Política de Privacidad
Transparencia total sobre tus datos, uso de IA e integraciones con terceros.
1. Identificación del Responsable
El responsable del tratamiento de los datos personales procesados en la plataforma AbstractOS es Abstract Prisma Technologies, persona jurídica de derecho privado con sede en Brasil. Contacto: contato@abprisma.com | abprisma.com. Para solicitudes relacionadas con la LGPD/GDPR, consulta la Sección 14 de esta Política.
2. Datos Recopilados
Recopilamos los siguientes datos a lo largo de tu experiencia en la plataforma:
- Datos de registro y cuenta: nombre completo, dirección de correo electrónico, tipo de perfil (desarrollador, diseñador, emprendedor, empresa) y objetivo principal declarado durante el onboarding.
- Datos financieros: ID de cliente de Stripe, plan activo, fecha de renovación e historial de transacciones. No almacenamos datos sensibles de tarjetas de crédito — estos son gestionados exclusivamente por Stripe.
- Datos de uso y herramientas: créditos consumidos, herramientas utilizadas (Genesis, Builder, App Studio, QR Code, CV Optimizer, etc.), proyectos creados e historial de generaciones de IA.
- Contenido enviado a la IA: prompts, código, textos y briefings proporcionados para procesamiento por las herramientas de generación. Estos se transmiten a los proveedores de IA (ver Sección 5) y no se retienen para el entrenamiento de modelos.
- Datos OAuth de Business Studio: al conectar Gmail u Outlook a través de Business Studio, almacenamos tokens de acceso cifrados utilizados exclusivamente para las operaciones autorizadas por el usuario.
- Analytics de QR Code: al usar códigos QR dinámicos, recopilamos datos de los escaneos como dirección IP (anonimizada después de 90 días), país, tipo de dispositivo, navegador y URL de referencia.
- Datos de navegación y sesión: cookies esenciales de autenticación (Supabase Auth), y datos de localStorage para carrito (@abstract:cart), preferencias de interfaz, historial SEO y progreso de la Academy. Los datos permanecen en tu dispositivo.
3. Bases Legales del Tratamiento (LGPD)
El tratamiento de tus datos personales se realiza sobre las siguientes bases legales previstas en el Art. 7 de la LGPD:
- Consentimiento (Art. 7, I): para cookies analíticas y de marketing, comunicaciones de correo no esenciales e integraciones opcionales de terceros.
- Ejecución de contrato (Art. 7, V): para habilitar las funcionalidades contratadas — autenticación, gestión de créditos, generación de contenido con IA y facturación a través de Stripe.
- Interés legítimo (Art. 7, IX): para análisis de uso agregados, prevención de fraudes, seguridad de la plataforma y mejora continua de los servicios.
- Obligación legal (Art. 7, II): para conservar registros fiscales y cumplir con órdenes judiciales o administrativas.
4. Finalidad del Tratamiento
Utilizamos tus datos exclusivamente para: (i) crear y gestionar tu cuenta y sesiones de acceso; (ii) ofrecer las funcionalidades de los Estudios y herramientas; (iii) procesar pagos y gestionar tu suscripción; (iv) enviar comunicaciones transaccionales obligatorias (confirmación de compra, renovación, fallo de pago); (v) enviar comunicaciones de marketing cuando otorgues consentimiento; (vi) analizar el uso agregado de la plataforma para mejorar los servicios; (vii) cumplir con obligaciones legales y regulatorias.
5. Inteligencia Artificial y Subprocesadores
Para ofrecer las funcionalidades de generación de contenido con IA, tus datos de contexto se envían a través de la API a los siguientes subprocesadores:
- Google / Vertex AI (EE.UU.) — modelos Gemini para generación de sitios, apps y contenido. DPA disponible en cloud.google.com/terms/data-processing-addendum.
- OpenAI (EE.UU.) — modelos GPT para generación asistida en planes de pago. DPA disponible en openai.com/policies/data-processing-addendum.
- DeepSeek (China) — modelos disponibles para planes Pro. Los datos se envían exclusivamente para el procesamiento de solicitudes; no se utilizan para entrenar modelos.
