Política de Privacidad

Responsable del tratamiento: AM14 LLC, sociedad estadounidense de responsabilidad limitada constituida en Delaware (file 5315331), con EIN 30-1425388 y domicilio de negocio en 501 NE 31st Street, Miami, Florida 33137, Estados Unidos.

AM14 LLC opera SecrAI, un servicio de asistentes inteligentes (IA) por WhatsApp y web.

Para asuntos de privacidad — incluido el ejercicio de tus derechos — el canal único es legal@secrai.me. Esta dirección actúa como punto de contacto del responsable y, donde la ley lo exige, como encargado de protección de datos.

Recogemos solo lo necesario para que tu asistente trabaje contigo. Las categorías son éstas.

Datos de identificación y contacto. Tu nombre o el que prefieras usar con tu asistente, tu número de WhatsApp y, si nos lo das, tu email. Si te suscribes, recogemos los datos de facturación que LemonSqueezy nos transmite (no almacenamos los datos de tu tarjeta).

Contenido conversacional. Los mensajes que intercambias con tu asistente por WhatsApp o por la web. Texto, audios y, en su caso, fotos que tú decides compartir.

Agenda, recordatorios y listas. Los eventos, recordatorios, vencimientos y listas personales que pides a tu asistente. Si conectas Google Calendar, los datos de los calendarios que autorizas.

Preferencias. Zona horaria, idioma, asistente elegido, ajustes de notificación y similares.

Metadatos técnicos. Identificador de sesión, horas de uso, errores, métricas de entrega de mensaje. Sirven para que el servicio funcione, no para perfilarte.

No recogemos datos que no necesitemos. No compramos datos a terceros. No completamos tu perfil con fuentes externas.

Solo para tres bloques de finalidad.

Prestar el servicio. Que tu asistente te entienda, recuerde lo que le dijiste, te avise a tiempo y te conteste. Esto incluye procesar tu contenido con el modelo de lenguaje de Anthropic, enviar y recibir tus mensajes por la API de WhatsApp de Twilio, gestionar tu suscripción a través de LemonSqueezy y servir la web desde Vercel y Neon.

Cumplir obligaciones legales y operativas. Facturación, contabilidad, prevención de fraude, atención a requerimientos legítimos de autoridades y conservación de logs mínimos.

Mejorar SecrAI de forma agregada. Mirando uso del producto en métricas agregadas sin identificadores personales para entender qué funciona y qué no. Cualquier muestra que usemos para mejorar el sistema se sanitiza antes (eliminación de identificadores personales y de contenido sensible) bajo nuestro proceso interno de Aprendizaje Fundacional.

Lo que no hacemos. No vendemos tus datos. No los compartimos con anunciantes. No entrenamos modelos de IA con tus conversaciones sin tu consentimiento expreso. Tu contenido no se usa para enseñar al modelo del proveedor más allá de la inferencia necesaria para responderte.

Cada uso tiene una base legal declarada. La elegimos según la jurisdicción de tu residencia.

Ejecución del contrato. Tratar tus mensajes, tu agenda, tu suscripción y tu cuenta es necesario para entregarte el servicio que has contratado. Sin estos datos no podemos cumplir contigo.

Consentimiento. Cuando nos compartes datos sensibles dentro de una lista personal (por ejemplo, tu lista de medicamentos), lo hacemos con tu consentimiento expreso, que puedes retirar en cualquier momento.

Obligación legal. Conservación de datos de facturación durante el plazo fiscal exigible (típicamente siete años en Estados Unidos), respuesta a requerimientos judiciales válidos.

Interés legítimo. Mejora agregada del producto, seguridad, prevención de fraude. Siempre bajo el principio de minimización y con derecho de oposición declarado en la sección Tus derechos.

Trabajamos con un conjunto cerrado de proveedores tecnológicos. Cada uno procesa una pieza del servicio y firma con AM14 LLC un acuerdo de tratamiento de datos.

Anthropic (Estados Unidos). Proveedor del modelo de lenguaje Claude que da voz a tus asistentes. Recibe los mensajes necesarios para generar la respuesta y no los retiene más allá de la inferencia, bajo la política de retención cero aplicable a la cuenta corporativa de AM14 LLC. Anthropic no entrena sus modelos con los datos enviados por nuestra API.

Twilio (Estados Unidos). Proveedor de la API que conecta WhatsApp con SecrAI. Procesa el contenido del mensaje en tránsito y almacena logs operativos por el plazo configurado en su política (típicamente 30 días).

LemonSqueezy (Irlanda). Procesa los pagos como Merchant of Record. Es Lemon Squeezy quien factura, cobra y gestiona los impuestos aplicables. AM14 LLC recibe metadatos de la transacción (importe, fecha, últimos cuatro dígitos de la tarjeta) y no almacena los datos de tu tarjeta. Al pagar, aceptas también los términos de Lemon Squeezy.

Meta · WhatsApp Business Solution. El propio canal por el que tu asistente te escribe. Meta recibe los metadatos del mensaje y tu número de WhatsApp.

