Política de Privacidad

Versión corta: en modo BYOK no almacenamos tu API Key, el contenido de tus conversaciones ni las salidas del modelo; la sincronización en la nube, las copias de seguridad cifradas y Oriveo Free son funciones opcionales, y solo tratamos los datos correspondientes cuando las activas.

• Tu API Key: se guarda únicamente en el almacenamiento seguro del sistema de tu dispositivo y nunca se sube a nuestros servidores.
• Tus conversaciones y archivos adjuntos: en modo BYOK se envían directamente desde tu dispositivo al proveedor de IA; solo se suben si activas la sincronización en la nube o una copia de seguridad, y las copias usan cifrado de extremo a extremo AES-256.
• Oriveo Free: las solicitudes se retransmiten a través de los servidores de Oriveo hacia proveedores de modelos de terceros; solo conservamos el mínimo necesario para control de cuotas, prevención de abuso y auditoría.
• Lo que no hacemos: no vendemos tus datos personales, no mostramos publicidad dirigida y no usamos tu contenido para entrenar nuestros propios modelos de IA.

A efectos de esta Política de Privacidad, el "responsable del tratamiento" (o el "encargado del tratamiento de información personal" conforme a la legislación aplicable) es el equipo de Oriveo.

• Entidad operadora: [nombre de la entidad operadora, sujeto al registro mercantil oficial]
• Domicilio social / dirección postal: [pendiente de completar]
• Correo de privacidad y protección de datos: [email protected]
• Correo de soporte general: [email protected]

Si te encuentras en el EEE, el Reino Unido o Suiza, puedes contactarnos en cualquier momento sobre el tratamiento de tus datos personales o presentar una reclamación ante la autoridad de protección de datos competente de tu jurisdicción.

Solo recopilamos la información mínima necesaria para operar el Servicio. Las principales categorías son las siguientes:

• Información de la cuenta: mediante Firebase Authentication tratamos tu correo electrónico, nombre visible, URL de foto de perfil y método de inicio de sesión (Google, Apple o OTP por correo electrónico). No almacenamos tu contraseña; los códigos OTP por correo se envían a través de Resend y normalmente caducan en 10 minutos.
• Metadatos de sincronización en la nube (si la activas): usamos Firebase Firestore para sincronizar títulos de conversaciones, marcas de tiempo, carpetas, directorios de Skills, textos de Memory, preferencias y estadísticas de gasto. El cuerpo de los mensajes no se sube a la nube por defecto; solo se carga en Firebase Cloud Storage con cifrado AES-256 cuando creas expresamente una copia de seguridad cifrada.
• Archivos adjuntos (si activas la sincronización): imágenes, PDF y otros archivos pueden subirse a la partición de tu cuenta en Firebase Cloud Storage para habilitar el acceso multidispositivo; puedes eliminarlos cuando quieras.
• Archivos de base de conocimiento de Skill: cuando subes archivos a una Skill, nuestro backend los reenvía a OpenAI Vector Store para búsqueda aumentada; el contenido original y los vectores solo se usan para tu cuenta.
• Datos del dispositivo y técnicos: dirección IP (para prevención de abuso, limitación de tasa y comprobaciones geográficas de cumplimiento), ubicación aproximada inferida por IP, modelo de dispositivo, versión del sistema operativo, versión de la app, idioma y zona horaria.
• Diagnóstico de errores y rendimiento: a través de Sentry recopilamos trazas de excepciones no capturadas, breadcrumbs, el identificador actual del usuario (Firebase UID) y la huella del dispositivo. Estos datos pueden vincularse a tu cuenta y no son completamente anónimos; si no quieres enviarlos, puedes desactivar el diagnóstico en "Configuración → Privacidad".
• Registros operativos de Oriveo Free: al usar el nivel gratuito conservamos el Guest Session ID, el token de identificación del dispositivo, el ID del modelo invocado y el recuento de tokens por solicitud, además de registros de denuncias y auditoría de cuotas; el cuerpo de los mensajes no se conserva por defecto, salvo muestreo limitado y temporal cuando sea necesario revisar una denuncia de cumplimiento.
• Datos de seguridad del panel de administración: cuando un administrador inicia sesión usamos Cloudflare Turnstile para verificar que no es un bot y registramos logs de acceso.

En modo BYOK, los siguientes datos nunca salen de tu dispositivo y nosotros no los recopilamos ni podemos leerlos:

• tu API Key;
• el contenido de tus conversaciones con proveedores de IA de terceros (como OpenAI, Anthropic o Google);
• las respuestas y citas generadas por los modelos;
• el contenido original de los archivos adjuntos locales (salvo que actives manualmente la sincronización en la nube o una copia de seguridad cifrada);
• el historial de conversaciones (salvo que actives manualmente la sincronización en la nube o una copia de seguridad cifrada).

En modo BYOK, tus solicitudes se envían directamente desde tu dispositivo al proveedor de IA que elijas, sin pasar por los servidores de Oriveo. No actuamos como proxy ni hacemos espejos de ese tráfico.

