Política de Privacidad

Lazzo · Última actualización: abril de 2026
Versión 2.2 · En vigor desde abril de 2026
Contenido
  1. Responsable del tratamiento
  2. Qué datos tratamos y por qué
  3. Base legal del tratamiento
  4. Datos de menores
  5. Con quién compartimos tus datos
  6. Transferencias internacionales
  7. Cuánto tiempo conservamos los datos
  8. Tus derechos
  9. Ejercer tus derechos
  10. Seguridad
  11. Cookies y tecnologías similares
  12. Tratamiento mediante inteligencia artificial
  13. Cambios en esta política
  14. Contacto
En resumen: Lazzo es una aplicación para la coordinación familiar de menores. Tratamos datos personales de los tutores y de los menores a su cargo exclusivamente para prestar el servicio contratado. No vendemos datos, no mostramos publicidad y no cedemos información a terceros salvo los proveedores técnicos necesarios para el funcionamiento del servicio.
1

Responsable del tratamiento

Nombre José Rubén Mariscal Sánchez
NIF 45108621D
Actividad Desarrollo y explotación de aplicaciones de gestión familiar (Lazzo)
Domicilio Calle Madrid n.º 57, 03140 Guardamar del Segura (Alicante)
Email hola@lazzo.es
Web lazzo.es

El responsable no está obligado a designar un Delegado de Protección de Datos (DPD/DPO) al no concurrir los supuestos del artículo 37 del RGPD. No obstante, puedes dirigir cualquier consulta sobre protección de datos a hola@lazzo.es.

2

Qué datos tratamos y por qué

Tratamos únicamente los datos necesarios para prestar el servicio. A continuación se detalla cada categoría:

Categoría Datos Finalidad
Cuenta de acceso Dirección de correo electrónico, nombre de perfil, foto de perfil (opcional, de Google) Autenticación e identificación del usuario en la app
Datos del menor Nombre, fecha de nacimiento, DNI/NIE, centro escolar, médico de cabecera, fotografía, sexo Gestión del perfil del menor dentro de la unidad familiar
Salud del menor Medicación activa, dosis, fechas de tratamiento, notas médicas Seguimiento y coordinación del tratamiento médico entre tutores
Datos de crecimiento Tallas, pesos, tallas de ropa y calzado Registro del desarrollo físico del menor
Documentos Archivos PDF e imágenes subidos por los tutores Almacenamiento y consulta de documentación del menor
Comunicaciones Mensajes entre tutores dentro de la app Canal de comunicación privado entre los miembros de la familia
Calendario y turnos Eventos, fechas de custodia, turnos asignados Organización y coordinación de la convivencia y cuidado del menor
Gastos compartidos Nombre del concepto, importe, archivos adjuntos de recibos Gestión de gastos relacionados con el menor
Datos de suscripción Identificador de cliente Stripe, estado de suscripción, fecha de caducidad del plan Gestión del acceso al servicio de pago y facturación
Datos de uso y seguridad Registro de operaciones sensibles (logs de actividad), tokens de App Check Seguridad, integridad de datos, prevención de abuso y resolución de incidencias
Comunicaciones transaccionales Dirección de correo electrónico Envío de emails de bienvenida, código de invitación, confirmación de pago y avisos del servicio
3

Base legal del tratamiento

El tratamiento de tus datos se fundamenta en las siguientes bases legales previstas en el artículo 6 del RGPD:

Ejecución de un contrato (Art. 6.1.b RGPD): El tratamiento de los datos de acceso, perfil del menor, calendario, documentos, mensajes, gastos y suscripción es necesario para prestar el servicio de Lazzo que el usuario ha contratado.
Consentimiento explícito (Art. 6.1.a y Art. 9.2.a RGPD): Para el tratamiento de datos de salud del menor —medicación y datos médicos, que constituyen una categoría especial de datos según el Art. 9 RGPD— solicitamos tu consentimiento explícito en el momento del registro. Puedes retirar este consentimiento en cualquier momento contactando con nosotros, sin que ello afecte a la licitud del tratamiento previo.
Interés legítimo (Art. 6.1.f RGPD): El registro de operaciones (logs de actividad), los tokens de App Check y los controles de rate limiting se basan en el interés legítimo de garantizar la seguridad, integridad y disponibilidad de la plataforma frente a accesos no autorizados y abusos del servicio.
Obligación legal (Art. 6.1.c RGPD): Los datos de facturación y transacciones económicas se conservan durante el plazo exigido por la normativa fiscal y mercantil española.
4

