APTIO

Información legal MVP

Política de privacidad

Resumen claro de los datos que puede tratar Aptio para cuentas, quizzes, progreso, pagos con Stripe, Supabase, analítica, email y funciones de IA.

Última actualización: 10 de junio de 2026

1. Responsable del Tratamiento

El responsable del tratamiento de los datos personales tratados a través de Aptio es Enrique Vilar, Entrepreneur Individuel (EI), con domicilio profesional en 191 Rue Fructidor, 34000 Montpellier, Francia.

  • Email de contacto para privacidad: hola@aptioapp.com.
  • Delegado de Protección de Datos: no designado. Aptio revisará esta posición si la naturaleza, escala o normativa aplicable del tratamiento lo exige en el futuro.
  • Autoridad de control principal: CNIL, Francia, sin perjuicio del derecho del usuario a reclamar ante la AEPD en España u otra autoridad de protección de datos competente.

2. Datos Personales Tratados

Aptio aplica el principio de minimización y trata únicamente los datos necesarios para prestar, proteger, medir y mejorar el servicio.

  • Datos de identificación y contacto: email (incluido el inicio de sesión con Google), identificador de usuario y datos asociados a la cuenta.
  • Datos del perfil de estudio: nombre mostrado, oposición preparada, fecha prevista de examen, nivel de conocimiento del temario, preferencias de estudio y respuestas a la encuesta inicial de incorporación (motivo de uso, dificultades, expectativas de ayuda, horizonte de examen y canal por el que el usuario conoció Aptio).
  • Datos de autenticación: credenciales cifradas o gestionadas por proveedor, tokens de sesión y registros técnicos necesarios para mantener la sesión.
  • Datos académicos y de uso: progreso, resultados de tests, respuestas, tiempos de respuesta, estadísticas de preparación (incluido el percentil del usuario frente a agregados de su cohorte), adherencia al plan de estudio semanal, historial de actividad dentro del servicio y configuraciones.
  • Datos del módulo de psicotécnicos: los descritos en la sección 5 de esta política.
  • Datos de pago y facturación: información de pago gestionada por Stripe, estado de suscripción, importes, moneda, identificadores de transacción, datos necesarios para facturación y prevención del fraude. Aptio no almacena el número completo de tarjeta.
  • Telemetría de producto: eventos de uso de la aplicación (nombre del evento, página, momento y metadatos asociados, incluidos los resultados de los tests enviados), vinculados a un identificador aleatorio generado en el navegador que acompaña a todos los eventos y, en usuarios autenticados, también a su identificador de cuenta.
  • Datos de atribución de adquisición: parámetros UTM de campaña presentes en el enlace de la primera visita (fuente, medio, campaña, término y contenido), página de aterrizaje y fecha de captura, asociados una sola vez al perfil tras el registro.
  • Opiniones y sugerencias: mensajes enviados desde el widget de feedback de la aplicación (junto con la pantalla desde la que se envían y datos de contexto de uso) y mensajes enviados desde el formulario de la página de feedback (junto con el nombre facilitado, el email de la cuenta, la categoría elegida y datos técnicos de contexto, como el navegador y la página desde la que se envía).
  • Lista de espera de oposiciones: si el usuario se apunta a la lista de espera de una oposición aún sin contenido, el email que facilite a tal efecto (que puede ser distinto del de su cuenta), la oposición de interés y su identificador de cuenta.
  • Datos técnicos: dirección IP, tipo de dispositivo, navegador, sistema operativo, registros de seguridad, errores, rendimiento y métricas técnicas.
  • Contenido aportado por el usuario: prompts, notas, respuestas, consultas o materiales introducidos voluntariamente en el servicio.

3. Finalidades y Bases Jurídicas

Aptio trata datos personales conforme a las bases jurídicas previstas en el RGPD, especialmente ejecución contractual, cumplimiento de obligaciones legales, interés legítimo y, cuando proceda, consentimiento.

