AstrApp
Volver al inicio
Documento Legal

Política de Privacidad

Última actualización: 23 de febrero de 2026

En AstrApp ("nosotros", "nuestro" o "la Empresa"), nos comprometemos a proteger tu privacidad y la seguridad de tu información personal. Esta Política de Privacidad describe cómo recopilamos, utilizamos, almacenamos y protegemos tu información cuando utilizas nuestra plataforma de fine-tuning de modelos de lenguaje grande (LLM) y entrenamiento de inteligencia artificial.

Dado que AstrApp procesa datos sensibles para entrenamiento de modelos de IA, esta política incluye información detallada sobre el tratamiento de datos de entrenamiento, modelos fine-tuneados, logs de inferencia, generación de datos sintéticos y derechos de propiedad intelectual.

1. Información que Recopilamos

1.1 Información que nos proporcionas directamente
  • Datos de cuenta: Nombre, dirección de correo electrónico, contraseña, nombre de empresa y organización al crear tu cuenta.
  • Información de perfil: Foto de perfil, preferencias de idioma, configuración de notificaciones y zona horaria.
  • Datos de pago: Información de facturación procesada de forma segura por nuestro proveedor Stripe Inc. (no almacenamos datos de tarjetas).
  • Datos de entrenamiento: Documentos PDF, archivos JSON, conversaciones en formato ChatML, preguntas frecuentes (FAQs), datasets CSV/JSONL, y cualquier otro contenido que subas para entrenar tus modelos de IA.
  • Configuraciones de modelos: Hiperparámetros, configuración LoRA/QLoRA, prompts de sistema, templates de conversación, y parámetros de fine-tuning.
  • Comunicaciones: Mensajes que nos envías a través de soporte, chat en vivo o canales de contacto.
1.2 Información recopilada automáticamente
  • Datos de uso: Páginas visitadas, funciones utilizadas, tiempo de sesión, patrones de interacción y flujos de trabajo.
  • Información del dispositivo: Tipo de navegador, sistema operativo, dirección IP, identificadores de dispositivo y resolución de pantalla.
  • Datos de ubicación: País y región aproximada basada en tu dirección IP para aplicar precios de paridad de poder adquisitivo (PPP).
  • Métricas de modelos: Estadísticas de rendimiento, pérdida (loss), accuracy, perplexity, tiempo de entrenamiento y convergencia.
  • Logs de inferencia: Prompts enviados a tus modelos desplegados, respuestas generadas, tokens consumidos, latencia y errores.
  • Métricas de GPU: Uso de memoria VRAM, utilización de GPU, tiempo de cómputo y estadísticas de batch processing.
  • Trazas de evaluación (Opik): Datasets de evaluación, métricas de calidad, scores de hallucination, factuality y retrieval quality.
  • Uso de API: Llamadas a endpoints, volumen de requests, códigos de estado HTTP y tasas de error.
1.3 Información de terceros
  • Proveedores de autenticación: Si inicias sesión con Google, GitHub o Microsoft, recibimos tu nombre, correo electrónico y foto de perfil.
  • Integraciones CRM: Datos de plataformas como Kommo, HubSpot, Salesforce o Pipedrive que conectes para importar conversaciones.
  • Canales de comunicación: Conversaciones importadas desde WhatsApp Business API, Telegram, Discord o Slack.
  • Plataformas de automatización: Datos sincronizados desde n8n, Zapier, Make o Pipedream.
  • Proveedores de LLM: Tokens de API de servicios como OpenAI, Anthropic, Together.ai, Google AI Studio, Cohere o Groq.
  • Repositorios de modelos: Configuración y credenciales de HuggingFace Hub para importar o exportar modelos.

2. Cómo Utilizamos tu Información

Utilizamos la información recopilada para:

