El responsable no está obligado a designar un Delegado de Protección de Datos (DPD/DPO) al no concurrir los supuestos del artículo 37 del RGPD. No obstante, puedes dirigir cualquier consulta sobre protección de datos a hola@lazzo.es.
Tratamos únicamente los datos necesarios para prestar el servicio. A continuación se detalla cada categoría:
| Categoría | Datos | Finalidad |
|---|---|---|
| Cuenta de acceso | Dirección de correo electrónico, nombre de perfil, foto de perfil (opcional, de Google) | Autenticación e identificación del usuario en la app |
| Datos del menor | Nombre, fecha de nacimiento, DNI/NIE (opcional, cifrado con AES-256-GCM), centro escolar, médico de cabecera, fotografía, sexo | Gestión del perfil del menor dentro de la unidad familiar |
| Salud del menor | Medicación activa, dosis, fechas de tratamiento, notas médicas | Seguimiento y coordinación del tratamiento médico entre tutores |
| Datos de crecimiento | Tallas, pesos, tallas de ropa y calzado | Registro del desarrollo físico del menor |
| Documentos | Archivos PDF e imágenes subidos por los tutores | Almacenamiento y consulta de documentación del menor |
| Comunicaciones | Mensajes entre tutores dentro de la app | Canal de comunicación privado entre los miembros de la familia |
| Calendario y turnos | Eventos, fechas de custodia, turnos asignados | Organización y coordinación de la convivencia y cuidado del menor |
| Gastos compartidos | Nombre del concepto, importe, archivos adjuntos de recibos | Gestión de gastos relacionados con el menor |
| Datos de suscripción | Identificador de cliente Stripe, estado de suscripción, fecha de caducidad del plan | Gestión del acceso al servicio de pago y facturación |
| Datos de uso y seguridad | Registro de operaciones sensibles (logs de actividad), tokens de App Check | Seguridad, integridad de datos, prevención de abuso y resolución de incidencias |
| Comunicaciones transaccionales | Dirección de correo electrónico | Envío de emails de bienvenida, código de invitación, confirmación de pago y avisos del servicio |
El tratamiento de tus datos se fundamenta en las siguientes bases legales previstas en el artículo 6 del RGPD:
De acuerdo con el artículo 8 del RGPD y el artículo 7 de la Ley Orgánica 3/2018 (LOPDGDD), en España la edad de consentimiento digital es de 14 años. Al ser los tutores legales quienes gestionan los datos de sus hijos menores, es responsabilidad de dichos tutores garantizar que cuentan con la capacidad legal para introducir y gestionar esa información.
Los datos de salud del menor (medicación, datos médicos) constituyen una categoría especial de datos según el artículo 9 del RGPD. Su tratamiento está amparado por el consentimiento explícito del tutor legal, quien puede retirar dicho consentimiento en cualquier momento mediante solicitud a hola@lazzo.es.
Lazzo aplica medidas específicas de protección para estos datos: acceso restringido a los tutores autorizados de cada familia, aislamiento técnico entre familias mediante reglas de base de datos y minimización de datos sensibles en el panel de administración (los documentos, medicación y tallas del menor se presentan sin contenido, solo metadatos técnicos). El personal técnico autorizado de Lazzo puede acceder excepcionalmente a los datos por motivos de soporte técnico, auditoría de seguridad o cumplimiento de obligaciones legales, siempre con trazabilidad en el log de auditoría.
No vendemos ni cedemos datos personales a terceros con fines comerciales o publicitarios. Los datos únicamente se comparten con los siguientes proveedores técnicos, en calidad de encargados del tratamiento, que actúan bajo nuestras instrucciones y están vinculados por las garantías exigidas por el RGPD:
| Proveedor | Servicio | Datos transferidos | Garantía |
|---|---|---|---|
| Google Firebase Google LLC / Google Ireland Ltd. |
Autenticación (Auth), base de datos (Firestore), almacenamiento de archivos (Storage), funciones de servidor (Cloud Functions), protección frente a bots (App Check / reCAPTCHA) | Todos los datos de la app excepto datos de pago | Data Processing Amendment (DPA) con Google Cloud. Cláusulas Contractuales Tipo de la UE. Certificaciones ISO 27001, SOC 2/3. |
| Stripe Stripe Payments Europe, Ltd. |
Procesamiento de pagos y gestión de suscripciones | Email del titular, identificador de familia, estado y fecha de suscripción | DPA con Stripe. Cláusulas Contractuales Tipo de la UE. Certificación PCI DSS nivel 1. Stripe no almacena datos de tarjeta en Lazzo. |
| SendGrid Twilio SendGrid (Twilio Inc.) |
Envío de emails transaccionales (bienvenida, invitaciones, confirmaciones de pago, avisos del servicio) | Dirección de correo electrónico y nombre del destinatario | DPA con Twilio. Cláusulas Contractuales Tipo de la UE. Certificación ISO 27001. |
| OpenAI OpenAI Ireland Ltd. / OpenAI, Inc. |
Procesamiento de texto mediante inteligencia artificial para la función «Mejorar con IA» en mensajes (solo usuarios Premium que activan la función voluntariamente) | Borradores de mensajes introducidos por el usuario en el momento de solicitar la mejora. Lazzo no incluye identificadores estructurados del usuario ni datos estructurados del menor (nombre, DNI, fotos, documentos). No obstante, el tutor puede libremente incluir información sobre el menor dentro del texto del mensaje; recomendamos evitar escribir datos sensibles en los mensajes enviados a la IA. | Data Processing Agreement (DPA) con OpenAI. Cláusulas Contractuales Tipo de la UE. OpenAI no utiliza los datos de su API B2B para entrenar modelos. Puede retener las peticiones hasta 30 días con fines exclusivos de prevención de abuso, conforme al DPA vigente. |
Además de lo anterior, los datos pueden ser accedidos por los demás tutores autorizados de la misma unidad familiar, conforme a los permisos configurados en la aplicación y aceptados por ambas partes al unirse al lazzo.
