POLITICA DE PRIVACIDAD

Version: 2026-06-15

Vigente desde: 15/6/2026

Ver archivo de versiones

En cumplimiento de lo dispuesto en el Reglamento (UE) 2016/679 ("RGPD") y la Ley Orgánica 3/2018 ("LOPDGDD"), se informa a los usuarios de la presente Política de Privacidad.

El acceso y uso del sitio web y de la aplicación móvil SPRK (en adelante, la "Aplicación") implica que el usuario ha leído y comprendido la presente Política de Privacidad. Se recomienda su lectura detenida antes de facilitar cualquier dato personal.

Quién es el responsable del tratamiento

  • Responsable del tratamiento: SPRK SOFTWARE & TECH, S.L. (en adelante, la "Empresa" o "SPRK").
  • NIF: B22481048.
  • Domicilio social: C/ Padua, 78, 08006 Barcelona (España).
  • Correo electrónico de contacto: mail@sprkplatform.com

Quiénes son los interesados

La presente Política de Privacidad es aplicable a los tratamientos de datos personales que el Responsable del tratamiento lleva a cabo respecto a los usuarios de la Aplicación. Esto comprende a las personas físicas que utilizan la Aplicación, o muestran interés en la misma, y llevan a cabo acciones como, por ejemplo, (i) contacto con SPRK a través de formularios; (ii) uso o prueba del sitio web o de la aplicación móvil SPRK; (iii) inscripción en listas de espera o en newsletters para recibir información sobre la Aplicación; o (iv) conexión de las cuentas bancarias a la plataforma SPRK (en adelante, los "Usuarios").

Qué datos personales tratamos

La Empresa trata los datos personales que el Usuario facilita de forma voluntaria a través del sitio web, la Aplicación y los canales habilitados, así como aquellos generados como consecuencia del uso del servicio.

Las categorías de datos tratadas son:

  • Datos identificativos y de contacto: nombre, apellidos, correo electrónico, teléfono (si se facilita) y código postal, fecha de nacimiento.
  • Datos de cuenta: credenciales de acceso (logs y contraseña almacenada de forma cifrada), fecha de registro, preferencias de configuración, identificadores de sesión y acceso (identificadores de Google Auth y Apple ID) y metadatos de sesión.
  • Datos financieros de clientes, obtenidos mediante Open Banking: información de cuentas bancarias (IBAN/número de cuenta, entidad bancaria, saldos, movimientos/transacciones, conceptos, categorías de gasto asignadas por IA, fechas, importes) e identificadores técnicos de Open Banking, obtenidos a través de APIs de Open Banking (AISP). En el caso de transferencias, pueden incluirse datos de terceros (nombre del destinatario o remitente). En ningún caso se almacenan credenciales bancarias ni datos que permitan realizar transacciones en las cuentas del Usuario. SPRK opera exclusivamente en modo lectura.
  • Datos generados por SPRK: KPIs financieros, categorías predichas, etiquetas de comercio, métricas agregadas (ingresos/gastos por mes/categoría), insights y recomendaciones personalizadas.
  • Datos generados por IA: categoría asignada, nivel de confianza, tipo de gasto, recurrencia estimada, próxima fecha esperada, importe típico, modelo utilizado.
  • Datos técnicos y de navegación: datos técnicos del dispositivo y navegador, datos agregados y anonimizados sobre el uso del sitio web y la Aplicación, identificadores de cookies conforme a la Política de Cookies, patrones de uso y comportamiento y dirección IP anonimizada, eventos de seguridad.
  • Otros datos facilitados voluntariamente por el interesado: contenido de mensajes o consultas remitidas voluntariamente por el interesado.

