Política de privacidad
Última actualización: marzo de 2026
1. Introducción y responsable del tratamiento
Winston the Pug ("nosotros", "nos", "nuestro"). Somos el responsable del tratamiento de tus datos personales. Estamos registrados ante la Oficina del Comisionado de Información (ICO) con el número de registro 31337.
Esta Política de privacidad explica cómo recopilamos, usamos, almacenamos y protegemos tu información cuando utilizas nuestro servicio de asistente de IA ("el Servicio"), de conformidad con el Reglamento General de Protección de Datos del Reino Unido (UK GDPR), la Ley de Protección de Datos de 2018 y el Reglamento General de Protección de Datos de la UE (RGPD de la UE, Reglamento 2016/679).
2. Delegado de Protección de Datos
Hemos designado un Delegado de Protección de Datos (DPO), con quien puedes contactar en dpo@pug.bot para cualquier pregunta relacionada con el tratamiento de tus datos personales o el ejercicio de tus derechos.
3. Datos que recopilamos
Recopilamos las siguientes categorías de datos:
- Mensajes: Mensajes de texto que envías al bot de Winston the Pug a través de las plataformas de mensajería compatibles.
- Información del perfil de usuario: Tu nombre, identificadores de contacto y preferencias de la cuenta.
- Perfiles de inteligencia: Preferencias, rutinas e intereses declarados derivados de tus interacciones, que puedes ver, editar o eliminar en cualquier momento.
- Tokens de servicios conectados: Credenciales OAuth para servicios de terceros que decides conectar.
- Métricas de uso: Recuentos de consumo de tokens, marcas de tiempo de solicitudes y metadatos de sesión.
No NOT almacenamos el contenido de los mensajes a largo plazo. Las conversaciones se basan en sesiones con un tiempo de espera por inactividad de 30-minute. Cuando una sesión caduca, el contenido de los mensajes se descarta.
4. Base jurídica del tratamiento
Tratamos tus datos personales conforme a las siguientes bases jurídicas según el artículo 6 del RGPD:
| Actividad de tratamiento | Base jurídica | Artículo |
|---|---|---|
| Proporcionar respuestas de IA y ejecutar tareas | Ejecución de un contrato | Art. 6(1)(b) |
| Gestión de sesiones y conversaciones | Ejecución de un contrato | Art. 6(1)(b) |
| Crear y mantener perfiles de inteligencia | Consentimiento | Art. 6(1)(a) |
| Conexión de servicios de terceros (OAuth) | Consentimiento | Art. 6(1)(a) |
| Mejoras de la calidad y la fiabilidad del servicio | Intereses legítimos | Art. 6(1)(f) |
| Medidas de seguridad y prevención del fraude | Intereses legítimos | Art. 6(1)(f) |
| Tratamiento de datos de menores (plan Familiar) | Consentimiento parental | Art. 6(1)(a), Art. 8 |
Cuando nos basamos en intereses legítimos, hemos realizado una prueba de ponderación para garantizar que nuestros intereses no prevalezcan sobre tus derechos y libertades fundamentales.
5. Cómo usamos los datos
Usamos los datos que recopilamos para los siguientes fines:
- Para proporcionar respuestas del asistente de IA y ejecutar tareas en tu nombre.
- Para mantener el contexto de la conversación dentro de las sesiones activas.
- Para crear y mantener perfiles de inteligencia de usuario, incluidas tus preferencias, rutinas e intereses declarados. Puedes ver, editar o eliminar estos perfiles en cualquier momento.
- Para mejorar la calidad, fiabilidad y rendimiento generales del servicio.
6. Elaboración de perfiles y toma de decisiones automatizada
Creamos y mantenemos perfiles de inteligencia basados en tus interacciones con el Servicio. Estos perfiles incluyen tus preferencias, rutinas e intereses declarados, y se utilizan para personalizar las respuestas de IA y ayudarte de forma proactiva. Esto constituye elaboración de perfiles conforme al artículo 4(4) del RGPD.
