Política de Privacidad de PARLO

> Versión: 1.0 — Última actualización: 14 de julio de 2026

> Ámbito: aplicación de mensajería PARLO (web/PWA, Android, iOS) y su servicio Business.

> Marco: Reglamento (UE) 2016/679 (RGPD), Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y normativa española concordante.

> [ABOGADO] Documento redactado por el departamento legal de Synthesis Labs para PARLO. Debe ser revisado y firmado por un abogado colegiado antes de su publicación, en especial las secciones sobre CSAM (§4 y §5), retención de logs (§6) y decisiones automatizadas (§9).

Esta Política explica qué datos personales tratamos, con qué finalidad, sobre qué base jurídica, durante cuánto tiempo, con quién los compartimos y qué derechos tienes. Se completa con el Aviso Legal (Ley 34/2002, LSSI-CE) y con los Términos y Condiciones de PARLO, documentos independientes que forman con esta Política el marco contractual del servicio.


1. Responsable del tratamiento

| Campo | Dato |

|---|---|

| Responsable | [PENDIENTE: nombre / razón social del titular] |

| NIF/CIF | [PENDIENTE: NIF/CIF] |

| Domicilio | [PENDIENTE: domicilio fiscal] |

| Correo de contacto general | [PENDIENTE: email de contacto (p. ej. legal@parlo.app)] |

| Correo de privacidad | [PENDIENTE: email de privacidad (p. ej. privacidad@parlo.app)] |

| Delegado de Protección de Datos (DPO/DPD) | [PENDIENTE: nombre y email del DPO — p. ej. dpo@parlo.app] |

Nota sobre el DPO (art. 37 RGPD / art. 34 LOPDGDD): PARLO realiza observación sistemática a gran escala de comunicaciones (moderación automática y escaneo obligatorio de CSAM sobre todo contenido subido) y trata datos que pueden referirse a infracciones penales (art. 10 RGPD). Por ello, el nombramiento de un Delegado de Protección de Datos se considera recomendado y probablemente obligatorio conforme al art. 37.1.b) RGPD. [ABOGADO] confirmar la obligatoriedad y designar DPO (interno o externo) antes del lanzamiento; el DPO debe notificarse a la AEPD (art. 34.3 LOPDGDD).

El Responsable determina los fines y medios del tratamiento. En el servicio Business, respecto a los datos que un cliente Business trata sobre sus propios clientes finales a través de PARLO, el cliente Business actúa como responsable y PARLO como encargado del tratamiento (art. 28 RGPD): esa relación se rige por el contrato de encargo (DPA) de los Términos Business, no por esta Política.


2. Categorías de datos personales que tratamos

Tratamos únicamente los datos necesarios para prestar el servicio (principio de minimización, art. 5.1.c RGPD). Categorías:

2.1 Datos identificativos y de perfil

2.2 Número de teléfono (guardado, NO verificado ni usado en el MVP)

Se solicita en el registro con indicativo de país y se almacena, pero en esta fase (MVP) no se verifica ni se utiliza operativamente. Su recogida se justifica por su uso previsto y necesario a corto plazo para verificación de identidad y seguridad de la cuenta (recuperación de cuenta, prevención de fraude y duplicidad, futura verificación por SMS). Puedes ejercer tu derecho de oposición/supresión sobre este dato (§8). [ABOGADO] valorar, por minimización, si conviene hacerlo opcional o diferir su recogida hasta que la funcionalidad de verificación esté activa.

2.3 Contactos (por HASH — no se almacenan en servidor)

Si activas "encontrar contactos", tu dispositivo calcula valores hash (resúmenes criptográficos irreversibles) de los números/identificadores de tu agenda y los coteja con PARLO sin que los números en claro de tu agenda se almacenen en nuestros servidores. Es una medida de privacidad por diseño (art. 25 RGPD). Requiere tu consentimiento (§3).

2.4 Contenido de las comunicaciones

> Importante (sin E2E en el MVP): en esta fase PARLO NO aplica cifrado de extremo a extremo. Las comunicaciones viajan cifradas en tránsito (TLS) y se almacenan cifradas en reposo, pero nuestros servidores pueden acceder al contenido para prestar el servicio, cumplir obligaciones de moderación y CSAM (§4, §5) y responder a requerimientos judiciales. La arquitectura está preparada para activar E2E en el futuro; no prometemos "privacidad total" mientras el E2E no esté activo.

2.5 Metadatos técnicos y de conexión

2.6 Datos de moderación y seguridad

2.7 Datos de facturación (servicio Business)

2.8 Datos de uso y preferencias

Datos que NO tratamos deliberadamente en el MVP: geolocalización (la funcionalidad está preparada pero INACTIVA; si se active en el futuro se hará con consentimiento previo específico, art. 6.1.a RGPD, y actualización de esta Política); datos de menores (§10).