Los datos familiares se almacenan en servidores de Google Firebase ubicados en la región europe-southwest1 (Madrid, España) y las funciones de servidor en europe-west1 (Bélgica), ambas dentro del Espacio Económico Europeo.
No obstante, los siguientes proveedores tienen sede en Estados Unidos y pueden implicar transferencias internacionales de datos, siempre amparadas por las garantías indicadas:
| Proveedor | País sede | Garantía de transferencia |
|---|---|---|
| Google LLC | Estados Unidos | Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea + Data Processing Amendment de Google Cloud. |
| Stripe, Inc. | Estados Unidos | Cláusulas Contractuales Tipo (CCT) + DPA de Stripe. Stripe Payments Europe Ltd. actúa como entidad principal en la UE. |
| Twilio Inc. (SendGrid) | Estados Unidos | Cláusulas Contractuales Tipo (CCT) + DPA de Twilio. Solo se transfieren direcciones de email para el envío de comunicaciones transaccionales. |
| OpenAI, Inc. | Estados Unidos | Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea + DPA de OpenAI API. OpenAI Ireland Ltd. actúa como entidad de referencia en la UE. Los datos transferidos son únicamente borradores de texto del mensaje en curso, sin identificadores personales. OpenAI no retiene ni entrena sobre estos datos según el DPA vigente. |
| Tipo de dato | Plazo de conservación |
|---|---|
| Datos de cuenta y acceso | Mientras la cuenta esté activa. Eliminados de forma inmediata e irreversible al solicitar la baja desde la app, o tras 2 años de inactividad. |
| Datos del menor y documentos | Mientras la cuenta esté activa. El tutor puede eliminarlos en cualquier momento desde la app; el borrado es inmediato e irreversible. |
| Datos de salud del menor | Mientras el consentimiento esté vigente. Eliminados de forma inmediata e irreversible tras la retirada del consentimiento o solicitud de borrado. |
| Mensajes entre tutores | Mientras la cuenta esté activa. El autor puede marcar sus propios mensajes como eliminados desde la app. |
| Logs de actividad y seguridad | 30 días desde su generación, por razones de seguridad e integridad del servicio. |
| Datos de suscripción y facturación | 5 años desde la última transacción, por obligaciones fiscales y mercantiles (Art. 30 C.Com. y Ley 58/2003 General Tributaria). |
| Tokens de App Check y rate limiting | Máximo 1 hora desde su generación. Son datos técnicos efímeros sin valor personal. |
Transcurridos los plazos indicados, los datos serán eliminados o anonimizados de forma irreversible.
Como medida complementaria, ejecutamos semanalmente un proceso automatizado que elimina archivos residuales de familias ya borradas, avatares de usuarios eliminados e invitaciones expiradas hace más de 30 días. Este proceso refuerza la eliminación inmediata que ya realizamos al ejercer tu derecho de supresión y garantiza que no queden copias técnicas huérfanas.
Importante — irreversibilidad del borrado: Lazzo no conserva copias de seguridad propias con posibilidad de recuperación del contenido de las familias. El borrado solicitado desde la app o atendido por email es inmediato e irreversible. Google Cloud, en calidad de encargado del tratamiento, mantiene copias internas con fines de recuperación ante desastres conforme a sus propias políticas; estas copias no son accesibles ni controlables por Lazzo y se rigen exclusivamente por los términos de Google Cloud.
En virtud del RGPD y la LOPDGDD, puedes ejercer los siguientes derechos respecto a tus datos personales:
Conocer qué datos tuyos tratamos y obtener una copia.