  • Crear y gestionar la cuenta: ejecución del contrato o medidas precontractuales.
  • Prestar funcionalidades de entrenamiento, progreso, quizzes e IA: ejecución del contrato.
  • Procesar pagos, suscripciones, facturas y contabilidad: ejecución del contrato y cumplimiento de obligaciones legales.
  • Mantener la seguridad, prevenir fraude, evitar abusos y proteger la infraestructura: interés legítimo y, en su caso, obligación legal.
  • Responder consultas, reclamaciones y solicitudes de derechos: cumplimiento legal e interés legítimo.
  • Realizar analítica técnica agregada o anónima para mejorar rendimiento y estabilidad: interés legítimo, siempre que no requiera consentimiento conforme a la normativa de cookies aplicable.
  • Registrar telemetría de producto propia (eventos de uso) para comprender el uso del servicio, detectar errores y priorizar mejoras: interés legítimo.
  • Atribuir la adquisición de la cuenta al canal o campaña de origen (UTM de la primera visita) y evaluar de forma agregada la eficacia de la captación: interés legítimo.
  • Realizar experimentos A/B internos sobre variantes de la interfaz o del producto, con asignación determinista y sin perfilado comercial: interés legítimo.
  • Gestionar las opiniones y sugerencias enviadas desde la aplicación para mejorar el servicio: interés legítimo.
  • Gestionar la lista de espera de oposiciones aún sin contenido y avisar al usuario cuando estén disponibles: consentimiento, manifestado al apuntarse voluntariamente a la lista, que puede retirarse en cualquier momento solicitando la baja en hola@aptioapp.com.
  • Enviar el email de resumen diario sobre la propia actividad del usuario: ejecución del contrato e interés legítimo en mantenerle informado de su progreso, con oposición sencilla y permanente conforme a la sección 8.
  • Enviar comunicaciones estrictamente necesarias sobre la cuenta, pagos, seguridad, cambios legales o servicio: ejecución contractual, obligación legal o interés legítimo.
  • No se enviarán newsletters, promociones o comunicaciones de marketing sin consentimiento previo cuando este sea exigible.

4. Inteligencia Artificial y Datos Personales

Aptio utiliza inteligencia artificial de proveedores externos, principalmente para generar nuevas preguntas de entrenamiento (con Anthropic como proveedor) y para producir explicaciones didácticas asociadas a las preguntas (con OpenAI como proveedor).

  • La generación de preguntas se ejecuta exclusivamente en el servidor, iniciada por administradores o por procesos internos programados (por ejemplo, una tarea diaria de reposición del banco de preguntas), y por defecto toda pregunta generada pasa por revisión humana antes de publicarse; únicamente si Aptio activa de forma expresa una opción interna de publicación automática pueden publicarse preguntas sin revisión humana previa, siempre tras superar controles automáticos de calidad. Este proceso trabaja sobre material didáctico (temario y banco de preguntas), no sobre datos personales de los usuarios.
  • Las explicaciones didácticas se generan a partir del contenido de la pregunta, sus opciones, la respuesta correcta y, en su caso, la opción seleccionada por el usuario; Aptio limita los datos enviados al proveedor a lo necesario para generar el resultado y no le comunica la identidad del usuario.
  • De forma interna, Aptio puede utilizar IA para agrupar por temas las opiniones enviadas desde el widget de feedback dentro de informes internos de mejora; por ello, se recomienda no incluir datos personales innecesarios en los mensajes de feedback.
  • El usuario no debe introducir datos especialmente sensibles, datos de salud, datos biométricos, información financiera innecesaria, datos de menores o información de terceros sin base legal.
  • Cuando se utilicen proveedores externos de IA, Aptio aplicará garantías contractuales, técnicas y organizativas adecuadas.
  • Aptio no adopta decisiones automatizadas con efectos jurídicos o significativamente similares sobre el usuario basadas exclusivamente en IA.
  • Las recomendaciones o explicaciones de IA son orientativas y deben ser revisadas por el usuario.

5. Módulo de Psicotécnicos: Perfilado de Aptitudes con Finalidad Formativa

El módulo de psicotécnicos evalúa aptitudes mediante ejercicios cronometrados y genera un perfil orientativo de práctica. Este tratamiento constituye una elaboración de perfiles en el sentido del RGPD, con finalidad exclusivamente formativa.

