Medidas de Seguridad de Datos
Última actualización: 4 de mayo de 2026
1.Introducción
CAPITAL COUNSEL, S.L. considera la seguridad de los datos un valor fundamental e irrenunciable, no una obligación accesoria. Esta convicción adquiere especial relevancia en el caso de FounderDocs, plataforma que procesa documentación jurídica de naturaleza potencialmente sensible: pactos de socios, acuerdos de inversión, contratos y otros instrumentos que contienen información estratégica y en ocasiones personal sobre personas físicas.
El presente documento describe las medidas técnicas y organizativas implementadas por Capital Counsel S.L. para garantizar la seguridad, confidencialidad e integridad de los datos personales tratados a través de founder-docs.com, conforme a lo exigido por el artículo 32 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).
Las medidas aquí descritas son objeto de revisión y actualización periódica, con el objetivo de adaptarse a la evolución de las amenazas de seguridad, las mejores prácticas del sector y los cambios en el marco normativo.
2.Principios de seguridad
Toda la arquitectura de seguridad de FounderDocs descansa sobre cuatro principios fundamentales:
2.1 Confidencialidad
Los datos personales son accesibles únicamente por el personal y los sistemas expresamente autorizados. Todo acceso a información sensible requiere autenticación robusta y está sujeto a registro y auditoría.
2.2 Integridad
Los datos se protegen contra alteraciones no autorizadas, accidentales o malintencionadas. Los controles de integridad se aplican tanto durante la transmisión como en el almacenamiento.
2.3 Disponibilidad
Los datos y los servicios están disponibles cuando los usuarios y el equipo los necesitan. Contamos con mecanismos de redundancia, backup y recuperación ante desastres para garantizar la continuidad del servicio.
2.4 Privacidad por diseño
La arquitectura del sistema está diseñada desde su origen para minimizar la recopilación y retención de datos. Esta decisión de diseño no es una medida añadida, sino un principio estructural que permea todas las funcionalidades de la Plataforma.
3.Arquitectura de procesamiento privado por diseño
Compromiso diferenciador de FounderDocs en materia de privacidad
El análisis de documentos es la funcionalidad de mayor impacto en la privacidad de la Plataforma. Por este motivo, hemos diseñado deliberadamente un sistema que garantiza que los documentos subidos por los usuarios nunca persistan en ningún sistema de almacenamiento.
Cuando un usuario sube un documento para análisis, el archivo es recibido por el servidor y cargado exclusivamente en memoria RAM. El procesamiento se realiza íntegramente en memoria volátil durante el tiempo estrictamente necesario para generar el análisis. Una vez concluido el procesamiento, el contenido del documento es eliminado de la memoria sin escritura en disco, base de datos, sistema de archivos o cualquier otro medio de almacenamiento persistente.
Como consecuencia de este diseño, no es posible recuperar un documento subido con posterioridad a su procesamiento, ni por parte del usuario ni por parte del equipo de FounderDocs. Tampoco es posible que los documentos subidos sean utilizados para entrenar modelos de inteligencia artificial. Esta garantía está respaldada técnicamente por la arquitectura del sistema y contractualmente por el DPA firmado con Anthropic.
Procesamiento exclusivamente en memoria RAM durante la sesión activa.
Eliminación inmediata e irreversible tras el análisis, sin escritura en ningún soporte persistente.
No almacenamiento en base de datos, sistema de archivos ni caché.
No utilización para entrenamiento de modelos de IA.
Transmisión cifrada de extremo a extremo entre el cliente, los servidores de FounderDocs y la API de Anthropic.
4.Medidas técnicas
4.1 Cifrado en tránsito
Protocolo TLS 1.3 en todas las comunicaciones entre el dispositivo del usuario y los servidores de la Plataforma. Las versiones anteriores de TLS (1.0, 1.1, 1.2) están deshabilitadas.
Certificados SSL/TLS gestionados y renovados automáticamente por Vercel, garantizando la continuidad del cifrado sin interrupciones.
HTTPS forzado en toda la Plataforma mediante HSTS (HTTP Strict Transport Security) con preloading, que impide cualquier comunicación en texto claro incluso si el usuario introduce la URL sin https://.
Comunicaciones cifradas entre los servidores de FounderDocs y las APIs de terceros (Anthropic, Stripe), garantizando la confidencialidad end-to-end.
4.2 Cifrado en reposo
Los datos de cuenta y los datos transaccionales almacenados en infraestructura Vercel se cifran con AES-256, el estándar criptográfico más ampliamente adoptado.
Las copias de seguridad (backups) se cifran con los mismos estándares antes de su almacenamiento.
Las claves de cifrado son gestionadas por los proveedores de infraestructura certificados, siguiendo procedimientos de rotación y custodia de claves conforme a las mejores prácticas.
