← Novamily

Documento legal

Acuerdo de Tratamiento de Datos (DPA)

Última actualización: 19/05/2026

Este Acuerdo de Tratamiento de Datos ("DPA") complementa los Términos de Servicio entre Lumendra Labs S.L. ("Encargado") y el Cliente ("Responsable") y regula el tratamiento de datos personales en Novamily conforme al artículo 28 del RGPD.

1. Objeto

El Encargado tratará datos personales por cuenta del Responsable únicamente para prestar el servicio Novamily (organización familiar con asistente IA).

2. Duración

Vigente mientras exista una cuenta activa del Cliente.

3. Naturaleza y finalidad

Almacenamiento, organización, consulta y borrado de eventos, tareas, salud, colegio, gastos, documentos y conversaciones con IA del grupo familiar.

4. Categorías de interesados

  • Titular de la cuenta y miembros invitados.
  • Miembros familiares (incluidos menores) registrados por el titular.

5. Tipos de datos

  • Identificativos: nombre, email, avatar.
  • Familiares: relaciones, fechas de nacimiento, notas de salud y escolares.
  • Económicos: gastos registrados voluntariamente.
  • Documentos: archivos subidos por el cliente.

6. Obligaciones del Encargado

  • Tratar los datos solo siguiendo instrucciones documentadas del Responsable.
  • Garantizar la confidencialidad del personal autorizado.
  • Adoptar medidas técnicas y organizativas (cifrado TLS, cifrado en reposo, RLS por familia, control de accesos, backups, registro de actividad).
  • Notificar brechas de seguridad sin dilación indebida (máx. 72h).
  • Asistir al Responsable en derechos de los interesados y evaluaciones de impacto.
  • Devolver o suprimir los datos al finalizar el servicio (máximo 30 días).

7. Subencargados

El Cliente autoriza con carácter general los siguientes subencargados, sujetos a cláusulas RGPD equivalentes:

  • Supabase / AWS (UE) — alojamiento de base de datos y autenticación.
  • Cloudflare Workers — entrega de la aplicación y edge runtime.
  • Proveedor IA (OpenAI, Google) — generación de respuestas del asistente. No se utiliza para entrenamiento.
  • Lovable Email / Mailgun (UE) — entrega de emails transaccionales.

Cualquier cambio se comunicará con 30 días de antelación.

8. Transferencias internacionales

Cuando aplique, se realizan bajo Cláusulas Contractuales Tipo (SCC) de la Comisión Europea y medidas suplementarias.

9. Auditoría

El Encargado pondrá a disposición del Responsable la información razonable para demostrar el cumplimiento del art. 28 RGPD, una vez al año.

10. Devolución y supresión

El Cliente puede exportar sus datos desde Ajustes → Exportar mis datos en cualquier momento. Al cancelar la cuenta, los datos se borran en un plazo máximo de 30 días salvo obligación legal.

11. Contacto del DPO

dpo@lumendralabs.com