  • Proporcionar nuestros servicios: Entrenar, fine-tunear, desplegar y optimizar tus modelos de IA personalizados mediante técnicas como LoRA, QLoRA y full fine-tuning.
  • Procesamiento de datos de entrenamiento: Convertir tus documentos y conversaciones al formato ChatML, limpiar datos, tokenizar contenido y generar datasets estructurados.
  • Ejecución de entrenamientos: Provisionar GPUs, ejecutar jobs de fine-tuning en RunPod y Together.ai, monitorear convergencia y generar checkpoints.
  • Evaluación con Opik: Registrar trazas de inferencia, evaluar calidad de respuestas, medir hallucination rates y generar métricas de rendimiento.
  • Despliegue de modelos: Servir tus modelos mediante APIs REST, gestionar versiones, implementar A/B testing y escalar infraestructura.
  • Generación de datos sintéticos: Crear conversaciones de entrenamiento, expandir FAQs, augmentar datasets y simular escenarios de uso.
  • Mejorar la plataforma: Analizar patrones de uso para desarrollar nuevas funciones, optimizar flujos de trabajo y mejorar la experiencia de usuario.
  • Comunicarnos contigo: Enviar actualizaciones sobre tus entrenamientos, notificaciones de despliegues, alertas de errores y soporte técnico.
  • Procesar pagos: Gestionar suscripciones, facturación, aplicar descuentos de paridad regional (PPP) y calcular consumo de GPU.
  • Garantizar la seguridad: Detectar y prevenir fraudes, abusos, uso no autorizado de APIs y ataques de prompt injection.
  • Cumplir obligaciones legales: Responder a requerimientos legales y cumplir con regulaciones de protección de datos.

3. Tratamiento de Datos de IA y Machine Learning

Compromiso de Privacidad de Datos de IA

Esta es la sección más importante de nuestra política. Como plataforma de fine-tuning de LLMs, procesamos datos sensibles y potencialmente confidenciales. Queremos que entiendas exactamente cómo manejamos tu información, tus datos de entrenamiento y tus modelos.

3.1 Datos de Entrenamiento

  • Los datos que subas para entrenar tus modelos son 100% de tu propiedad.
  • Nunca utilizamos tus datos de entrenamiento para mejorar modelos de otros usuarios ni para entrenar modelos propios de AstrApp.
  • Los datos se almacenan con aislamiento completo por cuenta en Supabase Storage con políticas RLS (Row Level Security).
  • Todo contenido se cifra con AES-256 en reposo y TLS 1.3 en tránsito.
  • Puedes eliminar todos tus datos de entrenamiento en cualquier momento desde el panel de control. La eliminación es permanente e irreversible.
  • Los datos procesados (formato ChatML, tokenizados) también son exclusivos de tu cuenta y se eliminan con tu proyecto.
  • No compartimos, vendemos ni licenciamos tus datos de entrenamiento bajo ninguna circunstancia.

3.2 Modelos Fine-tuneados

  • Los modelos que entrenas mediante fine-tuning son tu propiedad intelectual.
  • Los pesos del modelo (model weights), adaptadores LoRA/QLoRA, y configuraciones de entrenamiento te pertenecen completamente.
  • Puedes exportar tus modelos a HuggingFace Hub, descargarlos en formato .safetensors o migrarlos a cualquier plataforma.
  • No reclamamos ningún derecho sobre los modelos que creas, ni sobre las salidas (outputs) que generen.
  • Los checkpoints y versiones intermedias de modelos están cifrados y solo accesibles por tu cuenta.
  • Al cancelar tu cuenta, puedes optar por exportar tus modelos antes de que sean eliminados (período de gracia de 30 días).

3.3 Generación de Datos Sintéticos

  • Los prompts de generación y datos sintéticos generados (conversaciones, FAQs expandidas, augmentación de datasets) son de tu propiedad.
  • No utilizamos los datos sintéticos que generas para mejorar modelos propios de AstrApp ni para entrenar servicios de terceros.
  • La generación de datos sintéticos se realiza mediante LLMs de terceros (OpenAI, Anthropic, Together.ai) bajo acuerdos que prohíben el uso de tus datos para entrenamiento.
  • Puedes descargar todos los datos sintéticos generados en formato JSON, CSV o JSONL.

3.4 Logs de Inferencia y Trazas (Opik)

  • Las conversaciones, prompts y respuestas generadas por tus modelos desplegados se almacenan como trazas de inferencia para métricas, debugging y evaluación.
  • Estos logs son solo accesibles por tu cuenta y se integran con Opik para análisis de calidad.
  • Puedes configurar la retención de logs (7 días, 30 días, 90 días, 1 año) según tus necesidades de privacidad y compliance.
  • Los logs nunca se utilizan para entrenar modelos de terceros ni para mejorar servicios externos.
  • Opik es una plataforma open-source de evaluación de LLMs. Tus trazas se almacenan en tu instancia aislada y pueden ser auto-hospedadas si lo prefieres.
  • Puedes exportar o eliminar trazas en cualquier momento desde el panel de Opik.

