Mumuk
Legal Privacidad y tratamiento de datos

Política de Privacidad de Mumuk

Esta versión traslada el contenido legal de la aplicación a la web comercial con una lectura más editorial, mejor jerarquía visual y una estructura pensada para consulta pública.

Última actualización: 9 de marzo de 2026 privacidad@mumukai.com

Resumen informativo

Primera capa RGPD y LOPDGDD

Responsable
Mumuk.
Finalidad
Prestación del servicio de gestión de mantenimiento inteligente, autenticación, comunicaciones operativas y atención de solicitudes comerciales.
Base legal
Ejecución del contrato, consentimiento e interés legítimo, según cada tratamiento.
Destinatarios
Proveedores de IA, infraestructura cloud, notificaciones, correo transaccional y formulario de contacto.
Derechos
Acceso, rectificación, supresión, limitación, portabilidad y oposición.
Contacto
privacidad@mumukai.com.

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales es Mumuk.

2. Datos que recopilamos

La política original de la aplicación es completa y técnicamente precisa. Para esta versión comercial se reorganiza por bloques de lectura para que un visitante entienda rápido qué datos se tratan y en qué contexto. Además, se incorpora el tratamiento específico derivado del formulario de contacto de la web comercial.

2.1. Datos de cuenta

  • Dirección de correo electrónico
  • Nombre y apellidos
  • Contraseña almacenada mediante hash bcrypt
  • Número de teléfono y foto de perfil, cuando se facilitan
  • Turno de trabajo, puesto, etiquetas de equipo y horas semanales

2.2. Solicitudes de contacto y demo

  • Nombre
  • Correo electrónico
  • Mensaje enviado a través del formulario de contacto o por correo directo
  • Metadatos técnicos mínimos asociados a la remisión del formulario

2.3. Datos de autenticación

  • Tokens JWT almacenados mediante hash SHA-256
  • Secretos TOTP cifrados y códigos de respaldo para 2FA
  • Identificador de Google, si el usuario utiliza OAuth
  • Dirección IP y user agent durante el inicio de sesión

2.4. Notificaciones push

  • Tokens de dispositivo FCM o APNs
  • Endpoints de Web Push y claves VAPID
  • Sistema operativo, modelo de dispositivo y canal de notificación

2.5. Fotografías y documentos

  • Fotografías capturadas desde el dispositivo
  • Documentos técnicos en formatos como PDF, Word o Excel
  • Archivos almacenados en servicios compatibles con S3
  • Límites orientativos: 25 MB por documento y 10 MB por fotografía

2.6. Datos operativos del cliente

Mumuk los trata como encargado del tratamiento.

  • Registros de equipos y activos
  • Tareas de mantenimiento y órdenes de trabajo
  • Inventario de repuestos
  • Procedimientos técnicos, averías, notas e inspecciones

2.7. Uso de IA y auditoría

Se registran métricas técnicas y eventos de seguridad.

Uso de IA

  • Tokens consumidos por modelo de IA
  • Coste estimado de uso
  • Identificador de sesión de conversación

Auditoría

  • Acción realizada y recurso afectado
  • Dirección IP de origen y user agent
  • Resultado de la operación y marca temporal

3. Finalidades del tratamiento y base legal

Cada tratamiento se apoya en una base jurídica definida conforme al artículo 6 del RGPD. Esta tabla es uno de los bloques más útiles de la política original y se conserva íntegramente en una presentación más legible.

Finalidad Base legal
Gestión de cuentas de usuario y autenticación Ejecución del contrato (art. 6.1.b RGPD)
Prestación del servicio de gestión de mantenimiento Ejecución del contrato (art. 6.1.b RGPD)
Atención de solicitudes comerciales, demos y contacto Aplicación de medidas precontractuales a petición del interesado (art. 6.1.b RGPD) o consentimiento, según el caso
Análisis asistido por inteligencia artificial Consentimiento (art. 6.1.a) o interés legítimo (art. 6.1.f)
Envío de notificaciones push Consentimiento (art. 6.1.a)
Inicio de sesión con Google Consentimiento (art. 6.1.a)
Captura y almacenamiento de fotografías Ejecución del contrato (art. 6.1.b RGPD)
Registro de auditoría y seguridad Interés legítimo (art. 6.1.f) y obligación legal (art. 6.1.c)
Monitorización de errores Interés legítimo (art. 6.1.f)
Correos transaccionales Ejecución del contrato (art. 6.1.b RGPD)

Cuando la base legal sea el consentimiento, podrá retirarse en cualquier momento. Cuando el tratamiento se base en interés legítimo, Mumuk pondera previamente ese interés frente a los derechos y libertades de los usuarios.

4. Destinatarios y terceros

Para prestar el servicio, Mumuk utiliza subencargados y proveedores especializados en IA, almacenamiento, mensajería y observabilidad.

