Documento legal

Política de Privacidad

Versión: 1.0 Vigente desde: 13 de mayo de 2026 Responsable: ITRION SOFTWARE, S.L.

Índice

Filosofía de privacidad
Responsable del tratamiento
Delegado de Protección de Datos
Qué datos tratamos
Qué datos NO tratamos
Finalidades y bases jurídicas
Plazos de conservación
Destinatarios y encargados
Transferencias internacionales
Derechos del interesado
Menores
Medidas de seguridad
Brechas de seguridad
Cooperación con autoridades
Disposiciones por región
Cambios en la Política
Contacto y reclamaciones

1. Filosofía de privacidad

ULOX está diseñado con privacidad por diseño y por defecto (privacy by design and by default). El servidor que opera ITRION es técnicamente ciego al contenido de las comunicaciones y al contenido almacenado por el usuario: no posee las claves criptográficas necesarias para descifrar esos datos, no puede leer mensajes, archivos, notas, contraseñas guardadas ni cualquier otra información del usuario.

Esta característica no es retórica: es estructural. Se materializa en cifrado de extremo a extremo en mensajería, en derivación criptográfica de pseudónimos que rompen la asociación entre cuenta base y universos, y en almacenamiento del servidor exclusivamente como blobs opacos cifrados en el cliente.

Consecuencia técnica. Como consecuencia arquitectónica del cifrado de extremo a extremo y del cifrado en cliente, ITRION no posee las claves criptográficas necesarias para descifrar los contenidos del usuario. Se trata de una limitación intrínseca al diseño del servicio conforme al principio de privacidad por diseño y por defecto (RGPD, Art. 25), no de una decisión orientada a obstaculizar investigaciones legítimas. ITRION coopera plenamente con autoridades competentes ante requerimientos legales vinculantes, entregando los datos enumerados en el apartado «Qué datos tratamos» y prestando la asistencia técnica que sea razonablemente posible dentro de su modelo.

2. Responsable del tratamiento

Responsable	ITRION SOFTWARE, S.L.
NIF	B19913797
Domicilio	Calle Francisco Silvela, 110, planta 2, 28028 Madrid, España
Email general	`privacy@ulox.org`
Web	ulox.org · ulox.app

3. Delegado de Protección de Datos (DPO)

Cuando la designación de DPO sea obligatoria conforme al artículo 37 RGPD, o cuando ITRION decida designarlo voluntariamente, sus datos de contacto serán los siguientes:

Contacto DPO	`dpo@ulox.org`

4. Qué datos tratamos

El conjunto de datos personales que ITRION puede llegar a tratar en relación con el Servicio es deliberadamente mínimo:

4.1. Datos de la cuenta

ULOX ID: identificador alfanumérico elegido por el usuario. No se exige que sea identificable. No se vincula a correo electrónico ni a número de teléfono.
Clave maestra (hash): ITRION almacena únicamente el hash criptográfico (Argon2id) de la clave, no la clave en sí.
Claves públicas criptográficas generadas en el cliente.
Pseudónimos derivados: identificadores opacos en cada LOX, generados criptográficamente. No revelan al servidor a qué cuenta base pertenecen.

4.2. Datos técnicos y de uso

Direcciones IP recibidas en las conexiones, presentes en logs técnicos por períodos breves para fines de seguridad y diagnóstico.
Marcas de tiempo de última actividad y de presencia (last seen, online_until) asociadas a la cuenta o al pseudónimo. Estos datos son los mínimos imprescindibles para la funcionalidad de presencia.
Información del agente de usuario (navegador, sistema operativo) en logs de conexión, con propósito exclusivamente técnico.
Suscripciones a notificaciones push, si el usuario las activa, en forma de endpoint opaco proporcionado por el navegador/sistema.

4.3. Datos cifrados

Mensajes y archivos cifrados en tránsito y en reposo, almacenados como bytes opacos.
Metadatos cifrados (meta_blob) de los elementos del universo privado.
Binarios cifrados almacenados en almacenamiento de objetos.

