Política de Privacidad

Fecha de vigencia: marzo 2026

1. Identidad del Responsable del Tratamiento

El responsable del tratamiento es Alberto Quintillán Amorós, con domicilio en 28030 Madrid, España, NIF 48623733P. Para consultas sobre protección de datos, contacta: [email protected].

2. Datos que Recopilamos

Datos de Cuenta

  • Dirección de email (para autenticación)
  • Fecha de creación de la cuenta
  • Preferencia de idioma (inglés o español)

Datos de Uso

  • Prompts que envías para generación de scripts (incluidos prompts de generaciones fallidas, conservados para mejora del servicio)
  • Scripts generados (JSON)
  • Feedback que proporcionas (valoración, categoría, scripts corregidos, notas)
  • Historial de transacciones de créditos (compras, generaciones, recompensas)

Datos Técnicos

  • Uso de tokens por generación (tokens de entrada y salida)
  • Métricas de rendimiento de generación (duración, intentos de reintento, modelo de IA utilizado)
  • Mensajes de error de validación para generaciones fallidas

Datos de Comportamiento

  • Marca temporal de tu última generación de script
  • Si has realizado una compra (indicador booleano)

Datos de Proyecto (opcional, iniciado por el usuario)

  • Si importas un DDR de FileMaker, almacenamos: nombres de tablas, nombres y tipos de campos, relaciones, nombres de layouts, nombres de scripts, nombres y valores de listas de valores, y nombres y parámetros de funciones personalizadas.
  • El archivo DDR XML original se procesa localmente en tu dispositivo y nunca se sube. Solo los metadatos extraídos se almacenan.

Datos de Pago

  • Los pagos son procesados por Stripe. No almacenamos números de tarjeta de crédito, direcciones de facturación ni otros datos de pago.
  • Solo almacenamos una referencia de evento de Stripe (para idempotencia) y registros de transacciones de créditos.

Datos de Autenticación (gestionados por Supabase)

  • Nuestro proveedor de autenticación Supabase recopila automáticamente: direcciones IP, marcas temporales de inicio de sesión y entradas del registro de auditoría.
  • Estos datos son gestionados por Supabase conforme a su acuerdo de procesamiento de datos y no son directamente accesibles en nuestra aplicación.

3. Base Legal del Tratamiento

Tratamos tus datos personales bajo las siguientes bases legales (GDPR Art. 6):

Ejecución del Contrato (Art. 6(1)(b))

Gestión de cuenta, generación de scripts, sistema de créditos e historial de generación — son necesarios para prestar el servicio al que te has registrado.

Consentimiento (Art. 6(1)(a))

Envío de tus prompts y metadatos de esquema a servicios de IA de terceros (Anthropic, OpenAI) para su procesamiento. Consientes a esto al registrarte cuando aceptas estos términos.

Interés Legítimo (Art. 6(1)(f))

Mejora del servicio mediante datos de uso agregados, prevención de fraude (detección de manipulación de créditos), supervisión de seguridad y optimización del rendimiento técnico.

4. Cómo Usamos tus Datos

  • Autenticación: verificar tu identidad y gestionar tu sesión.
  • Generación de Scripts: enviar tus prompts (y esquema si corresponde) a servicios de IA para generar scripts de FileMaker.
  • Mejora del Servicio: analizar patrones de uso agregados y anonimizados para mejorar la calidad de generación.
  • Gestión de Créditos: rastrear saldos de créditos, compras y uso.
  • Recompensas por Feedback: revisar tus contribuciones de feedback y otorgar créditos cuando corresponda.
  • Emails Transaccionales: enviar notificaciones de recompensas por feedback a través de Resend (tu email y un extracto del prompt de hasta 80 caracteres).

5. Procesamiento de Datos por Terceros

ServicioPaísDatos CompartidosPropósito
Anthropic (Claude API)EE. UU.Prompts + metadatos de esquema (si hay proyecto seleccionado)Generación de scripts con IA
OpenAI (Embeddings)EE. UU.Solo texto del prompt (sin esquema, sin identidad)Búsqueda semántica de ejemplos relevantes
Supabase (AWS)EE. UU.Todos los datos de cuenta y usoHosting de base de datos, autenticación, edge functions
StripeEE. UU.ID de usuario + información de pago proporcionada en el checkoutProcesamiento de pagos
ResendEE. UU.Dirección de email + prompt truncado (80 caracteres)Notificaciones por email transaccional
Google FontsEE. UU.Dirección IP (descarga de fuentes en la app de escritorio)Entrega de fuentes para la aplicación de escritorio

Anthropic y OpenAI no utilizan los datos de API para entrenar modelos.