Datos de menores

Lazzo trata datos personales de menores de edad. Estos datos son introducidos exclusivamente por sus tutores legales, quienes son los únicos con acceso autorizado a la aplicación. Lazzo no recoge datos directamente de menores ni les permite el acceso a la plataforma.

De acuerdo con el artículo 8 del RGPD y el artículo 7 de la Ley Orgánica 3/2018 (LOPDGDD), en España la edad de consentimiento digital es de 14 años. Al ser los tutores legales quienes gestionan los datos de sus hijos menores, es responsabilidad de dichos tutores garantizar que cuentan con la capacidad legal para introducir y gestionar esa información.

Los datos de salud del menor (medicación, datos médicos) constituyen una categoría especial de datos según el artículo 9 del RGPD. Su tratamiento está amparado por el consentimiento explícito del tutor legal, quien puede retirar dicho consentimiento en cualquier momento mediante solicitud a hola@lazzo.es.

Lazzo aplica medidas específicas de protección para estos datos: acceso restringido únicamente a los tutores autorizados de cada familia, aislamiento técnico entre familias mediante reglas de base de datos y, en ningún caso, acceso del administrador del servicio al contenido privado de cada unidad familiar.

5

Con quién compartimos tus datos

No vendemos ni cedemos datos personales a terceros con fines comerciales o publicitarios. Los datos únicamente se comparten con los siguientes proveedores técnicos, en calidad de encargados del tratamiento, que actúan bajo nuestras instrucciones y están vinculados por las garantías exigidas por el RGPD:

Proveedor Servicio Datos transferidos Garantía
Google Firebase
Google LLC / Google Ireland Ltd.		 Autenticación (Auth), base de datos (Firestore), almacenamiento de archivos (Storage), funciones de servidor (Cloud Functions), protección frente a bots (App Check / reCAPTCHA) Todos los datos de la app excepto datos de pago Data Processing Amendment (DPA) con Google Cloud. Cláusulas Contractuales Tipo de la UE. Certificaciones ISO 27001, SOC 2/3.
Stripe
Stripe Payments Europe, Ltd.		 Procesamiento de pagos y gestión de suscripciones Email del titular, identificador de familia, estado y fecha de suscripción DPA con Stripe. Cláusulas Contractuales Tipo de la UE. Certificación PCI DSS nivel 1. Stripe no almacena datos de tarjeta en Lazzo.
SendGrid
Twilio SendGrid (Twilio Inc.)		 Envío de emails transaccionales (bienvenida, invitaciones, confirmaciones de pago, avisos del servicio) Dirección de correo electrónico y nombre del destinatario DPA con Twilio. Cláusulas Contractuales Tipo de la UE. Certificación ISO 27001.
OpenAI
OpenAI Ireland Ltd. / OpenAI, Inc.		 Procesamiento de texto mediante inteligencia artificial para la función «Mejorar con IA» en mensajes (solo usuarios Premium que activan la función voluntariamente) Borradores de mensajes introducidos por el usuario en el momento de solicitar la mejora. No se transfieren datos identificativos del usuario ni datos de menores. Data Processing Agreement (DPA) con OpenAI. Cláusulas Contractuales Tipo de la UE. OpenAI no almacena los mensajes ni los utiliza para entrenar sus modelos en virtud del DPA de API.

Además de lo anterior, los datos pueden ser accedidos por los demás tutores autorizados de la misma unidad familiar, conforme a los permisos configurados en la aplicación y aceptados por ambas partes al unirse al lazzo.

