Política de privacidad

Quiénes somos

Penguin Translator ("nosotros") es un servicio de traducción con IA operado como empresa individual por Wil, con sede en Francia. Esta política explica qué datos personales tratamos, por qué, durante cuánto tiempo los conservamos, con quién los compartimos y los derechos que te otorgan el Reglamento (UE) 2016/679 ("RGPD"), el UK GDPR, la California Consumer Privacy Act tal como modificada por la CPRA ("CCPA/CPRA") y otras leyes aplicables. El responsable del tratamiento es Wil, contactable en wil.8dev@gmail.com. No se ha designado formalmente un Delegado de Protección de Datos (DPO); puedes dirigir todas las solicitudes de privacidad a la misma dirección.

Si alguna disposición en inglés contradice una versión traducida, la versión en inglés prevalece.

Resumen rápido

• Recogemos solo lo necesario para operar el servicio: tu correo de cuenta (vía Clerk), los textos que traduces, identificadores de facturación (vía Polar) y registros técnicos básicos.
• Las entradas de traducción se envían a a través de la Vercel AI Gateway para producir un resultado. No vendemos tus datos y no entrenamos modelos de IA con tu contenido.
• El tráfico anónimo se limita usando un hash SHA-256 con sal de tu IP; la IP en claro no se conserva a largo plazo.
• Solo usamos cookies esenciales y analíticas que respetan la privacidad. Vercel Analytics no usa cookies ni rastreo entre sitios.
• Puedes acceder, corregir, eliminar, exportar o restringir el tratamiento de tus datos, y presentar una reclamación ante tu autoridad de control (la AEPD en España, la CNIL en Francia).

Datos que recopilamos

• Datos de cuenta: tu dirección de correo electrónico y un ID de usuario de Clerk al crear una cuenta. También podemos recibir tu nombre y avatar si inicias sesión con un proveedor externo (Google, GitHub, etc.).
• Contenido de traducciones: el texto fuente que pegas, el contexto opcional y la traducción generada por IA. Las traducciones recientes se guardan en tu historial privado (Upstash Redis) para que puedas reutilizarlas.
• Documentos (Pro/Premium): los archivos que subes para traducir se almacenan en Vercel Blob para entregarte el resultado. Puedes eliminarlos en cualquier momento desde la página de Documentos.
• Datos de uso: marcas de tiempo, conteos de solicitudes y caracteres, plan, idioma, user-agent, código de país derivado de la IP y contadores de cuota usados para los límites diarios y por minuto.
• Datos de facturación: al suscribirte a través de Polar, Polar trata directamente tus datos de pago. Solo recibimos un identificador de suscripción, plan, estado y referencia de factura. Nunca vemos el número completo de tu tarjeta.
• Datos de diagnóstico: reportes de error capturados por Sentry (trazas de pila, info del navegador, URL en la que estabas). Sentry está configurado para depurar valores de formularios y cuerpos de petición.
• Cookies y almacenamiento local: una cookie de sesión Clerk (esencial, solo para usuarios autenticados); preferencia de tema y último idioma de destino guardados localmente en tu navegador. Sin cookies publicitarias. Sin rastreo entre sitios.

Finalidades y bases legales (RGPD art. 6)

• Prestar el servicio de traducción y gestionar tu cuenta — Ejecución de un contrato (art. 6.1.b).
• Procesar pagos y emitir facturas — Ejecución de un contrato (art. 6.1.b) y Obligación legal (art. 6.1.c) para registros contables / IVA.
• Seguridad, prevención de abusos, rate-limiting — Interés legítimo (art. 6.1.f): mantener el servicio disponible, combatir bots y abuso de cuotas.
• Analítica de calidad de servicio y seguimiento de bugs (Vercel Analytics, Sentry) — Interés legítimo (art. 6.1.f).
• Correos transaccionales relacionados con el servicio (registro, alertas de seguridad, cambios de plan) — Ejecución de un contrato (art. 6.1.b).
• Cumplimiento de obligaciones legales y peticiones de autoridades — Obligación legal (art. 6.1.c).

Subprocesadores y transferencias internacionales

Usamos los siguientes subprocesadores para operar el servicio. Cada uno está vinculado por un Acuerdo de Tratamiento de Datos (DPA) o contrato equivalente.

• Vercel Inc. (EE. UU., con regiones edge en la UE) — alojamiento, funciones serverless, almacenamiento de documentos (Vercel Blob), Vercel Analytics, AI Gateway (proxy a proveedores de modelos).
• Clerk, Inc. (EE. UU.) — autenticación de usuarios, gestión de sesiones.
• Upstash, Inc. (EE. UU., regiones UE disponibles) — Redis para contadores de rate-limit, caché de traducción, historial y metadatos de documentos.
• Proveedores de modelos de terceros accesibles a través de Vercel AI Gateway (EE. UU.) — inferencia de modelos de lenguaje para traducciones. Configuramos proveedores cuyas entradas y salidas API no se usan para entrenar sus modelos públicos según sus términos API.
• Polar Software Inc. (EE. UU., socios de facturación en la UE) — checkout, gestión de suscripciones, facturación, gestión de impuestos.
• Functional Software, Inc. dba Sentry (EE. UU.) — supervisión de errores.