Esta elaboración de perfiles se basa en tu consentimiento. No se toman decisiones con efectos legales o de importancia similar únicamente mediante tratamiento automatizado. Puedes ver, editar o eliminar tu perfil de inteligencia en cualquier momento desde el panel, y puedes oponerte a la elaboración de perfiles conforme al artículo 21 (consulta Tus derechos más abajo).
7. Servicios conectados
Cuando conectas servicios de terceros como Gmail, Google Calendar, Google Drive o GitHub, accedemos a datos a través de esos servicios mediante tokens OAuth que autorizas explícitamente. Solicitamos los permisos mínimos necesarios para realizar las acciones que pides. Tus tokens de actualización OAuth se cifran en reposo mediante cifrado de sobre autenticado (AES-256-GCM con una clave de datos única por registro, que a su vez está protegida por una clave maestra almacenada en un gestor de secretos independiente). Los tokens de acceso de corta duración se mantienen solo en memoria y nunca se escriben en disco. Puedes revocar el acceso a cualquier servicio conectado en cualquier momento desde el panel de Winston the Pug o directamente en la configuración del servicio de terceros; al hacerlo, se elimina el token almacenado y se revoca en el proveedor.
7.1 APIs de Google Workspace — Uso limitado
El uso y la transferencia por parte de Winston the Pug a cualquier otra aplicación de la información recibida de las APIs de Google se ajustarán a la Política de Datos de Usuario de los Servicios de API de Google, incluidos los requisitos de Uso limitado.
Solicitamos únicamente los alcances necesarios para las funciones que usas:
- Ver y descargar tu correo electrónico (gmail.readonly): para buscar y leer mensajes cuando lo pidas (p. ej., “¿algún correo importante esta semana?”).
- Enviar correos electrónicos en tu nombre (gmail.send): solo después de que confirmes explícitamente cada mensaje; nunca enviamos nada sin confirmación.
- Calendario (calendar.readonly, calendar.events): para leer tus eventos y crear los eventos que nos pidas (con confirmación).
- Drive (drive.readonly, drive.file): para encontrar y leer los archivos que autorices.
No usamos los datos obtenidos a través de las APIs de Google Workspace para desarrollar, mejorar o entrenar modelos de inteligencia artificial o aprendizaje automático generalizados o no personalizados. Al atender una solicitud, los datos relevantes de Google se envían a nuestro proveedor de procesamiento de IA solo de forma transitoria y exclusivamente para responder a esa solicitud específica; no los conservamos más allá de la solicitud ni los usamos para publicidad ni para ningún fin no relacionado. Ninguna persona lee tus datos de Google salvo (a) con tu consentimiento explícito (por ejemplo, para resolver un problema de soporte), (b) cuando sea necesario por motivos de seguridad o para cumplir la ley aplicable, o (c) cuando sea necesario para corregir o prevenir un problema técnico. Puedes eliminar todos los datos de servicios conectados en cualquier momento desconectando la cuenta o eliminando tu cuenta de Winston the Pug.
8. Almacenamiento y conservación de datos
Tus datos se almacenan en una infraestructura segura con las salvaguardas técnicas y organizativas adecuadas. La memoria a largo plazo y las entradas de conocimiento se almacenan en nuestro almacén de memoria cifrado, impulsado por GraphANN™, operado por nosotros —el operador de datos registrado ante la ICO—, con cifrado y aislamiento por usuario, de modo que tus datos nunca se mezclan con los datos de otros usuarios.
Conservamos tus datos durante los siguientes periodos:
- Mensajes de conversación: Se eliminan automáticamente tras 30 minutos de inactividad de la sesión.
- Perfiles de inteligencia y entradas de conocimiento: Se conservan mientras tu cuenta esté activa; se eliminan en un plazo de 30 días tras el cierre de la cuenta.
