Política de Privacidad.
1. Quiénes somos
El responsable del tratamiento de los datos personales recogidos a través de este sitio web es:
OrAIsi Tech S.L. (en adelante, "OrAIsi", "nosotros", "nuestro")
- CIF: B23823511
- Domicilio social: Camí de Luna nº 2241, 03139 Elche (Alicante), España
- Correo: info@oraisi.ai
- Web: https://oraisi.ai
- Plataforma: https://toxiagent.oraisi.ai
Los datos completos de inscripción en el Registro Mercantil y el objeto social de la empresa se publican en nuestro Aviso Legal.
Contacto en materia de protección de datos. OrAIsi no ha designado formalmente un Delegado de Protección de Datos (DPD) conforme al artículo 37 del RGPD, por no resultar legalmente exigible para una empresa de este tamaño y alcance de tratamiento. Para cualquier cuestión sobre protección de datos, escriba a info@oraisi.ai con el asunto "Privacidad / Protección de datos".
2. Qué cubre esta política
Esta Política de Privacidad explica cómo OrAIsi recoge, usa, comparte y protege los datos personales de:
- Visitantes de
https://oraisi.aique interactúan con el formulario de contacto, navegan por el sitio o aceptan cookies. - Usuarios de la plataforma ToxiAgent en
https://toxiagent.oraisi.ai(cuando el SaaS se lance comercialmente).
Cuando OrAIsi trate datos personales de los usuarios finales de los clientes en la plataforma SaaS, OrAIsi actuará como encargado del tratamiento por cuenta del cliente (responsable del tratamiento). Ese tratamiento se rige por un Contrato de Encargo del Tratamiento (DPA) firmado al inicio de la relación. La presente Política se refiere al tratamiento que OrAIsi realiza como responsable.
3. Datos personales que recogemos
3.1 Formulario de contacto (https://oraisi.ai/regulatory-product-file-automation/)
Cuando envía el formulario de contacto en nuestra web, recogemos:
- Nombre y apellido (obligatorio)
- Correo electrónico (obligatorio)
- Teléfono (opcional)
- Texto del mensaje (opcional, formato libre)
3.2 Cookies y tecnologías similares
La web utiliza cookies agrupadas en las siguientes categorías, cada una sujeta al consentimiento prestado a través del banner de cookies en la primera visita:
- Funcionales (siempre activas — estrictamente necesarias para prestar el servicio solicitado)
- Preferencias (recuerdan ajustes entre visitas)
- Estadísticas (analítica agregada de uso del sitio)
- Marketing (perfilado publicitario, en su caso)
La información detallada de cada cookie (proveedor, finalidad, duración) se muestra en el banner de consentimiento gestionado por Complianz. La información sobre cookies queda consolidada dentro de esta Política de Privacidad; no mantenemos una página separada de política de cookies.
3.3 Protección antispam (Google reCAPTCHA v3)
El formulario de contacto utiliza Google reCAPTCHA v3 para detectar y prevenir envíos automatizados. reCAPTCHA recoge datos técnicos como dirección IP, datos del navegador y patrones de interacción del usuario. Consulte la política de privacidad de Google en https://policies.google.com/privacy para la información completa. Esto implica una transferencia de datos personales a Google LLC en Estados Unidos; ver §6.
3.4 Logs del servidor
Nuestra infraestructura de hosting (IONOS, España) mantiene logs técnicos de acceso que pueden incluir direcciones IP, cadenas de user-agent y marcas temporales por motivos de seguridad y operación.
3.5 Plataforma ToxiAgent (cuando el SaaS se lance comercialmente)
Cuando la plataforma se lance comercialmente, OrAIsi tratará datos personales adicionales de los usuarios de la plataforma (titulares de cuenta): nombre, correo, rol, organización, tokens de autenticación, metadatos de auditoría sobre acciones en la plataforma, y contenido de texto libre que el usuario introduzca como parte de las evaluaciones de seguridad cosmética. Los valores de concentración y otros datos confidenciales de fórmula del cliente se cifran en el navegador del usuario y son estructuralmente ilegibles para OrAIsi, según se documenta en nuestro security one-pager.