- Resend (EE.UU.) — plataforma de envío de correos electrónicos transaccionales y de marketing.
- Google Analytics 4 (EE.UU.) — seguimiento de uso y comportamiento en la plataforma con anonimización de IP.
- Google Ads / Conversiones (EE.UU.) — seguimiento de conversiones publicitarias, activo solo en páginas de compra y éxito.
5.B Integraciones de Terceros Autorizadas por el Usuario
Además de los subprocesadores anteriores, AbstractOS te permite conectar voluntariamente servicios de terceros mediante OAuth o Personal Access Token. Cuando autorizas una conexión, almacenamos el token cifrado en reposo y lo usamos exclusivamente para ejecutar acciones que tú solicites — como publicar una app, abrir un Pull Request o crear un producto de pago. Puedes revocar el acceso en cualquier momento desde Configuración > Integraciones o directamente en el panel del servicio externo. Integraciones admitidas:
- GitHub (EE.UU.) — OAuth con scopes repo, workflow y write:packages. Creamos repositorios y hacemos commits en tu nombre cuando generas o refinas apps en Prisma Studio. Términos de GitHub: docs.github.com/site-policy.
- Vercel (EE.UU.) — OAuth con scopes Projects, Deployments, Domains y Environment Variables. Publicamos los apps generados, configuramos variables de entorno (como SUPABASE_URL y SUPABASE_ANON_KEY) y gestionamos dominios personalizados bajo tu instrucción explícita. DPA de Vercel: vercel.com/legal/dpa.
- Stripe Connect (Irlanda + EE.UU.) — OAuth con scope read_write. Para apps generadas que acepten pagos, creamos productos, precios y sesiones de checkout en nombre de tu cuenta Stripe. AbstractOS nunca tiene custodia de los fondos transaccionados. DPA de Stripe: stripe.com/legal/dpa.
- Google Workspace — Gmail y Calendar (EE.UU.) — OAuth con scopes Mail.Send, Mail.Read y Calendar. Usado en el Inbox del Business Studio para leer/responder e-mails y sincronizar la agenda. Términos: workspace.google.com/terms.
- Microsoft 365 — Outlook (EE.UU. + UE) — OAuth con scopes Mail.Read, Mail.Send y Calendars.ReadWrite. Mismo uso que Google Workspace. Términos: microsoft.com/licensing.
- Figma (EE.UU.) — Personal Access Token proporcionado por el usuario. Usado solo para importar tokens de diseño (colores, tipografía, espaciado) al Prisma Studio. Términos: figma.com/legal.
- Meta — Facebook e Instagram Business (EE.UU. + Irlanda) — OAuth con scopes pages_manage_posts, instagram_content_publish y relacionados. Usado en Marketing Studio para programar y publicar contenido. Política de Meta: facebook.com/legal.
- LinkedIn (EE.UU. + Irlanda) — OAuth con scopes w_member_social y w_organization_social. Usado en Marketing Studio para publicar en perfiles personales y Company Pages. Política de LinkedIn: linkedin.com/legal.
6. Infraestructura y Almacenamiento
Tus datos se almacenan en la siguiente infraestructura: Supabase (PostgreSQL + Auth + Storage) — base de datos relacional, autenticación y almacenamiento de archivos generados, servidores en EE.UU.; Vercel — alojamiento de la aplicación web y funciones serverless con CDN global; Vercel KV / Upstash Redis — caché temporal de respuestas de IA para reducir costos y latencia, datos expirados automáticamente; Google Cloud Run — sandbox de ejecución de App Studio para generación y previsualización de aplicaciones, entornos aislados con TTL de 30 minutos.
7. Transferencia Internacional de Datos
Debido a la naturaleza de los subprocesadores enumerados, tus datos pueden transferirse y procesarse en los Estados Unidos y, en el caso de DeepSeek, en China. Todas las transferencias internacionales se realizan con las salvaguardas adecuadas requeridas por la LGPD (Art. 33), incluyendo cláusulas contractuales estándar y cumplimiento del GDPR por parte de los socios con sede en EE.UU.