Con qué finalidad tratamos los datos y bajo qué base de licitud

Los datos personales se tratarán con las siguientes finalidades y bases de licitud:

Tratamiento de datosFinalidadBase de Licitud
Gestión de usuarios interesados (lista de espera, newsletter y contacto)Gestionar las solicitudes de información, el alta en listas de espera y el envío de comunicaciones informativas a los interesados sobre el desarrollo, pruebas y lanzamiento de la plataforma, así como atender consultas remitidas a través de los formularios de contacto.Consentimiento explícito del interesado (art. 6.1.a RGPD)
Registro y gestión de cuentas de usuarioCrear cuentas de usuario, permitir el acceso a la plataforma, autenticación mediante proveedor externo, gestión del perfil y prestación de los servicios ofrecidos por la aplicación.Ejecución de un contrato (art. 6.1.b RGPD)
Conexión bancaria Open Banking (AISP – Yapily)Acceder a información financiera del usuario para el análisis de su situación económica, planificación mensual, categorización de gastos y personalización de la experiencia dentro de la aplicación.Consentimiento explícito del usuario (art. 6.1.a RGPD y art. 39.1.a normativa PSD2)
Atención al cliente y soporte de usuarios y testersGestionar y responder a consultas, incidencias técnicas o funcionales y solicitudes de soporte remitidas por los usuarios a través de los canales habilitados.Consentimiento del interesado (art. 6.1.a RGPD)
Seguridad de la plataforma y prevención de fraudeGarantizar la seguridad de la plataforma, prevenir accesos no autorizados, detectar actividades fraudulentas o maliciosas, proteger la información financiera de los usuarios y asegurar la integridad de los sistemas.Interés legítimo del responsable (art. 6.1.f RGPD), en detectar actividades fraudulentas o maliciosas. Cumplimiento de obligaciones legales (art. 6.1.c RGPD), seguridad de la plataforma, prevenir accesos no autorizados, proteger la información financiera y asegurar la integridad de los sistemas.
Generación de resúmenes e insights financierosAnálisis automatizado de la información financiera del usuario obtenida mediante Open Banking (T3) para la generación de resúmenes, planificación financiera, insights y recomendaciones y visualizaciones agregadas por categoría, comercio y periodo.Ejecución de un contrato (art. 6.1.b RGPD). Consentimiento explícito del usuario (art. 6.1.a RGPD).
Análisis estadístico y mejora del producto, optimización de funcionalidades y personalización de la experiencia de usuarioAnálisis estadístico y mejora del producto, optimización de funcionalidades y personalización de la experiencia de usuario mediante el uso de datos financieros y de uso seudonimizados y agregados, sin identificación directa de los usuarios.Interés legítimo del responsable (art. 6.1.f RGPD), para la mejora del servicio y desarrollo de funcionalidades.
Generación de informes estadísticos y modelos para análisis interno, mejora de producto y, en su caso, elaboración de informes estadísticos para clientesGeneración de informes estadísticos y modelos analíticos a partir de datos financieros y de uso seudonimizados y agregados para análisis interno, mejora de producto y elaboración de informes estadísticos.Interés legítimo del responsable (art. 6.1.f RGPD), para mejorar el producto y elaboración de informes estadísticos.

Uso de inteligencia artificial

SPRK categoriza todas las transacciones mediante sistemas internos propios: reglas predefinidas, bases de conocimiento de comercios, patrones de descripción, códigos MCC y modelos de aprendizaje automático (XGBoost). Todo el procesamiento se realiza íntegramente en los servidores de SPRK (AWS Frankfurt, dentro de la UE), sin enviar datos de transacciones a ningún proveedor externo.

Destinatarios y encargados del tratamiento

Los datos podrán ser comunicados a los siguientes destinatarios que actúan como encargados del tratamiento, con los que la Empresa ha formalizado los correspondientes contratos de encargo de tratamiento (DPA). Los datos no serán comunicados a terceros adicionales, salvo obligación legal.

  • Railway Corporation (EEUU): proveedor del Backend y lógica de negocio.
  • Twilio Inc (EEUU): proveedor del sistema de verificación de identidad del Usuario mediante código SMS.
  • Yapily Ltd (Reino Unido): proveedor de servicios de Open Banking.
  • Google Cloud (Global): proveedor de autenticación de usuarios.
  • Google Analytics (EEUU): proveedor de servicios de analítica web.
  • Amazon Web Services (Luxemburgo/Alemania): alojamiento de infraestructura y bases de datos.
  • Yapily Connect UAB (Vilna, Lituania (UE)): proveedor AISP, acceso a datos bancarios.
  • Apple (Global): proveedor de autenticación de usuarios (Sign in with Apple). Los datos también podrán ser comunicados a Apple. Sin embargo, la posición pública de Apple es que actúa como responsable independiente (no como encargado) en la relación con el usuario final vía App Store y TestFlight, con su propia política de privacidad y bases jurídicas.