4. Por qué tratamos sus datos y con qué base legal
| Finalidad | Base legal (Art. 6 RGPD) |
|---|---|
| Responder a las consultas enviadas mediante el formulario de contacto | Consentimiento (Art. 6.1.a). El usuario envía el formulario de manera voluntaria; el consentimiento se entiende prestado al enviarlo. |
| Realizar seguimiento comercial sobre los servicios de OrAIsi tras una consulta | Interés legítimo (Art. 6.1.f) cuando la consulta versa sobre nuestros servicios. El usuario puede oponerse en cualquier momento. |
| Operar las cookies de la categoría "Funcionales" | Interés legítimo / necesidad contractual (Art. 6.1.b/f) — cookies estrictamente necesarias para prestar el servicio solicitado |
| Operar las cookies de "Preferencias", "Estadísticas" y "Marketing" | Consentimiento (Art. 6.1.a), recogido a través del banner de cookies |
| Protección antispam mediante reCAPTCHA v3 | Interés legítimo (Art. 6.1.f) — proteger la web frente a abuso automatizado |
| Mantener logs del servidor por motivos de seguridad | Interés legítimo (Art. 6.1.f) |
| Operar la plataforma ToxiAgent para clientes de pago (cuando el SaaS se lance) | Ejecución de un contrato (Art. 6.1.b) |
| Utilizar las justificaciones y decisiones del evaluador para mejorar la capa de inteligencia regulatoria de la plataforma (el "Continuously Enriched Data System" — cuando el SaaS se lance) | Consentimiento expreso, opt-in (Art. 6.1.a). Este tratamiento es opt-in por defecto; los clientes pueden declinar al onboarding y retirar el consentimiento en cualquier momento. La retirada no afecta a los datos previamente tratados pero detiene los usos futuros. Ver §11. |
5. Con quién compartimos los datos (destinatarios y subencargados)
OrAIsi solo comparte datos personales con las siguientes categorías de destinatarios:
| Destinatario | Rol | Ubicación | Mecanismo legal |
|---|---|---|---|
| IONOS SE | Proveedor de hosting de oraisi.ai y de la plataforma ToxiAgent | Alemania / España (UE) | DPA conforme al Art. 28 RGPD |
| Google LLC (reCAPTCHA v3) | Antispam / detección de bots en el formulario de contacto | Estados Unidos | Cláusulas Contractuales Tipo (CCT) conforme al Art. 46 RGPD; EU-U.S. Data Privacy Framework cuando proceda |
| Proveedor SMTP de correo | Envío de correos transaccionales y de notificación | (Por seleccionar; se publicará cuando esté activo) | DPA Art. 28 + mecanismo de transferencia aplicable |
| Proveedor de IA / LLM | Funcionalidades asistidas de investigación y matching de ingredientes en la plataforma ToxiAgent cuando el SaaS se lance | (Por seleccionar; se publicará cuando esté activo) | DPA Art. 28 + modo API zero-retention + (si fuera de la UE) Cláusulas Contractuales Tipo |
No vendemos datos personales. No los compartimos para fines de marketing de terceros.
6. Transferencias internacionales
El tratamiento mediante reCAPTCHA implica una transferencia de datos personales a Google LLC en Estados Unidos. Nos amparamos en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea conforme al artículo 46 del RGPD como mecanismo legal de transferencia, así como en la certificación de Google bajo el EU-U.S. Data Privacy Framework cuando proceda.
Cuando se seleccione el proveedor de IA / LLM, si está establecido fuera de la UE/EEE garantizaremos que se aplican los mismos mecanismos del artículo 46, que el proveedor ofrece un modo API zero-retention (el proveedor no retiene ni entrena con los prompts del cliente), y que se firma un DPA conforme al artículo 28 antes de enviar tráfico de producción.
