Lucy Labs

Política de Privacidad

En vigor desde

Esta política cubre el sitio web de Lucy Labs (lucylabs.ai) y la superficie de Lucy Chat visible en la esquina inferior derecha del sitio. Lucy Labs es RGPD-nativa y EU-soberana por construcción: los datos de visitantes en reposo se almacenan en la infraestructura de servidores privados de Lucy Labs en Madrid, España. Aplicamos aquí el mismo contrato de confianza V·C·C que rige el producto Lucy (ver Confianza → V·C·C), con los compromisos específicos de esta superficie descritos abajo.

En esta política

  1. Quiénes somos
  2. Qué recogemos
  3. Por qué lo recogemos (bases legales)
  4. A dónde van tus datos
  5. Transparencia del modelo fundacional
  6. Durante cuánto tiempo lo conservamos
  7. Tus derechos
  8. Cómo contactarnos
  9. Cookies y seguimiento
  10. Cambios a esta política
  11. Preguntas frecuentes

1. Quiénes somos

Lucy Labs opera este sitio a través de dos entidades legales: Lucy Labs, Inc. (matriz Delaware C-Corp, en formación) y Lucy Labs S.L. (filial operativa española, en formación). El Aviso Legal completo está en /es/legal.

Para los asuntos cubiertos por esta política, la persona responsable es Travis Sheppard, fundador de Lucy Labs. La dirección operativa es Calle Entrepeñas 5, Bloque B, Piso 5B, 28051 Madrid, España. Para solicitudes de los interesados y consultas de privacidad: privacy@lucylabs.ai.

Hasta que ambas entidades estén formalmente registradas, las obligaciones del responsable del tratamiento son personales de Travis Scott Sheppard en la dirección operativa de Madrid. Esta página se actualiza cuando cada entidad se registra.

2. Qué recogemos

De Lucy Chat: tus mensajes, un identificador de sesión emitido por el servidor, IP hasheada, user-agent hasheado, URL de la página, idioma del navegador, zona horaria y (solo si lo facilitas) tu correo electrónico. Del formulario de contacto: nombre, correo, empresa, audiencia, rol, mensaje. De cada página: señales analíticas agregadas a través de Cloudflare Web Analytics (sin cookies).

Lucy Chat (el widget de chat)

  • Contenido de la conversación — los mensajes que escribes y las respuestas que Lucy genera, con marcas de tiempo. Almacenado vinculado a un identificador de sesión rotativo, no a una identidad persistente del visitante.
  • Metadatos técnicos — dirección IP hasheada por HMAC, user-agent hasheado por HMAC, host/ruta de origen y referer, host/ruta de la página, idioma del navegador, zona horaria. La IP y el user-agent originales no se almacenan — solo los valores HMAC calculados en el momento de ingesta utilizando una clave del lado del servicio.
  • Identificador de sesión — un token opaco emitido por el servidor y guardado en el localStorage de tu navegador (no es una cookie) para que la conversación pueda reanudarse al recargar la página dentro de la misma sesión.
  • Correo electrónico opcional — solo cuando solicitas la función "Enviarme esta conversación por correo". El correo y una copia hasheada se almacenan; el correo se usa para enviarte la transcripción y puede usarse para hacer seguimiento si indicas interés.

Formulario de contacto

  • Nombre, correo, empresa, audiencia, rol, mensaje, más los mismos metadatos técnicos descritos arriba.

Analítica del sitio

  • Cloudflare Web Analytics en modo sin cookies — recuentos agregados de visitantes, referrers, tiempos de carga. No se establecen cookies de seguimiento; no se construye ningún perfil individual del visitante. Ver Cookies y seguimiento más abajo.

Bajo el RGPD Art. 6(1), nuestras bases legales son la ejecución del contrato (entregar la respuesta del chat), el interés legítimo (mejora del producto, prevención de fraude, integridad del servicio) y el consentimiento (solo para el envío opcional del correo + transcripción).

Esta política rige únicamente la superficie del chat del sitio de marketing en lucylabs.ai. El producto Lucy desplegado tiene sus propios compromisos de responsable y encargado del tratamiento descritos en Confianza → UE — no se aplican a esta superficie del sitio público.