3.5 Proveedores de Cómputo GPU

  • Utilizamos RunPod y Together.ai como proveedores de infraestructura GPU para ejecutar entrenamientos de modelos.
  • Los datos de entrenamiento se transmiten cifrados con TLS 1.3 y se procesan en GPUs efímeras.
  • Una vez completado el entrenamiento, todos los datos se eliminan de los servidores GPU (zero-retention policy).
  • Tenemos acuerdos de procesamiento de datos (DPA) con RunPod y Together.ai que prohíben el uso de tus datos para cualquier propósito fuera del servicio contratado.
  • Puedes optar por conectar tu propia infraestructura GPU (BYOC - Bring Your Own Compute) para mantener control total sobre dónde se procesan tus datos.
  • No almacenamos credenciales de acceso a GPU en texto plano; utilizamos cifrado de secretos mediante Supabase Vault.

3.6 BYOM (Bring Your Own Model)

  • Si importas modelos pre-entrenados desde HuggingFace Hub o subes tus propios modelos base, estos no son inspeccionados ni retenidos más allá de lo necesario para el servicio.
  • Los modelos importados se almacenan cifrados en tu espacio de almacenamiento aislado.
  • No analizamos los pesos de modelos importados para fines de investigación ni desarrollo interno.
  • Al eliminar un proyecto, todos los modelos importados asociados se eliminan permanentemente.

4. Cookies y Tecnologías de Seguimiento

Utilizamos cookies y tecnologías similares para mejorar tu experiencia:

TipoPropósitoDuración
EsencialesAutenticación con Supabase, gestión de sesiones, seguridad CSRF y funcionamiento básico de la plataformaSesión / 1 año
PreferenciasGuardar tu configuración de idioma, tema (light/dark), sidebar colapsado, proyecto activo y preferencias de visualización1 año
AnalíticasEntender cómo usas la plataforma para mejorarla mediante analytics anonimizados (Vercel Analytics)2 años

Gestión de Cookies

Puedes gestionar tus preferencias de cookies en cualquier momento desde la configuración de tu navegador o contactándonos directamente. Las cookies esenciales no pueden desactivarse ya que son necesarias para el funcionamiento de la plataforma (autenticación, seguridad y estado de sesión).

5. Cómo Compartimos tu Información

Nunca vendemos tu información personal ni tus datos de entrenamiento. Solo compartimos datos con terceros en los siguientes casos:

  • Proveedores de servicios esenciales:
    • Stripe Inc. - Procesamiento de pagos y facturación (datos de pago, información de suscripción)
    • Supabase - Base de datos PostgreSQL, autenticación OAuth y almacenamiento de archivos (datos de cuenta, datasets, modelos)
    • Vercel - Hosting de aplicación web y analytics (datos de navegación, métricas de rendimiento)
    • RunPod - Infraestructura GPU para entrenamiento (datos de entrenamiento durante jobs, eliminados post-procesamiento)
    • Together.ai - Infraestructura GPU y APIs de inferencia (datos de entrenamiento y prompts, bajo DPA estricto)
    • Opik (Comet ML) - Plataforma de evaluación y trazabilidad de LLMs (logs de inferencia, métricas de modelos)
  • Integraciones solicitadas por ti: Si conectas servicios de terceros como WhatsApp Business API, Kommo, HubSpot, n8n, Zapier, Make o HuggingFace Hub, compartimos solo los datos necesarios para esa integración específica. Tienes control total sobre qué integraciones activar y puedes revocar acceso en cualquier momento.
  • Proveedores de LLM externos: Si configuras APIs de OpenAI, Anthropic, Google AI, Cohere o Groq para generación de datos sintéticos o inferencia, los prompts y respuestas se procesan según las políticas de privacidad de esos proveedores. Recomendamos revisar sus términos de uso de API.
  • Requerimientos legales: Cuando sea legalmente necesario para cumplir con órdenes judiciales, citaciones, requerimientos de autoridades regulatorias o proteger nuestros derechos legales. Te notificaremos antes de divulgar información, salvo que esté legalmente prohibido.
  • Transacciones corporativas: En caso de fusión, adquisición, venta de activos o quiebra, tu información puede ser transferida. Te notificaremos con al menos 30 días de anticipación y tendrás la opción de eliminar tu cuenta antes de la transferencia.
  • Con tu consentimiento explícito: Compartiremos información cuando nos des tu autorización expresa para casos no cubiertos en esta política.