ITRION reconoce que estos datos cifrados pueden contener información personal del usuario, pero carece de las claves para descifrarlos. Por tanto, no realiza tratamiento de su contenido más allá del almacenamiento, transmisión y entrega al destinatario legítimo conforme al protocolo del Servicio.

5. Qué datos NO tratamos

Por diseño, ITRION no recoge ni almacena en claro los siguientes datos:

Nombre real, apellidos, fecha de nacimiento, género, nacionalidad o cualquier identificador civil.
Correo electrónico ni número de teléfono del usuario.
Agenda de contactos del dispositivo.
Geolocalización precisa.
Contenido de mensajes, archivos, fotos, vídeos, audios, notas o contraseñas guardadas por el usuario.
Cadenas LOX en texto claro, ni en el servidor ni en el dispositivo. Las claves se derivan dinámicamente del LOX en el cliente.
Asociación entre cuenta base y los pseudónimos que el usuario adopta dentro de cada LOX.

6. Finalidades y bases jurídicas del tratamiento

Finalidad	Datos	Base jurídica (RGPD)
Prestación del Servicio (registro, autenticación, entrega de mensajes cifrados, sincronización)	ULOX ID, hash de clave, claves públicas, pseudónimos, blobs cifrados	Ejecución del contrato (Art. 6.1.b)
Seguridad técnica del Servicio, prevención de abuso, detección de ataques	IPs, marcas de tiempo, agente de usuario, contadores de conexión	Interés legítimo (Art. 6.1.f) — protección del Servicio y de los usuarios
Cumplimiento de obligaciones legales (requerimientos judiciales, conservación contable, denuncias DSA)	Los mínimos imprescindibles para responder al requerimiento	Obligación legal (Art. 6.1.c)
Notificaciones push (si el usuario las activa)	Endpoint de suscripción del navegador/sistema	Consentimiento (Art. 6.1.a) — revocable en cualquier momento
Atención de consultas y soporte	Los datos que el propio usuario aporte en la consulta	Interés legítimo / ejecución del contrato

7. Plazos de conservación

Datos de la cuenta: mientras la cuenta esté activa. Tras la baja, se eliminan en un plazo máximo de 30 días naturales, salvo obligación legal de conservación.
Mensajes cifrados: hasta su entrega al destinatario y, en su caso, durante el período de retención que el propio usuario configure en su cliente. La política técnica del servidor prevé eliminación automática transcurridos plazos razonables tras la entrega.
Logs de seguridad y conexión (IP, marca temporal, agente de usuario): hasta noventa (90) días naturales. Este plazo permite cooperar con requerimientos legales legítimos de autoridades dentro de los tiempos habituales del proceso (orden judicial, oficio policial), y se considera proporcional al fin perseguido. Pasado ese período, los logs se eliminan automáticamente, salvo cuando exista una investigación abierta debidamente formalizada, en cuyo caso se conservarán únicamente los datos directamente relacionados con la investigación.
Datos sujetos a obligación legal: el plazo legal correspondiente (por ejemplo, datos contables hasta 6 años para clientes de pago, datos relativos a denuncias judiciales hasta el cierre del procedimiento).

8. Destinatarios y encargados del tratamiento

ITRION no comparte ni cede datos personales a terceros con fines publicitarios ni comerciales. ITRION no realiza perfilado del usuario, no segmenta para anunciantes y no participa en redes publicitarias.