Proveedor Datos compartidos Finalidad Ubicación
Anthropic (Claude) Descripciones de tareas, datos de equipos, documentos y notas Análisis de mantenimiento por IA Estados Unidos
OpenAI (GPT) Mismos datos que Anthropic cuando actúa como proveedor alternativo Análisis de mantenimiento por IA Estados Unidos
Voyage AI Nombres y descripciones de equipos, texto técnico Embeddings y búsqueda semántica Estados Unidos
Google Firebase Tokens de dispositivo y metadatos de entrega Notificaciones push Estados Unidos
Google OAuth Correo electrónico, nombre e identificador de cuenta Google Inicio de sesión con Google Estados Unidos
Sentry Trazas de error, contexto de petición e identificador de usuario Monitorización y resolución de errores Estados Unidos o UE
Proveedor S3 Documentos y fotografías subidos por los usuarios Almacenamiento de archivos Según configuración
Proveedor SMTP Correo electrónico, nombre y tokens de invitación Correos transaccionales Según proveedor
Web3Forms Nombre, correo electrónico, mensaje y datos técnicos del formulario Recepción técnica de formularios de contacto de la web comercial Según infraestructura del proveedor
Proveedor de hosting Datos de la plataforma Alojamiento de infraestructura UE (Hetzner, Alemania)
Nota importante: según las políticas vigentes de uso de API, OpenAI no usa por defecto los datos de API para entrenar o mejorar sus modelos y Anthropic mantiene esa misma regla para clientes comerciales y API, salvo que exista una adhesión expresa a programas de mejora.

5. Transferencias internacionales de datos

Algunos proveedores indicados anteriormente están ubicados en Estados Unidos. Estas transferencias se apoyan en los mecanismos previstos en los artículos 44 a 49 del RGPD.

  • Marco de Privacidad de Datos UE-EE. UU.: cuando el proveedor esté adherido a este marco.
  • Cláusulas Contractuales Tipo: cuando proceda, junto con medidas suplementarias derivadas del análisis de riesgo.

Puede solicitar información adicional sobre las garantías aplicadas escribiendo a privacidad@mumukai.com.

6. Plazos de conservación

Tipo de dato Plazo de conservación
Datos de cuenta Mientras la cuenta permanezca activa
Datos de formularios de contacto Durante el tiempo necesario para atender la solicitud y realizar el seguimiento comercial o contractual asociado
Sesiones activas 7 días
Tokens de verificación de contraseña 1 hora
Tokens de verificación por correo 24 horas
Tokens de verificación 2FA 5 minutos
Suscripciones push Mientras permanezcan activas
Documentos y fotografías Mientras el tenant u organización esté activo
Registros de auditoría Indefinido, anonimizados tras la eliminación de la cuenta
Datos de uso de IA Duración del contrato de servicio
Datos en caché 1 hora
Invitaciones 7 días

Una vez finalizado el plazo aplicable, los datos se eliminan o se anonimizan de forma irreversible, salvo que exista una obligación legal de conservación adicional.

7. Derechos del interesado

  • Acceder a sus datos personales.
  • Rectificar datos inexactos o incompletos.
  • Solicitar la supresión cuando proceda.
  • Limitar el tratamiento en determinados supuestos.
  • Recibir sus datos en un formato estructurado y portable.
  • Oponerse al tratamiento basado en interés legítimo.
  • No quedar sujeto a decisiones automatizadas con efectos jurídicos significativos.
  • Retirar el consentimiento cuando sea la base legal aplicable.

Cómo ejercerlos

Puede ejercer cualquiera de estos derechos escribiendo a privacidad@mumukai.com e indicando el derecho que desea ejercer, su identificación y cualquier dato adicional que facilite localizar la información.

Mumuk responderá en un plazo máximo de 30 días, ampliable cuando la solicitud sea compleja o numerosa.

Autoridad de control

Si considera que el tratamiento no se ajusta a la normativa vigente, puede reclamar ante la Agencia Española de Protección de Datos.

8. Eliminación de cuenta

La eliminación de cuenta requiere verificación de identidad. Por integridad referencial, la política prevé anonimización irreversible en lugar de borrado físico completo.

Dato Resultado de la anonimización
Correo electrónico Sustituido por una dirección aleatoria @deleted.imms.local
Nombre y apellidos Sustituidos por [ELIMINADO]
Número de teléfono Eliminado
Direcciones IP Sustituidas por 0.0.0.0
User agents Sustituidos por [ANONYMIZED]
  • Se eliminan sesiones activas y suscripciones push.
  • Se elimina el historial de conversaciones con IA.
  • Los registros de auditoría se conservan con el contexto personal anonimizado.
  • Los datos operativos se atribuyen al usuario anonimizado para preservar el historial organizativo.
  • Se registra la marca temporal gdpr_deleted_at para evidenciar la solicitud.

9. Inteligencia artificial y decisiones automatizadas

Mumuk integra IA para apoyar tareas de mantenimiento, análisis documental y búsqueda semántica. La política actual identifica tres proveedores: Anthropic, OpenAI y Voyage AI.