Compromiso de No Venta de Datos

Nunca vendemos, alquilamos ni licenciamos tus datos personales, datos de entrenamiento, modelos o logs de inferencia a terceros con fines comerciales, publicitarios o de investigación. Tu información se comparte únicamente con los proveedores de servicios necesarios para operar la plataforma y siempre bajo acuerdos de procesamiento de datos (DPA).

6. Datos de Industrias Reguladas

Advertencia sobre Datos Sensibles

Si operas en industrias altamente reguladas (salud, finanzas, legal), es tu responsabilidad garantizar que los datos que subes a AstrApp cumplen con las regulaciones aplicables. Recomendamos anonimizar, pseudonimizar o des-identificar datos sensibles antes de usarlos para entrenamiento.

6.1 Salud y Datos Médicos

  • México: Datos de salud están protegidos por la NOM-024-SSA3-2013 y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO).
  • HIPAA (Estados Unidos): AstrApp no está certificado como HIPAA-compliant. No subas información médica protegida (PHI) sin des-identificación según el estándar Safe Harbor o Expert Determination.
  • Recomendamos eliminar nombres de pacientes, fechas de nacimiento, números de seguridad social, direcciones, números de expedientes médicos y otros identificadores directos antes de subir datos clínicos.
  • Si necesitas procesamiento HIPAA-compliant, contáctanos para explorar opciones de despliegue dedicado o on-premise.

6.2 Finanzas y Datos Bancarios

  • México: Datos financieros están regulados por la Comisión Nacional Bancaria y de Valores (CNBV) y la Ley de Protección y Defensa al Usuario de Servicios Financieros.
  • No subas números de cuentas bancarias, números de tarjetas de crédito completos (PAN), CVV, PINs o credenciales de acceso a cuentas sin tokenización o enmascaramiento.
  • Si procesas datos de scoring crediticio o análisis de riesgo, asegúrate de cumplir con la Ley de Burós de Crédito.
  • Para cumplimiento PCI-DSS, recomendamos enmascarar los primeros 12 dígitos de números de tarjeta y nunca almacenar CVV.

6.3 Legal y Datos Confidenciales

  • Documentos legales con privilegio attorney-client deben ser revisados antes de subirse para entrenamiento.
  • Si entrenas modelos con contratos, acuerdos de confidencialidad o litigios, asegúrate de tener autorización para procesar esos documentos.
  • Recomendamos redactar nombres de partes, domicilios, números de expedientes y cláusulas confidenciales antes de usarlos como datos de entrenamiento.

6.4 E-commerce y Datos de Clientes

  • Si procesas conversaciones de soporte al cliente con información de pedidos, direcciones de envío o métodos de pago, cumple con la LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de Particulares).
  • Puedes entrenar modelos con datos de clientes si tienes un Aviso de Privacidad que incluya el procesamiento mediante IA y machine learning.
  • Recomendamos anonimizar nombres, teléfonos, correos electrónicos y direcciones completas si no son esenciales para el caso de uso del modelo.

7. Integraciones con CRM y Canales de Comunicación

AstrApp se integra con plataformas CRM y canales de comunicación para importar conversaciones como datos de entrenamiento:

Kommo (amoCRM)

  • Importamos conversaciones de leads y chats para convertirlas al formato ChatML.
  • Los datos se procesan solo para formateo y no se almacenan después del procesamiento salvo que optes por guardarlos como dataset de entrenamiento.
  • Requiere autenticación OAuth con tu cuenta de Kommo. Puedes revocar acceso en cualquier momento.

HubSpot

  • Sincronizamos tickets de soporte, conversaciones de chat en vivo y emails de clientes.
  • Los datos importados se transforman a formato ChatML y se almacenan cifrados en tu proyecto.
  • No accedemos a contactos, deals o pipelines de HubSpot que no estén explícitamente seleccionados para importación.

WhatsApp Business API

  • Integramos con WhatsApp Cloud API y WhatsApp Business Platform para importar conversaciones de clientes.
  • Los mensajes se procesan localmente y se formatean como pares pregunta-respuesta para fine-tuning.
  • Cumplimos con la política de uso de datos de WhatsApp: los mensajes no se comparten con Meta/Facebook ni se usan fuera de AstrApp.