- Tokens OAuth: Se eliminan inmediatamente al desconectar el servicio o cerrar la cuenta.
- Métricas de uso: Se conservan durante 12 meses y luego se anonimizan.
- Datos de la cuenta: Se eliminan en un plazo de 30 días tras una solicitud de eliminación de cuenta.
- Copias de seguridad que contienen datos personales: Se purgan en un plazo de 90 días tras una solicitud de eliminación.
9. Intercambio de datos y subencargados del tratamiento
NO VENDEMOS tus datos personales. No realizamos publicidad, perfiles de comportamiento para terceros ni intermediación de datos de ningún tipo. Tus datos pueden compartirse con las siguientes categorías de destinatarios únicamente para prestar el Servicio:
- Proveedores de procesamiento de IA: Para generar respuestas de IA a tus solicitudes.
- Plataformas de mensajería: WhatsApp (Meta Platforms) y Telegram, para la entrega de mensajes.
- Servicios conectados: Google (Gmail, Calendar, Drive) y GitHub, solo cuando hayas conectado explícitamente estos servicios.
Mantenemos Acuerdos de Tratamiento de Datos (DPA) con todos los encargados del tratamiento de conformidad con el artículo 28 del RGPD.
10. Transferencias internacionales de datos
Para prestar el Servicio, tus datos pueden ser tratados por proveedores de IA y plataformas de mensajería ubicados fuera del Reino Unido y del Espacio Económico Europeo. Cuando transferimos datos personales internacionalmente, garantizamos que existan salvaguardas adecuadas de conformidad con los artículos 44 a 49 del RGPD, incluidas:
- El Acuerdo Internacional de Transferencia de Datos del Reino Unido (UK IDTA) o las Cláusulas Contractuales Tipo de la UE (SCCs).
- Decisiones de adecuación cuando sean aplicables.
- Medidas de seguridad complementarias, incluido el cifrado en tránsito y en reposo.
Puedes solicitar detalles de las salvaguardas específicas aplicadas contactando con nuestro DPO.
11. Tus derechos
En virtud del RGPD del Reino Unido y del RGPD de la UE, tienes los siguientes derechos:
- Acceso (art. 15): Solicitar una copia de tus datos personales y perfiles de inteligencia en cualquier momento a través del panel de control.
- Rectificación (art. 16): Corregir datos inexactos o incompletos en tu perfil.
- Supresión (art. 17): Eliminar cualquiera o todos tus datos almacenados, incluidos los perfiles de inteligencia y las entradas de conocimiento.
- Limitación del tratamiento (art. 18): Solicitar que restrinjamos el tratamiento de tus datos mientras se resuelven las disputas sobre su exactitud o licitud.
- Portabilidad de los datos (art. 20): Exportar tus datos en un formato portable y legible por máquina.
- Oposición (art. 21): Oponerte al tratamiento basado en nuestros intereses legítimos, incluida la elaboración de perfiles. Dejaremos de tratar los datos salvo que demostremos motivos legítimos imperiosos que prevalezcan sobre tus intereses.
- Retirar el consentimiento (art. 7(3)): Cuando nos basemos en tu consentimiento (por ejemplo, para perfiles de inteligencia o servicios conectados), puedes retirar tu consentimiento en cualquier momento. La retirada no afecta a la licitud del tratamiento realizado antes de dicha retirada.
- Eliminación de la cuenta: Solicitar la eliminación permanente de todos los datos asociados.
Para ejercer cualquiera de estos derechos, ponte en contacto con nuestro DPO en dpo@pug.bot. Responderemos en el plazo de un mes, según exige la ley.
Derecho a presentar una reclamación: Tienes derecho a presentar una reclamación ante la Information Commissioner's Office (ICO) o ante tu autoridad supervisora local de protección de datos de la UE si crees que tus datos se han tratado de forma ilícita.
