Alcance de esta política Scope of this policy
Esta política regula el tratamiento de datos personales en todo el ecosistema VeriMsg, operado por HOME & HEALTH FITNESS LOECHES, S.L. Cubre expresamente:
This policy governs the processing of personal data across the entire VeriMsg ecosystem, operated by HOME & HEALTH FITNESS LOECHES, S.L. It expressly covers:
- verimsg.com — sitio institucional y plataforma B2B TrustLayer.
- verimsg.com — institutional website and B2B TrustLayer platform.
- Scam or Legit — aplicación Android y canal consumer que consume el motor VeriMsg.
- Scam or Legit — Android application and consumer channel running on the VeriMsg engine.
- scamorlegit.es — sitio público de Scam or Legit y su blog asociado.
- scamorlegit.es — Scam or Legit public site and associated blog.
Las integraciones B2B formalizadas bajo contrato (pilotos estructurados y contrato anual TrustLayer) se rigen adicionalmente por el contrato bilateral y el anexo de tratamiento de datos correspondiente.
B2B integrations formalised under contract (structured pilots and the TrustLayer annual contract) are additionally governed by the bilateral contract and its corresponding data processing annex.
Datos recogidos Data collected
Sólo los necesarios para prestar el servicio. Ningún dato se recoge por defecto fuera de las siguientes categorías:
Only what is necessary to deliver the service. No data is collected by default outside the following categories:
- Datos de cuenta. Email, número de teléfono o identificador de Google, según el método de registro elegido en Scam or Legit.
- Account data. Email address, phone number or Google identifier, depending on the registration method chosen in Scam or Legit.
- Perfil de juego. Nombre de usuario, puntuación, vidas, racha y XP acumulado en Scam or Legit.
- Game profile. Username, score, lives, streak and accumulated XP in Scam or Legit.
- Contenido analizado. Textos, URLs e imágenes que el usuario envía voluntariamente al escáner para obtener un veredicto.
- Analysed content. Text, URLs and images the user voluntarily submits to the scanner in exchange for a verdict.
- Datos técnicos. Tipo de dispositivo, versión del sistema operativo, IP truncada y registros de errores.
- Technical data. Device type, operating system version, truncated IP and error logs.
- Formularios web. En pilot-request.html: nombre, email, teléfono, empresa, cargo, vertical y mensaje — sólo para leads B2B.
- Web forms. On pilot-request.html: name, email, phone, company, role, vertical and message — for B2B leads only.
No recogemos datos de navegación con fines publicitarios, cookies de terceros con seguimiento, ni datos biométricos, ni categorías especiales del art. 9 RGPD.
We do not collect browsing data for advertising purposes, third-party tracking cookies, biometric data, or special categories under Art. 9 GDPR.
Finalidad del tratamiento Purpose of processing
- Prestar el servicio de análisis de mensajes y detección de estafas.
- Deliver the message analysis and scam detection service.
- Gestionar la cuenta del usuario y el progreso en el juego educativo.
- Manage the user account and progress in the educational game.
- Mejorar la precisión del motor de verificación de forma anonimizada y agregada.
- Improve the accuracy of the verification engine on an anonymised, aggregated basis.
- Atender solicitudes de piloto B2B y contacto institucional.
- Handle B2B pilot requests and institutional contact.
- Enviar notificaciones operativas no promocionales (racha, recordatorios, actualizaciones de términos).
- Send non-promotional operational notifications (streak, reminders, terms updates).
No cedemos datos personales a terceros para fines publicitarios propios ni ajenos.
We do not share personal data with third parties for advertising purposes, neither our own nor anyone else's.
Base legal (RGPD) Legal basis (GDPR)
| Finalidad | Base (art. 6 RGPD) |
|---|---|
| Purpose | Basis (Art. 6 GDPR) |
| Prestación del servicio (cuenta, juego, escaneo) | 6.1.b · ejecución del contrato |
| Mejora del motor y seguridad antifraude | 6.1.f · interés legítimo |
| Notificaciones opcionales y emails de producto | 6.1.a · consentimiento |
| Atención de leads y formularios B2B | 6.1.b · medidas precontractuales |
| Obligaciones legales, fiscales y contables | 6.1.c · obligación legal |
| Service delivery (account, game, scanning) | 6.1.b · contract performance |
| Engine improvement and anti-fraud security | 6.1.f · legitimate interest |
| Opt-in notifications and product emails | 6.1.a · consent |
| B2B form submissions and lead handling | 6.1.b · pre-contractual measures |
| Legal, tax and accounting obligations | 6.1.c · legal obligation |
Contenido analizado por el motor Content analysed by the engine
Los textos, URLs e imágenes que el usuario envía al escáner se procesan en tiempo real para generar el veredicto. Sobre ese contenido:
Text, URLs and images submitted to the scanner are processed in real time to generate the verdict. Regarding that content:
- Se transmite siempre cifrado (TLS 1.3).