Otras Integraciones (n8n, Zapier, Make)

  • Soportamos webhooks y APIs REST para importar datos desde plataformas de automatización.
  • Los datos recibidos vía webhook se validan, sanitizan y almacenan solo si están correctamente estructurados.
  • No retenemos datos de webhooks fallidos más allá de los logs de error (retención 7 días).

Control sobre Integraciones

Puedes revisar, pausar o eliminar cualquier integración desde el panel de configuración. Al desconectar una integración, los datos ya importados permanecen en tu proyecto hasta que los elimines manualmente. Las credenciales de API y tokens OAuth se almacenan cifrados en Supabase Vault y se eliminan al desconectar la integración.

8. Tus Derechos de Privacidad

Tienes derechos robustos sobre tu información personal bajo la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) de México y el Reglamento General de Protección de Datos (GDPR) de la Unión Europea:

Acceso (ARCO)

Solicitar una copia completa de todos los datos personales, datos de entrenamiento, modelos, logs de inferencia y configuraciones que tenemos sobre ti. Tiempo de respuesta: 20 días hábiles.

Rectificación (ARCO)

Corregir información inexacta, incompleta o desactualizada en tu perfil, datos de cuenta o metadatos de proyectos. Puedes editar la mayoría de datos directamente desde el panel.

Cancelación (ARCO)

Solicitar la eliminación completa de tu cuenta, datos de entrenamiento, modelos fine-tuneados y logs de inferencia. Período de gracia de 30 días para recuperación antes de eliminación permanente.

Oposición (ARCO)

Oponerte al procesamiento de tus datos para fines específicos como marketing, analytics o mejora de producto. Puedes desactivar estas opciones desde la configuración.

Portabilidad (GDPR)

Exportar tus datos en formato estructurado, de uso común y lectura mecánica (JSON, CSV, .safetensors para modelos). Incluye datasets, configuraciones y modelos completos.

Restricción (GDPR)

Limitar cómo utilizamos tu información mientras se resuelve una disputa sobre exactitud o legalidad del procesamiento. Puedes pausar entrenamientos activos.

No Discriminación (CCPA)

No recibirás trato diferente ni penalizaciones por ejercer tus derechos de privacidad. El servicio permanece igual independientemente de tus elecciones de privacidad.

Revocación de Consentimiento

Retirar tu consentimiento para procesamiento de datos en cualquier momento. Aplica a integraciones, cookies no esenciales y comunicaciones de marketing.

Cómo Ejercer tus Derechos

Para ejercer cualquiera de estos derechos ARCO o GDPR, envía un correo a privacy@astrapp.lat con el asunto "Solicitud ARCO" o "Solicitud GDPR" e incluye:

  • Tu nombre completo y correo electrónico registrado en AstrApp
  • Descripción clara del derecho que deseas ejercer (acceso, rectificación, cancelación, oposición)
  • Identificación oficial (INE, pasaporte) para verificar tu identidad
  • Domicilio o correo electrónico para recibir respuesta

Responderemos a tu solicitud en un plazo máximo de 20 días hábiles (LFPDPPP) o 30 días (GDPR). Si tu solicitud es compleja, podemos extender el plazo 10 días adicionales con notificación previa.

9. Seguridad de Datos

Implementamos medidas técnicas y organizativas robustas para proteger tu información contra acceso no autorizado, alteración, divulgación o destrucción:

Cifrado en Tránsito

Toda la comunicación entre tu navegador y nuestros servidores utiliza TLS 1.3 con Perfect Forward Secrecy (PFS). APIs y webhooks requieren HTTPS obligatorio.

Cifrado en Reposo

Los datos se almacenan cifrados con AES-256-GCM en Supabase PostgreSQL. Los archivos en Supabase Storage utilizan cifrado server-side encryption (SSE). Los pesos de modelos se cifran antes de almacenarse.

Aislamiento de Datos por Cuenta

Cada cuenta tiene sus datos completamente aislados mediante Row Level Security (RLS) en PostgreSQL. Imposibilita el acceso cruzado entre cuentas incluso a nivel de base de datos.

