Política de privacidad
Última actualización: 21 de mayo de 2026
1. Quién es el responsable del tratamiento
NIMBUS CLOUD SERVICES, entidad domiciliada en Dubái (Emiratos Árabes Unidos), actuando como responsable del tratamiento de datos personales.
Contacto para todo asunto relacionado con esta política y con tus derechos de protección de datos: jan@aaampli.com.
LiveFunnel se opera desde Emiratos Árabes Unidos, pero ofrece sus servicios a usuarios en todo el mundo, incluyendo la Unión Europea. Por tanto, son de aplicación:
- El Reglamento General de Protección de Datos (UE 2016/679, "RGPD") para usuarios y datos personales en la Unión Europea, el Espacio Económico Europeo y el Reino Unido.
- La Federal Decree-Law No. 45 of 2021 ("UAE PDPL") para usuarios y datos personales en los Emiratos Árabes Unidos.
- Otras normativas equivalentes que resulten aplicables por la residencia o nacionalidad del usuario.
2. Qué datos guardamos
2.1. Datos de cuenta
- Provider de autenticación (Google, GitHub o magic link)
- Fecha de creación y último login
- Identificador interno del usuario (UUID generado por Supabase Auth)
2.2. Datos del workspace
- Nombre de la organización
- Dominio del email (lo utilizamos como dato firmográfico)
- Vertical, tamaño, país (si el usuario los rellena o los inferimos del dominio público)
- Rol del usuario en el workspace (owner, admin, member)
2.3. Credenciales de integraciones
- API keys, tokens o identificadores de cuenta que el usuario conecta para Umami, Stripe, Calendly, GHL, Instantly y similares.
- Se almacenan en una base de datos cifrada en reposo (cifrado a nivel de disco aplicado por Supabase).
- Solo accesibles desde el workspace del usuario, mediante Row Level Security a nivel de fila.
2.4. Datos derivados de las integraciones
- KPIs calculados (reply rate, demos, MRR, churn, etc.).
- Eventos agregados procedentes de las herramientas conectadas.
- No guardamos el contenido bruto de mensajes outbound, contactos del CRM ni conversaciones de los usuarios. Solo métricas agregadas relevantes para el análisis del funnel.
2.5. Eventos de uso de la app
- Acciones discretas: login, funnel creado, KPI editado, integración conectada, etc.
- IP del usuario hasheada con SHA-256 (no almacenamos la IP en claro).
- User agent del navegador.
- Timestamps de cada evento.
2.6. Consentimientos
- Fecha y versión de los términos aceptados por el usuario.
- Estado de su consentimiento explícito a recibir comunicaciones comerciales por email.
- IP y user agent en el momento de prestar el consentimiento, a efectos de prueba.
2.7. Audit log de accesos administrativos
- Cada vez que el proveedor accede a datos identificables de un usuario, queda registrado: cuándo, qué dato, qué acción y desde qué cuenta administrativa.
3. Qué NO guardamos
- Contraseñas en claro. Las gestiona Supabase Auth con hashing seguro.
- Contenido de los prompts del chat IA (solo el evento agregado con metadatos).
- Datos de pago. No procesamos pagos directamente.
- Información biométrica.
- Datos especialmente protegidos (origen racial o étnico, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos, biométricos identificativos, datos relativos a la salud, datos sobre la vida u orientación sexual).
- Datos de menores de edad. El servicio está destinado a uso profesional B2B.
4. Por qué guardamos lo que guardamos
| Dato | Finalidad | Base legal |
|---|---|---|
| Email + workspace | Prestar el servicio | Ejecución del contrato |
| Credenciales de integraciones | Conectar fuentes de datos del usuario | Ejecución del contrato |
| Datos derivados (KPIs, eventos agregados) | Mostrar insights en la app | Ejecución del contrato |
| Eventos de uso | Mejorar el producto, prevenir abuso | Interés legítimo |
| Análisis para recomendaciones in-app | Mostrar sugerencias dentro de la app | Ejecución del contrato (consentimiento del onboarding) |
| Email para comunicaciones comerciales | Cross-sell por email | Consentimiento explícito |
| Custom audiences en plataformas publicitarias | Cross-sell por ads | Consentimiento explícito |
| Audit log de accesos administrativos | Seguridad, transparencia, cumplimiento normativo | Obligación legal e interés legítimo |
| Consentimientos archivados | Evidencia legal de cumplimiento RGPD/PDPL | Obligación legal |
5. Dónde se guardan los datos
- Base de datos: Supabase Postgres, región Unión Europea (Frankfurt, Alemania).