6

Transferencias internacionales

Los datos familiares se almacenan en servidores de Google Firebase ubicados en la región europe-southwest1 (Madrid, España) y las funciones de servidor en europe-west1 (Bélgica), ambas dentro del Espacio Económico Europeo.

No obstante, los siguientes proveedores tienen sede en Estados Unidos y pueden implicar transferencias internacionales de datos, siempre amparadas por las garantías indicadas:

Proveedor País sede Garantía de transferencia
Google LLC Estados Unidos Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea + Data Processing Amendment de Google Cloud.
Stripe, Inc. Estados Unidos Cláusulas Contractuales Tipo (CCT) + DPA de Stripe. Stripe Payments Europe Ltd. actúa como entidad principal en la UE.
Twilio Inc. (SendGrid) Estados Unidos Cláusulas Contractuales Tipo (CCT) + DPA de Twilio. Solo se transfieren direcciones de email para el envío de comunicaciones transaccionales.
OpenAI, Inc. Estados Unidos Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea + DPA de OpenAI API. OpenAI Ireland Ltd. actúa como entidad de referencia en la UE. Los datos transferidos son únicamente borradores de texto del mensaje en curso, sin identificadores personales. OpenAI no retiene ni entrena sobre estos datos según el DPA vigente.
7

Cuánto tiempo conservamos los datos

Tipo de dato Plazo de conservación
Datos de cuenta y acceso Mientras la cuenta esté activa. Eliminados a los 30 días de la solicitud de baja o tras 2 años de inactividad.
Datos del menor y documentos Mientras la cuenta esté activa. El tutor puede eliminarlos en cualquier momento desde la app.
Datos de salud del menor Mientras el consentimiento esté vigente. Eliminados en un plazo máximo de 30 días tras la retirada del consentimiento o solicitud de borrado.
Mensajes entre tutores Mientras la cuenta esté activa. El autor puede marcar sus propios mensajes como eliminados desde la app.
Logs de actividad y seguridad 30 días desde su generación, por razones de seguridad e integridad del servicio.
Datos de suscripción y facturación 5 años desde la última transacción, por obligaciones fiscales y mercantiles (Art. 30 C.Com. y Ley 58/2003 General Tributaria).
Tokens de App Check y rate limiting Máximo 1 hora desde su generación. Son datos técnicos efímeros sin valor personal.

Transcurridos los plazos indicados, los datos serán eliminados o anonimizados de forma irreversible.

8

Tus derechos

En virtud del RGPD y la LOPDGDD, puedes ejercer los siguientes derechos respecto a tus datos personales:

👁️

Acceso

Conocer qué datos tuyos tratamos y obtener una copia.

✏️

Rectificación

Corregir datos inexactos o incompletos.

🗑️

Supresión

Solicitar el borrado de tus datos («derecho al olvido»).

⏸️

Limitación

Suspender el tratamiento en determinadas circunstancias.

📦

Portabilidad

Recibir tus datos en formato estructurado y legible por máquina.

🚫

Oposición

Oponerte al tratamiento basado en interés legítimo.

↩️

Retirar consentimiento

Retirar el consentimiento en cualquier momento sin efecto retroactivo.

🤖

Decisiones automatizadas

No ser objeto de decisiones basadas únicamente en tratamiento automatizado (Art. 22 RGPD).

⚖️

Reclamación AEPD

Presentar una reclamación ante la AEPD si consideras que tus derechos han sido vulnerados.

Decisiones automatizadas e IA: Lazzo no toma decisiones con efectos jurídicos o significativos basándose exclusivamente en tratamiento automatizado. La función «Mejorar con IA» genera sugerencias de texto que el usuario revisa y decide libremente si utiliza. No existe perfilado ni toma de decisiones automatizada en el sentido del artículo 22 del RGPD.
También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es o en su sede (C/ Jorge Juan, 6, 28001 Madrid).
9

Cómo ejercer tus derechos

Puedes ejercer cualquiera de tus derechos enviándonos una solicitud por email a hola@lazzo.es con el asunto «Ejercicio de derechos RGPD», indicando el derecho que deseas ejercer, tu nombre completo y el email con el que estás registrado. Responderemos en un plazo máximo de 30 días.