Vercel (Estados Unidos). Hosting de la web `secrai.me` y métricas agregadas de tráfico sin cookies de terceros.

Neon (Estados Unidos o Unión Europea, según región). Base de datos PostgreSQL donde se guardan los datos del servicio cifrados en reposo.

Railway (Estados Unidos o Unión Europea, según región). Hosting del backend de SecrAI tras nuestra migración operativa de mayo de 2026.

Google APIs (Estados Unidos). Cuando tú autorizas la integración, accedemos a Google Calendar bajo la política de Limited Use de Google. Los datos se usan solo para el servicio que tú pediste y no se venden ni se reutilizan con otros fines.

Si añadimos, sustituimos o retiramos un proveedor, te lo decimos con al menos 30 días de antelación actualizando esta política y avisándote por email o WhatsApp. Si el cambio no te encaja, puedes cancelar.

SecrAI te permite guardar listas personales para lo que necesites. Pueden usarse para apuntar lo que sea, incluidos medicamentos que tomas, contactos médicos, vencimientos de tratamientos o cualquier información personal relevante para ti.

Si tú decides compartir información de salud, datos financieros u otros datos sensibles en una lista personal, los tratamos así: cifrado en reposo con la columna correspondiente cifrada a nivel de base de datos (pgcrypto), acceso restringido al subconjunto técnico mínimo necesario para entregarte el servicio, y consentimiento expreso por el hecho de compartirlos voluntariamente con tu asistente.

Puedes retirar el consentimiento en cualquier momento eliminando la lista, eliminando los registros concretos o pidiéndonos el borrado por legal@secrai.me.

Recomendación honesta: comparte solo lo que de verdad te sirve recordar. Tu asistente es un servicio de organización, no un consultorio médico, financiero ni jurídico.

Los plazos de conservación se rigen por estos tramos.

Mientras tu cuenta está activa. Conservamos tus datos para que tu asistente trabaje contigo.

Tras cancelación. 30 días de retención operativa para que puedas recuperar tu cuenta si fue por error. Después, eliminación de datos personales en bases activas.

Copias de seguridad. Las copias técnicas se sobrescriben en un máximo de 90 días desde la cancelación. Durante ese tiempo siguen sujetas a las medidas de seguridad de esta política.

Datos de facturación. Conservados durante el plazo fiscal exigible (típicamente siete años en Estados Unidos) por obligación legal.

Datos agregados. Las métricas agregadas sin identificadores personales pueden conservarse indefinidamente para fines de análisis estadístico.

Tienes los siguientes derechos sobre tus datos personales, ejercitables por legal@secrai.me.

Confirmación e información. Saber si tratamos tus datos y cómo.

Acceso. Obtener copia de los datos que tenemos sobre ti.

Rectificación. Corregir datos inexactos o desactualizados.

Eliminación. Pedir el borrado de tus datos (con las excepciones legales aplicables, como conservación fiscal).

Anonimización o bloqueo. Pedir que se anonimicen datos innecesarios o se bloqueen sin borrar.

Portabilidad. Recibir tus datos en formato estructurado y de uso común.

Información sobre uso compartido. Saber con qué proveedores compartimos qué datos.

Revocación del consentimiento. Retirar cualquier consentimiento que hayas dado, sin efecto retroactivo sobre el tratamiento previo.

Oposición. Oponerte al tratamiento basado en interés legítimo, cuando concurran motivos relacionados con tu situación particular.

No discriminación. No te trataremos peor por ejercer cualquier derecho.

Opt-out de venta o compartición (residentes de California). No vendemos ni compartimos tus datos en el sentido de la CCPA/CPRA. Aun así, puedes pedirlo expresamente.

Limitar el uso de información sensible (residentes de California). Conforme a la CPRA, puedes pedirnos restringir el uso de información personal sensible.

Información sobre decisiones automatizadas. Saber cuándo hay automatización significativa en tu servicio y, en su caso, pedir revisión humana.

Reclamar ante autoridad. Acudir a la autoridad de protección de datos competente en tu país.

El canal único es legal@secrai.me.

Escríbenos desde el mismo email que registraste, o indícanos en el mensaje el número de WhatsApp con el que usas SecrAI. Si por seguridad tenemos dudas razonables sobre tu identidad, te pediremos una verificación adicional sencilla (por ejemplo, el importe del último cobro y los últimos cuatro dígitos de la tarjeta vía LemonSqueezy).

Plazo de respuesta: 15 días desde que recibimos tu solicitud y verificamos identidad. Si la complejidad lo exige, podemos extender otros 15 días justificándotelo por escrito.

Cuando el panel de usuario esté disponible, podrás ejercer parte de estos derechos directamente (descargar tus datos, eliminar tu cuenta, revisar consentimientos) sin necesidad de contactarnos.

El servicio es gratuito. No te cobramos por ejercer tus derechos.

Antes que nada, escríbenos a legal@secrai.me. Resolvemos lo que esté en nuestra mano.