Autenticación Segura

Soportamos autenticación multifactor (2FA) vía TOTP, OAuth 2.0 con Google/GitHub/Microsoft, y contraseñas con requisitos de complejidad (mínimo 12 caracteres). Sesiones expiradas automáticamente tras 7 días de inactividad.

Gestión de Secretos

API keys, tokens OAuth y credenciales de terceros se almacenan cifrados en Supabase Vault. Nunca se exponen en logs ni se transmiten en respuestas de API.

Auditorías de Seguridad

Realizamos evaluaciones de vulnerabilidades trimestrales, pruebas de penetración anuales y auditorías de código mediante análisis estático (SAST). Mantenemos un programa de bug bounty responsable.

Control de Acceso

Solo personal autorizado con necesidad de acceso (principle of least privilege) puede acceder a sistemas de producción. Todo acceso administrativo se registra en logs de auditoría inmutables.

Backups Cifrados

Copias de seguridad automáticas diarias de bases de datos, cifradas con AES-256 y replicadas geográficamente. Retención de 30 días para recuperación ante desastres.

Detección de Amenazas

Monitoreo 24/7 de actividad sospechosa, intentos de acceso no autorizado, anomalías en patrones de uso y ataques DDoS. Alertas automáticas para el equipo de seguridad.

Compliance y Certificaciones

En proceso de certificación SOC 2 Type II. Cumplimos con estándares de seguridad de OWASP Top 10, CWE Top 25 y NIST Cybersecurity Framework.

Notificación de Brechas de Seguridad

En el improbable caso de una brecha de seguridad que afecte tus datos personales, te notificaremos dentro de 72 horas de haberla descubierto (requisito GDPR). La notificación incluirá la naturaleza de la brecha, datos afectados, medidas tomadas y recomendaciones para mitigar el riesgo. También reportaremos a las autoridades de protección de datos cuando sea legalmente requerido.

10. Retención de Datos

Conservamos tu información durante el tiempo necesario para cumplir con los fines descritos en esta política, obligaciones legales y resolución de disputas:

Tipo de DatoPeríodo de RetenciónBase Legal
Datos de cuenta activaMientras tu cuenta esté activaEjecución de contrato
Datos de entrenamientoHasta que los elimines manualmente o cierres tu cuentaConsentimiento / Contrato
Modelos fine-tuneadosHasta que los elimines o cierres cuenta (30 días de gracia)Propiedad intelectual del usuario
Logs de inferenciaConfigurable: 7/30/90/365 días (default: 30 días)Interés legítimo (debugging)
Trazas de OpikConfigurable por proyecto, máximo 2 añosConsentimiento
Datos de facturación5-7 años (requisito fiscal México/UE)Obligación legal (LISR, LIVA)
Logs de auditoría3 añosInterés legítimo (seguridad)
Datos anonimizadosIndefinidamente (no identificable)Analytics / Mejora de producto
Cookies analíticas2 años desde última visitaConsentimiento

Eliminación de Cuenta

Cuando eliminas tu cuenta, iniciamos un proceso de eliminación en dos fases:

  • Fase 1 - Desactivación (0-30 días): Tu cuenta se desactiva inmediatamente pero los datos permanecen en nuestros sistemas por 30 días en caso de que cambies de opinión. Puedes recuperar tu cuenta contactándonos durante este período.
  • Fase 2 - Eliminación Permanente (después de 30 días): Eliminamos de forma irreversible todos tus datos personales, datos de entrenamiento, modelos fine-tuneados y logs de inferencia. Solo conservamos datos de facturación anonimizados por obligación legal fiscal.

Recibirás confirmación por email cuando la eliminación permanente esté completa (día 31). Después de esto, no es posible recuperar ningún dato.

11. Transferencias Internacionales de Datos

Tus datos pueden ser procesados, almacenados o transferidos a servidores ubicados en Estados Unidos,Unión Europea u otras regiones donde operan nuestros proveedores de servicios en la nube. Esto incluye:

Supabase

Base de datos y storage alojados en AWS us-east-1 (Estados Unidos) o eu-west-1 (Irlanda) según configuración del proyecto. Cumple con GDPR y Privacy Shield Framework.

Vercel

Aplicación web servida desde edge network global con POPs en América, Europa y Asia. Datos de usuario procesados en regiones más cercanas (edge computing). Cumple con GDPR y SOC 2.