- Hosting de la aplicación: Vercel, con red de distribución global. El procesamiento de datos sensibles se realiza en regiones europeas siempre que es técnicamente posible.
- Telemetría de producto: Posthog, instancia europea (cuando esté activada).
Aunque el proveedor reside en Emiratos Árabes Unidos, los datos personales se almacenan en la Unión Europea para garantizar el cumplimiento del RGPD.
6. Subprocesadores
| Servicio | Finalidad | Localización |
|---|---|---|
| Supabase | Base de datos, autenticación, almacenamiento | Unión Europea (Frankfurt) |
| Vercel | Hosting, runtime, edge network | Global, procesamiento en EU cuando es posible |
| Anthropic | Modelos LLM (Claude) | Estados Unidos, en modo zero retention |
| OpenAI | Modelos LLM opcionales (BYOK) | Estados Unidos, en modo zero retention |
| Posthog | Analítica de producto | Unión Europea |
Para transferencias internacionales de datos hacia EE.UU., aplicamos las cláusulas contractuales tipo (Standard Contractual Clauses) aprobadas por la Comisión Europea, conforme al Capítulo V del RGPD.
El proveedor mantiene actualizada la lista de subprocesadores y notificará al usuario con antelación razonable cualquier alta o cambio sustancial que pueda afectar al tratamiento de sus datos.
7. Plazos de conservación
- Datos de cuenta y workspace: mientras la cuenta esté activa.
- Eventos de uso: indefinido en formato identificable mientras la cuenta esté activa; tras la baja, se anonimizan (se eliminan user_id y organization_id).
- Audit log de accesos administrativos: 24 meses desde la fecha del evento registrado.
- Consentimientos archivados: mientras dure la cuenta más 6 años adicionales a efectos de prueba, conforme a las obligaciones legales aplicables.
- Datos derivados de integraciones: mientras la cuenta esté activa y la integración esté conectada.
Cuando se elimina una cuenta:
- Datos identificables → borrado físico inmediato (hard delete con cascada).
- Eventos agregables → anonimización (se mantienen métricas agregadas sin atribución personal para mejora del producto).
- Audit log → se conserva el periodo restante hasta los 24 meses.
- Consentimientos → se conserva el plazo legal de 6 años para evidencia probatoria.
8. Tus derechos
Tienes los siguientes derechos sobre tus datos personales y puedes ejercerlos en cualquier momento:
- Acceso: descarga un JSON completo de tus datos desde Ajustes, "Exportar mis datos".
- Rectificación: edita tu workspace, perfil y consentimientos desde Ajustes.
- Supresión (derecho al olvido): botón "Borrar mi cuenta" en Ajustes. El borrado es irreversible y se ejecuta en menos de 24 horas.
- Limitación del tratamiento: escríbenos a jan@aaampli.com indicando qué tratamiento quieres limitar.
- Portabilidad de datos: el export JSON cumple esta función. Si lo necesitas en otro formato, lo facilitamos a petición.
- Oposición: puedes oponerte a tratamientos basados en interés legítimo escribiendo a jan@aaampli.com.
- Revocar consentimiento: el toggle de marketing en Ajustes tiene efecto inmediato.
- No estar sujeto a decisiones automatizadas: las recomendaciones in-app son orientativas y no producen efectos jurídicos. Si en el futuro se introducen decisiones automatizadas con efectos jurídicos, se solicitará tu consentimiento específico.
Plazo de respuesta a solicitudes: nos comprometemos a responder en un máximo de 30 días naturales desde la recepción.
9. Reclamaciones ante la autoridad de control
Si consideras que el tratamiento de tus datos vulnera la normativa aplicable, puedes presentar una reclamación ante la autoridad de control correspondiente:
- Unión Europea: la autoridad de protección de datos de tu país de residencia. En España, la Agencia Española de Protección de Datos (www.aepd.es).
