Dalto está en fase demoAcceso por invitación, todavía no disponible para compra abiertaSolicitar acceso
Política de privacidad

Política de privacidad

Versión 1.0 · Última actualización: 2026-05-06

En DALTO nos tomamos muy en serio tu privacidad. Esta política explica qué datos personales recogemos, por qué los recogemos, cómo los usamos y qué derechos tienes sobre ellos. Cubre tanto la web pública dalto.es como la aplicación app.dalto.es.

1. Responsable del tratamiento

  • Razón social: Vishal Georg Punia
  • Nombre comercial: DALTO
  • NIF / CIF: Steuer-Identifikationsnummer (Alemania): 49 225 687 107
  • Inscripción registral: No aplicable a persona física.
  • Domicilio social: Calle Ortega y Gasset 9, plantas 6 y 7, 30009 Murcia, España
  • Email para asuntos de privacidad: privacidad@dalto.es
  • Email general: hola@dalto.es
  • Delegado de Protección de Datos (DPD/DPO): No designado. Para asuntos de privacidad y protección de datos, contacta con privacidad@dalto.es.

2. Roles: cuándo somos responsables y cuándo encargados

DALTO es un SaaS B2B. Por la naturaleza del servicio operamos en dos roles distintos según los datos:

  • Como responsable del tratamiento: de los datos de tu cuenta profesional (la cuenta del despacho, asesoría, agencia, gestoría o profesional independiente que contrata DALTO), tus datos de facturación, tus credenciales y la actividad asociada a tu uso del producto. Vishal Georg Punia decide los fines y medios de este tratamiento.
  • Como encargado del tratamiento: de los datos que tú, como profesional, subes a DALTO sobre tus propios clientes finales (sus datos de contacto, sus documentos, sus solicitudes, sus comunicaciones contigo a través del portal). En este caso tú eres el responsable y nosotros actuamos bajo tus instrucciones, conforme al contrato de encargado del tratamiento (DPA) que aceptas al usar la app. Esto significa que si una de tus clientas o uno de tus clientes nos contacta directamente para pedir el acceso o la supresión de sus datos, te redirigiremos a ti — eres tú quien debe responderle.

Esta distinción es importante: marca quién toma decisiones sobre cada categoría de datos y a quién acudir para ejercer los derechos descritos en la Sección 8.

3. Datos personales que recogemos

3.1. Visita a dalto.es (web pública)

Cuando visitas dalto.es nuestros servidores reciben datos técnicos estándar: dirección IP, tipo de navegador, sistema operativo, página de origen (referrer), idioma del navegador y marcas temporales de la petición. No usamos cookies de análisis ni de publicidad en esta web.

3.2. Formulario «Pruébalo tú mismo» en dalto.es

Cuando rellenas el formulario de demo recogemos:

  • Nombre que escribas en el campo «Tu nombre».
  • Email al que enviamos la demo.
  • Hash derivado de tu IP (no la IP en claro), para prevención de fraude y rate-limiting.
  • Parámetros UTM de la URL (si vienes de una campaña: utm_source, utm_medium, utm_campaign).
  • Token de Cloudflare Turnstile (verificación anti-bot, válido pocos minutos y descartado tras la verificación).
  • Marca temporal del envío.

Estos datos se almacenan en la tabla TryItLead de nuestra base de datos.Vishal Georg Punia es responsable de este tratamiento.

3.3. Cuenta profesional en app.dalto.es

Cuando creas una cuenta para usar DALTO recogemos los datos necesarios para el servicio (responsable: Vishal Georg Punia):

  • Identificación: nombre, email, hash de contraseña (bcrypt), estado de verificación del email.
  • Datos del despacho/empresa: nombre, NIF si lo introduces, configuración de marca (logo, colores, email de soporte, URL del sitio web).
  • Autenticación: tokens de sesión, tokens de magic-link, tokens de restablecimiento de contraseña, tokens de verificación.
  • Plan / facturación: nivel del plan, ciclos mensuales. No almacenamos datos de tarjetas — el procesador de pagos los gestiona directamente cuando esté activo.
  • Metadatos de actividad: fecha de creación, fecha de última actualización, fecha de último inicio de sesión.
  • Preferencias: notificaciones, idioma.

3.4. Datos de tus clientes (encargado del tratamiento)

Cuando usas DALTO para gestionar a tus propios clientes, tú decides qué datos introducir. Nosotros los procesamos por cuenta tuya. Estos datos pueden incluir:

  • Identificación del cliente final: nombre, email, teléfono, empresa.
  • Identificadores de canales de comunicación (número de WhatsApp, telegramUserId, telegramChatId).
  • Asignación a grupos / nichos.
  • Token de acceso al portal (generado automáticamente por DALTO).
  • Avatar (URL).