- It is always transmitted encrypted (TLS 1.3).
- Se somete a las once fases de verificación del motor y a modelos de IA contratados como encargados del tratamiento.
- It passes through the engine's eleven verification phases and through AI models contracted as data processors.
- No se almacena de forma permanente asociado a la identidad del usuario. Sólo se retienen metadatos operativos del veredicto y, en su caso, una muestra anonimizada con fines de mejora.
- It is not permanently stored tied to the user's identity. Only operational verdict metadata is retained, plus — where applicable — an anonymised sample for improvement purposes.
- Puede usarse de forma anonimizada y agregada para robustecer la detección.
- It may be used in anonymised, aggregated form to strengthen detection.
Recomendación firme: no incluyas contraseñas, datos bancarios completos, DNI/NIE ni cualquier otra información sensible innecesaria para el análisis.
Firm recommendation: do not include passwords, full banking details, national ID numbers, or any other sensitive information not needed for the analysis.
Encargados y subencargados Processors and sub-processors
Operamos con el número mínimo de proveedores necesarios para prestar el servicio. Los encargados del tratamiento habilitados están contractualizados conforme al art. 28 RGPD:
We operate with the minimum number of providers required to deliver the service. Authorised processors are contractually governed under Art. 28 GDPR:
| Proveedor | Finalidad | Ubicación datos |
|---|---|---|
| Provider | Purpose | Data location |
| Anthropic (vía API / OpenRouter) | Modelos IA para análisis textual | UE / EEUU * |
| Google — Gemini (vía OpenRouter) | Modelos IA para análisis multimodal | UE / EEUU * |
| OpenRouter | Enrutado de llamadas a modelos IA | EEUU * |
| Google Play Billing | Pasarela de compras in-app | Según términos Google |
| Infraestructura cloud | Hosting, base de datos, almacenamiento | Unión Europea |
| Anthropic (via API / OpenRouter) | AI models for textual analysis | EU / US * |
| Google — Gemini (via OpenRouter) | AI models for multimodal analysis | EU / US * |
| OpenRouter | Routing of AI model calls | US * |
| Google Play Billing | In-app purchase gateway | Per Google terms |
| Cloud infrastructure | Hosting, database, storage | European Union |
* Las transferencias internacionales se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) y, cuando aplica, en medidas técnicas adicionales (pseudonimización, cifrado en tránsito y en reposo).
* International transfers rely on the Standard Contractual Clauses approved by the European Commission (Decision 2021/914) and, where applicable, on supplementary technical measures (pseudonymisation, encryption in transit and at rest).
No vendemos datos personales. No se ceden a terceros para fines comerciales ajenos. Sólo compartimos datos con autoridades cuando una norma lo exige.
We do not sell personal data. It is not transferred to third parties for external commercial purposes. We only share data with authorities when required by law.
Almacenamiento y medidas de seguridad Storage and security measures
Los datos se alojan en infraestructura cloud europea con redundancia geográfica. Aplicamos medidas técnicas y organizativas conformes al art. 32 RGPD:
Data is hosted on European cloud infrastructure with geographic redundancy. We apply technical and organisational measures compliant with Art. 32 GDPR:
- Cifrado en tránsito TLS 1.3 en todas las comunicaciones públicas.
- TLS 1.3 encryption in transit for all public communications.
- Autenticación mediante tokens JWT firmados con caducidad breve.
- Authentication via short-lived signed JWT tokens.
- Segregación de datos por tenant en las integraciones B2B.
- Per-tenant data segregation for B2B integrations.
- Acceso restringido al personal autorizado, registro de auditoría y política de mínimo privilegio.
- Access restricted to authorised personnel, audit logging and least-privilege policy.
- Copias de seguridad cifradas y pruebas periódicas de restauración.
- Encrypted backups and periodic restore drills.
- Controles alineados con ISO 27001 — certificación en roadmap. No afirmamos certificaciones no obtenidas.
- Controls aligned with ISO 27001 — certification on roadmap. We do not claim certifications we have not obtained.
