| Hetzner Online GmbH | Hosting infraestructura | Alemania (EEE) |
| Supabase Inc. | Base de datos + storage | Región EU (Irlanda) |
| Anthropic, PBC | Modelos Claude (Opus / Sonnet) | EE. UU. · DPA + zero-training |
| OpenAI, LLC | Modelos GPT-4 y embeddings | EE. UU. · DPA + zero-training |
| Together AI | Modelos open-source + embeddings | EE. UU. · zero-training |
| OpenRouter | Router API a modelos | EE. UU. · zero-data-retention |
| Stripe Payments Europe | Procesamiento de pagos | Irlanda · PCI-DSS |
| Resend | Emails transaccionales | EE. UU. / EU |
¿Tienes una pregunta sobre privacidad?
Nuestro DPO contesta en menos de 72 horas. También le puedes pedir el DPA firmable si lo necesitas antes de contratar.