  • Datos tratados: respuestas seleccionadas, tiempos de respuesta por ejercicio, puntuaciones de acierto y rapidez, banda orientativa de práctica, fortalezas y debilidades por tipo de aptitud, eventos técnicos de la sesión y ejercicios señalados por el propio usuario.
  • Las claves de corrección y el cálculo de puntuaciones se realizan exclusivamente en el servidor; el navegador del usuario no recibe las respuestas correctas.
  • Este perfilado no produce efectos jurídicos sobre el usuario ni le afecta de modo significativamente similar (artículo 22 del RGPD): no condiciona el acceso al servicio, no se comunica a terceros ni a organismos examinadores y no se utiliza para adoptar decisiones sobre el usuario.
  • Las bandas de práctica son orientativas: sirven para ajustar el entrenamiento del usuario y no predicen ni garantizan el resultado del examen oficial.
  • Aptio ha realizado una evaluación de impacto relativa a la protección de datos (DPIA) interna sobre este módulo y la revisará cuando cambien sus características.
  • El usuario puede ejercer sobre estos datos los derechos descritos en esta política, incluida su supresión.

6. Comparativas con Otros Usuarios (Percentiles y Cohortes)

Aptio puede mostrar al usuario indicadores comparativos, como el percentil de su preparación frente al conjunto agregado de usuarios de su misma oposición.

  • Las comparativas se calculan exclusivamente contra datos agregados de la cohorte; ningún usuario puede ver datos individuales de otro usuario.
  • Aptio no publica clasificaciones nominales ni expone la identidad, el progreso o los resultados individuales de un usuario a los demás.
  • Si en el futuro se incorporan funciones sociales que impliquen compartir información individual (por ejemplo, amistades o grupos de estudio), se solicitará el consentimiento previo, específico e informado del usuario antes de activar cualquier compartición.

7. Telemetría de Producto, Atribución, Opiniones y Experimentos

Para comprender el uso del servicio y mejorarlo, Aptio trata datos de uso de origen propio. Estos datos no se utilizan para publicidad comportamental ni se ceden a terceros con fines publicitarios.

  • Telemetría de producto: Aptio registra eventos de uso (por ejemplo, inicio de sesión, envío de un test o navegación entre secciones) con su página, momento y metadatos. Todos los eventos llevan asociado un identificador aleatorio generado y guardado en el almacenamiento local del navegador; en usuarios autenticados se registra además el identificador de cuenta junto al identificador aleatorio, lo que permite relacionar la actividad de navegación previa al registro con la cuenta. El identificador aleatorio es un valor generado al azar que no contiene por sí mismo datos identificativos y permanece en el navegador hasta que el usuario borra el almacenamiento local.
  • Atribución de adquisición: si el usuario llega a Aptio desde un enlace de campaña con parámetros UTM, dichos parámetros, la página de aterrizaje y la fecha se guardan temporalmente en su navegador y, tras el registro, se asocian una única vez a su perfil (atribución first-touch); a continuación se eliminan del navegador. Se utilizan para evaluar de forma agregada la eficacia de los canales de captación.
  • Opiniones y sugerencias: Aptio dispone de dos canales. Los mensajes enviados desde el widget de feedback de la aplicación se almacenan junto con la pantalla de origen y datos de contexto de uso, no generan correos y pueden agruparse por temas, incluso con asistencia de IA, dentro de informes internos de mejora. Los mensajes enviados desde el formulario de la página de feedback se almacenan junto con el nombre facilitado, el email de la cuenta, la categoría elegida y datos técnicos de contexto (navegador y página desde la que se envía) y generan un aviso interno por email al equipo a través de Resend.
  • Experimentos A/B internos: Aptio puede asignar al usuario una variante de la interfaz o de una funcionalidad mediante un procedimiento determinista derivado de su identificador de cuenta, para comparar el rendimiento de las variantes de forma agregada. No se realiza perfilado comercial ni se utilizan estos experimentos para personalizar publicidad.

8. Email de Resumen Diario

Aptio puede enviar al usuario un email diario con el resumen de su propia actividad de estudio (progreso, resultados y plan).