3.5. Solicitudes (demandas) y respuestas del cliente

Las solicitudes que creas para tus clientes y las respuestas que ellos envían a través del portal, incluyendo el historial de recordatorios (canal usado, marca temporal, entrega exitosa o fallida).

3.6. Documentos subidos

Los documentos que tus clientes suben a DALTO (o que tú subes) se almacenan en el sistema de archivos del servidor. Pueden incluir documentos legales, copias de DNI, contratos y, en general, datos que pueden encajar en categorías especiales del Art. 9 RGPD (datos sensibles). Por ello el acceso está restringido y el tratamiento se rige por el contrato de encargado (DPA) que tú firmas al usar la app.

3.7. Logs y datos operativos

Para seguridad, soporte y cumplimiento mantenemos:

  • ActivityLog: quién hizo qué y cuándo (subidas de documentos, completaciones de solicitudes, creación de clientes, envíos de recordatorios).
  • ReminderHistory: cada recordatorio enviado, su canal, marca temporal y resultado.
  • Logs HTTP / aplicación de Next.js + Docker stdout (rotación estándar).

3.8. Comunicaciones

Si nos escribes por email, conservamos la conversación durante el tiempo necesario para atender tu consulta y, si tiene relevancia comercial, hasta 24 meses después.

4. Finalidades del tratamiento y base legal

DatosFinalidadBase legal (RGPD)
Datos técnicos de visita (3.1)Funcionamiento de la web, prevención de bots y abusoArt. 6.1.f — interés legítimo
Formulario Try-It (3.2)Enviarte la demo de DALTO; contactarte hasta 24h después si interactuasteArt. 6.1.b (medidas pre-contractuales) + Art. 6.1.a (consentimiento marcado en la casilla)
Cuenta profesional (3.3)Provisión del servicio, facturación, soporte, cumplimiento fiscal y contableArt. 6.1.b (ejecución del contrato) + Art. 6.1.c (obligación legal)
Clientes / demandas / documentos (3.4–3.6)Procesamiento por cuenta del profesional según sus instrucciones (DPA)Tratamiento por cuenta del responsable (Art. 28 RGPD) — base legal la define el profesional
Logs y operativa (3.7)Seguridad, auditoría, prevención de fraudeArt. 6.1.f — interés legítimo
Comunicaciones (3.8)Atender consultas y trazabilidad del contactoArt. 6.1.f — interés legítimo

5. Plazo de conservación

  • Cuenta profesional: mientras mantengas la cuenta activa. Cuando eliminas tu cuenta hay un periodo de gracia de 30 días tras el cual los datos se borran definitivamente.
  • Datos de tus clientes y sus documentos: por defecto 6 años desde la última actividad — plazo que coincide con la obligación de conservación del abogado conforme al Art. 32 del Estatuto General de la Abogacía. Como profesional, puedes configurar plazos más cortos para nichos concretos (asesoría fiscal: 4 años por LGT Art. 66; gestoría: a definir según normativa aplicable).
  • Sesiones (cookies de autenticación): 30 días, renovable mientras uses la app.
  • Tokens de verificación / restablecimiento de contraseña: 24 horas.
  • Datos del Try-It (formulario de demo): 90 días desde el envío del formulario, salvo conversión a cuenta.
  • Logs de actividad (ActivityLog): 2 años desde el último acceso, prorrogables si concurren obligaciones legales.
  • Historial de recordatorios: ligado a la conservación de la solicitud asociada.
  • Copias de seguridad: copias de seguridad automáticas diarias, cifradas en reposo, retenidas durante 30 días en infraestructura europea.
  • Datos de facturación y registros contables: 6 años (Art. 30 del Código de Comercio español y normativa fiscal aplicable).