Los únicos terceros que pueden tener acceso técnico a datos del Servicio son encargados del tratamiento que prestan infraestructura imprescindible, vinculados por contrato de encargo conforme al artículo 28 RGPD:

Proveedores de alojamiento (hosting): los servidores donde se ejecuta el Servicio. Datos accesibles: blobs cifrados opacos, identificadores de cuenta, logs técnicos. Sin acceso al contenido en claro.
Proveedores de DNS y red de entrega de contenido (CDN): para resolución de nombres y entrega de la aplicación web. Datos accesibles: metadatos de conexión.
Proveedores de notificaciones push: servicios de los fabricantes del sistema operativo o del navegador (Apple, Google, Mozilla, Microsoft) que entregan notificaciones al dispositivo. Datos accesibles: endpoint y carga útil opaca cifrada o sin contenido sensible.
Proveedores de correo electrónico para los canales *@ulox.org: en la actualidad un servidor de correo propio (Mailcow) operado por ITRION, ubicado en la Unión Europea.

La relación completa y actualizada de encargados está disponible para cualquier interesado en privacy@ulox.org.

9. Transferencias internacionales de datos

La infraestructura principal del Servicio se ubica en la Unión Europea. ITRION procura mantener la totalidad del procesamiento dentro del Espacio Económico Europeo.

Cuando concurran transferencias internacionales de datos personales a países fuera del EEE (por ejemplo, hacia proveedores de notificaciones push de Apple o Google), ITRION garantizará que dichas transferencias se realicen al amparo de alguna de las garantías previstas en el RGPD (artículos 44 y siguientes): decisiones de adecuación, cláusulas contractuales tipo (SCC) o reglas corporativas vinculantes (BCR), según el caso.

10. Derechos del interesado

Como titular de datos personales, el usuario dispone de los siguientes derechos, ejercitables en cualquier momento:

Acceso: conocer qué datos personales suyos trata ITRION.
Rectificación: corregir datos inexactos o incompletos.
Supresión («derecho al olvido»): obtener la eliminación de sus datos, salvo obligación legal de conservación.
Oposición: oponerse a tratamientos basados en interés legítimo.
Limitación: solicitar la suspensión del tratamiento mientras se verifica una controversia.
Portabilidad: recibir los datos en formato estructurado, de uso común y lectura mecánica, cuando sea técnicamente posible.
Retirada del consentimiento: revocar consentimientos previamente otorgados (por ejemplo, notificaciones push).
No ser objeto de decisiones automatizadas individuales: ITRION no toma decisiones automatizadas con efectos jurídicos significativos sobre el usuario.

El ejercicio se realiza enviando solicitud a privacy@ulox.org, acompañando, en su caso, los datos mínimos necesarios para identificar al titular y la solicitud. ITRION responderá en un plazo máximo de un (1) mes, prorrogable hasta dos (2) meses adicionales en supuestos complejos.

Limitación técnica importante. Dado el cifrado de extremo a extremo y el modelo de pseudónimos, ITRION puede no ser capaz de localizar todos los datos asociados a un usuario concreto si el solicitante no aporta los identificadores correspondientes. ITRION colaborará en la medida en que sea técnicamente posible.

11. Menores

El Servicio no está dirigido a menores por debajo de la edad mínima fijada en la Política de Menores. ITRION no recopila conscientemente datos personales de menores por debajo de esa edad. Si se detectara tal recopilación, se procederá a la supresión inmediata de los datos y al cierre de la cuenta.

12. Medidas de seguridad

ITRION aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (Art. 32 RGPD), entre las que destacan:

Cifrado de extremo a extremo de las comunicaciones de usuario (XSalsa20-Poly1305, X25519).
Cifrado en cliente de los contenidos almacenados en universos privados.
Derivación criptográfica de claves a partir de contraseñas con Argon2id (parámetros MODERATE: 256 MiB, 3 iteraciones).
Comunicaciones HTTPS/TLS exclusivamente.
Aislamiento de servicios en contenedores y redes segmentadas.
Copias de seguridad cifradas con clave que no se conserva en el mismo emplazamiento que los datos.
Registro de accesos administrativos y control de acceso por roles.
Auditorías periódicas y procesos internos de revisión.