También puedes usar el formulario a continuación:

Formulario de solicitud de derechos

✅ Solicitud enviada correctamente. Recibirás respuesta en un plazo máximo de 30 días en el email indicado.
⚠️ No se pudo enviar la solicitud. Por favor, escríbenos directamente a hola@lazzo.es.
10

Seguridad

Aplicamos medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, en cumplimiento del artículo 32 del RGPD:

Cifrado en tránsito: Toda la comunicación entre la app y los servidores se realiza mediante HTTPS/TLS. No existe ninguna transmisión de datos en texto plano.
Cifrado en reposo: Los datos almacenados en Firebase Firestore y Firebase Storage están cifrados en reposo por Google mediante AES-256. Adicionalmente, los datos de identificación de los menores (DNI/NIE) se cifran con AES-256-GCM con una clave específica gestionada mediante Firebase Secrets, añadiendo una capa de protección adicional sobre el cifrado de infraestructura.
Control de acceso: Cada familia opera en un espacio completamente aislado mediante reglas de seguridad de Firestore evaluadas en los servidores de Google. Solo los tutores autorizados explícitamente por correo electrónico pueden acceder a los datos de su familia.
Verificación de cliente (App Check): La aplicación implementa Firebase App Check con reCAPTCHA v3, que verifica que las peticiones provienen de clientes legítimos y bloquea el acceso desde scripts, bots o aplicaciones no autorizadas.
Limitación de peticiones (Rate Limiting): Las operaciones críticas (creación de familia, uso de códigos de invitación, procesamiento de pagos, envío de mensajes) tienen límites de frecuencia por usuario para prevenir el abuso automatizado.
Sanitización de contenido: Todos los mensajes y contenidos introducidos por los usuarios son procesados y saneados en el servidor antes de su almacenamiento, previniendo ataques de inyección de código (XSS).
Almacenamiento en Europa: Los datos se almacenan en las regiones europe-southwest1 (Madrid) y europe-west1 (Bélgica) de Google Cloud, dentro del territorio de la Unión Europea.
Trazabilidad: La plataforma registra un log de las operaciones sensibles para garantizar la trazabilidad y detectar accesos no autorizados.

En caso de producirse una brecha de seguridad que afecte a datos personales, Lazzo notificará a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde que tenga conocimiento de ella, conforme al artículo 33 del RGPD. Si la brecha entraña un alto riesgo para tus derechos y libertades, serás notificado sin dilación indebida de acuerdo con el artículo 34 del RGPD.

11

Cookies y tecnologías similares

Lazzo utiliza las siguientes tecnologías de almacenamiento local:

Tecnología Proveedor Finalidad Tipo
Cookies de sesión Firebase Authentication (Google) Mantener la sesión iniciada del usuario entre páginas Técnica necesaria — exenta de consentimiento
localStorage Lazzo (propio) Preferencias de interfaz (filtros, última pestaña activa) Técnica necesaria — exenta de consentimiento
Token de App Check reCAPTCHA v3 (Google) Verificar que la solicitud proviene de un cliente legítimo y prevenir el abuso automatizado Seguridad — interés legítimo
Cache API (Service Worker) Lazzo (propio) Almacenamiento local de recursos de la app (HTML, CSS, JS, imágenes) para funcionamiento offline y carga rápida como aplicación instalada (PWA). No se cachean datos personales ni contenido de usuario. Técnica necesaria — exenta de consentimiento

No se utilizan cookies de rastreo, publicidad ni analítica. No existe seguimiento del comportamiento del usuario entre sesiones con fines comerciales ni perfilado publicitario.

El token de reCAPTCHA es un dato técnico efímero que Google utiliza para evaluar el riesgo de la sesión. Google puede tratar este dato de acuerdo con su propia Política de Privacidad.