RunPod

GPUs para entrenamiento ubicadas en datacenters de Estados Unidos y Europa. Datos de entrenamiento eliminados tras finalizar job (zero-retention). DPA firmado con cláusulas contractuales estándar (SCC).

Together.ai

Infraestructura de inferencia y fine-tuning en Estados Unidos. Acuerdo de procesamiento de datos (DPA) con compromiso de no usar datos de clientes para entrenamiento propio. Cumple con SOC 2 Type II.

Stripe

Procesamiento de pagos con servidores en Estados Unidos y Europa. Certificado PCI-DSS Level 1. Datos de pago cifrados y tokenizados. Cumple con Strong Customer Authentication (SCA) de PSD2.

Opik (Comet ML)

Trazas y métricas almacenadas en AWS us-east-1 o instancia self-hosted. Opción de despliegue on-premise disponible para clientes enterprise con requerimientos de residencia de datos.

Salvaguardas de Transferencia Internacional

Para garantizar que tus datos estén adecuadamente protegidos cuando se transfieren fuera de México o la UE, implementamos las siguientes medidas:

  • Cláusulas Contractuales Estándar (SCC): Acuerdos aprobados por la Comisión Europea para transferencias UE-USA que garantizan nivel equivalente de protección.
  • Data Processing Agreements (DPA): Contratos firmados con todos los proveedores de servicios que especifican obligaciones de protección de datos, límites de uso y derechos de auditoría.
  • Privacy Shield Framework: Aunque invalidado por Schrems II, nos aseguramos que proveedores USA implementen salvaguardas suplementarias (cifrado, pseudonimización, controles de acceso).
  • Evaluación de Impacto de Transferencia (TIA): Análisis caso por caso de riesgos asociados a transferencias internacionales, especialmente para datos sensibles.
  • Opción de Residencia de Datos: Clientes enterprise pueden solicitar que sus datos permanezcan en región específica (UE, USA, América Latina) con upcharge de infraestructura.

Si tienes preocupaciones sobre transferencias internacionales de tus datos o requieres residencia de datos en México/América Latina, contáctanos en privacy@astrapp.lat para explorar opciones de despliegue regional o on-premise.

12. Marco Legal y Cumplimiento Regulatorio

AstrApp cumple con múltiples marcos regulatorios de protección de datos a nivel internacional:

Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) - México

  • Cumplimos con los 8 principios de protección de datos: licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad.
  • Mantenemos un Aviso de Privacidad (esta política) accesible y comprensible.
  • Garantizamos tus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) con respuesta en máximo 20 días hábiles.
  • Implementamos medidas de seguridad administrativas, físicas y técnicas para proteger datos personales.
  • Notificamos a la autoridad (INAI) en caso de vulneraciones de seguridad que afecten derechos patrimoniales o morales.

Reglamento General de Protección de Datos (GDPR) - Unión Europea

  • Base legal para procesamiento: ejecución de contrato (Art. 6.1.b), consentimiento (Art. 6.1.a) e interés legítimo (Art. 6.1.f).
  • Garantizamos todos los derechos GDPR: acceso, rectificación, supresión ("derecho al olvido"), restricción, portabilidad, oposición y decisiones automatizadas.
  • Implementamos Privacy by Design y Privacy by Default en todas las funcionalidades de la plataforma.
  • Realizamos Evaluaciones de Impacto de Protección de Datos (DPIA) para procesamiento de alto riesgo (fine-tuning con datos sensibles).
  • Nombramos un Delegado de Protección de Datos (DPO) disponible en dpo@astrapp.lat.
  • Notificamos brechas de seguridad a autoridades de supervisión (dentro de 72 horas) y afectados (sin demora indebida).

California Consumer Privacy Act (CCPA) / California Privacy Rights Act (CPRA) - Estados Unidos

  • Derecho a saber qué datos personales recopilamos, usamos, divulgamos y vendemos.
  • Derecho a eliminar datos personales (con excepciones de obligaciones legales).
  • Derecho a optar por no participar (opt-out) de venta de datos personales. No vendemos tus datos.
  • Derecho a no discriminación por ejercer derechos de privacidad.
  • Derecho a corregir información inexacta (CPRA 2023).
  • Derecho a limitar uso de datos sensibles (datos biométricos, geolocalización precisa, contenido de comunicaciones).