4.3 Procesamiento de pagos
El procesamiento de pagos está íntegramente delegado en Stripe Payments Europe, Ltd., entidad certificada con PCI-DSS Level 1, el nivel máximo de cumplimiento del estándar de seguridad de datos del sector de pagos.
FounderDocs nunca recibe ni almacena datos de tarjeta de crédito o débito en ningún sistema propio. Los datos de tarjeta son introducidos directamente en el entorno seguro de Stripe.
La tokenización de métodos de pago garantiza que, en pagos sucesivos, solo se almacena un token de referencia, nunca los datos reales de la tarjeta.
4.4 Procesamiento de IA
Las solicitudes a la API de Anthropic (Claude) se transmiten cifradas mediante TLS 1.3.
El Data Processing Agreement (DPA) firmado con Anthropic incluye el compromiso expreso de Anthropic de no utilizar los datos procesados vía API para entrenar sus modelos.
Las respuestas de la API se procesan en memoria y se descartan una vez entregadas al usuario, sin almacenamiento persistente en los sistemas de FounderDocs.
4.5 Infraestructura
La Plataforma está desplegada en Vercel, infraestructura que mantiene la certificación SOC 2 Type II, auditada por terceros independientes.
Los servidores operan preferentemente en la región de Europa (Frankfurt, Alemania), minimizando las transferencias internacionales de datos.
La infraestructura cuenta con redundancia geográfica y mecanismos de failover automático para garantizar la disponibilidad del servicio.
Monitorización técnica continua de la Plataforma con alertas automáticas ante anomalías de rendimiento o disponibilidad.
Protección DDoS (Distributed Denial of Service) implementada a nivel de red y de aplicación.
4.6 Control de acceso a sistemas
Autenticación multifactor (MFA) obligatoria para todos los miembros del equipo de FounderDocs con acceso a sistemas de producción.
Gestión centralizada de credenciales mediante gestores de contraseñas con política de contraseñas de alta complejidad (mínimo 16 caracteres).
Registro (logs) de todos los accesos a sistemas de producción, con retención mínima de 90 días.
Revisión trimestral de permisos de acceso activos para garantizar el principio de mínimo privilegio.
5.Medidas organizativas
5.1 Personal
El acceso a datos personales está restringido al personal y colaboradores que lo necesiten estrictamente para el desarrollo de sus funciones. Todos los miembros del equipo con acceso a datos suscriben acuerdos de confidencialidad de carácter indefinido. El equipo recibe formación periódica en materia de protección de datos, ciberseguridad y buenas prácticas en el manejo de información sensible. Cuando un miembro del equipo cesa su relación con Capital Counsel S.L., se procede a la revocación inmediata de todos sus accesos a sistemas y datos.
5.2 Procedimientos internos
Capital Counsel S.L. mantiene documentados los siguientes procedimientos internos, que son objeto de revisión anual: política interna de seguridad de la información, procedimiento de gestión y respuesta ante incidentes de seguridad, política de contraseñas y gestión de credenciales, y procedimiento de evaluación de proveedores y subencargados del tratamiento.
5.3 Gestión de subencargados
Antes de incorporar cualquier nuevo proveedor que pueda tener acceso a datos personales, Capital Counsel S.L. evalúa su nivel de seguridad, sus certificaciones y las garantías contractuales que ofrece. Se exige la firma de un Data Processing Agreement (DPA) conforme al art. 28 RGPD con todos los subencargados del tratamiento. La lista de subencargados autorizados es mantenida y actualizada de forma continua.
6.Evaluación de impacto (EIPD)
Para los tratamientos de datos que impliquen un alto riesgo para los derechos y libertades de las personas físicas, Capital Counsel S.L. realiza Evaluaciones de Impacto en la Protección de Datos (EIPD) con carácter previo al inicio del tratamiento, conforme al artículo 35 del RGPD y las directrices del Comité Europeo de Protección de Datos (CEPD).
El uso de inteligencia artificial para el procesamiento de documentación jurídica ha sido objeto de evaluación específica. Las conclusiones de dicha evaluación han dado lugar a las medidas de privacidad por diseño descritas en la Sección 3, en particular la política de eliminación inmediata de documentos subidos.
7.Gestión de incidentes de seguridad
7.1 Detección
Capital Counsel S.L. mantiene un sistema de monitorización continua de logs y eventos de seguridad. Las herramientas de monitorización generan alertas automáticas ante patrones anómalos de acceso, comportamientos sospechosos o indicios de compromiso. El equipo designado revisa estas alertas de forma periódica.
7.2 Respuesta
Ante la detección de un posible incidente de seguridad, se activa el procedimiento documentado de respuesta ante incidentes. Este protocolo incluye la evaluación inmediata del alcance y naturaleza del incidente, la contención de los sistemas afectados para evitar su propagación, la preservación de evidencias para el análisis posterior, y la activación del equipo de respuesta designado.