  • Ejecución del contrato — Art. 6(1)(b). Entregar la respuesta del chat que solicitas. Sin tu mensaje y un identificador de sesión no podemos producir una respuesta.
  • Interés legítimo — Art. 6(1)(f). Revisar conversaciones para mejorar el producto en fase de design-partner, prevenir fraude y abuso, mantener la integridad del servicio. Los intereses que ponderamos frente a tus expectativas de privacidad incluyen la naturaleza de design-partner del producto (mejoramos Lucy genuinamente a partir de estas conversaciones) y el hecho de que la superficie es un widget público de marketing, no un espacio de trabajo.
  • Consentimiento — Art. 6(1)(a). Solo solicitado cuando aceptas "Enviarme esta conversación por correo" o envías el formulario de contacto. Puedes retirar el consentimiento en cualquier momento escribiendo a privacy@lucylabs.ai.

4. A dónde van tus datos

Conforme al RGPD Art. 13(1)(e), esta sección describe categorías de destinatarios. Los datos de visitantes en reposo se almacenan en la infraestructura de servidores privados de Lucy Labs en Madrid, España — sin proveedor cloud gestionado para almacenamiento, sin transferencia transfronteriza para almacenamiento.

Categoría / proveedorFunciónDatos recibidosUbicación
Proveedores de modelos fundacionales de IA Genera la respuesta del chat Tu mensaje + historial reciente de conversación Estados Unidos
Cloudflare Alojamiento estático (Pages), tránsito Tunnel para el backend del chat, bot-gate Turnstile, Web Analytics (beacon sin cookies) Cabeceras HTTP (IP, user-agent, URL), payloads del chat en tránsito, datos de challenge Turnstile, métricas de página Edge global (UE + EE.UU.)
Google Workspace (Gmail) Envía notificaciones del formulario de contacto y correos de transcripción cuando los solicitas Asunto + cuerpo del correo + dirección del destinatario UE / EE.UU.
Proveedor de CRM Recibe los datos del formulario de contacto Nombre, correo, empresa, audiencia, rol, mensaje Unión Europea
PostgreSQL — infraestructura de servidores privados de Lucy Labs Almacenamiento en reposo para todo lo anterior Contenido de conversaciones, metadatos técnicos, envíos de contacto, registros de solicitudes de correo Madrid, España

Los nombres de proveedores específicos de modelos fundacionales de IA y de CRM no se publican aquí — usamos divulgación solo por categoría conforme al RGPD Art. 13(1)(e) para que Lucy Labs pueda evaluar y cambiar de proveedor sin volver a publicar esta política. Si ejerces tu derecho de acceso del Art. 15 por escrito, identificaremos el proveedor específico en nuestra respuesta en un plazo de 30 días.

5. Transparencia del modelo fundacional

Lucy depende de un proveedor externo de modelos fundacionales de IA. Tus mensajes del chat y el historial reciente de conversación viajan vía Cloudflare Tunnel a nuestro backend en Madrid y desde ahí a los servidores de inferencia del proveedor en Estados Unidos. La respuesta del proveedor regresa por la misma ruta. Hoy este tránsito opera bajo los términos de suscripción de consumidor del proveedor, no un acuerdo API de nivel empresa con un Acuerdo de Tratamiento de Datos firmado. Lucy Labs se ha comprometido a migrar a una API de nivel empresa con DPA y controles de retención cero de datos antes del final de Q3 2026.

La arquitectura completa — incluidos los compromisos de supervisión humana que satisfacen el Art. 14 de la Ley de IA de la UE — se describe en Confianza → Cómo Lucy usa sistemas de IA.

6. Durante cuánto tiempo lo conservamos

Datos identificables de conversación y contacto: el tiempo mínimo necesario hasta 12 meses desde la recogida. Metadatos técnicos pseudonimizados: hasta 24 meses. Datos agregados y anonimizados: indefinidamente. La información personal regulada detectada en la ruta de ingesta se redacta antes del almacenamiento. Eliminación en un plazo de 30 días tras una solicitud a privacy@lucylabs.ai.

Aplica el mismo modelo de clasificación de tres niveles que usamos en el producto Lucy (Context / Content / Sensitive Data) a la superficie del chat del sitio de marketing, con valores predeterminados establecidos por Lucy Labs:

NivelQué contieneDurante cuánto tiempo lo conservamos
Identificable Tus mensajes (vinculados a una sesión), envíos del formulario de contacto, tu correo si lo facilitas Tiempo mínimo necesario; techo de 12 meses. Después se elimina de forma permanente.
Metadatos pseudonimizados IP hasheada por HMAC, user-agent hasheado por HMAC, identificador de sesión, origen, referer, idioma del navegador, zona horaria Hasta 24 meses. Después se elimina de forma permanente.
Agregado / anonimizado Recuentos agregados de visitantes, patrones de preguntas anonimizados, señales de mejora del producto desidentificadas Indefinidamente, para entrenamiento y analítica.
Datos sensibles (PII regulada) Números de cuentas financieras, referencias médicas, identificadores legales, datos biométricos, patrones de documentos de identidad (tarjetas de crédito, IBAN, SSN, DNI, NIE), números de teléfono internacionales, correos incrustados No se conservan. Detectados y redactados en la ruta de ingesta antes del almacenamiento; reemplazados con un marcador etiquetado por categoría (p. ej. [REDACTED:CARD]).