  • Este email informa exclusivamente sobre la actividad del propio usuario en el servicio y no contiene publicidad de terceros.
  • Base jurídica: la ejecución del contrato y el interés legítimo de Aptio en mantener informado al usuario de su progreso, con un mecanismo de oposición sencillo y permanente.
  • El usuario puede desactivarlo en cualquier momento desde los ajustes de su cuenta o mediante el enlace de baja en un clic incluido en cada email, sin necesidad de iniciar sesión.
  • El envío se realiza a través del proveedor de email transaccional Resend.

9. Encargados del Tratamiento y Proveedores

Para prestar el servicio, Aptio puede utilizar proveedores que actúan como encargados del tratamiento o responsables independientes según el caso.

  • Supabase: autenticación, base de datos, almacenamiento técnico y gestión de usuarios. La base de datos aplica políticas de acceso a nivel de fila (RLS). Aptio deberá mantener vigente el acuerdo de tratamiento de datos aplicable cuando proceda.
  • Stripe: procesamiento de pagos, facturación, prevención del fraude y cumplimiento financiero.
  • Vercel: alojamiento, despliegue, seguridad, rendimiento y analítica técnica (Vercel Analytics).
  • Infomaniak: registro y gestión del dominio.
  • Resend: envío de email transaccional, en particular el email de resumen diario de actividad y los avisos internos generados por el formulario de la página de feedback.
  • Anthropic: proveedor de inteligencia artificial para la generación de preguntas (proceso interno del lado del servidor, iniciado por administradores o por procesos internos programados y, por defecto, con revisión humana) y para el agrupamiento temático interno del feedback.
  • OpenAI: proveedor de inteligencia artificial para la generación de las explicaciones didácticas asociadas a las preguntas; recibe el contenido de la pregunta, sus opciones, la respuesta correcta y, en su caso, la opción seleccionada por el usuario, sin la identidad de este.
  • Asesores fiscales, contables, legales o administrativos, cuando sea necesario para cumplir obligaciones legales o defender derechos.
  • Aptio exigirá a sus proveedores garantías adecuadas de confidencialidad, seguridad y cumplimiento del RGPD cuando actúen como encargados del tratamiento.

10. Transferencias Internacionales

Algunos proveedores pueden estar ubicados o tratar datos fuera del Espacio Económico Europeo. En esos casos, Aptio aplicará las garantías previstas por el RGPD.

  • Suiza: Infomaniak se encuentra en Suiza, país reconocido por la Comisión Europea como territorio con nivel adecuado de protección de datos.
  • Estados Unidos y otros terceros países: cuando se utilicen proveedores sujetos a transferencias internacionales, Aptio se apoyará, según corresponda, en decisiones de adecuación, el EU-US Data Privacy Framework, Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, medidas complementarias, evaluaciones de transferencia y contratos de tratamiento.
  • Aptio revisará periódicamente la información disponible de sus proveedores y las garantías aplicables para mantener la conformidad con el RGPD.

11. Conservación de los Datos

Los datos se conservarán únicamente durante el tiempo necesario para cumplir las finalidades descritas, prestar el servicio, atender responsabilidades y cumplir obligaciones legales.

  • Datos de cuenta y perfil: mientras la cuenta esté activa y, tras la baja, durante el plazo necesario para atender reclamaciones, seguridad y obligaciones legales.
  • Datos de progreso, preparación y psicotécnicos: vinculados a la cuenta; se eliminan con ella o antes, si el usuario solicita su supresión, salvo obligación legal o necesidad legítima de conservación.
  • Datos de facturación y transacciones: durante los plazos legales fiscales, contables y de prevención del fraude aplicables.
  • Telemetría de producto: al eliminarse la cuenta, los eventos se desvinculan del identificador de cuenta (se elimina la referencia a esta) y se conservan como información estadística y de mejora del servicio; los registros conservan, no obstante, el identificador aleatorio de navegador descrito en la sección 7, que el usuario puede eliminar de su dispositivo borrando el almacenamiento local del navegador.
  • Opiniones y sugerencias: los mensajes enviados desde el widget de la aplicación se eliminan junto con la cuenta; los mensajes enviados desde el formulario de la página de feedback se desvinculan del identificador de cuenta al eliminarse esta, pero conservan el nombre y el email facilitados en su día, que se suprimirán si el usuario así lo solicita.
  • Lista de espera de oposiciones: el email y la oposición de interés se conservan hasta que se comunica al usuario la disponibilidad de la oposición o hasta que este solicita su baja de la lista, lo que ocurra antes.
  • Registros técnicos y de seguridad: durante el plazo necesario para seguridad, diagnóstico, prevención de abuso y defensa frente a incidentes.
  • Cuando los datos ya no sean necesarios, se eliminarán, anonimizarán o bloquearán conforme a la normativa aplicable.