Tratamos tus datos personales para las siguientes finalidades y, cuando corresponda, con las bases jurídicas previstas en normas como el GDPR, la CCPA/CPRA o la PIPL:

• Prestar y mantener el Servicio (inicio de sesión, sincronización en la nube, acceso multidispositivo) — necesario para la ejecución del contrato (art. 6(1)(b) del GDPR).
• Diagnóstico de fallos y mejora del producto (logs de errores, trazas de fallos, métricas agregadas de uso) — interés legítimo en mejorar el Servicio (art. 6(1)(f)).
• Prevención de abuso, control de cuotas y seguridad (rate limiting, CAPTCHA, detección de inicios de sesión anómalos, auditoría de cuotas de Oriveo Free, antifraude) — interés legítimo y cumplimiento de obligaciones legales (art. 6(1)(c)).
• Prestación de Oriveo Free (reenvío de solicitudes, medición de cuotas, gestión de denuncias de contenido) — necesario para la ejecución del contrato.
• Cumplimiento de requerimientos legales (órdenes judiciales, solicitudes regulatorias, derechos del titular de datos) — obligación legal.
• Comunicación sobre cambios del servicio, incidentes de seguridad y avisos importantes — ejecución del contrato o interés legítimo.

No:

• vendemos ni alquilamos tus datos personales a terceros;
• usamos tus datos personales para publicidad dirigida ni perfiles publicitarios;
• usamos tu contenido para entrenar modelos de IA propios de Oriveo.

Para prestar el Servicio, compartimos la cantidad mínima de datos necesaria con los siguientes subencargados del tratamiento y celebramos con ellos los correspondientes acuerdos de tratamiento de datos (DPA):

• Google Firebase (Authentication / Firestore / Cloud Storage / Hosting) — cuenta, datos de sincronización y archivos adjuntos; los centros de datos pueden estar ubicados en Estados Unidos.
• Sentry (monitorización de errores y rendimiento) — trazas de errores y datos de diagnóstico.
• Resend (envío de OTP por correo) — dirección de correo del destinatario y código de un solo uso.
• Cloudflare (CDN, protección DDoS y Turnstile CAPTCHA para Admin) — metadatos de la solicitud e IP.
• OpenAI (únicamente para Vector Store de la base de conocimiento de Skills y para los modelos enrutados en Oriveo Free) — archivos de conocimiento que subes o conversaciones del nivel gratuito.
• Los proveedores de IA de terceros que elijas (en modo BYOK la conexión se realiza directamente desde tu dispositivo, sin pasar por nuestros servidores) — incluidos OpenAI, Anthropic, Google, DeepSeek, OpenRouter, Groq, Together AI, Fireworks AI, MiniMax, Zhipu, Qwen, SiliconFlow y cualquier endpoint Relay que configures. Cada proveedor tiene su propia política de privacidad y sus propias prácticas de tratamiento, y es tu responsabilidad leerlas y cumplirlas; si deseas desactivar el uso para entrenamiento (opt-out), debes configurarlo en su consola oficial.

Fuera de estos supuestos y de los casos en que la ley lo exija, no revelamos, vendemos, alquilamos ni cedemos tus datos personales a terceros.

Nuestra infraestructura en la nube (Firebase, Sentry, Cloudflare, etc.) se despliega en varias regiones del mundo. Si te encuentras fuera de la región donde están ubicados ciertos servidores, tus datos personales podrían transferirse internacionalmente. Aplicamos los siguientes mecanismos legales:

• Usuarios del EEE / Reino Unido / Suiza: transferencias a terceros países con base en las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea y medidas complementarias adicionales.
• Usuarios de China continental: evaluamos la necesidad e informamos conforme a los requisitos de la Ley de Protección de la Información Personal aplicable.
• Otras regiones: aplicamos los mecanismos requeridos por la normativa local correspondiente.

Si deseas más información sobre el mecanismo de transferencia concreto o una copia de la documentación pertinente, escríbenos a [email protected].

Plazos de conservación:

• Información de la cuenta: durante toda la vida de la cuenta + 30 días tras su eliminación como periodo de recuperación ante borrado accidental
• Metadatos de sincronización / archivos adjuntos / archivos de la base de conocimiento: hasta que los elimines o canceles tu cuenta
• Registros de llamadas de Oriveo Free: hasta 180 días (para determinación de abuso y auditoría de cumplimiento)
• Instantáneas de contenido denunciado en Oriveo Free: hasta 12 meses o hasta la resolución de la disputa correspondiente
• Logs de errores (Sentry): hasta 90 días
• Logs de acceso (Admin): hasta 12 meses
• Códigos OTP: 10 minutos o expiración inmediata una vez verificados
• Datos cuya conservación sea exigida por ley: durante el periodo establecido por la normativa aplicable, que puede superar los plazos anteriores

Medidas de seguridad:

• Cifrado en tránsito: todas las comunicaciones entre clientes y servidores usan TLS 1.2 o superior.
• Cifrado en almacenamiento: las bases de datos del servidor usan cifrado en reposo; las copias de seguridad cifradas del usuario usan cifrado de extremo a extremo AES-256 y la clave permanece bajo tu control.
• Protección de claves en el dispositivo: la API Key se guarda en iOS Keychain / Android Keystore / almacenamiento cifrado del navegador.
• Control de acceso: el acceso interno se rige por el principio de mínimo privilegio y las operaciones sensibles quedan registradas en logs de auditoría.
• Notificación de brechas: si se produce una violación de datos personales que pueda implicar un alto riesgo para ti, te lo notificaremos por correo electrónico o dentro de la app en un plazo de 72 horas y, cuando proceda, lo comunicaremos a la autoridad competente.