Arquitectura de pseudonimización para la superficie del chat

  • Tu dirección IP y user-agent se hashean por HMAC en la capa de aplicación en el momento en que llegan. Los valores originales no se conservan en ningún lugar; un atacante con acceso a la base de datos no puede revertir el hash a tu IP o user-agent sin la clave del lado del servicio, que se mantiene en el entorno de aplicación, no en la base de datos.
  • El contenido de la conversación está vinculado a un identificador de sesión emitido por el servidor que rota por sesión y no está vinculado a una identidad persistente del visitante.
  • El contenido de la conversación y la información de contacto del visitante se almacenan por separado de forma que no puedan recombinarse fácilmente. La tabla que contiene la información de contacto del visitante no tiene clave foránea en texto plano a la conversación; el enlace es un HMAC del identificador de la conversación bajo un secreto del lado del servicio mantenido en el entorno de aplicación, no en la base de datos. Un atacante con acceso solo a la base de datos no puede resolver un correo almacenado a una conversación específica sin ese secreto.
  • La detección de PII regulada usa validación de dígitos de control donde aplica (Luhn para tarjetas de crédito, mod-97 para IBAN, mod-23 para DNI / NIE) más heurísticas de contexto. Cada evento de redacción se registra en el log de auditoría con categoría, posición y longitud — nunca el contenido original.

Eliminación iniciada por el visitante

Puedes solicitar la eliminación de tu conversación, envío de contacto o correo en cualquier momento escribiendo a privacy@lucylabs.ai. Completamos la eliminación en un plazo de 30 días y lo confirmamos por escrito. Los techos de 12 meses y 24 meses son límites superiores — las solicitudes de eliminación se procesan antes.

7. Tus derechos bajo el RGPD y la LOPDGDD

Tienes los derechos de acceso, rectificación, supresión, limitación, portabilidad, oposición, y el derecho a retirar el consentimiento en cualquier momento. También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

  • Acceso (Art. 15) — solicitar una copia de lo que conservamos sobre ti.
  • Rectificación (Art. 16) — corregir datos inexactos.
  • Supresión (Art. 17, "derecho al olvido") — solicitar la eliminación. Completada en 30 días.
  • Limitación (Art. 18) — restringir el tratamiento mientras se decide sobre una solicitud relacionada.
  • Portabilidad (Art. 20) — recibir tus datos en un formato legible por máquina.
  • Oposición (Art. 21) — oponerte al tratamiento basado en interés legítimo.
  • Retirar el consentimiento (Art. 7) — en cualquier momento, para la función opcional de envío de transcripción por correo.
  • Presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) u otra autoridad de control de la UE de tu residencia habitual.

Para ejercer cualquiera de estos derechos, escribe a privacy@lucylabs.ai. Responderemos en un plazo de 30 días, por escrito.

8. Cómo contactarnos

Correo: privacy@lucylabs.ai. Postal: Calle Entrepeñas 5, Bloque B, Piso 5B, 28051 Madrid, España. Respondemos a las solicitudes de los interesados en un plazo de 30 días.

Para consultas generales (no de privacidad): lucy@lucylabs.ai. La identidad corporativa se describe en el Aviso Legal.

9. Cookies y seguimiento

No establecemos cookies de seguimiento. El sitio usa Cloudflare Web Analytics en modo sin cookies, más una única entrada de localStorage para la continuidad de la sesión del chat.

  • Cloudflare Web Analytics — funciona en cada página. Sin cookies: el beacon de analítica no establece cookies de origen. No se requiere banner de consentimiento bajo la Directiva ePrivacy para este modo.
  • Gestión de bots de Cloudflare — Cloudflare puede establecer cookies estrictamente necesarias (__cf_bm, _cfuvid) en el edge para gestión de tráfico. Estas no son opcionales y no se usan para rastrearte entre sitios.
  • Continuidad de sesión del chat — Lucy Chat establece una entrada en localStorage (no es una cookie) para recordar el identificador de sesión y que la conversación sobreviva a una recarga de página. Borrar el almacenamiento del navegador la borra.
  • Google Fonts — cada página carga archivos de fuentes desde fonts.googleapis.com y fonts.gstatic.com. Tu navegador contacta directamente con Google; Google actúa como responsable independiente para este tráfico.