3. Finalidades y bases de legitimación (art. 6 RGPD; art. 9/10 donde aplique)

| # | Tratamiento / finalidad | Datos implicados | Base de legitimación |

|---|---|---|---|

| T1 | Registro, activación y gestión de la cuenta (identidad, login, verificación de email) | @usuario, email, nombre, foto, login social | Ejecución de contrato — art. 6.1.b RGPD |

| T2 | Prestación del servicio de mensajería (envío/recepción, imágenes, archivos, GIF, mensajes temporales, multi-dispositivo, estados de entrega) | Contenido de mensajes, metadatos de entrega, dispositivos | Ejecución de contrato — art. 6.1.b RGPD |

| T3 | Notas de voz y su transcripción por IA (generación del texto) | Nota de voz, transcripción | Ejecución de contrato — art. 6.1.b (funcionalidad solicitada). Consentimiento — art. 6.1.a si la transcripción se conserva/reutiliza más allá de mostrarla en el chat |

| T4 | Almacenamiento del teléfono para verificación/seguridad futura | Teléfono | Interés legítimo — art. 6.1.f (seguridad y prevención de fraude); test de ponderación en §3.1 |

| T5 | Búsqueda de contactos por hash | Hashes de agenda | Consentimiento — art. 6.1.a RGPD |

| T6 | Notificaciones push y emails transaccionales (avisos del servicio) | Tokens FCM/APNs, email | Ejecución de contrato — art. 6.1.b (avisos del servicio); marketing separado requeriría consentimiento art. 6.1.a |

| T7 | Seguridad, antifraude y antispam (límites de tasa, detección de abuso, logs) | IP, metadatos, patrones de uso, reportes | Interés legítimo — art. 6.1.f; test de ponderación en §3.1 |

| T8 | Moderación de contenido NSFW y de conducta prohibida (imágenes sexuales/violentas, insultos, acoso) — DSA arts. 14-16 | Contenido subido, reportes, resultados de moderación | Interés legítimo — art. 6.1.f + cumplimiento de obligación legal (DSA, Reglamento UE 2022/2065) — art. 6.1.c |

| T9 | Detección y bloqueo de material de abuso sexual infantil (CSAM) por hash-matching y reporte a autoridades | Hashes de imágenes/vídeos, coincidencias, datos del infractor | Obligación legal — art. 6.1.c + interés público — art. 6.1.e; datos de infracciones — art. 10 RGPD / art. 10 LOPDGDD. Ver §4 |

| T10 | Facturación, cobro y contabilidad (Business) | NIF, dirección fiscal, transacciones Stripe, facturas | Ejecución de contrato — art. 6.1.b + obligación legal fiscal/mercantil — art. 6.1.c |

| T11 | Atención de derechos (ARSOPL) y de requerimientos legales | Datos identificativos y de la solicitud | Obligación legal — art. 6.1.c (RGPD y LOPDGDD) |

| T12 | Mejora y mantenimiento del servicio (analítica de uso, diagnóstico) | Datos de uso, logs técnicos | Interés legítimo — art. 6.1.f (minimizado/agregado); analítica no técnica basada en cookies → consentimiento art. 6.1.a |

| T13 | Geolocalización (FUTURO — hoy INACTIVA) | Ubicación | Consentimiento — art. 6.1.a RGPD (se pedirá al activarse) |

Cookies y tecnologías similares (web): las cookies estrictamente técnicas/necesarias no requieren consentimiento (art. 22.2 LSSI-CE); cualquier cookie analítica o no esencial requiere tu consentimiento previo mediante el banner de cookies (art. 6.1.a RGPD + art. 22.2 LSSI-CE + guía AEPD de cookies).

3.1 Test de ponderación del interés legítimo (art. 6.1.f)

Para los tratamientos T4, T7, T8 y T12 hemos realizado un juicio de ponderación:


4. Tratamiento especial: detección de CSAM (art. 10 RGPD)

PARLO está obligada a no alojar material de abuso sexual infantil (art. 189 del Código Penal español) y a actuar frente a contenido ilegal (Reglamento UE 2022/2065 — DSA, arts. 14-16). Por ello, en todo contenido de imagen/vídeo subido aplicamos hash-matching contra bases de datos de CSAM (Microsoft PhotoDNA y, opcionalmente, Thorn Safer) desde el primer día.