Transferencias internacionales de datos

Los tratamientos que impliquen comunicaciones de datos con los siguientes destinatarios podrán llegar a implicar, dependiendo de cada caso concreto, transferencias internacionales de datos. Sin embargo, en cada uno de los contratos, términos o condiciones suscritos por dichos destinatarios y aceptados por SPRK, se recogen las correspondientes garantías en materia de transferencias internaciones de datos.

  • Railway Corporation (EEUU): SCC - Decisión de la Comisión Europea 2021/914.
  • Twilio Inc (EEUU): SCC - Decisión de la Comisión Europea 2021/914.
  • Yapily Ltd (Reino Unido): Decisión de adecuación de la Comisión Europea (Decisión de Ejecución (UE) 2021/1772). Complementariamente, en el DPA suscrito entre SPRK y Yapily Ltd se regula que, en caso de transferirse datos personales fuera del Reino Unido y/o del EEE, y a no ser que dichas transferencias cuenten, para cada caso, con decisiones de adecuación, se deberán suscribir las correspondientes Cláusulas Contractuales Estándar (SCCs), de acuerdo con lo dispuesto en la Decisión de Ejecución (UE) 2021/914.
  • Google Cloud (Global): SCC - Decisión de la Comisión Europea 2021/914: para aquellos datos que no provengan de la UE.
  • Google Analytics (EEUU): Para Google Analytics aplican los Data Processing Terms de Google, que se aceptan en la propia cuenta de usuario "GA Admin". Los Data Processing Terms de Google determinan que Google podrá tratar Datos Personales del Cliente en cualquier país en el que Google o sus Subencargados del Tratamiento tengan instalaciones. Para ello, en su "Apéndice 3: Términos Adicionales para la Legislación Aplicable de Protección de Datos" se recogen todas las disposiciones en materia de transferencias y cesión de datos, tanto en el Espacio Económico Europeo (EEE), como respecto de las transferencias internacionales, para las que se recogen las SCC aplicables en cada caso.
  • Apple (Global): Standard Contractual Clauses, para aquellos datos que no provengan de la UE. Disponibles bajo solicitud en apple.com/legal/privacy/contact. Mantienen además certificaciones ISO 27001 e ISO 27018.
  • Amazon Web Services (UE): no implica una transferencia internacional de datos, ya que se encuentran alojados en eu-central-1 (Frankfurt, Alemania), dentro del EEE.
  • Yapily Connect UAB (UE): no implica una transferencia internacional de datos, ya que se encuentran alojados en Vilna, Lituania, dentro del EEE.

