
Asistente Legal con Inteligencia Artificial
Documento completo de funcionalidades, arquitectura de seguridad y cumplimiento normativo de la plataforma VindicAI.
Desarrollado por

Funcionalidades de la Plataforma
Motor de conversación con inteligencia artificial especializado en Derecho español. Respuestas fundamentadas en legislación vigente con citas específicas a artículos.
Tres niveles de agente seleccionables según la complejidad de la consulta y el consumo de créditos.
| Agente | Modelo IA | Tokens máx. | Créditos | Uso recomendado |
|---|---|---|---|---|
| VindicAI Becario | Gemini 2.0 Flash | 2.000 | ×0.5 | Consultas rápidas y sencillas |
| VindicAI Senior | Claude Sonnet 4 | 4.000 | ×1 | Análisis riguroso, equilibrado |
| VindicAI Investigador | Claude Opus 4 | 8.000 | ×3 | Máxima profundidad, casos complejos |
Generación automática de documentos profesionales directamente desde el chat, listos para descargar.
Organización del trabajo jurídico por expedientes o asuntos, con chats y archivos vinculados.
Almacenamiento seguro en la nube con subida directa y análisis por IA.
Sistema de conocimiento personalizable que se inyecta en cada interacción con la IA.
Campo de texto libre donde el profesional almacena información sobre sí mismo, su despacho y su estilo.
Conexión bidireccional con Vindica CRM mediante Model Context Protocol (JSON-RPC 2.0).
Búsqueda automática de sentencias relevantes en cada interacción.
Panel de control para el superadmin con gestión completa de usuarios y estadísticas.
Cada plan incluye una asignación mensual de créditos. Los créditos se consumen por interacción según el agente utilizado.
| Plan | Créditos/mes | Agentes disponibles | Precio |
|---|---|---|---|
| Gratuito | 100 | Becario | 0€/mes |
| Profesional | 1.500 | Becario, Senior, Investigador | 49€/mes |
| Equipos | 5.000 | Todos + Admin | 99€/mes |
💡 Packs de créditos extra: 200 (9€) · 500 (19€) · 1.500 (49€). Se suman al saldo y no caducan.
VindicAI es una Progressive Web App instalable en cualquier dispositivo.
Anexo de Seguridad y Cumplimiento Normativo
Todos los datos de VindicAI se almacenan y procesan íntegramente dentro de la Unión Europea, garantizando el pleno cumplimiento del RGPD y eliminando cualquier transferencia internacional de datos.
VindicAI utiliza una arquitectura de seguridad multicapa con defensa en profundidad, donde cada componente opera con controles de acceso estrictos y el principio de mínimo privilegio.
| Capa | Tecnología | Descripción |
|---|---|---|
| Red | Cloudflare CDN + WAF | Protección DDoS, filtrado de tráfico malicioso, rate limiting y firewall de aplicaciones web. |
| Transporte | TLS 1.2/1.3 + HTTPS | Todo el tráfico cifrado obligatoriamente. Certificados SSL gestionados automáticamente con renovación continua. |
| Autenticación | JWT + bcrypt (coste 12) | Tokens firmados con secreto del servidor. Contraseñas hasheadas con bcrypt (factor de coste 12), algoritmo irreversible. |
| Autorización | RBAC + Middleware | Control de acceso basado en roles (usuario/admin). Validación de sesión en cada endpoint API sin excepción. |
| Datos en reposo (BD) | Supabase PostgreSQL + AES-256 | Base de datos cifrada en reposo con AES-256 en servidores europeos (Fráncfort). Conexiones SSL obligatorias. |
| Datos en reposo (archivos) | Cloud Storage + AES-256 | Archivos cifrados del lado del servidor con AES-256. Buckets privados con acceso autenticado. |
| URLs temporales | Pre-firmadas (1h) | Acceso a archivos mediante URLs con firma criptográfica y expiración temporal. |
| Anti-CSRF | Tokens CSRF | Protección contra falsificación de solicitudes en todos los formularios y acciones de escritura. |
| Cabeceras HTTP | Strict-Transport-Security | HSTS, X-Content-Type-Options, X-Frame-Options para prevenir ataques XSS y clickjacking. |
VindicAI aplica cifrado en todas las capas del sistema, tanto en tránsito como en reposo, garantizando la confidencialidad de la información en todo momento.
Cada archivo sigue un ciclo de vida controlado desde la subida hasta la eliminación, con medidas de seguridad en cada fase.
| Fase | Medida de seguridad |
|---|---|
| 1. Solicitud de subida | Autenticación JWT obligatoria. Sin sesión válida → rechazo (HTTP 401). Se verifica que el usuario es propietario del proyecto. |
| 2. URL pre-firmada | URL temporal (1 hora de vigencia) con firma criptográfica. Solo permite operación PUT a una ruta específica del usuario. |
| 3. Subida directa | El archivo se envía directamente al almacenamiento cloud (sin pasar por el servidor de aplicación). Cifrado TLS en tránsito. Content-Type verificado. |
| 4. Almacenamiento | Cifrado AES-256 del lado del servidor. Bucket privado sin acceso público. Ubicación: Unión Europea (Fráncfort). |
| 5. Registro en BD | Solo se almacena la ruta del archivo (cloud_storage_path) en Supabase. El binario nunca se almacena en la base de datos. |
| 6. Acceso/Descarga | URL pre-firmada temporal (1 hora). Requiere autenticación. Se verifica que el solicitante es el propietario del archivo. |
| 7. Eliminación | Eliminación definitiva tanto del almacenamiento cloud como del registro en base de datos. Sin periodo de retención tras eliminación por el usuario. |
VindicAI está diseñado con el principio de «privacidad por diseño y por defecto» (art. 25 RGPD). La protección de datos no es una capa adicional, sino parte integral de la arquitectura.