Otras Regulaciones Aplicables

  • Lei Geral de Proteção de Dados (LGPD) - Brasil: Cumplimiento para usuarios brasileños con derechos similares a GDPR.
  • Personal Information Protection Law (PIPL) - China: Si operamos en China, cumplimos con requisitos de localización de datos.
  • Ley de Protección de la Vida Privada - Chile: Cumplimiento para usuarios chilenos (Ley 19.628).
  • Ley de Protección de Datos Personales - Argentina: Cumplimiento Ley 25.326 y Disposición 10/2008 DNPDP.
  • ePrivacy Directive - UE: Cumplimiento en uso de cookies y comunicaciones electrónicas.

Responsable de Protección de Datos

Para ejercer tus derechos bajo cualquiera de estos marcos legales, contacta a nuestro equipo de privacidad:

Email de Privacidad: privacy@astrapp.lat

Delegado de Protección de Datos (DPO): dpo@astrapp.lat

Dirección Postal: [Pendiente - agregar dirección física registrada de AstrApp]

También tienes derecho a presentar una queja ante la autoridad de protección de datos de tu jurisdicción:

  • México: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) - home.inai.org.mx
  • UE: Autoridad de protección de datos de tu país (ej: AEPD en España, CNIL en Francia, ICO en Reino Unido)
  • California: California Attorney General - Privacy Enforcement - oag.ca.gov/privacy

13. Cambios a esta Política de Privacidad

Podemos actualizar esta Política de Privacidad ocasionalmente para reflejar cambios en nuestras prácticas de datos, nuevas funcionalidades de la plataforma, evolución de tecnologías de IA o actualizaciones en regulaciones de privacidad.

Cambios Menores

Correcciones de estilo, aclaraciones de redacción o actualizaciones de enlaces se publicarán con nueva fecha de "última actualización" sin notificación adicional.

Cambios Significativos

Modificaciones sustanciales que afecten tus derechos, nuevos usos de datos, cambios en retención o proveedores de servicios se notificarán mediante:

  • Correo electrónico a tu dirección registrada (al menos 30 días antes de que entren en vigor)
  • Banner destacado en la plataforma al iniciar sesión
  • Notificación in-app en el panel de control

Tu Opción ante Cambios

Si no estás de acuerdo con cambios significativos a esta política, puedes:

  • Rechazar los cambios y cerrar tu cuenta antes de que entren en vigor (30 días de aviso previo)
  • Exportar todos tus datos (datasets, modelos, configuraciones) antes de cancelar
  • Contactarnos para discutir preocupaciones específicas o negociar términos alternativos (disponible para cuentas enterprise)

El uso continuado de AstrApp después de la fecha de entrada en vigor constituye aceptación de la política actualizada.

Te recomendamos revisar esta página periódicamente para estar al tanto de cambios. Todas las versiones históricas de esta Política de Privacidad están disponibles bajo solicitud en privacy@astrapp.lat.

14. Contacto y Preguntas sobre Privacidad

Si tienes preguntas, inquietudes o comentarios sobre esta Política de Privacidad, el tratamiento de tus datos personales, o deseas ejercer cualquiera de tus derechos ARCO/GDPR/CCPA, por favor contáctanos:

Equipo de Privacidad

Para solicitudes ARCO, GDPR, CCPA y preguntas generales de privacidad:

privacy@astrapp.lat

Delegado de Protección de Datos (DPO)

Para cumplimiento GDPR y consultas regulatorias:

dpo@astrapp.lat

Soporte Técnico

Para ayuda con configuración de privacidad, retención de datos o exportación:

soporte@astrapp.lat

Asuntos Legales

Para requerimientos legales, citaciones y procesos judiciales:

legal@astrapp.lat

Otros Canales de Contacto

Sitio Web: https://astrapp.lat

Centro de Ayuda: https://astrapp.lat/docs

Tiempo de Respuesta: 2-5 días hábiles para consultas generales, 20 días hábiles para solicitudes ARCO (LFPDPPP), 30 días para solicitudes GDPR

Transparencia y Rendición de Cuentas

Estamos comprometidos con la transparencia total en cómo manejamos tus datos. Si tienes cualquier pregunta sobre esta política, nuestras prácticas de privacidad, o cómo protegemos tus datos de entrenamiento y modelos de IA, no dudes en contactarnos. Respondemos a todas las consultas de buena fe y trabajamos contigo para resolver cualquier inquietud de privacidad.