Algunos de estos subprocesadores están en EE. UU. o transfieren datos allí. Nos basamos en la decisión de adecuación de la Comisión Europea para el EU-US Data Privacy Framework cuando el subprocesador está certificado, y de lo contrario en las Cláusulas Contractuales Tipo de la UE (Módulo 2 o 3) complementadas con medidas técnicas y organizativas apropiadas. Puedes solicitar una copia del mecanismo de transferencia aplicable escribiendo a wil.8dev@gmail.com.

Plazos de retención

• Datos de cuenta: conservados mientras exista tu cuenta. Eliminados en un plazo de 30 días tras tu solicitud de eliminación, salvo obligación legal de conservación.
• Historial de traducciones: almacenado en Redis con tope rotativo (entradas más recientes por usuario); puedes vaciarlo desde la interfaz cuando quieras. La caché de traducción (anonimizada por hash de contenido) se conserva hasta 30 días para acelerar peticiones repetidas.
• Documentos subidos: conservados hasta que los elimines; los documentos huérfanos de más de 90 días se purgan automáticamente.
• Registros de uso y seguridad: los contadores de rate-limit se reinician cada minuto/día; los registros de acceso brutos se conservan hasta 90 días.
• Registros de facturación: conservados 10 años para cumplir con la ley contable y fiscal francesa (Code de commerce L123-22).
• Eventos de error de Sentry: conservados 90 días y eliminados automáticamente.
• Identificadores anónimos (hashes de IP con sal usados para anti-abuso): conservados hasta 30 días.

Tus derechos

Si te encuentras en el Espacio Económico Europeo, el Reino Unido o Suiza, tienes derecho a acceder a tus datos personales, rectificar los inexactos, solicitar su supresión ("derecho al olvido"), limitar u oponerte a determinados tratamientos, solicitar la portabilidad (copia legible por máquina) y retirar el consentimiento en cualquier momento cuando el tratamiento se base en él. Puedes ejercer estos derechos escribiendo a wil.8dev@gmail.com; respondemos en el plazo de un mes. También tienes derecho a presentar una reclamación ante una autoridad de control: en España, la AEPD; en Francia, la CNIL; en el Reino Unido, la ICO; o tu autoridad local de protección de datos.

Residentes en California (CCPA/CPRA): tienes derecho a saber qué información personal recopilamos, a solicitar su eliminación, a corregir información inexacta y a oponerte a cualquier "venta" o "compartición" de información personal. No vendemos ni compartimos información personal en el sentido del CCPA/CPRA, y no la usamos para publicidad conductual entre contextos. Para ejercer tus derechos, escribe a wil.8dev@gmail.com.

Seguridad

• Todo el tráfico se cifra en tránsito mediante HTTPS / TLS 1.2 o superior.
• Los secretos y claves de API se almacenan en el entorno cifrado de Vercel, nunca en el código fuente, y se rotan cuando un colaborador deja el proyecto.
• Política de seguridad de contenido (CSP) estricta, HSTS preload, X-Frame-Options DENY y otras cabeceras de defensa en profundidad se aplican en cada respuesta.
• La autenticación y la gestión de sesiones las maneja Clerk, que ofrece detección de bots, comprobación de contraseñas filtradas y MFA opcional.
• El rate-limiting en el edge limita a los clientes abusivos antes de llegar a la aplicación.
• Notificamos a los usuarios afectados sin demora indebida y en un plazo de 72 horas tras tener conocimiento de una violación de datos personales cuando lo exija el RGPD art. 33-34.

Menores

El servicio no está dirigido a menores. Debes tener al menos 16 años (o la edad mínima de consentimiento digital aplicable en tu país, y nunca menos de 13) para usar Penguin Translator. Si descubrimos que hemos recopilado datos personales de un menor por debajo de esa edad sin consentimiento parental verificable, los eliminaremos. Contacta wil.8dev@gmail.com para reportar un caso así.

Cambios en esta política

Podemos actualizar esta Política de Privacidad. Cuando hagamos cambios materiales, actualizaremos la fecha "Última actualización" arriba y, para los usuarios autenticados, enviaremos un breve aviso por correo. El uso continuado del servicio tras la nueva fecha de entrada en vigor implica aceptación de la política actualizada.

Resumen en francés

Penguin Translator está operado por Wil, empresario individual con sede en Francia. Tratamos tu correo (vía Clerk), tus textos y documentos traducidos (vía Vercel AI Gateway y sus proveedores de modelos), datos técnicos de seguridad y, si pagas, identificadores de facturación gestionados por Polar. No hay publicidad, no revendemos datos y no permitimos que el contenido enviado por API entrene modelos públicos según los términos de nuestros proveedores.