VindicAI ha sido diseñado para cumplir íntegramente con la normativa europea y española de protección de datos, servicios digitales e inteligencia artificial.
| Normativa | Artículo / Referencia | Implementación en VindicAI |
|---|---|---|
| RGPD Art. 5 | Principios del tratamiento | Minimización de datos, exactitud, limitación de la finalidad y de la conservación. Solo se recopilan los datos estrictamente necesarios. |
| RGPD Art. 6 | Licitud del tratamiento | Bases jurídicas: ejecución del contrato (prestación del servicio), consentimiento explícito (cookies no esenciales) e interés legítimo (seguridad). |
| RGPD Art. 13-14 | Información al interesado | Política de privacidad pública y accesible. Banner de cookies con consentimiento granular (esenciales / analíticas / marketing). Información clara sobre el responsable del tratamiento. |
| RGPD Art. 15-22 | Derechos ARSULIPO | Acceso, rectificación, supresión, limitación, portabilidad, oposición — ejercitables por el usuario directamente o mediante solicitud al DPO. |
| RGPD Art. 25 | Privacidad por diseño | Arquitectura diseñada desde cero con privacidad integrada: aislamiento de datos, cifrado por defecto, minimización de datos. |
| RGPD Art. 28 | Encargado del tratamiento | Contratos de procesamiento de datos (DPA) vigentes con todos los proveedores de infraestructura: Supabase, proveedor de almacenamiento cloud, proveedor de IA. |
| RGPD Art. 32 | Medidas de seguridad | Cifrado AES-256, seudonimización, control de acceso RBAC, backups cifrados, logs de acceso, revisión periódica de medidas. |
| RGPD Art. 33-34 | Notificación de brechas | Protocolo de notificación a la AEPD en un máximo de 72 horas desde la detección. Comunicación a los afectados sin dilación indebida si existe alto riesgo. |
| RGPD Art. 44-49 | Transferencias internacionales | NO se realizan transferencias de datos fuera del EEE. Todos los datos residen en la UE (Fráncfort, Alemania). |
| LOPDGDD | LO 3/2018 | Cumplimiento íntegro de las disposiciones nacionales complementarias al RGPD, incluidos los derechos digitales del Título X. |
| LSSI-CE | Ley 34/2002 | Aviso legal completo con datos del prestador, política de cookies con consentimiento previo, información sobre comunicaciones comerciales. |
| RIA (UE) 2024/1689 | Reglamento de IA | Clasificación: sistema de riesgo limitado (herramienta de apoyo, no autónoma). Cumplimiento de obligaciones de transparencia (art. 52). |
VindicAI es una herramienta de apoyo al profesional jurídico, clasificada como sistema de IA de riesgo limitado conforme al artículo 6 del Reglamento (UE) 2024/1689 sobre Inteligencia Artificial:
VindicAI cuenta con un protocolo de gestión de incidentes de seguridad conforme a los artículos 33 y 34 del RGPD.
VindicAI aplica el principio de limitación de la conservación (art. 5.1.e RGPD), manteniendo los datos solo durante el tiempo estrictamente necesario.
| Tipo de dato | Retención | Eliminación |
|---|---|---|
| Cuenta de usuario | Mientras la cuenta esté activa | Supresión total previa solicitud al DPO. Incluye todos los datos asociados. |
| Conversaciones y mensajes | Mientras la cuenta esté activa | El usuario puede eliminar conversaciones individualmente en cualquier momento. Eliminación definitiva e inmediata. |
| Archivos subidos | Mientras estén en un proyecto activo | El usuario puede eliminarlos individualmente. Se borran del almacenamiento cloud y de la base de datos. |
| Documentos generados | URLs de descarga válidas 1 hora | Los documentos generados por la IA se almacenan cifrados. El usuario puede solicitar su eliminación. |
| Contraseña | Mientras la cuenta esté activa | Almacenada como hash irreversible (bcrypt). No recuperable. |
| Logs técnicos | 30 días | Eliminación automática. Solo contienen datos técnicos (timestamps, códigos de error), sin contenido de conversaciones. |
| Backups de base de datos | 7 días (rotación automática) | Backups cifrados gestionados por Supabase en la UE. Rotación automática sin intervención manual. |
Email: legal@enriquearroyoabogados.es
Web: vindica.es | chat.vindica.es
Para cualquier cuestión relacionada con la seguridad o el tratamiento de datos personales.
Descarga el dossier completo en PDF para compartir con tu equipo o regístrate y empieza a usar VindicAI hoy.