Corregir datos inexactos o incompletos.
Solicitar el borrado de tus datos («derecho al olvido»).
Suspender el tratamiento en determinadas circunstancias.
Recibir tus datos en formato estructurado y legible por máquina.
Oponerte al tratamiento basado en interés legítimo.
Retirar el consentimiento en cualquier momento sin efecto retroactivo.
Presentar una reclamación ante la AEPD si consideras que tus derechos han sido vulnerados.
Puedes ejercer cualquiera de tus derechos enviándonos una solicitud por email a hola@lazzo.es con el asunto «Ejercicio de derechos RGPD», indicando el derecho que deseas ejercer, tu nombre completo y el email con el que estás registrado. Responderemos en un plazo máximo de 30 días.
También puedes usar el formulario a continuación:
Aplicamos medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, en cumplimiento del artículo 32 del RGPD:
En caso de producirse una brecha de seguridad que afecte a datos personales, Lazzo notificará a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde que tenga conocimiento de ella, conforme al artículo 33 del RGPD. Si la brecha entraña un alto riesgo para tus derechos y libertades, serás notificado sin dilación indebida de acuerdo con el artículo 34 del RGPD.
Lazzo utiliza las siguientes tecnologías de almacenamiento local:
| Tecnología | Proveedor | Finalidad | Tipo |
|---|---|---|---|
| Cookies de sesión | Firebase Authentication (Google) | Mantener la sesión iniciada del usuario entre páginas | Técnica necesaria — exenta de consentimiento |
| localStorage | Lazzo (propio) | Preferencias de interfaz (filtros, última pestaña activa) | Técnica necesaria — exenta de consentimiento |
| Token de App Check | reCAPTCHA v3 (Google) | Verificar que la solicitud proviene de un cliente legítimo y prevenir el abuso automatizado | Seguridad — interés legítimo |
| Cache API (Service Worker) | Lazzo (propio) | Almacenamiento local de recursos de la app (HTML, CSS, JS, imágenes) para funcionamiento offline y carga rápida como aplicación instalada (PWA). No se cachean datos personales ni contenido de usuario. | Técnica necesaria — exenta de consentimiento |
No se utilizan cookies de rastreo, publicidad ni analítica. No existe seguimiento del comportamiento del usuario entre sesiones con fines comerciales ni perfilado publicitario.
El token de reCAPTCHA es un dato técnico efímero que Google utiliza para evaluar el riesgo de la sesión. Google puede tratar este dato de acuerdo con su propia Política de Privacidad.
Lazzo ofrece una funcionalidad opcional denominada «Mejorar con IA», disponible exclusivamente para usuarios con plan Premium, que permite mejorar el tono de los mensajes de comunicación coparental antes de enviarlos. Esta sección explica cómo se tratan los datos en el contexto de esta funcionalidad, de conformidad con el artículo 13 del RGPD.
| Aspecto | Detalle |
|---|---|
| Responsable del tratamiento | José Rubén Mariscal Sánchez (Lazzo), como responsable, y OpenAI Ireland Ltd. / OpenAI, Inc., como encargado del tratamiento (Art. 28 RGPD). |
| Dato tratado | Únicamente el texto del borrador del mensaje que el usuario introduce en el campo de redacción y decide mejorar activamente. Lazzo no incluye identificadores estructurados del usuario ni datos estructurados del menor (nombre, DNI, fotos, documentos) en la petición. No obstante, el texto libre del borrador puede contener información sobre el menor si el tutor la escribe voluntariamente; recomendamos evitar incluir datos sensibles en los mensajes enviados a la IA. |
| Finalidad | Reescribir el tono del mensaje en tres variantes (empático, directo y claro, conciliador) para facilitar una comunicación coparental más respetuosa. No existe ningún otro tratamiento adicional. |
| Base legal | Consentimiento del interesado (Art. 6.1.a RGPD), prestado de forma libre, específica, informada e inequívoca antes del primer uso de la función. |
| Almacenamiento por OpenAI | OpenAI no utiliza los datos de su API B2B para entrenar modelos, en virtud del DPA vigente. Las peticiones pueden retenerse hasta 30 días con fines exclusivos de prevención de abuso y cumplimiento, tras lo cual son eliminadas conforme a la política de retención de OpenAI. |
| Conservación | Lazzo no almacena en sus propios servidores ni el borrador original ni las versiones mejoradas: se procesan en tiempo real y se descartan una vez generada la respuesta. Las versiones mejoradas solo se guardan si el usuario decide enviarlas como mensaje dentro del chat. |
| Transferencia internacional | El texto se transfiere a servidores de OpenAI ubicados en Estados Unidos, amparada en Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea y en el DPA de OpenAI API (ver sección 6). |
| Límite de uso | Máximo 20 usos por usuario por día para garantizar la calidad del servicio y el uso responsable. El contador es visible en la configuración del chat. |
| Retirada del consentimiento | El usuario puede retirar su consentimiento en cualquier momento. La retirada no afectará a los mensajes ya enviados. Una vez retirado, el texto de los borradores no volverá a enviarse a OpenAI. |
Las versiones mejoradas generadas por la IA son sugerencias orientativas. El usuario revisa y decide en todo momento qué texto envía. Lazzo no asume responsabilidad por el contenido de las sugerencias generadas por la IA ni por las decisiones que el usuario tome a partir de ellas.
