Política de privacidad de Edilia Copiloto
Última actualización: 10 de mayo de 2026 · Versión: 2.1
Aplicable al servicio Edilia Copiloto, accesible en https://ia.ayto.app.
1. Quiénes somos
Edilia Tech, S.L., sociedad mercantil constituida con arreglo a la legislación española, con CIF B-27552728 y domicilio social en Calle Mayor 13, 3.º Izquierda, 28013 Madrid (España). Inscrita en el Registro Mercantil de Madrid, Hoja M-883382, Inscripción 1.ª, IRUS 1000470326140. Es la entidad responsable del servicio Edilia Copiloto.
Para cualquier cuestión relacionada con esta Política de Privacidad o con el tratamiento de los datos personales del usuario, puede dirigirse al correo electrónico contacto@ayto.app o al Delegado de Protección de Datos en dpo@ayto.app.
2. Por qué hay tres regímenes distintos en esta política
Edilia Copiloto se utiliza por personas y entidades muy distintas, y la normativa de protección de datos exige que cada situación se trate con sus propias garantías. Por eso esta Política distingue tres figuras de usuario, y dedica una sección específica a cada una:
- Sección A - Usuarios individuales (profesionales, opositores, autónomos, asesores que se registran a título personal).
- Sección B - Visitantes (personas que navegan por la web sin registrarse, descargan recursos públicos o solicitan información).
- Sección C - Organizaciones cliente y sus usuarios autorizados (administraciones públicas, despachos profesionales y empresas que han contratado Edilia Copiloto en régimen organizacional, y los empleados o funcionarios que utilizan el servicio en su nombre).
Antes de las tres secciones específicas, presentamos los principios comunes aplicables a todas las situaciones.
3. Principios comunes aplicables a todo tratamiento
3.1. Procesamiento dentro del Espacio Económico Europeo
En operación normal del servicio, ningún dato personal del usuario abandona el Espacio Económico Europeo. La infraestructura sobre la que opera Edilia Copiloto está alojada en regiones europeas de proveedores cloud que han suscrito Data Processing Agreement con Edilia Tech, S.L. El servidor principal está ubicado en Madrid (España), sobre infraestructura IONOS.
El listado completo y actualizado de subencargados, con su ubicación física, finalidad y certificaciones, se publica de forma permanente en https://copiloto.edilia.tech/subencargados. Cualquier modificación sustancial del listado se comunicará al usuario con antelación razonable y, en caso de oposición motivada, podrá ejercitarse el derecho de resolución contractual sin penalización.
3.2. No utilización de los datos para entrenar modelos
Edilia se compromete a no utilizar el contenido introducido por los usuarios -ni las preguntas que formulan, ni las respuestas que el sistema genera, ni los documentos que se suban a la plataforma- para entrenar modelos de inteligencia artificial, propios ni de terceros. Esta obligación está reflejada contractualmente en los DPA suscritos con todos los subencargados.
3.3. Marco normativo aplicable
El tratamiento de datos personales en Edilia Copiloto se rige por:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
- Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE).
- Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de Inteligencia Artificial o «AI Act»).
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), en lo aplicable cuando el cliente sea sector público.
3.4. Derechos del interesado
Cualquier persona cuyos datos personales sean tratados por Edilia tiene derecho a acceder a sus datos, rectificarlos, suprimirlos, limitar el tratamiento, oponerse y solicitar la portabilidad de los mismos, así como a no ser objeto de decisiones automatizadas con efectos jurídicos. Para ejercer estos derechos, basta con escribir a contacto@ayto.app aportando documentación que permita verificar la identidad del solicitante. Edilia responderá a cualquier solicitud en el plazo máximo de un mes desde su recepción, conforme al artículo 12.3 RGPD.
El interesado puede, en todo caso, presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) si considera que el tratamiento de sus datos no se ajusta a la normativa.
3.5. Seguridad
Edilia aplica medidas técnicas y organizativas apropiadas al riesgo del tratamiento, entre las que se incluyen:
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256) de toda información personal.
- Hash bcrypt de contraseñas con factor de coste 12 o superior.