12. Derechos del Usuario

El usuario puede ejercer los derechos reconocidos por el RGPD escribiendo a hola@aptioapp.com.

  • Derecho de acceso: saber qué datos tratamos sobre ti.
  • Derecho de rectificación: corregir datos inexactos o incompletos.
  • Derecho de supresión: solicitar la eliminación de tus datos cuando proceda.
  • Derecho de oposición: oponerte a tratamientos basados en interés legítimo cuando existan motivos relacionados con tu situación particular.
  • Derecho de limitación: solicitar que restrinjamos temporalmente el tratamiento en determinados supuestos.
  • Derecho a la portabilidad: recibir los datos que hayas proporcionado en formato estructurado cuando el tratamiento se base en contrato o consentimiento y sea técnicamente posible.
  • Derecho a retirar el consentimiento: cuando el tratamiento se base en consentimiento, puedes retirarlo en cualquier momento sin afectar a la licitud del tratamiento anterior.
  • Derecho a no ser objeto de decisiones automatizadas con efectos jurídicos o significativamente similares cuando proceda.
  • Derecho a reclamar ante la CNIL, la AEPD o la autoridad de control competente.

13. Seguridad

Aptio aplica medidas técnicas y organizativas razonables para proteger los datos personales contra destrucción, pérdida, alteración, acceso no autorizado o divulgación indebida.

  • Uso de proveedores especializados en infraestructura, autenticación, pagos y alojamiento.
  • Políticas de acceso a nivel de fila (RLS) en la base de datos, de modo que cada usuario solo puede acceder a sus propios datos; las claves de corrección de psicotécnicos y las operaciones sensibles se procesan exclusivamente en el servidor.
  • Controles de acceso, autenticación, registros técnicos y medidas de seguridad razonables.
  • Cifrado o medidas equivalentes cuando resulte aplicable según el proveedor y el tipo de dato.
  • Revisión de incidentes y adopción de medidas correctivas cuando sea necesario.
  • Ningún sistema es absolutamente seguro; el usuario debe proteger sus credenciales y comunicar cualquier sospecha de acceso no autorizado.

14. Comunicaciones

Aptio puede enviar comunicaciones necesarias relacionadas con la cuenta, seguridad, cambios importantes, pagos, facturas, soporte o funcionamiento del servicio.

  • Estas comunicaciones no tienen carácter comercial y forman parte de la relación contractual o del cumplimiento legal.
  • El email de resumen diario de actividad se rige por lo descrito en la sección 8 y puede desactivarse en cualquier momento desde los ajustes de la cuenta o desde el propio email.
  • No se enviarán newsletters, promociones o comunicaciones comerciales no solicitadas sin consentimiento previo cuando sea exigible.

15. Menores

Aptio no está dirigido a menores que no cuenten con capacidad legal o autorización suficiente para usar servicios digitales.

  • Si Aptio detecta que una cuenta ha sido creada por un menor sin autorización válida cuando esta sea necesaria, podrá suspenderla o eliminarla.
  • Los representantes legales pueden contactar con hola@aptioapp.com para solicitar revisión, supresión o limitación de datos de un menor.

16. Cambios en esta Política

Aptio podrá actualizar esta política para reflejar cambios legales, técnicos, operativos o de proveedores.

  • Cuando los cambios sean sustanciales, se informará al usuario por medios adecuados.
  • La versión aplicable será la publicada en cada momento, identificada por la fecha de última actualización.