Durante cuánto tiempo conservamos los datos

  • Gestión de Usuarios interesados (lista de espera, newsletter y contacto). Los datos personales serán conservados mientras que el interesado no retire su consentimiento, y con una duración máxima de 24 meses desde su recogida. Cuando un interesado revoque su consentimiento, o cuando haya sido superado dicho plazo, los datos podrán mantenerse, debidamente bloqueados, por un plazo adicional de 3 años (Art. 72 LOPDGDD). Superado dicho plazo, los datos deberán suprimirse definitivamente.
  • Registro y gestión de cuentas de Usuario, lo que incluye la gestión del perfil, la prestación del servicio SPRK y la verificación de identidad del Usuario mediante código SMS (Twilio). Los datos personales serán conservados mientras la cuenta del usuario permanezca activa. Tras su eliminación, los datos podrán mantenerse conservados, debidamente bloqueados, por un plazo adicional de 3 años (Art. 72 LOPDGDD). Superado dicho plazo, los datos deberán suprimirse definitivamente.
  • Acceso a información de cuentas bancarias, sincronización, vinculación de cuentas con la aplicación SPRK y categorización automática de transacciones. Los consentimientos de acceso a datos bancarios caducarán y deberán renovarse cada 90 días (Art. 97 de la Directiva (UE) 2015/2366 PSD2 y su desarrollo mediante el art. 10 del Reglamento Delegado UE (2018/389)).
  • Atención al cliente y soporte de Usuarios y testers. Los datos personales serán conservados durante el tiempo necesario para la resolución de la consulta y, posteriormente, podrán mantenerse conservados, debidamente bloqueados, por un plazo adicional de 3 años (Art. 72 LOPDGDD). Superado dicho plazo, los datos deberán suprimirse definitivamente.
  • Garantizar la seguridad de la plataforma, prevenir accesos no autorizados, detectar actividades fraudulentas o maliciosas, proteger la información financiera de los usuarios y asegurar la integridad de los sistemas. Los datos personales serán conservados por un plazo de 12 meses desde su generación en la plataforma, entendiéndose como un plazo razonable para el análisis de la situación que puedan dar lugar a incidencias de seguridad. Superado dicho plazo, podrán mantenerse debidamente bloqueados durante un período adicional de 3 años (Art. 72 LOPDGDD). Superado dicho plazo, los datos deberán suprimirse definitivamente.
  • Análisis de patrones de gasto e ingresos para generar resúmenes e insights financieros personalizados. Los datos personales serán conservados mientras el usuario mantenga activa su cuenta en SPRK. Tras la solicitud de eliminación de cuenta, se podrán conservar los datos, debidamente bloqueados, por un plazo adicional de 3 años (Art. 72 LOPDGDD). Superado dicho plazo, los datos deberán suprimirse definitivamente. Los datos derivados (insights, etiquetas de categorización generadas) se eliminan junto con los datos fuente.
  • Análisis estadístico y mejora del producto, optimización de funcionalidades y personalización de la experiencia de usuario. Una vez que se hayan concluido las labores de análisis, mejora de producto y personalización, los datos seudonimizados se conservarán, debidamente bloqueados y separados de la información adicional que permita la reidentificación, por un plazo máximo de 3 años (Art. 72 LOPDGDD). Superado dicho plazo, los datos deberán suprimirse definitivamente.
  • Generación de informes estadísticos y modelos analíticos para análisis interno, mejora de producto y, en su caso, elaboración de informes estadísticos para clientes. Una vez que se hayan concluido las labores de generación de informes estadísticos y modelos analíticos para las finalidades descritas, los datos agregados y seudonimizados se conservarán, debidamente bloqueados y separados de la información adicional que permita la reidentificación, por un plazo máximo de 3 años (Art. 72 LOPDGDD). Superado dicho plazo, los datos deberán suprimirse definitivamente.

Derechos del Usuario

El Usuario tiene derecho a ejercer los siguientes derechos sobre sus datos personales:

  • Acceso.
  • Rectificación.
  • Supresión.
  • Oposición.
  • Limitación del tratamiento.
  • Portabilidad de los datos.
  • Derecho a no ser objeto de decisiones individuales automatizadas.

Para ejercer estos derechos, el Usuario puede: (i) enviar un correo electrónico a mail@sprkplatform.com, o (ii) enviar dicha solicitud a la dirección postal de SPRK sita en la calle Padua, 78, 08006 Barcelona (España).

Igualmente, en los casos en los que el Usuario haya otorgado su consentimiento para alguno de los tratamientos descritos en esta Política, podrá revocar dichos consentimientos, a su entera discreción y en cualquier momento.

Si el Usuario considera que sus derechos no han sido atendidos correctamente, puede presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

Supresión de cuenta

El Usuario puede solicitar la eliminación de su cuenta y de todos los datos personales asociados en cualquier momento a través de la opción disponible en la Aplicación o mediante solicitud por correo electrónico a mail@sprkplatform.com. Para más información, consulte https://sprkgpt.com/delete-account.

Medidas de seguridad

La Empresa ha adoptado medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo cifrado en tránsito y reposo, control de acceso basado en roles y monitorización de seguridad periódica.

Modificación de la política

La Empresa podrá modificar esta Política de Privacidad para adaptarla a cambios normativos o de funcionamiento interno. Las modificaciones se publicarán en esta misma página y en la Aplicación.

Fecha de actualización: junio 2026