- Control de acceso basado en roles (RBAC) y principio de mínimo privilegio.
- Compartimentación lógica entre clientes mediante separación de tenants.
- Monitorización de seguridad y registro de actividad (logs de auditoría).
- Copias de seguridad cifradas con retención escalonada y restauración periódicamente probada.
- Plan de respuesta ante incidentes documentado.
Las medidas se revisan periódicamente y están alineadas con el Real Decreto 311/2022 (Esquema Nacional de Seguridad). La categoría ENS aplicable a la prestación del servicio en régimen organizacional al sector público se declara expresamente en el contrato suscrito con cada entidad cliente.
3.6. Notificación de violaciones de seguridad
En caso de producirse una violación de la seguridad de los datos personales (en el sentido del artículo 4.12 RGPD), Edilia procederá conforme a las obligaciones de los artículos 33 y 34 RGPD:
- Notificación a la AEPD en un plazo máximo de 72 horas desde que tenga conocimiento de la brecha, salvo que sea improbable que la violación constituya un riesgo para los derechos y libertades de las personas físicas.
- Comunicación al usuario afectado sin dilación indebida cuando la violación entrañe un riesgo alto para sus derechos y libertades, con descripción clara y sencilla de la naturaleza de la violación, consecuencias probables y medidas adoptadas.
- En régimen organizacional, Edilia notificará a la organización responsable en un plazo máximo de 24 horas desde que tenga conocimiento de la brecha, conforme al artículo 33.2 RGPD y al Contrato de Encargado del Tratamiento.
- Edilia mantiene un registro interno documentado de todas las violaciones de seguridad, conforme al artículo 33.5 RGPD.
3.7. Transparencia sobre el uso de inteligencia artificial (Reglamento UE 2024/1689)
Conforme al artículo 50 del Reglamento (UE) 2024/1689 (AI Act), Edilia informa expresamente:
- Edilia Copiloto es un sistema de IA generativa de propósito específico dirigido a la asistencia documental y consultiva en derecho administrativo español. No es un sistema de IA de alto riesgo en el sentido del Anexo III del AI Act, por cuanto no automatiza decisiones administrativas con efectos jurídicos sobre las personas: produce borradores de trabajo sujetos a revisión, validación y firma del profesional usuario.
- Cada interacción del usuario con el chat o con la generación documental constituye una interacción con un sistema de inteligencia artificial. Esta condición se manifiesta visualmente en la propia interfaz del producto.
- Los outputs generados (texto y documentos) son contenido sintético en el sentido del artículo 50.2 AI Act. Edilia incorpora marca textual identificable al final de los documentos generados de cierta extensión («Documento generado con asistencia de Edilia Copiloto · Borrador sujeto a revisión profesional»), y se compromete a incorporar marcado por metadatos legibles por máquina (especificación C2PA o equivalente) cuando dicha tecnología esté disponible y sea exigible para el tipo de output.
- El usuario debe asumir que todo output generado debe ser revisado por un profesional cualificado antes de su utilización oficial. Esta obligación es coherente con la naturaleza del servicio y se desarrolla con mayor detalle en los Términos de Uso.
Sección A - Usuarios individuales
Esta sección se aplica si te has registrado en ia.ayto.app a título personal, en cualquiera de los planes Free, Básico, Pro o Premium individual.
A.1. Quién es responsable de qué
Cuando te registras como usuario individual y utilizas Edilia Copiloto a título personal, conviene distinguir dos planos:
- Sobre tus datos como cliente de Edilia (nombre, correo electrónico, datos de facturación, telemetría de uso del servicio), Edilia Tech, S.L. actúa como responsable del tratamiento. Esto es lo que regula esta Sección A.
- Sobre el contenido que tú introduces en la plataforma (lo que escribes en el chat, los documentos que subes), el responsable eres tú. Edilia se limita a procesar técnicamente lo que tú decides introducir. Esta distinción está desarrollada en los Términos de Uso (Sección 7).