[ABOGADO] — punto crítico: la base jurídica exacta del escaneo de contenido debe validarse a la luz de (i) la expiración en abril de 2026 de la derogación temporal de la Directiva ePrivacy que amparaba el escaneo voluntario, y (ii) el estado del Reglamento CSAM de la UE en tramitación. El escaneo se limita a hash-matching de imágenes/vídeos (no lectura de texto de mensajes privados) precisamente para reducir la tensión con ePrivacy. Requiere revisión legal actualizada antes del lanzamiento y, muy probablemente, una Evaluación de Impacto (EIPD/DPIA, art. 35 RGPD).


5. Decisiones automatizadas y perfilado (art. 22 RGPD)

PARLO aplica sistemas automáticos de: (a) antispam y límites de tasa, (b) moderación de contenido NSFW (Azure Content Moderator), y (c) detección de CSAM (PhotoDNA/Thorn). Estos sistemas pueden bloquear contenido o suspender cuentas de forma automatizada.

Salvaguardas (art. 22.3 RGPD):

No realizamos perfilado con fines publicitarios ni decisiones basadas en categorías especiales de datos con efectos jurídicos, más allá de lo descrito.


6. Plazos de conservación

Conservamos los datos solo el tiempo necesario para cada finalidad (art. 5.1.e RGPD):

| Dato / tratamiento | Plazo | Fundamento |

|---|---|---|

| Datos de cuenta (perfil, identidad) | Mientras la cuenta esté activa | Ejecución de contrato (6.1.b) |

| Purga tras baja de cuenta | 30 días desde la solicitud de baja, luego supresión efectiva | Interés legítimo de seguridad/reversión de bajas fraudulentas; equilibrio con art. 17 RGPD. [ABOGADO] valorar reducir a 15 días |

| Mensajes temporales | Autodestrucción por defecto a las 24 h (configurable por el usuario) | Configuración del usuario / ejecución de contrato |

| Mensajes borrados por el usuario | 30 días desde el borrado, luego eliminación | Interés legítimo (prevención de abuso), informado |

| Notas de voz y transcripciones | Igual que el mensaje al que pertenecen | Ejecución de contrato |

| Facturas y datos fiscales/contables (Business) | Mínimo 5 años (hasta 6 años mercantil) | Obligación legal: art. 66 y 66 bis LGT (Ley 58/2003); art. 30 Código de Comercio; normativa IVA |

| Logs de acceso, IP y sesión | Plazo prudente y proporcionado de hasta 12 meses, minimizado | Interés legítimo de seguridad (6.1.f). [ABOGADO] confirmar si aplica la Ley 25/2007 (retención por operadores de comunicaciones) — ver §12 |

| Reportes y hashes de moderación (NSFW) | Mientras sean necesarios para la seguridad, con revisión periódica | Interés legítimo / obligación DSA |

| Datos y evidencias de CSAM | El plazo exigido por la autoridad y la normativa penal | Obligación legal / interés público (art. 10 RGPD) |

Transcurridos los plazos, los datos se suprimen o anonimizan; los datos bajo obligación legal se bloquean (a disposición exclusiva de autoridades) hasta que prescriban las responsabilidades (art. 32 LOPDGDD).


7. Destinatarios y encargados del tratamiento (art. 28 RGPD)

No vendemos tus datos. Los compartimos únicamente con proveedores que actúan como encargados del tratamiento siguiendo nuestras instrucciones y bajo contrato de encargo (DPA), y con autoridades cuando la ley lo exige.

| Proveedor | Rol / servicio | País (ubicación de tratamiento) | ¿DPA (art. 28)? | ¿Transferencia internacional? |

|---|---|---|---|---|

| Hosting propio — VPS1 (82.165.121.250) + MinIO S3 self-hosted | Infraestructura, almacenamiento de datos y media | España (UE) | Sí (proveedor de hosting) | No — datos alojados en la UE |

| Stripe | Procesamiento de pagos y facturación (Business) | UE + EE. UU. | | → §8 |

| Microsoft / Azure (PhotoDNA + Content Moderator NSFW) | Detección de CSAM y moderación NSFW | UE + EE. UU. | | → §8 |

| Thorn Safer (opcional) | Detección de CSAM (hash-matching) | EE. UU. | | → §8 |

| Google FCM | Notificaciones push (Android/web) | EE. UU. | | → §8 |

| Apple APNs | Notificaciones push (iOS) | EE. UU. | | → §8 |

| Proveedor SMTP de email transaccional [PENDIENTE: identificar proveedor] | Envío de correos del servicio | [PENDIENTE] | | Según proveedor |

| Giphy / Tenor | Búsqueda y entrega de GIF | EE. UU. | Revisar (tratamiento de IP al servir GIF) | → §8 |

Autoridades y terceros legalmente habilitados: podemos comunicar datos a Fuerzas y Cuerpos de Seguridad, Jueces, Tribunales, la AEPD, la Agencia Tributaria o el Coordinador de Servicios Digitales (CNMC) cuando exista obligación legal (art. 6.1.c RGPD).