Datos que pueden enviarse

  • Descripciones de tareas de mantenimiento.
  • Especificaciones y datos de equipos.
  • Notas, inspecciones y contenido de documentos técnicos.

Garantías aplicables

  • Los resultados generados por IA tienen carácter orientativo y no sustituyen la decisión humana.
  • No se adoptan decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos sobre las personas.
  • El usuario puede solicitar revisión humana de cualquier recomendación generada por IA.
  • Los datos enviados a través de API de Anthropic y OpenAI no se usan para entrenar modelos, según sus políticas vigentes.
  • La aplicación informa de forma visible cuando el usuario interactúa con funcionalidades de IA.

10. Notificaciones push

  • Requieren consentimiento previo del usuario.
  • En iOS y Android se utiliza Firebase Cloud Messaging.
  • En web se utiliza Web Push con cifrado VAPID.
  • Los tokens se almacenan de forma segura y pueden eliminarse desactivando las notificaciones.
  • Se permiten hasta 10 suscripciones activas por usuario.

11. Cookies y tecnologías de seguimiento

Mumuk utiliza cookies técnicas estrictamente necesarias para autenticación y para el flujo temporal de OAuth.

  • Cookies de sesión HttpOnly: necesarias para el funcionamiento del servicio.
  • Cookies de sesión OAuth firmadas: temporales, con una duración máxima de 30 minutos.

Mumuk no utiliza cookies de marketing, analítica de terceros ni servicios equivalentes a Google Analytics.

Al tratarse de cookies estrictamente necesarias, quedan exentas del consentimiento previo conforme al artículo 22.2 de la LSSI.

12. Uso de la cámara

  • El acceso requiere autorización explícita del usuario.
  • Se utiliza para documentar tareas, notas, inspecciones y estado de equipos.
  • Las fotografías se almacenan en infraestructura S3 segura.
  • No se procesan con IA salvo que formen parte de un análisis documental solicitado expresamente.
  • La aplicación no accede libremente a la galería del dispositivo.

13. Inicio de sesión con Google

  • Es una funcionalidad opcional.
  • Los datos recibidos son correo electrónico, nombre e identificador de cuenta Google.
  • Su uso está limitado a autenticación; no se accede a contactos, calendario ni otros servicios.
  • La cuenta puede desvincularse desde la configuración de seguridad de la aplicación.
  • Cuando se usa Google como autenticador principal, la verificación 2FA propia puede omitirse.

14. Modelo de acceso por invitación

Mumuk opera sin registro público. El acceso se produce mediante invitación.

  • El administrador de plataforma invita a organizaciones.
  • Los gestores de cada organización invitan a los miembros de su equipo.
  • Los tokens de invitación tienen validez de 7 días.

15. Rol de responsable y encargado del tratamiento

Mumuk como responsable

  • Datos de cuenta de usuario y autenticación.
  • Datos de sesión y seguridad.
  • Operación y mantenimiento de la plataforma.

Mumuk como encargado

Respecto de equipos, tareas, documentos, inventario y procedimientos empresariales, Mumuk actúa como encargado del tratamiento.

  • La relación con cada cliente se regula mediante un acuerdo de encargo de tratamiento.
  • Los subencargados están identificados en la sección de destinatarios y terceros.

16. Medidas de seguridad

Autenticación

  • Contraseñas con hash bcrypt.
  • Tokens de sesión con hash SHA-256.
  • Autenticación de dos factores disponible.

Comunicaciones

  • Tráfico cifrado mediante TLS/HTTPS.
  • Web Push cifrado con VAPID.

Plataforma

  • Aislamiento multi-tenant.
  • Control de acceso basado en roles.
  • Limitación de tasa de peticiones en autenticación.
  • Cabeceras de seguridad y auditoría completa.
  • Actualizaciones de seguridad periódicas.

17. Menores de edad

Mumuk es un servicio B2B de uso profesional y no está orientado a menores.

  • Cuando el tratamiento se base en consentimiento y resulte aplicable la normativa española, la referencia legal es 14 años.
  • No se recopilan conscientemente datos de menores.
  • Si se detectara un tratamiento indebido, los datos se eliminarían de inmediato.

18. Derecho a la desconexión digital

  • La aplicación permite configurar o desactivar notificaciones push.
  • Se recomienda a las organizaciones definir horarios y políticas internas de envío.
  • La organización cliente es responsable de implantar sus políticas laborales aplicables.

19. Modificaciones de esta política

  • Mumuk podrá actualizar esta política por cambios legales, jurisprudenciales o de negocio.
  • Los cambios se comunicarán por correo electrónico y/o dentro de la aplicación cuando proceda.
  • Si cambian las bases legales aplicables, se solicitará nuevo consentimiento cuando sea necesario.
  • La fecha de última actualización se muestra al inicio del documento.

20. Contacto

Para cualquier cuestión relacionada con esta política o con el tratamiento de datos personales, puede escribir a privacidad@mumukai.com.

Si desea ejercer derechos, indique el derecho concreto, su identificación completa y cualquier información útil para tramitar la solicitud.