10. Cambios a esta política

Actualizamos esta página cuando cambian nuestras prácticas de datos. Los cambios sustanciales se anuncian mediante un banner en la página de inicio durante 30 días, y se actualiza la fecha "En vigor desde" en la parte superior de esta página. El historial de versiones se conserva internamente y está disponible bajo petición.

11. Preguntas frecuentes

¿Lucy usa mis conversaciones para entrenar modelos de IA?

Lucy Labs no entrena su propio modelo fundacional. Revisamos conversaciones para mejorar Lucy a nivel de producto. El proveedor externo de IA que genera las respuestas de Lucy puede usar el contenido del chat bajo sus propios términos — hoy aplican los términos de suscripción de consumidor del proveedor; estamos migrando a un acuerdo de nivel empresa con un Acuerdo de Tratamiento de Datos y controles de retención cero antes del final de Q3 2026. Ver Confianza → Cómo Lucy usa sistemas de IA.

¿Dónde se almacenan mis datos?

Los datos de visitantes en reposo se almacenan en la infraestructura de servidores privados de Lucy Labs en Madrid, España. Ningún proveedor cloud gestionado conserva el contenido de tus conversaciones o información de contacto en reposo. Los datos en tránsito atraviesan el edge global de Cloudflare, y los mensajes del chat se envían a los servidores de inferencia de un proveedor externo de IA en Estados Unidos — estos son saltos de tránsito, no almacenamiento.

¿Puedo eliminar mi conversación?

Sí. Escribe a privacy@lucylabs.ai con una descripción de la conversación o el correo que usaste para recibir la transcripción. Eliminamos y confirmamos en 30 días. También puedes borrar la conversación localmente borrando el localStorage de lucylabs.ai en tu navegador — eso elimina el identificador de sesión en tu dispositivo pero no elimina el registro del lado del servidor; para eso, escríbenos.

¿Cumple Lucy con el RGPD?

Esta política implementa las obligaciones de transparencia de los Artículos 13 y 14 del RGPD, define las bases legales bajo el Art. 6 y proporciona los derechos del interesado bajo los Arts. 15 a 22. La LOPDGDD se aplica en paralelo. Nuestro almacenamiento en reposo está en España; nuestra filial operativa se está formando en Madrid. La transparencia del Art. 13 de la Ley de IA de la UE para la superficie de IA está en Confianza → Cómo Lucy usa sistemas de IA. Para evidencia de calidad procurement (DPA, lista de subencargados con identidad específica del proveedor), escribe a privacy@lucylabs.ai.

¿Vendéis mis datos?

No. Lucy Labs no vende, alquila ni intercambia datos de visitantes. Las categorías de destinatarios se listan en §4; cada una es un proveedor de servicios actuando bajo las instrucciones de Lucy Labs o, en el caso de la analítica, un beacon agregado únicamente. No hay red publicitaria en este sitio.

¿Qué pasa si estoy en la UE vs en EE.UU.?

Si accedes al sitio desde la Unión Europea, se aplican el RGPD y (para residentes en España) la LOPDGDD. Tus datos en reposo permanecen en España. Los mensajes del chat se envían a un proveedor externo de IA en Estados Unidos para la generación de respuestas — esto es un salto de tránsito, con el proveedor actuando bajo sus propios términos (ver §5). Si accedes al sitio desde Estados Unidos, se aplican las mismas prácticas de datos; los derechos descritos en §7 están disponibles bajo petición, independientemente de la jurisdicción.

¿Cómo sé qué proveedor de IA ve mis mensajes?

Conforme al RGPD Art. 13(1)(e), divulgamos categorías de destinatarios en esta página pública (ver §4). Si quieres saber la identidad específica del proveedor, escribe a privacy@lucylabs.ai con una solicitud de acceso del Art. 15 — identificaremos al proveedor actual por escrito en un plazo de 30 días. Las contrapartes procurement también reciben la identidad específica a través del proceso de DPA.

¿Qué pasa si escribo un número de tarjeta de crédito u otro número sensible?

No lo hagas — pero si sucede, el backend del chat detecta patrones de PII regulada (números de tarjeta de crédito, IBAN, documentos de identidad, etc.) en la ruta de ingesta y los redacta antes de que se almacene nada. El original no se conserva; solo se mantiene en el registro de la conversación un marcador etiquetado por categoría. Ver §6.