7.3 Notificación
En caso de brecha de seguridad que afecte a datos personales, Capital Counsel S.L. notificará a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde que tenga conocimiento de la brecha, conforme al artículo 33 del RGPD, salvo que sea improbable que la brecha suponga un riesgo para los derechos y libertades de las personas.
Cuando la brecha de seguridad sea susceptible de entrañar un alto riesgo para los derechos y libertades de los usuarios afectados, estos serán notificados sin dilación indebida, conforme al artículo 34 del RGPD, con una comunicación clara que describa el incidente, las categorías de datos afectados, las medidas adoptadas y las recomendaciones al usuario.
Todas las brechas de seguridad, independientemente de si requieren notificación a la autoridad de control, son documentadas internamente con indicación de sus efectos, las medidas correctivas adoptadas y el análisis de causa raíz, conforme al art. 33.5 RGPD.
7.4 Análisis post-incidente
Tras la resolución de cada incidente, Capital Counsel S.L. realiza un análisis de causa raíz para identificar las vulnerabilidades o deficiencias que lo originaron, implementa medidas correctivas para evitar su recurrencia, y actualiza los procedimientos internos si fuera necesario. Este proceso de mejora continua forma parte del ciclo de gestión de seguridad de la información.
8.Continuidad de negocio
Capital Counsel S.L. mantiene un plan de recuperación ante desastres que incluye: copias de seguridad automáticas diarias de todos los datos de carácter persistente, almacenadas en ubicaciones geográficamente distintas de los sistemas de producción; procedimientos documentados de restauración que son sometidos a pruebas periódicas para verificar su efectividad; y objetivos de tiempo de recuperación (RTO) y punto de recuperación (RPO) definidos y revisados anualmente.
9.Subencargados del tratamiento
A continuación se detalla la lista completa de subencargados del tratamiento autorizados por Capital Counsel S.L., con información sobre sus certificaciones de seguridad y los mecanismos de cobertura de las transferencias internacionales cuando corresponda.
Vercel Inc.
Infraestructura cloud y hosting
Ubicación: Estados Unidos (servidores preferentemente en Europa — Frankfurt)
Certificaciones: SOC 2 Type II ISO 27001
Transferencia internacional: Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea
Plataforma configurada para procesar datos preferentemente en la región europea.
Stripe Payments Europe, Ltd.
Procesamiento de pagos
Ubicación: Irlanda (Espacio Económico Europeo)
Certificaciones: PCI-DSS Level 1
Transferencia internacional: No aplica — entidad ubicada en el EEE
Entidad regulada por el Banco Central de Irlanda. Sin transferencia internacional.
Anthropic, PBC
Procesamiento de IA (generación y análisis de documentos)
Ubicación: Estados Unidos
Certificaciones: DPA firmado Compromiso de no entrenar con datos de API
Transferencia internacional: Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea
Los datos enviados a la API no se utilizan para entrenamiento de modelos.
Google Workspace
Correo electrónico corporativo
Ubicación: Estados Unidos (procesamiento potencialmente en varias regiones)
Certificaciones: ISO 27001 SOC 2 Type II DPA firmado
Transferencia internacional: Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea
Configuración de seguridad reforzada: 2FA obligatorio, gestión avanzada de dispositivos.
10.Auditorías y certificaciones
Capital Counsel S.L. está comprometida con la mejora continua de su postura de seguridad. En el corto plazo, realizamos revisiones internas periódicas de las medidas de seguridad implementadas y auditamos las certificaciones de nuestros subencargados del tratamiento.
En el medio plazo, Capital Counsel S.L. tiene previsto iniciar el proceso de obtención de la certificación ISO/IEC 27001 (Sistema de Gestión de Seguridad de la Información), que proporciona un marco reconocido internacionalmente para la gestión sistemática de la seguridad de la información. Este proceso de certificación se desarrollará en paralelo al crecimiento de la Plataforma y el equipo.
11.Derechos del usuario en materia de seguridad
Cualquier usuario de FounderDocs puede solicitar información adicional sobre las medidas de seguridad aplicadas a sus datos personales contactando con nosotros en hola@founder-docs.com.
Si tienes razones para creer que la seguridad de tus datos puede haberse visto comprometida, o si deseas reportar una vulnerabilidad de seguridad en la Plataforma, te invitamos a comunicárnoslo de inmediato a través del mismo correo electrónico. Trataremos tu comunicación con la máxima urgencia y confidencialidad.
Para el ejercicio de tus derechos como interesado (acceso, rectificación, supresión, oposición, limitación y portabilidad), consulta nuestra Política de Privacidad.
12.Contacto y reclamaciones
Consultas técnicas o de seguridad
hola@founder-docs.com — CAPITAL COUNSEL, S.L. · Avenida de América 4, 28028-Madrid
Reclamaciones formales ante la autoridad de control
Agencia Española de Protección de Datos (AEPD)
Web: www.aepd.es
Teléfono: 901 100 099