De acuerdo con la legislación aplicable (GDPR, UK GDPR, CCPA/CPRA, PIPL, etc.), puedes tener los siguientes derechos respecto de tus datos personales:

• Acceso y copia: puedes descargar todos tus datos en cualquier momento desde "Configuración → Copia de seguridad → Exportar" en un ZIP cifrado, adecuado para migración.
• Rectificación: puedes corregir ciertos datos directamente desde la configuración de la cuenta; para otros campos, puedes escribirnos por correo.
• Supresión: puedes eliminar todos los datos asociados del servidor desde "Configuración → Cuenta → Eliminar cuenta" (algunos logs se conservarán según los plazos aplicables).
• Portabilidad: puedes exportar tus datos en un formato estructurado, de uso común y lectura mecánica.
• Limitación / oposición al tratamiento: puedes desactivar el envío de diagnósticos, desactivar la sincronización en la nube o dejar de usar tu cuenta en cualquier momento.
• Retirada del consentimiento: si algún tratamiento se basa en tu consentimiento, puedes retirarlo en cualquier momento, sin afectar a la licitud del tratamiento previo.
• No quedar sujeto a decisiones automatizadas: no aplicamos decisiones automatizadas con efectos jurídicos sobre ti; el cálculo de cuotas de Oriveo Free es una medida operativa antifraude y no un sistema de perfilado.
• Derecho a reclamar ante una autoridad: los usuarios del EEE / Reino Unido pueden dirigirse a su autoridad de protección de datos; los usuarios de California, a la oficina del Fiscal General de California; los usuarios de China continental, a la autoridad competente conforme a la PIPL.

Plazo de respuesta: responderemos en un plazo de 30 días desde la recepción de una solicitud verificable. En solicitudes complejas, podremos ampliar ese plazo dentro de los límites legales, hasta dos veces y por un máximo de 30 días cada una, informándote del motivo. Si no estás conforme con nuestra respuesta, puedes contactarnos primero en [email protected].

El sitio web y la aplicación web de Oriveo utilizan las siguientes tecnologías de almacenamiento, y no las emplean para publicidad dirigida ni para seguimiento entre sitios:

• Estrictamente necesarias (no se pueden desactivar): cookies de sesión de Firebase Auth, tokens de protección CSRF y cookies JWT del panel Admin.
• Funcionales: preferencias de interfaz como tema, idioma o diseño; borradores de sesión y cachés de metadatos de modelos almacenados en IndexedDB del navegador.
• De seguridad: verificación humana de Cloudflare Turnstile en Admin y tokens de protección DDoS de Cloudflare.

No usamos cookies publicitarias de terceros, píxeles de seguimiento entre sitios ni scripts analíticos de terceros. Puedes borrar o bloquear cookies desde tu navegador, aunque eso puede afectar al inicio de sesión y a determinadas funciones.

Este Servicio no está dirigido a menores de 13 años. Si en tu jurisdicción la edad de consentimiento digital es superior (por ejemplo, 16 años en algunos países de la Unión Europea), debes haber alcanzado esa edad legal para utilizar el Servicio. Quienes no hayan alcanzado la edad legal solo podrán usarlo con el consentimiento y supervisión de sus padres o tutores legales.

No recopilamos deliberadamente datos personales de menores que no hayan alcanzado la edad legal aplicable. Si eres padre, madre o tutor y crees que hemos recopilado información de tu hijo o hija, contacta de inmediato con [email protected] y eliminaremos esos datos tras la verificación correspondiente.

Cambios en la política: podemos actualizar esta Política de Privacidad para reflejar cambios en el producto, la tecnología o la normativa aplicable. Si el cambio es importante, te lo notificaremos antes de su entrada en vigor mediante un aviso dentro de la app, por correo electrónico o en un lugar destacado de nuestro sitio web, y actualizaremos en consecuencia la fecha de "Última actualización". Si continúas usando el Servicio después de la entrada en vigor de los cambios, se entenderá que aceptas la política actualizada; si no estás de acuerdo, puedes dejar de usar el Servicio y eliminar tu cuenta.

Contacto:

• Privacidad y solicitudes de titulares de datos: [email protected]
• Soporte general del producto: [email protected]
• Asuntos legales: [email protected]

Haremos todo lo razonablemente posible por responder dentro de un plazo adecuado.