13. Brechas de seguridad

En caso de brecha de seguridad que pueda suponer un riesgo para los derechos y libertades del usuario, ITRION cumplirá las obligaciones de notificación a la autoridad de control en un plazo máximo de 72 horas (Art. 33 RGPD) y, cuando proceda, comunicará la brecha a los usuarios afectados (Art. 34 RGPD) por los canales disponibles.

14. Cooperación con autoridades

ITRION coopera con autoridades judiciales, administrativas y cuerpos y fuerzas de seguridad legalmente competentes en el marco de la legislación aplicable y de los tratados internacionales de cooperación.

Ante un requerimiento legal vinculante, ITRION entrega los datos de los que efectivamente dispone, dentro de los plazos y con la diligencia exigibles, y presta a las autoridades la asistencia técnica que sea razonablemente posible. ITRION carece de capacidad técnica para descifrar el contenido cifrado del usuario, dado que las claves criptográficas no obran en su poder; esta limitación deriva del modelo de privacidad por diseño del servicio y se hace constar de buena fe en cada respuesta a requerimientos, sin que en ningún caso suponga una negativa a cooperar.

El canal de cooperación con autoridades es law-enforcement@ulox.org.

15. Disposiciones específicas por región

15.1. Unión Europea y EEE

Los usuarios residentes en la UE/EEE pueden presentar una reclamación ante la autoridad de control competente. En España, la autoridad es la Agencia Española de Protección de Datos (AEPD), accesible en www.aepd.es.

15.2. Reino Unido

Los usuarios residentes en el Reino Unido pueden presentar reclamación ante la Information Commissioner's Office (ICO) en ico.org.uk. Se aplica la UK GDPR y la Data Protection Act 2018.

15.3. Estados Unidos — California (CCPA/CPRA)

Los residentes en California disponen de derechos análogos: derecho a saber, a eliminar, a corregir y a oponerse a la venta o compartición de datos personales. ITRION no vende ni comparte datos personales conforme a las definiciones del CCPA/CPRA. Solicitudes a privacy@ulox.org.

15.4. Estados Unidos — Resto de estados

Los residentes en otros estados con normativa de privacidad aplicable (Virginia, Colorado, Connecticut, Utah, Texas, etc.) podrán ejercer los derechos previstos en su legislación dirigiendo la solicitud a privacy@ulox.org.

15.5. Brasil (LGPD)

Los residentes en Brasil podrán ejercer los derechos previstos en la Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), incluidos confirmación, acceso, corrección, anonimización, portabilidad, eliminación y revocación del consentimiento. La autoridad de control es la Autoridade Nacional de Proteção de Dados (ANPD).

15.6. Canadá (PIPEDA/Provinciales)

Los residentes en Canadá podrán ejercer los derechos previstos en la PIPEDA y normativas provinciales aplicables. La autoridad federal es la Office of the Privacy Commissioner of Canada (OPC).

15.7. Resto del mundo

ITRION aplicará los principios y derechos del RGPD como estándar mínimo a todos los usuarios. Cualquier reclamación puede dirigirse a privacy@ulox.org.

16. Cambios en esta Política

ITRION podrá actualizar esta Política de Privacidad para reflejar cambios legales, técnicos o de servicio. Las actualizaciones se publicarán en esta misma página indicando la fecha de revisión. Cuando los cambios sean sustanciales, se informará al usuario a través del Servicio con la antelación razonable.

17. Contacto y reclamaciones

Para cualquier consulta o ejercicio de derechos:

Privacidad general: privacy@ulox.org
Delegado de Protección de Datos: dpo@ulox.org
Postal: ITRION SOFTWARE, S.L. — «Departamento de Privacidad», Calle Francisco Silvela, 110, planta 2, 28028 Madrid, España.

Sin perjuicio de lo anterior, el usuario tiene derecho a presentar reclamación ante la autoridad de control competente en su jurisdicción cuando considere que el tratamiento de sus datos personales infringe la normativa aplicable.