8. Transferencias internacionales (arts. 44-46 RGPD)

El hosting principal y el almacenamiento de media están en España (UE), por lo que el tratamiento nuclear no implica transferencia internacional.

Algunos encargados (Stripe, Microsoft/Azure/PhotoDNA, Thorn, Google FCM, Apple APNs, Giphy/Tenor) pueden tratar datos en EE. UU. u otros terceros países. Estas transferencias se amparan en:

Puedes solicitar una copia de las garantías aplicables escribiendo a nuestro correo de privacidad. [ABOGADO] verificar, proveedor a proveedor, su adhesión vigente al DPF y las SCC firmadas.


9. Tus derechos (ARSOPL) y cómo ejercerlos

Puedes ejercer gratuitamente los siguientes derechos:

| Derecho | Artículo RGPD | En qué consiste | Plazo de respuesta |

|---|---|---|---|

| Acceso | art. 15 | Saber qué datos tuyos tratamos y obtener copia (exportación de tus datos) | 1 mes |

| Rectificación | art. 16 | Corregir datos inexactos (editar tu perfil) | 1 mes |

| Supresión ("derecho al olvido") | art. 17 | Borrar tu cuenta y tus datos, salvo obligaciones legales de conservación | 1 mes |

| Oposición | art. 21 | Oponerte a tratamientos basados en interés legítimo (T4, T7, T8, T12) | Sin dilación |

| Portabilidad | art. 20 | Recibir tus datos en formato estructurado y de uso común (JSON/ZIP) | 1 mes |

| Limitación | art. 18 | Restringir el tratamiento en los supuestos legales | 1 mes |

También puedes retirar tu consentimiento en cualquier momento (para T3 conservado, T5 contactos, T6 marketing, T13 geolocalización), sin que ello afecte a la licitud del tratamiento previo (art. 7.3 RGPD).

Cómo ejercerlos: desde los ajustes de la app (exportar datos, editar perfil, borrar cuenta) o escribiendo a [PENDIENTE: email de privacidad], acreditando tu identidad. El plazo de respuesta es de un mes, ampliable a dos por complejidad (art. 12 RGPD).

Reclamación ante la autoridad de control: si consideras que no hemos atendido correctamente tus derechos, puedes reclamar ante la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan 6, 28001 Madrid — https://www.aepd.es (Sede electrónica: https://sedeagpd.gob.es). Antes, puedes dirigirte a nuestro DPO.


10. Menores de edad

PARLO está destinada exclusivamente a personas mayores de 18 años. En el registro se exige declarar la mayoría de edad y aceptar los Términos. No recogemos ni tratamos conscientemente datos de menores de 18 años. Si detectamos que una cuenta pertenece a un menor, la suspenderemos y eliminaremos sus datos. La eventual admisión de menores (14-17 años con consentimiento parental verificable, art. 7 LOPDGDD) queda para una fase futura previa validación legal específica. [ABOGADO]


11. Seguridad de los datos (arts. 5.1.f y 32 RGPD)

Aplicamos medidas técnicas y organizativas apropiadas: cifrado en tránsito (TLS) y en reposo, control de acceso por mínimo privilegio, 2FA/PIN opcional de cuenta, registro de accesos, y procedimientos de respuesta a incidentes. En caso de violación de seguridad que suponga riesgo para tus derechos, notificaremos a la AEPD en un plazo de 72 horas (art. 33 RGPD) y a los afectados cuando el riesgo sea alto (art. 34 RGPD). Detalle de medidas en el Registro de Actividades de Tratamiento (RAT) interno, coordinado con el equipo de seguridad.


12. Notas legales pendientes de revisión colegiada [ABOGADO]


13. Cambios en esta Política

Podemos actualizar esta Política para reflejar cambios legales o del servicio. Publicaremos la versión vigente con su fecha de última actualización y, cuando el cambio sea sustancial, te lo notificaremos por email o dentro de la app con una antelación de 30 días antes de su entrada en vigor. El uso continuado del servicio tras la entrada en vigor implica la aceptación de la versión actualizada; si no estás de acuerdo, puedes darte de baja.


> Control de versiones

> - v1.0 — 14/07/2026 — Redacción inicial (MVP, 18+, sin E2E, geolocalización inactiva). Pendiente de revisión colegiada [ABOGADO].