12

Tratamiento mediante inteligencia artificial

Lazzo ofrece una funcionalidad opcional denominada «Mejorar con IA», disponible exclusivamente para usuarios con plan Premium, que permite mejorar el tono de los mensajes de comunicación coparental antes de enviarlos. Esta sección explica cómo se tratan los datos en el contexto de esta funcionalidad, de conformidad con el artículo 13 del RGPD.

Uso voluntario y consentimiento explícito. La función «Mejorar con IA» es completamente opcional. El usuario debe aceptar de forma activa e informada las condiciones de tratamiento de datos antes del primer uso. Este consentimiento queda registrado en la cuenta del usuario y puede retirarse en cualquier momento desde la configuración de la aplicación.
Aspecto Detalle
Responsable del tratamiento José Rubén Mariscal Sánchez (Lazzo), como responsable, y OpenAI Ireland Ltd. / OpenAI, Inc., como encargado del tratamiento (Art. 28 RGPD).
Dato tratado Únicamente el texto del borrador del mensaje que el usuario introduce en el campo de redacción y decide mejorar activamente. No se envían nombres, identificadores de usuario, datos de menores ni ningún otro dato personal.
Finalidad Reescribir el tono del mensaje en tres variantes (empático, directo y claro, conciliador) para facilitar una comunicación coparental más respetuosa. No existe ningún otro tratamiento adicional.
Base legal Consentimiento del interesado (Art. 6.1.a RGPD), prestado de forma libre, específica, informada e inequívoca antes del primer uso de la función.
Almacenamiento por OpenAI OpenAI no almacena los mensajes enviados a través de su API en virtud del DPA vigente. Los datos no se utilizan para entrenar modelos de inteligencia artificial.
Conservación El texto del borrador se procesa en tiempo real y no se almacena en los servidores de Lazzo ni de OpenAI una vez generada la respuesta. Las versiones mejoradas tampoco se guardan salvo que el usuario las envíe como mensaje.
Transferencia internacional El texto se transfiere a servidores de OpenAI ubicados en Estados Unidos, amparada en Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea y en el DPA de OpenAI API (ver sección 6).
Límite de uso Máximo 20 usos por usuario por día para garantizar la calidad del servicio y el uso responsable. El contador es visible en la configuración del chat.
Retirada del consentimiento El usuario puede retirar su consentimiento en cualquier momento. La retirada no afectará a los mensajes ya enviados. Una vez retirado, el texto de los borradores no volverá a enviarse a OpenAI.

Las versiones mejoradas generadas por la IA son sugerencias orientativas. El usuario revisa y decide en todo momento qué texto envía. Lazzo no asume responsabilidad por el contenido de las sugerencias generadas por la IA ni por las decisiones que el usuario tome a partir de ellas.

Para ejercer el derecho de retirada del consentimiento o cualquier otro derecho RGPD en relación con esta función, contacta con nosotros en hola@lazzo.es con el asunto «Ejercicio de derechos RGPD — IA».

13

Cambios en esta política

Podemos actualizar esta política de privacidad para reflejar cambios en el servicio, en la legislación aplicable o en nuestras prácticas de tratamiento de datos. Cuando realicemos cambios significativos, te lo notificaremos mediante un aviso visible en la aplicación y, si procede, por email, antes de que los cambios entren en vigor.

La fecha y versión de la última actualización están siempre indicadas en la cabecera de este documento. Te recomendamos revisarla periódicamente. El uso continuado de la aplicación tras la notificación de cambios implica la aceptación de la nueva versión.

14

Contacto

Para cualquier consulta sobre esta política de privacidad o sobre el tratamiento de tus datos personales, puedes contactar con el responsable del tratamiento:

Responsable José Rubén Mariscal Sánchez
NIF 45108621D
Domicilio C/ Madrid n.º 57, 03140 Guardamar del Segura (Alicante)
Email hola@lazzo.es
AEPD www.aepd.es
© 2026 Lazzo · José Rubén Mariscal Sánchez · NIF 45108621D · hola@lazzo.es · Aviso Legal · Términos