6. Encargados del tratamiento (sub-procesadores)

Para prestar el servicio, contamos con los siguientes proveedores que actúan como encargados del tratamiento bajo contrato (Art. 28 RGPD):

ProveedorFinalidadDatos a los que accedeUbicación
Hostinger International Ltd.Hosting (cómputo, almacenamiento, red)Todos los datos almacenadosDatacenters en Paris y Frankfurt (UE)
Resend, Inc.Entrega de emails transaccionales (autenticación, recordatorios, demos del Try-It)Email del destinatario y contenido del mensajeIrlanda (datacenters EU)
Cloudflare, Inc.Cloudflare Turnstile — verificación anti-bot del formulario Try-ItComportamiento técnico del visitante en el momento de envíoEE. UU. (con SCC + EU-U.S. Data Privacy Framework)
Twilio Inc.Entrega de mensajes WhatsApp transaccionales cuando el Profesional selecciona este canal (gateway hacia Meta Platforms Ireland Ltd.)Número de teléfono del destinatario y contenido del mensajeEE. UU. — transferencia cubierta por las Cláusulas Contractuales Tipo (SCC) y por la certificación EU-U.S. Data Privacy Framework de Twilio
Telegram FZ-LLCEntrega de mensajes Telegram transaccionales vía Bot API cuando el Profesional selecciona este canalIdentificador de chat del destinatario y contenido del mensajeEmiratos Árabes Unidos — transferencia cubierta por Cláusulas Contractuales Tipo (SCC)

No vendemos ni alquilamos tus datos personales a terceros bajo ninguna circunstancia.

Si añadimos un nuevo encargado, actualizaremos esta lista. Los profesionales con cuenta activa serán notificados con al menos 30 días de antelación para que puedan ejercer su derecho de objeción si no aceptan al nuevo encargado.

7. Transferencias internacionales

Por diseño, DALTO opera dentro del Espacio Económico Europeo. Las únicas transferencias previstas fuera del EEE son las siguientes, todas cubiertas por las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea:

  • Cloudflare (EE. UU.) para Turnstile en el formulario «Pruébalo tú mismo». Cubierta también por la certificación EU-U.S. Data Privacy Framework de Cloudflare. Activa siempre que se carga el formulario.
  • Twilio (EE. UU.) para la entrega de mensajes WhatsApp. Sólo se activa cuando el Profesional selecciona WhatsApp como canal de envío para una solicitud concreta. Si únicamente se usa email, ningún dato sale del EEE por esta vía. Cubierta también por certificación EU-U.S. Data Privacy Framework.
  • Telegram FZ-LLC (Emiratos Árabes Unidos) para la entrega de mensajes Telegram vía Bot API. Sólo se activa cuando el Profesional selecciona Telegram como canal de envío para una solicitud concreta.

No realizamos transferencias adicionales a terceros países sin garantías equivalentes al RGPD. Lista detallada y actualizada en /legal/sub-encargados.

8. Tus derechos

El RGPD te concede los siguientes derechos sobre tus datos personales:

  • Acceso (Art. 15) — saber qué datos tenemos sobre ti.
  • Rectificación (Art. 16) — corregir datos incorrectos o incompletos.
  • Supresión / «derecho al olvido» (Art. 17) — pedir que borremos tus datos.
  • Limitación del tratamiento (Art. 18) — pedir que dejemos de usarlos temporalmente.
  • Portabilidad (Art. 20) — recibir tus datos en formato estructurado y exportable.
  • Oposición (Art. 21) — oponerte a un tratamiento basado en interés legítimo.
  • Retirar el consentimiento (Art. 7.3) — en cualquier momento.

8.1. Si eres profesional con cuenta en app.dalto.es

Muchos derechos se ejercen directamente desde la propia app: rectificación (editar tus datos en Configuración), portabilidad (botón «Exportar mis datos»), supresión (botón «Eliminar cuenta» — periodo de gracia de 30 días), oposición a comunicaciones (enlace «cancelar suscripción» en cada email). Para los demás derechos, escríbenos a privacidad@dalto.es con copia de tu DNI/NIE para verificar tu identidad.

8.2. Si eres cliente final de un profesional que usa DALTO

Si tus datos están en DALTO porque un profesional (abogado, asesor, gestor, agencia, etc.) los introdujo para gestionar la relación contigo, ese profesional es el responsable de esos datos según el RGPD. Debes contactar directamente con ese profesional para ejercer tus derechos. Si no sabes a quién contactar o consideras que el profesional no responde, puedes escribirnos a privacidad@dalto.es y te ayudaremos a identificarlo y a redirigirte.

8.3. Plazo de respuesta y reclamaciones

Te responderemos en un plazo máximo de 30 días. Si consideras que no hemos atendido tu solicitud correctamente, tienes derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD).