12. Privacidad de los menores
El Servicio está diseñado para uso familiar, incluidos menores. Nos comprometemos a cumplir con el Código de Diseño Apropiado para la Edad del Reino Unido (Código de Menores) y adoptamos las siguientes medidas:
- Requisitos de edad: Los menores de 13 años (Reino Unido) o menores de 16 años (UE, salvo que el estado miembro aplicable haya establecido un umbral inferior) no pueden usar el Servicio sin el consentimiento parental verificado. Las cuentas infantiles solo puede crearlas un progenitor o tutor legal a través del plan Family.
- Consentimiento parental: El titular principal de la cuenta en un plan Family debe confirmar que es el progenitor o tutor legal de cualquier menor añadido, y debe consentir explícitamente el tratamiento de los datos personales de su hijo/a.
- Perfilado de inteligencia: El perfilado de inteligencia está desactivado de forma predeterminada para las cuentas infantiles. Un progenitor o tutor puede activarlo desde el panel.
- Minimización de datos: La recopilación de datos de las cuentas infantiles se limita a lo estrictamente necesario para prestar el Servicio.
- Filtrado de contenido: Se aplica filtrado de contenido adecuado a la edad a las cuentas identificadas como pertenecientes a menores.
- Sin uso perjudicial: Los datos de menores no se utilizarán de formas que perjudiquen su bienestar o que entren en conflicto con su interés superior.
- Controles parentales: Los padres pueden revisar, descargar, modificar o eliminar todos los datos asociados a las cuentas de sus hijos en cualquier momento.
13. Evaluaciones de Impacto relativas a la Protección de Datos
Realizamos Evaluaciones de Impacto relativas a la Protección de Datos (DPIA) para actividades de tratamiento que probablemente supongan un alto riesgo para los derechos y libertades de las personas, de conformidad con el artículo 35 del GDPR. Esto incluye nuestro uso de IA para el procesamiento de mensajes, el perfilado de inteligencia y el tratamiento de datos de menores.
14. Seguridad
Implementamos medidas de seguridad sólidas para proteger tus datos, incluidas credenciales cifradas mediante cifrado NaCl secretbox, infraestructura segura con controles de acceso y auditorías de seguridad periódicas. Aunque ningún sistema es perfectamente seguro, nos comprometemos a mantener protecciones conformes a los estándares del sector y a abordar con prontitud cualquier vulnerabilidad identificada.
15. Notificación de violación de datos
En caso de una violación de datos personales que probablemente suponga un riesgo para tus derechos y libertades, notificaremos a la autoridad supervisora competente en un plazo de 72 horas desde que tengamos conocimiento de la violación, de conformidad con el artículo 33 del GDPR. Cuando la violación pueda suponer un alto riesgo para ti, te lo notificaremos sin dilación indebida de conformidad con el artículo 34.
16. Cookies
Usamos cookies mínimas estrictamente para fines de autenticación y gestión de sesiones. No usamos cookies de seguimiento, cookies de análisis de terceros ni cookies publicitarias.
| Cookie | Finalidad | Tipo | Caducidad |
|---|---|---|---|
| sc_session | Identificación de sesión | Sesión | Al cerrar el navegador |
| sc_auth | Token de autenticación | Persistente | 30 días |
17. Cambios en esta política
Podemos actualizar esta Política de privacidad de vez en cuando. Avisaremos con al menos 30 días de antelación sobre cualquier cambio material por correo electrónico o mediante una notificación dentro de la aplicación. Cuando los cambios afecten a actividades de tratamiento basadas en tu consentimiento, solicitaremos que renueves tu consentimiento antes de aplicar dichos cambios. Si no estás de acuerdo con algún cambio, puedes eliminar tu cuenta y dejaremos de tratar tus datos.
18. Contacto
Si tienes alguna pregunta o inquietud sobre esta Política de privacidad o nuestras prácticas de datos, ponte en contacto con:
- Delegado de Protección de Datos:dpo@pug.bot
- Consultas generales:privacy@pug.bot