8. Retención de Datos
Conservamos tus datos durante los siguientes plazos:
- Datos de cuenta y perfil: mientras la cuenta esté activa y durante 5 años después del cierre, para cumplir con obligaciones fiscales y legales.
- Datos de transacciones financieras: 5 años según la legislación fiscal brasileña.
- Registros de uso de IA: 12 meses para soporte y resolución de disputas.
- Analytics de QR Code: las IPs individuales se anonimizan después de 90 días; los datos agregados se conservan indefinidamente.
- Tras el cierre de la cuenta y el período de retención aplicable, los datos se eliminan de forma irreversible.
9. Cookies y Tecnologías Similares
Utilizamos las siguientes tecnologías de seguimiento:
- Cookies esenciales de sesión (Supabase Auth): necesarias para la autenticación y la seguridad. No pueden desactivarse.
- localStorage del navegador: almacenamos preferencias de interfaz, carrito de compras (@abstract:cart), historial de análisis SEO, contenido temporal y progreso de la Academy. Los datos permanecen solo en tu dispositivo.
- Google Analytics 4 (cookies _ga, _ga_*): seguimiento de uso y comportamiento con IP anonimizada. Puede gestionarse en myaccount.google.com/data-and-privacy.
- Google Ads (cookie _gcl_*): seguimiento de conversiones para campañas publicitarias, activo solo en páginas de compra y éxito.
10. Tus Derechos (LGPD Art. 18)
Como titular de los datos, tienes los siguientes derechos garantizados por la LGPD:
- Confirmación del tratamiento y acceso: confirmar si tus datos están siendo tratados y acceder a la lista completa.
- Corrección: solicitar la actualización de datos incompletos, inexactos o desactualizados.
- Anonimización, bloqueo o eliminación: de datos innecesarios, excesivos o tratados en incumplimiento.
- Portabilidad: recibir tus datos en un formato estructurado para transferirlos a otro proveedor.
- Eliminación: solicitar la supresión de los datos tratados con base en el consentimiento.
- Información sobre el intercambio: saber con qué socios se comparten tus datos.
- Revocación del consentimiento: retirar el consentimiento en cualquier momento, sin perjuicio del tratamiento realizado anteriormente.
- Petición a la ANPD: presentar una petición ante la Autoridad Nacional de Protección de Datos de Brasil en caso de incumplimiento.
11. Seguridad de los Datos
Adoptamos medidas técnicas y organizativas adecuadas para proteger tus datos contra el acceso no autorizado, la pérdida, la alteración o la divulgación indebida, incluyendo: cifrado en tránsito (TLS/HTTPS), Seguridad a Nivel de Fila (RLS) en la base de datos Supabase, tokens OAuth cifrados del Business Studio, control de acceso basado en roles y monitoreo continuo de seguridad. En caso de incidente de seguridad que afecte tus datos, Abstract notificará a los titulares y a la ANPD dentro de los plazos legales.
12. Menores de Edad
La plataforma AbstractOS está destinada exclusivamente a personas mayores de 18 años. No recopilamos intencionalmente datos personales de niños o adolescentes. Si identificamos que se han recopilado datos de menores sin el consentimiento de sus tutores legales, procederemos a su eliminación inmediata.
13. Cambios en la Política
Esta Política de Privacidad puede actualizarse periódicamente para reflejar cambios en los servicios, la legislación o las prácticas de privacidad. Los cambios materiales se comunicarán por correo electrónico con al menos 15 días de antelación. La versión más reciente siempre estará disponible en abprisma.com/legal/privacy.
14. Contacto y Canal de Privacidad
Para ejercer tus derechos previstos en la LGPD, solicitar información sobre el tratamiento de tus datos o presentar una reclamación, contáctanos:
- Correo electrónico: contato@abprisma.com
- Formulario de soporte: disponible en el Dashboard de la plataforma (abprisma.com → Dashboard → Soporte)
- Autoridad Nacional de Protección de Datos (ANPD): gov.br/anpd para peticiones formales