7. Cuánto tiempo conservamos los datos
| Categoría | Plazo |
|---|---|
| Envíos del formulario de contacto, sin seguimiento | 12 meses desde el último contacto |
| Envíos del formulario que dan lugar a una relación comercial | Durante la relación comercial más el plazo de prescripción aplicable según la legislación mercantil española (típicamente hasta 6 años para fines fiscales/contables) |
| Cookies | El plazo específico de cada cookie se indica en el banner; el propio consentimiento se conserva durante 12 meses y se vuelve a solicitar tras ese plazo |
| Logs del servidor | 12 meses |
| Cuentas de usuario de la plataforma ToxiAgent | Durante la relación contractual más el plazo legal de prescripción aplicable |
| Datos de fórmula cifrados en la plataforma ToxiAgent | Durante la vigencia del contrato; eliminados (incluyendo backups) en un plazo razonable tras la terminación del contrato, a petición del usuario, o tras el plazo de retención fijado en el contrato del cliente |
8. Medidas de seguridad
Aplicamos las siguientes salvaguardas:
- Cifrado en el navegador de los datos confidenciales de fórmula del cliente. Los valores de concentración, composición de fases y otros campos clasificados
CUSTOMER_IPse cifran en el navegador del usuario con una clave derivada de su contraseña (Argon2id → jerarquía de claves → AES-256-GCM con HKDF-SHA256). El servidor solo guarda el ciphertext de estos campos y no puede descifrarlos. Ver nuestro security one-pager (https://oraisi.ai/security/) para detalles. - Infraestructura de hosting en la UE (IONOS, España) bajo DPA del Art. 28.
- Cifrado en tránsito mediante TLS para todo el tráfico de cliente.
- Autenticación y control de acceso a nivel de aplicación; SSO y registro de tokens de refresh implementados como parte del trust-overhaul de abril de 2026.
- Revisión de seguridad periódica del código y la infraestructura.
9. Sus derechos bajo el RGPD / LOPDGDD
Usted tiene los siguientes derechos sobre sus datos personales:
- Acceso — solicitar copia de los datos personales que conservamos sobre usted (Art. 15 RGPD)
- Rectificación — corregir datos inexactos o incompletos (Art. 16)
- Supresión — solicitar la eliminación ("derecho al olvido") (Art. 17)
- Limitación — restringir cómo tratamos sus datos (Art. 18)
- Portabilidad — recibir sus datos en formato estructurado y legible por máquina y transmitirlos a otro responsable (Art. 20)
- Oposición — oponerse al tratamiento basado en interés legítimo, incluida la mercadotecnia directa (Art. 21)
- Retirar el consentimiento en cualquier momento, cuando el tratamiento se base en consentimiento (Art. 7.3)
- Reclamar ante la Agencia Española de Protección de Datos (AEPD), https://www.aepd.es, si considera que no hemos cumplido con la normativa aplicable
Para ejercer cualquiera de estos derechos, escriba a info@oraisi.ai con el asunto "Privacidad / Protección de datos". Responderemos en el plazo de un mes, ampliable a dos meses adicionales en solicitudes complejas, conforme al Art. 12 RGPD.
10. Menores
La web y la plataforma ToxiAgent están destinadas a uso profesional B2B por personas adultas que trabajan en seguridad cosmética, asuntos regulatorios y desarrollo de producto. No recogemos a sabiendas datos personales de menores de 14 años (umbral previsto en la normativa española). Si detecta que un menor ha facilitado datos a través de nuestros servicios, escriba a info@oraisi.ai y procederemos a su eliminación.
11. El Continuously Enriched Data System — aviso prospectivo
Cuando el SaaS se lance comercialmente, OrAIsi ofrecerá una funcionalidad en la que las justificaciones escritas por el evaluador (por ejemplo, el razonamiento que un evaluador de seguridad redacta al clasificar un ingrediente) y las decisiones estructuradas (selecciones de NOAEL, asunciones de exposición) podrán utilizarse para mejorar la capa de inteligencia regulatoria de la plataforma a lo largo del tiempo y entre geografías regulatorias.
Este tratamiento es opt-in por defecto. Cuando la funcionalidad se active, los clientes recibirán una elección explícita en el onboarding y dentro de los ajustes de la plataforma. No optar no afecta al servicio principal. Quien opte podrá retirar el consentimiento en cualquier momento; la retirada detiene los usos futuros de nuevos datos pero no afecta a los modelos entrenados con datos previamente autorizados.
Cuando esta funcionalidad esté operativa, actualizaremos esta Política de Privacidad y avisaremos a los usuarios con antelación.
12. Cambios en esta política
Podemos actualizar esta Política de Privacidad de tiempo en tiempo. Los cambios materiales se comunicarán mediante un banner en oraisi.ai y, cuando proceda, por correo electrónico a los usuarios activos.
13. Versiones lingüísticas
La presente Política de Privacidad se publica en español e inglés. En caso de conflicto entre versiones lingüísticas, prevalecerá la versión en español.