Transparencia Algorítmica
Explicación técnica y legal de cómo RefuCoru procesa los datos de sus usuarios. Esta sección existe porque creemos que las plataformas que sirven a poblaciones vulnerables tienen una responsabilidad especial de transparencia.
1. Responsable del Tratamiento de Datos
Nombre
RefuCoru
Finalidad principal
Plataforma de información y asesoría para refugiados y solicitantes de asilo en España
Email de contacto (DPD)
refucoru@gmail.com
Marco legal aplicable
RGPD (UE 2016/679) · LOPDGDD (LO 3/2018) · Supervisión: AEPD
Jurisdicción
España (Unión Europea)
Infraestructura
Replit (servidores EU) + Supabase (Frankfurt, EU-West)
2. Qué datos procesamos y por qué
RefuCoru aplica el principio de minimización de datos (Art. 5.1.c RGPD): solo recogemos lo estrictamente necesario para el funcionamiento del servicio.
Datos de navegación (logs del servidor)
Datos concretos
Base jurídica
Interés legítimo (Art. 6.1.f RGPD)
Finalidad
Diagnóstico de errores técnicos, mejora de rendimiento
Retención
30 días — rotación automática
Transferencia internacional
No. Procesado exclusivamente en servidores EU (Replit/Supabase EU)
Datos de suscripción (si compras la Llave Maestra)
Datos concretos
Base jurídica
Ejecución de contrato (Art. 6.1.b RGPD)
Finalidad
Gestión de la suscripción de 3€/mes, acceso a módulos Premium
Retención
Duración del contrato + 5 años (obligación fiscal Ley 58/2003)
Transferencia internacional
Stripe (procesador de pagos, cláusulas estándar contractuales UE-EE.UU.)
Preferencias locales (localStorage del navegador)
Datos concretos
Base jurídica
Consentimiento implícito por uso del servicio (Art. 6.1.a RGPD)
Finalidad
Personalización de la interfaz, no requiere cuenta
Retención
Hasta que el usuario borre el localStorage o datos del navegador
Transferencia internacional
No. Solo en el dispositivo del usuario — nunca se envía al servidor
3. Arquitectura de Seguridad
Implementamos privacidad por diseño (Art. 25 RGPD) desde la arquitectura del sistema.
Cifrado AES-256-GCM
Todo dato personal (email, nombre) se cifra con AES-256-GCM (cifrado autenticado) antes de guardarse en la base de datos. La clave de cifrado nunca se almacena en la DB — reside en variables de entorno aisladas.
Node.js crypto · scrypt (derivación de clave) · IV aleatorio por registro
Logs sin PII (AEPD-Compliant)
El sistema de logging elimina automáticamente emails, IPs, NIE/DNI, teléfonos y coordenadas de todos los registros del servidor antes de escribirlos.
Regex patterns · pseudonimización de IPs (solo 2 primeros octetos)
No profiling, no tracking
RefuCoru NO tiene píxeles de seguimiento, NO usa Google Analytics, NO perfiles de usuario basados en comportamiento. Sin cookies de terceros.
localStorage solo · sin cookies de sesión con terceros
Arquitectura de mínimo privilegio
Las claves API de Stripe y Supabase tienen permisos mínimos necesarios (RLS en Supabase, webhooks limitados en Stripe). El código fuente no contiene secretos hard-coded.
Row Level Security (RLS) en PostgreSQL · env vars en Replit Secrets
Infraestructura EU
Toda la infraestructura está ubicada en la Unión Europea: servidores de aplicación (Replit EU-West) y base de datos (Supabase Frankfurt, Alemania).
AWS eu-west-1 · Supabase Frankfurt (AWS eu-central-1)
Service Workers Offline
La PWA funciona sin conexión mediante Service Workers, sin necesidad de transmitir datos a servidores externos para funcionalidades básicas.
next-pwa · Workbox · Cache-First para assets estáticos
4. Transparencia del Sistema de Chat IA
Modelo de lenguaje
OpenAI GPT-4o (vía API)
Prompt del sistema
Especializado en Ley 12/2009 y normativa de extranjería 2026. No genérico.
Almacenamiento de conversaciones
NO. Cada sesión es independiente. No guardamos el historial de chat.
¿Puede el chat identificarte?
No. No tiene acceso a tu nombre ni documentos. Responde a preguntas anónimas.
¿Está certificado como asesoría legal?
NO. Es una herramienta de información. Para casos personales, consulta ACCEM o Cruz Roja.
Sesgo y limitaciones
Entrenado en datos hasta 2024. Puede no reflejar cambios normativos posteriores. Siempre indica fuentes.
Aviso legal sobre el Chat IA: Las respuestas del asistente IA son información general basada en la normativa vigente. No constituyen asesoramiento jurídico personalizado y no establecen relación abogado-cliente. Para situaciones legales específicas, contacta con un abogado de inmigración o con organizaciones como ACCEM (981 225 801) o Cruz Roja (981 229 000) en A Coruña.
5. Tus Derechos (RGPD)
Acceso (Art. 15 RGPD)
Solicitar una copia completa de todos los datos que guardamos sobre ti.
Rectificación (Art. 16 RGPD)
Corregir datos incorrectos o incompletos.
Supresión / Derecho al olvido (Art. 17 RGPD)
Eliminar todos tus datos personales de nuestros sistemas.
Portabilidad (Art. 20 RGPD)
Recibir tus datos en formato estructurado y legible por máquina (JSON/CSV).
Oposición (Art. 21 RGPD)
Oponerse al tratamiento de tus datos para cualquier finalidad.
Reclamación ante la AEPD
Si no estás satisfecho con nuestra respuesta, puedes reclamar ante la Agencia Española de Protección de Datos.
6. Lo que RefuCoru NO hace
❌ Vender datos a terceros
❌ Compartir datos con autoridades de inmigración
❌ Usar cookies de seguimiento publicitario
❌ Crear perfiles de comportamiento de navegación
❌ Almacenar conversaciones del chat IA
❌ Automatizar citas previas gubernamentales (riesgo de bloqueo IP)
❌ Procesar datos biométricos
❌ Tomar decisiones automatizadas que afecten derechos (Art. 22 RGPD)
7. Uso Académico e Investigación
RefuCoru nació como proyecto de investigación sobre necesidades de información de refugiados y solicitantes de asilo en A Coruña, Galicia. La plataforma puede ser citada en trabajos académicos:
Para colaboraciones académicas, petición de datos anonimizados o participación en investigación: refucoru@gmail.com
Última actualización: Abril 2026 · Responsable: RefuCoru