Para ejercer el derecho de retirada del consentimiento o cualquier otro derecho RGPD en relación con esta función, contacta con nosotros en hola@lazzo.es con el asunto «Ejercicio de derechos RGPD — IA».
Esta sección aplica a la versión nativa de Lazzo para Android (Google Play) e iOS (App Store). La aplicación móvil comparte el mismo tratamiento de datos descrito en los apartados anteriores y añade la información específica que se detalla a continuación.
La aplicación solicita los siguientes permisos únicamente cuando son necesarios para una funcionalidad concreta. Puedes denegarlos o revocarlos desde los ajustes del sistema operativo sin que ello impida el uso general del servicio (solo quedará inhabilitada la funcionalidad asociada).
| Permiso | Finalidad | Cuándo se solicita |
|---|---|---|
| Cámara | Tomar fotografías del perfil del menor, de recibos de gastos o de documentos que el tutor decide subir voluntariamente. | La primera vez que el usuario pulsa «Hacer foto» dentro de la app. |
| Fotos / Galería | Seleccionar imágenes existentes del dispositivo para los mismos usos anteriores. | La primera vez que el usuario pulsa «Elegir de galería». |
| Notificaciones push | Avisar al usuario de nuevos mensajes, recordatorios de medicación, recordatorios de pagos y avisos del servicio. | En el primer arranque o al activar recordatorios. |
| Almacenamiento (solo Android ≤ 12) | Adjuntar documentos PDF o imágenes existentes. | Al pulsar «Subir documento». En Android 13+ se usa el selector de archivos del sistema sin permiso adicional. |
Lazzo no solicita ubicación, micrófono, contactos, calendario del sistema, SMS, llamadas ni identificadores de publicidad.
| Identificador | Proveedor | Finalidad |
|---|---|---|
| Token de notificaciones push (FCM) | Google Firebase Cloud Messaging | Enviar notificaciones al dispositivo del usuario. Se almacena asociado al UID del usuario y se elimina al desinstalar la app o al cerrar sesión. |
| Token Play Integrity (Android) / App Attest (iOS) | Google / Apple | Verificar que la petición proviene de una instalación legítima de la app (Firebase App Check). Dato técnico efímero, no se almacena. |
| Token de sesión Firebase Auth | Google Firebase | Mantener la sesión iniciada. Se elimina al cerrar sesión. |
Lazzo no utiliza el Advertising ID de Android (AAID) ni el Identifier for Advertisers de Apple (IDFA).
Información sobre el borrado:
Lazzo se distribuye a través de Google Play Store (Google Ireland Ltd.) y Apple App Store (Apple Distribution International Ltd.). Estas tiendas tratan, por su cuenta y bajo sus propias políticas de privacidad, datos relacionados con la descarga e instalación de la app (cuenta de Google/Apple del usuario, historial de descargas, valoraciones). Lazzo no tiene acceso a estos datos salvo en forma agregada y anónima (número de instalaciones, ratings).
Consulta las políticas de estos proveedores:
Los pagos de la suscripción Premium se procesan exclusivamente a través de Stripe (ver apartados 5 y 6). Lazzo no utiliza el sistema de compras integradas de Google Play Billing ni de StoreKit de Apple para la suscripción principal, por tratarse de un servicio digital prestado por un tercero fuera del entorno de la tienda. Los datos de tarjeta se introducen y gestionan directamente en el entorno seguro de Stripe; Lazzo no recibe ni almacena el número de tarjeta en ningún momento.
Podemos actualizar esta política de privacidad para reflejar cambios en el servicio, en la legislación aplicable o en nuestras prácticas de tratamiento de datos. Cuando realicemos cambios significativos, te lo notificaremos mediante un aviso visible en la aplicación y, si procede, por email, antes de que los cambios entren en vigor.
La fecha y versión de la última actualización están siempre indicadas en la cabecera de este documento. Te recomendamos revisarla periódicamente. El uso continuado de la aplicación tras la notificación de cambios implica la aceptación de la nueva versión.
Para cualquier consulta sobre esta política de privacidad o sobre el tratamiento de tus datos personales, puedes contactar con el responsable del tratamiento: