Política de Privacidad

Borrador. Estado provisional hasta el lanzamiento público (Q3 2026). Responsable del tratamiento: Jonathan Mora — España. Contacto: privacy@etris.app

1. Qué datos tratamos

Cuenta: email y nombre (proporcionados a través de Supabase Auth o login con Google/GitHub).
Tokens OAuth: los que autorizas para Gmail, Google Calendar y Google Drive vía Composio. Los tokens viven cifrados en Composio. Nunca los vemos en texto claro.
Conversaciones: texto de tus solicitudes y respuestas del asistente. Retención 90 días.
Voz: el audio se transcribe localmente en tu navegador (Web Speech API). El audio no se transmite a nuestros servidores.
Pagos: procesados por Stripe. Nunca vemos los datos de tarjeta.
Logs técnicos: IP, user agent, timestamps de petición. Retención 30 días.

2. Para qué los usamos (base legal)

Prestar el servicio (ejecución contractual — Art. 6.1.b GDPR).
Mejorar la calidad y prevenir abuso (interés legítimo — Art. 6.1.f GDPR).
Cumplir obligaciones fiscales y legales (Art. 6.1.c GDPR).

3. Subprocesadores y transferencias internacionales

Usamos los servicios de terceros listados en /legal/subprocessors. Algunos están en Estados Unidos. Para esas transferencias aplicamos:

Cláusulas Contractuales Estándar (SCC) aprobadas por la Comisión Europea (Decisión 2021/914).
EU-US Data Privacy Framework (DPF) para los subprocesadores certificados.

4. Tus derechos (GDPR Arts. 15-22)

Acceso y obtención de copia de tus datos.
Rectificación de datos inexactos.
Supresión ("derecho al olvido").
Limitación u oposición al tratamiento.
Portabilidad en formato legible por máquina.
Retirar el consentimiento en cualquier momento.
Reclamación ante la Agencia Española de Protección de Datos (aepd.es).

Para ejercerlos escribe a privacy@etris.app. Respondemos en 30 días.

5. Retención

Datos de cuenta: hasta el borrado, +30 días de gracia.
Tokens OAuth: hasta que desconectes el servicio.
Conversaciones: 90 días desde su creación.
Pagos: el plazo legal fiscal aplicable.

6. Seguridad

TLS 1.3 en tránsito.
Cifrado en reposo (AES-256 / Fernet) para credenciales sensibles.
Datos almacenados en Supabase, región Estocolmo (eu-north-1).
Backend ejecutado en Fly.io, región Estocolmo (arn).
Notificación de brechas a la AEPD en menos de 72 horas (Art. 33 GDPR).

7. Menores

ETRIS no se dirige a menores de 16 años. Si un padre o tutor cree que tratamos datos de un menor, escriba a privacy@etris.app para su eliminación inmediata.

8. Aviso de uso de IA (Art. 50 EU AI Act)

ETRIS genera respuestas habladas y escritas mediante modelos de Inteligencia Artificial. Estás interactuando con una IA, no con una persona. Los modelos pueden producir respuestas inexactas o alucinadas. No te apoyes en ETRIS para asesoría legal, médica o financiera.

9. Cambios

Los cambios materiales se notifican por email con al menos 14 días de antelación.

10. Ley aplicable

Esta política se rige por la ley española. Sin perjuicio de tu derecho a presentar reclamación ante la autoridad de control de tu Estado de residencia.

1. Qué datos tratamos

Cuenta: email y nombre (proporcionados a través de Supabase Auth o login con Google/GitHub).

Tokens OAuth: los que autorizas para Gmail, Google Calendar y Google Drive vía Composio. Los tokens viven cifrados en Composio. Nunca los vemos en texto claro.

Conversaciones: texto de tus solicitudes y respuestas del asistente. Retención 90 días.

Voz: el audio se transcribe localmente en tu navegador (Web Speech API). El audio no se transmite a nuestros servidores.

Pagos: procesados por Stripe. Nunca vemos los datos de tarjeta.

Logs técnicos: IP, user agent, timestamps de petición. Retención 30 días.

3. Subprocesadores y transferencias internacionales

Usamos los servicios de terceros listados en /legal/subprocessors. Algunos están en Estados Unidos. Para esas transferencias aplicamos:

Cláusulas Contractuales Estándar (SCC) aprobadas por la Comisión Europea (Decisión 2021/914).

EU-US Data Privacy Framework (DPF) para los subprocesadores certificados.

4. Tus derechos (GDPR Arts. 15-22)

Acceso y obtención de copia de tus datos.

Rectificación de datos inexactos.

Supresión ("derecho al olvido").

Limitación u oposición al tratamiento.

Portabilidad en formato legible por máquina.

Retirar el consentimiento en cualquier momento.

Reclamación ante la Agencia Española de Protección de Datos (aepd.es).

Para ejercerlos escribe a privacy@etris.app. Respondemos en 30 días.