Los metadatos del esquema se extraen localmente de tu archivo DDR. El XML original nunca se sube.

6. Transferencias Internacionales de Datos

Tus datos se transfieren a proveedores de servicios en Estados Unidos. Estas transferencias están protegidas por Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea, que garantizan un nivel adecuado de protección de datos. Cada proveedor tercero listado anteriormente mantiene su propio acuerdo de procesamiento de datos con las salvaguardas apropiadas. Puedes solicitar copias de las CCT relevantes contactándonos.

7. Cookies

Nuestra aplicación web utiliza únicamente cookies estrictamente necesarias para la autenticación (token de sesión de Supabase). No utilizamos cookies de seguimiento, cookies de analítica ni cookies de publicidad. No se requiere consentimiento de cookies para las cookies estrictamente necesarias conforme a la Directiva ePrivacy. Nuestra aplicación de escritorio no utiliza cookies.

8. Almacenamiento y Seguridad de Datos

  • Los datos se alojan en Supabase (infraestructura AWS, EE. UU.).
  • Todos los datos están cifrados en tránsito (TLS 1.2+) y en reposo.
  • El acceso a la base de datos está protegido por políticas de Row-Level Security (RLS) — los usuarios solo pueden acceder a sus propios datos.
  • Todas las operaciones sensibles (deducción de créditos, eliminación de cuenta) utilizan funciones SECURITY DEFINER con validación de entrada.

9. Conservación de Datos

  • Los datos de cuenta y uso se conservan mientras tu cuenta esté activa.
  • Cuando eliminas tu cuenta, todos tus datos (perfil, generaciones, proyectos, transacciones de créditos) se eliminan permanentemente de nuestra base de datos sin dilación indebida (normalmente de forma inmediata).
  • Los registros de autenticación de Supabase (incluidas las direcciones IP) se conservan según la política de retención de datos de Supabase y pueden persistir tras la eliminación de la cuenta.
  • Las referencias de eventos de pago de Stripe (que no contienen datos personales) se conservan con fines de registro contable.
  • Los registros de edge functions pueden contener identificadores pseudonimizados de usuario, longitud del prompt y métricas de rendimiento. Se conservan según nuestro plan de Supabase y expiran automáticamente.

10. Compartición de Datos

  • Tus datos NO se comparten con otros usuarios.
  • Tus datos NO se venden a ningún tercero.
  • Tus datos NO se utilizan para entrenar modelos de IA.

11. Tus Derechos

Conforme al GDPR y la LOPDGDD de España, tienes los siguientes derechos:

  • Acceso: Consulta tu historial de generación en la app, o solicita una exportación completa de datos.
  • Rectificación: Contáctanos para corregir cualquier dato personal inexacto.
  • Supresión: Elimina tu cuenta y todos los datos asociados (ver Sección 12).
  • Portabilidad: Exporta todos tus datos en formato JSON legible por máquina desde la app.
  • Limitación: Solicita que limitemos el tratamiento de tus datos.
  • Oposición: Oponte al tratamiento basado en interés legítimo.
  • Reclamación: Tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

12. Eliminación de Cuenta

  • Puedes eliminar tu cuenta directamente desde la pantalla de Ajustes de la app, o enviando un email a [email protected].
  • La eliminación de cuenta borra permanentemente: tu perfil, todo el historial de generación, todos los proyectos y datos de esquema, todas las transacciones de créditos y tus credenciales de autenticación.
  • La eliminación de cuenta NO borra: los registros de auditoría de autenticación de Supabase (gestionados por Supabase), las referencias de eventos de pago de Stripe (sin datos personales), ni los datos ya procesados por proveedores de IA terceros durante la generación.
  • La eliminación se procesa sin dilación indebida (normalmente de forma inmediata), conforme al Art. 17 del GDPR.

13. Cambios en esta Política

Podemos actualizar esta política de privacidad periódicamente. Te notificaremos de cambios sustanciales con al menos 30 días de antelación por email. La política actualizada indicará su nueva fecha de vigencia.

14. Contacto

Para preguntas sobre privacidad, solicitudes de acceso a datos o solicitudes de eliminación, contacta: [email protected]