- Reino Unido: Information Commissioner's Office (ico.org.uk).
- Emiratos Árabes Unidos: UAE Data Office (dataoffice.gov.ae).
10. Acceso del proveedor a tus datos
Como se describe en los términos de servicio, el proveedor accede a tus datos identificables para:
- Prestar el servicio.
- Dar soporte técnico cuando lo solicitas.
- Analizar patrones y mostrarte recomendaciones dentro de la app.
- Mejorar el producto.
- Detectar oportunidades de negocio relevantes (solo si has consentido el marketing externo).
Cada acceso queda registrado en el audit log interno. Si necesitas saber quién ha accedido a tus datos y cuándo, escribe a jan@aaampli.com y te facilitaremos el extracto del audit log que te corresponda.
11. Cookies y tracking
LiveFunnel utiliza únicamente:
- Cookies estrictamente necesarias para autenticación (sesión gestionada por Supabase). No requieren consentimiento previo.
- Cookies de analítica de producto (Posthog, cuando esté activado). Solo se activan tras aceptar los términos en el onboarding.
No utilizamos cookies de terceros publicitarios sin tu consentimiento explícito.
12. Seguridad de los datos
Aplicamos las siguientes medidas técnicas y organizativas:
- Cifrado en reposo (Supabase aplica cifrado a nivel de disco).
- Cifrado en tránsito (HTTPS, TLS 1.2 o superior obligatorio).
- Row Level Security a nivel de base de datos: cada workspace solo accede a sus propios datos.
- Política de mínimos privilegios para accesos administrativos.
- Audit log inmutable de accesos administrativos.
- Backups automáticos diarios gestionados por Supabase.
- Revisión periódica de subprocesadores y sus políticas de seguridad.
13. Notificación de brechas de seguridad
En caso de detectar una brecha de seguridad que afecte a datos personales y que entrañe un riesgo para los derechos y libertades de los usuarios, el proveedor:
- Notificará a la autoridad de control competente en un plazo máximo de 72 horas desde la detección, cuando sea exigible por la normativa aplicable.
- Comunicará a los usuarios afectados sin dilación indebida cuando la brecha entrañe un alto riesgo para sus derechos y libertades.
- Documentará la brecha en un registro interno con los hechos relativos a la misma, sus efectos y las medidas correctoras adoptadas.
14. Menores de edad
El servicio está destinado a uso profesional B2B. No recopilamos conscientemente datos de menores de 18 años. Si descubrimos que se han recopilado datos de un menor sin consentimiento parental válido, los eliminaremos sin demora.
15. Decisiones automatizadas y elaboración de perfiles
15.1. El servicio realiza análisis automatizado del funnel del usuario para mostrar recomendaciones in-app. Estas recomendaciones tienen carácter informativo y no producen efectos jurídicos sobre el usuario.
15.2. No realizamos decisiones automatizadas individuales que produzcan efectos jurídicos sobre el usuario o que le afecten significativamente, en el sentido del artículo 22 del RGPD.
15.3. Si en el futuro se introducen funcionalidades de este tipo, se solicitará el consentimiento específico del usuario y se ofrecerán las garantías exigidas por la normativa aplicable.
16. Transferencias internacionales de datos
16.1. Como se indica en §5 y §6, ciertos subprocesadores realizan actividades en Estados Unidos (Anthropic, OpenAI, Vercel para hosting global).
16.2. Para esas transferencias, aplicamos las cláusulas contractuales tipo (SCCs) de la Comisión Europea, conforme al artículo 46.2.c del RGPD.
16.3. Adicionalmente, el proveedor reside en Emiratos Árabes Unidos. El acceso del proveedor a los datos del usuario desde EAU constituye una transferencia internacional cubierta por:
- La aceptación expresa del usuario en estos términos.
- La inclusión de cláusulas contractuales tipo en las relaciones con los subprocesadores.
- El interés legítimo en la prestación del servicio y en la atención al usuario.
17. Cambios en esta política
Si esta política cambia de forma material, te notificaremos en tu próxima sesión y se te pedirá reaceptar la nueva versión.
El histórico de versiones aceptadas por cada usuario queda registrado con fecha exacta.
Contacto para temas de privacidad y derechos GDPR/PDPL: jan@aaampli.com