A.2. Datos que tratamos como responsable y por qué
| Categoría | Ejemplos | Finalidad | Base jurídica |
|---|---|---|---|
| Identificativos de cuenta | Nombre, correo electrónico, contraseña cifrada | Crear y gestionar tu cuenta, autenticarte, comunicarte el estado del servicio | Ejecución del contrato (art. 6.1.b RGPD) |
| Facturación | Datos fiscales, método de pago tokenizado por Stripe | Cobro de la suscripción, emisión de facturas, cumplimiento fiscal | Ejecución del contrato y obligación legal |
| Telemetría de uso | Fecha, hora e IP de las consultas, número de tokens consumidos, identificador de modelo IA invocado | Aplicar límites del plan, prevenir abuso, mejora técnica | Interés legítimo (art. 6.1.f RGPD) |
| Comunicaciones de servicio | Mensajes operativos, avisos legales, alertas | Cumplir el contrato y la normativa | Ejecución del contrato |
| Comunicaciones comerciales (opcional) | Boletín, novedades | Mantenerte informado de mejoras del servicio | Consentimiento (art. 6.1.a RGPD), revocable en cualquier momento |
A.3. Plazos de conservación
| Categoría | Plazo | Fundamento |
|---|---|---|
| Datos identificativos de cuenta | Mientras la cuenta esté activa | Ejecución del contrato |
| Conversaciones de chat y documentos generados | Mientras la cuenta esté activa; el usuario puede eliminarlos en cualquier momento desde el panel de usuario | Decisión del propio usuario |
| Logs técnicos y de auditoría | 12 meses | Interés legítimo (seguridad y trazabilidad) |
| Datos de facturación | 6 años (Código de Comercio art. 30) y 4 años (Ley General Tributaria art. 66) | Obligación legal contable y tributaria |
| Comunicaciones comerciales | Hasta revocación del consentimiento | Consentimiento revocable |
| Tras la baja de la cuenta | Solo se conservan datos mínimos exigidos por normativa fiscal y mercantil; el resto se suprime | Principio de limitación del plazo (art. 5.1.e RGPD) |
A.4. Subencargados a los que recurrimos
Para prestar el servicio, Edilia recurre a proveedores cloud y de infraestructura que actúan como encargados o subencargados conforme al artículo 28 RGPD, todos ellos con DPA suscrito y procesamiento dentro del Espacio Económico Europeo en operación normal.
El listado actualizado, con su ubicación física, finalidad y certificaciones aplicables, está disponible de forma permanente en https://copiloto.edilia.tech/subencargados. Cualquier modificación sustancial se comunicará al usuario a través del propio servicio o por correo electrónico con antelación razonable.
A.5. Tu contenido en la plataforma
El contenido que tú introduces en el chat o subes a la plataforma se procesa exclusivamente para responder a tus consultas. No se utiliza para entrenar modelos. Las conversaciones se conservan en tu cuenta para que puedas consultarlas, y puedes eliminarlas en cualquier momento desde el panel de usuario.
Sección B - Visitantes
Esta sección se aplica si has llegado a la web sin registrarte: visitas la landing, descargas un recurso público o solicitas información a través del formulario de contacto.
B.1. Datos que tratamos
| Categoría | Ejemplos | Finalidad | Base jurídica |
|---|---|---|---|
| Navegación | IP, navegador, páginas visitadas (anonimizadas) | Análisis estadístico agregado, prevención de abuso | Interés legítimo (art. 6.1.f RGPD) |
| Formulario de contacto | Nombre, correo, mensaje, organización si la facilitas | Atender tu consulta, gestionar la oportunidad comercial | Consentimiento (art. 6.1.a RGPD), revocable en cualquier momento |
B.2. Plazos
Los datos del formulario de contacto se conservan durante el tiempo necesario para gestionar tu consulta y, si se inicia un proceso comercial, durante la vigencia del mismo. Si no llegamos a establecer relación contractual, los datos se suprimen tras un año desde el último contacto, salvo obligación legal de conservación.
B.3. Tus derechos
Te aplican los mismos derechos descritos en la Sección 3.4. Para ejercerlos, escríbenos a contacto@ayto.app.