Plazos de conservación Retention periods
| Tipología | Conservación |
|---|---|
| Category | Retention |
| Datos de cuenta (activa) | Mientras exista la cuenta |
| Datos de cuenta (tras baja) | Hasta 24 meses · cumplimiento legal |
| Progreso de juego | Mientras la cuenta esté activa |
| Contenido analizado | No se retiene asociado a identidad |
| Logs técnicos y de seguridad | 90 días · excepto obligación legal |
| Leads B2B y comunicaciones comerciales | Hasta 36 meses · interés legítimo |
| Facturación y documentación fiscal | Según normativa fiscal española |
| Account data (active) | While the account exists |
| Account data (after deletion) | Up to 24 months · legal compliance |
| Game progress | While the account is active |
| Analysed content | Not retained tied to identity |
| Technical and security logs | 90 days · unless legally required |
| B2B leads and commercial communications | Up to 36 months · legitimate interest |
| Invoicing and tax documentation | Per Spanish tax regulation |
Derechos del interesado Data subject rights
Conforme a los arts. 15 a 22 RGPD, cualquier interesado puede ejercitar los siguientes derechos frente al responsable:
Pursuant to Arts. 15 to 22 GDPR, any data subject may exercise the following rights before the controller:
- Acceso. Obtener copia de los datos personales objeto de tratamiento.
- Access. Obtain a copy of the personal data being processed.
- Rectificación. Corregir datos inexactos o incompletos.
- Rectification. Correct inaccurate or incomplete data.
- Supresión. Eliminar la cuenta y los datos asociados (salvo obligación legal de conservación).
- Erasure. Delete the account and associated data (save where retention is legally required).
- Limitación. Restringir temporalmente el tratamiento.
- Restriction. Temporarily limit the processing.
- Portabilidad. Recibir los datos en formato estructurado y de uso común.
- Portability. Receive data in a structured, commonly used format.
- Oposición. Oponerse a tratamientos fundados en interés legítimo.
- Objection. Object to processing based on legitimate interest.
- Retirar consentimiento. Revocar consentimientos previos sin efectos retroactivos.
- Withdraw consent. Revoke prior consent with no retroactive effect.
El ejercicio se realiza escribiendo a hola@webpilot.es acreditando identidad. Responderemos en un plazo máximo de 30 días naturales. Para eliminar cuenta de Scam or Legit existe además el flujo auto-servicio en verimsg.com/delete-account.html.
Rights are exercised by writing to hola@webpilot.es, identity proof attached. We reply within a maximum of 30 calendar days. There is also a self-service deletion flow for Scam or Legit accounts at verimsg.com/delete-account.html.
Si consideras que el tratamiento vulnera el RGPD puedes presentar reclamación ante la Agencia Española de Protección de Datos.
If you believe the processing infringes GDPR you may file a complaint with the Spanish Data Protection Agency.
Menores de edad Minors
Scam or Legit no está dirigida a menores de 16 años. Si detectamos que un menor ha creado una cuenta sin consentimiento parental, procederemos a su eliminación inmediata. Para usuarios entre 14 y 16 años (límite permitido por la LOPDGDD) se exigirá consentimiento verificable de madre, padre o tutor legal.
Scam or Legit is not directed at children under 16. If we detect a minor has created an account without parental consent, we will immediately delete it. For users aged 14 to 16 (limit allowed by Spain's LOPDGDD) verifiable consent from a parent or legal guardian is required.
Cookies y tecnologías similares Cookies and similar technologies
El sitio verimsg.com utiliza únicamente cookies técnicas y de preferencia (por ejemplo, el selector de idioma) estrictamente necesarias para prestar el servicio solicitado. No utilizamos cookies publicitarias ni de seguimiento de terceros. No se requiere banner de consentimiento por aplicar la excepción técnica del art. 22.2 LSSI.
The site verimsg.com only uses strictly necessary technical and preference cookies (for instance, the language selector). We do not use advertising or third-party tracking cookies. No consent banner is required thanks to the technical exemption under Art. 22.2 LSSI.
La app Scam or Legit no usa cookies; utiliza almacenamiento local cifrado para la sesión del usuario.
The Scam or Legit app does not use cookies; it relies on encrypted local storage for user sessions.
Modificaciones Modifications
Podemos actualizar esta política para reflejar cambios normativos o en el servicio. Las modificaciones sustanciales se anunciarán con al menos 15 días de antelación por notificación en la app o por email al usuario registrado. La versión vigente siempre está disponible en esta URL.
We may update this policy to reflect regulatory or service changes. Material modifications will be announced at least 15 days in advance via in-app notice or email to the registered user. The version in force is always available at this URL.