9. Cookies y tecnologías similares

9.1. dalto.es (web pública)

No usamos cookies de análisis, publicidad ni seguimiento. La única tecnología que puede establecer cookies en tu navegador en esta web es Cloudflare Turnstile, que utiliza cookies estrictamente necesarias para verificar que eres humano cuando rellenas el formulario de demo. Estas cookies son indispensables para el funcionamiento del antibot y se basan en el Art. 6.1.f RGPD (interés legítimo) y la excepción de cookies estrictamente necesarias del Art. 22.2 LSSI-CE.

9.2. app.dalto.es (la aplicación)

Solo utilizamos cookies estrictamente necesarias:

  • next-auth.session-token — autenticación. HttpOnly, Secure, SameSite=Lax. Vigencia: 30 días.
  • next-auth.csrf-token — protección CSRF.
  • next-auth.callback-url — URL de callback temporal durante el flujo de login.
  • Cookie de idioma (next-intl) — recuerda tu preferencia de idioma.

En el portal del cliente (acceso por enlace con token) no se establecen cookies persistentes salvo, opcionalmente, una cookie firmada de corta duración tras la verificación de PIN si el profesional ha activado esta capa adicional.

9.3. Si en el futuro añadimos cookies no esenciales

Si añadimos cookies de análisis (p. ej. para medir efectividad de campañas), de publicidad u otras no esenciales, actualizaremos esta política y mostraremos previamente un banner de consentimiento conforme exige la AEPD.

10. Medidas técnicas y organizativas

  • Cifrado en tránsito: TLS 1.2 o superior en todas las páginas y endpoints públicos, aplicado a nivel de proxy inverso de la infraestructura.
  • Almacenamiento de credenciales: las contraseñas se almacenan como hash con bcrypt (NextAuth), nunca en claro. Los tokens de sesión, magic-link y acceso al portal son identificadores opacos (cuid) generados criptográficamente.
  • Infraestructura: los volúmenes están alojados en datacenters certificados ISO 27001 dentro de la UE; las contraseñas se almacenan como hash bcrypt y los tokens como identificadores opacos (cuid).
  • Aislamiento de datos: cada profesional sólo accede a sus propios datos — el aislamiento se aplica a nivel de consulta de base de datos vía professionalId.
  • Acceso del equipo de DALTO: los ingenieros de Vishal Georg Punia tienen acceso SSH/DB para operaciones de mantenimiento, registrado a nivel de sistema operativo. No hay un panel de admin que exponga datos de clientes finales al equipo.
  • Acceso del cliente final al portal: mediante token de URL (cuid). Opcionalmente, el profesional puede activar verificación PIN como capa adicional.

11. Notificación de brechas de seguridad

En caso de violación de seguridad de datos personales (Art. 33 y 34 RGPD):

  • Notificaremos a la AEPD en un plazo máximo de 72 horas desde que tengamos conocimiento de la brecha.
  • Si actuamos como encargados (datos de clientes finales), informaremos al profesional responsable sin dilación indebida (Art. 33.2 RGPD), quien decidirá si notifica a sus propios clientes.
  • Si la brecha implica un alto riesgo para los derechos de los afectados, también les notificaremos directamente cuando seamos su responsable (Art. 34 RGPD).

12. Contrato de encargado del tratamiento (DPA)

Si usas DALTO para gestionar datos de tus propios clientes, eres responsable y nosotros encargados. Esta relación se rige por un Contrato de Encargado del Tratamiento (DPA o Data Processing Agreement) que aceptas digitalmente al usar la app.

El DPA define con precisión: las obligaciones de confidencialidad de Vishal Georg Punia, las medidas de seguridad aplicadas, la gestión de sub-encargados, la asistencia para responder a derechos del afectado, la notificación de brechas, las condiciones de devolución/borrado al final del contrato, y el derecho de auditoría. Puedes leer el texto vigente en dalto.es/legal/dpa y descargar la versión personalizada con tus datos desde tu configuración de cuenta en la app. La lista actualizada de sub-encargados está en dalto.es/legal/sub-encargados.

13. Menores de edad

DALTO es una herramienta profesional dirigida a empresas y autónomos. No tratamos conscientemente datos de menores de 16 años. Si descubres que un menor nos ha proporcionado datos personales, escríbenos a privacidad@dalto.es y los borraremos.

14. Cambios en esta política

Si modificamos materialmente esta política, actualizaremos la fecha de «Última actualización» al inicio del documento. A los profesionales con cuenta en app.dalto.es les avisaremos por email con al menos 30 días de antelación antes de que los cambios entren en vigor.

15. Contacto

Para cualquier consulta sobre esta política o sobre el tratamiento de tus datos:

Versión 1.0 · Última actualización: 2026-05-06