Sección C - Organizaciones cliente y sus usuarios autorizados
Esta sección se aplica cuando una administración pública, despacho profesional o empresa contrata Edilia Copiloto en régimen organizacional (plan Empresa o equivalente), y autoriza a sus empleados, funcionarios o colaboradores a utilizar el servicio en su nombre.
C.1. Roles RGPD en régimen organizacional
En esta modalidad, los roles del Reglamento (UE) 2016/679 son los siguientes:
- La organización cliente es la responsable del tratamiento de los datos personales que sus usuarios autorizados introduzcan en Edilia Copiloto en el curso de su trabajo.
- Edilia Tech, S.L. es el encargado del tratamiento, en los términos del Contrato de Encargado del Tratamiento firmado entre las partes conforme al artículo 28 RGPD. Hasta que dicho contrato no esté firmado, las funcionalidades de generación de contenido permanecen bloqueadas para esa organización.
- Los proveedores cloud y de infraestructura indicados en https://copiloto.edilia.tech/subencargados y en el Anexo I del Contrato actúan como subencargados.
C.2. Información dirigida a los empleados o funcionarios autorizados
Si eres empleado, funcionario o colaborador de una organización que ha contratado Edilia Copiloto, debes saber que:
- Tu organización ha designado a Edilia como encargado del tratamiento mediante el Contrato firmado al efecto.
- Tu organización es la que decide qué datos introduces en la plataforma, con qué finalidad y con qué base jurídica. Cualquier consulta sobre estas decisiones debe dirigirse a tu organización y a su Delegado de Protección de Datos.
- Edilia trata los datos exclusivamente conforme a las instrucciones documentadas de tu organización.
- Los datos identificativos de tu cuenta de usuario autorizado (nombre, correo electrónico institucional, registro de actividad técnica) son tratados por Edilia para administrar tu acceso, en los términos del Contrato.
- Tienes los derechos descritos en la Sección 3.4, que puedes ejercer dirigiéndote a tu organización o, subsidiariamente, a contacto@ayto.app.
C.3. Información dirigida a los ciudadanos, contribuyentes y terceros cuyos datos pueden aparecer en los expedientes tratados
Si eres una persona cuyos datos personales aparecen en un expediente, escrito o consulta que un técnico municipal, un funcionario o un profesional ha procesado a través de Edilia Copiloto en nombre de su organización, debes saber que:
- La organización (ayuntamiento, despacho, empresa) es la responsable del tratamiento de tus datos. La información sobre la finalidad, la base jurídica, los plazos y los derechos te corresponde recibirla de esa organización, conforme a los artículos 13 y 14 RGPD.
- Edilia, como encargado del tratamiento, asiste a la organización para responder a tus solicitudes en plazo y con las garantías que exige la normativa.
- Los datos no se utilizan para entrenar modelos de inteligencia artificial.
- Los datos se procesan en territorio europeo.
- Si tienes dificultades para identificar a la organización responsable, puedes escribir a contacto@ayto.app y Edilia te orientará para localizar al responsable correspondiente.
C.4. Detección de uso individual indebido por empleados de organizaciones
Edilia puede detectar, mediante criterios objetivos como el dominio del correo electrónico de registro o las características del uso, que una persona se ha registrado en régimen individual cuando en realidad está utilizando la plataforma para tareas por cuenta de una organización. En esos casos, Edilia mostrará al usuario un aviso destacado y podrá limitar funcionalidades hasta la regularización contractual. Esta facultad se ejerce en interés de todos los actores y no exime al usuario individual de su responsabilidad por el uso no autorizado.
4. Cambios en esta Política
Edilia se reserva el derecho a modificar esta Política cuando concurran motivos técnicos, regulatorios o de mejora del servicio. Las modificaciones se comunicarán a los usuarios con la antelación razonable y, en su caso, requerirán nueva aceptación expresa. El historial de versiones de esta Política se mantiene archivado y está disponible bajo solicitud a contacto@ayto.app.
5. Contacto
Edilia Tech, S.L.
Calle Mayor 13, 3.º Izquierda, 28013 Madrid, España
Correo electrónico: contacto@ayto.app
Delegado de Protección de Datos: dpo@ayto.app
Web: https://ia.ayto.app