Si aun así crees que tratamos mal tus datos, tienes derecho a reclamar ante la autoridad de protección de datos competente en tu país.

Estados Unidos · California. California Attorney General · oag.ca.gov.

México. INAI · inai.org.mx.

Brasil. ANPD · gov.br/anpd.

Argentina. AAIP · argentina.gob.ar/aaip.

Chile. Consejo para la Transparencia · consejotransparencia.cl.

Colombia. Superintendencia de Industria y Comercio · sic.gov.co.

Perú. Autoridad Nacional de Protección de Datos Personales · gob.pe/anpd.

Uruguay. URCDP · gub.uy/urcdp.

AM14 LLC opera desde Estados Unidos. Algunos de nuestros proveedores procesan datos en Estados Unidos o en la Unión Europea, según región.

Cuando tus datos viajan fuera del país donde resides, lo hacemos al amparo de mecanismos legales reconocidos: Cláusulas Contractuales Tipo (Standard Contractual Clauses) firmadas con cada proveedor, decisiones de adecuación aplicables y, donde la regulación lo exige, medidas técnicas complementarias como el cifrado en tránsito y en reposo.

Si quieres saber dónde reside concretamente un dato concreto en un momento concreto, escríbenos a legal@secrai.me y te lo decimos.

SecrAI es un servicio para mayores de 18 años. No está diseñado para menores y no recogemos datos personales de menores de forma intencional.

Si detectamos que un usuario es menor de 18, cerramos la cuenta y eliminamos los datos asociados.

Si crees que un menor ha creado una cuenta, escríbenos a legal@secrai.me y actuamos en plazo razonable.

La web `secrai.me` usa lo mínimo imprescindible y te lo pedimos por adelantado con un banner de consentimiento.

Esenciales (siempre activas). Almacenamiento local del navegador para recordar tu idioma, tu sesión y tu decisión sobre el banner de cookies. Sin estas, la web no funciona.

Analítica agregada (opt-in). Vercel Analytics y Speed Insights en modo agregado, sin identificadores personales ni cookies de seguimiento de terceros. Solo se cargan si aceptas explícitamente en el banner. No te perfilan, no te siguen entre webs.

Marketing. Hoy no usamos cookies de marketing. Si en el futuro las añadimos, te lo pediremos con un banner nuevo antes de cargarlas.

No usamos Google Analytics, ni Facebook Pixel, ni TikTok Pixel, ni cookies publicitarias de terceros en `secrai.me`.

Checkout. Cuando pagas, el checkout de LemonSqueezy puede usar cookies propias para la transacción. Se rige por la política de LemonSqueezy.

Puedes cambiar tus preferencias en cualquier momento pulsando Gestionar cookies en el pie de página, o ver el detalle completo en nuestra Política de Cookies.

Aplicamos medidas técnicas y organizativas razonables.

Cifrado en tránsito. Todas las conexiones a `secrai.me`, a la API de WhatsApp y a nuestros servicios internos usan TLS.

Cifrado en reposo. La base de datos cifra el almacenamiento. Las columnas que contienen información sensible compartida en listas personales se cifran adicionalmente con pgcrypto a nivel de campo.

Acceso mínimo. Solo el conjunto técnico estrictamente necesario tiene acceso operativo. Los chats no son leídos por el equipo humano. El founder de AM14 LLC no lee chats de usuarios sin consentimiento expreso, salvo excepciones legales (requerimiento judicial válido, prevención de fraude grave o riesgo serio para la integridad de una persona).

Auditoría. Registramos accesos a sistemas críticos para detectar anomalías.

Brechas. Si sufriéramos una brecha que afecte a tus datos personales con riesgo apreciable, te lo comunicaríamos y, donde la ley lo exige, lo notificaríamos a la autoridad competente en los plazos aplicables (72 horas desde detección, en jurisdicciones que lo exigen).

Ningún sistema es invulnerable. Mantenemos la postura honesta de que el riesgo cero no existe y que nuestra obligación es minimizarlo activamente.

Si resides en California, te asisten derechos específicos bajo la CCPA y la CPRA. Los hemos integrado en la sección Tus derechos arriba.

No vendemos ni compartimos tus datos personales en el sentido de la CCPA/CPRA. Aun así, puedes ejercer expresamente tu derecho al opt-out escribiéndonos a legal@secrai.me con el asunto Do Not Sell or Share — California.

Limitar el uso de información sensible. Bajo la CPRA, puedes pedirnos restringir el uso de información personal sensible escribiéndonos con el asunto Limit Use of Sensitive PI — California.

No discriminación. Ejercer estos derechos no afecta al precio que pagas ni a la calidad del servicio.

Autoridad de reclamación: California Attorney General · oag.ca.gov.

Si actualizamos la política, publicamos la versión nueva aquí y modificamos la fecha de última actualización.

Para cambios sustantivos — nuevos sub-procesadores, nuevas finalidades, nuevas categorías de datos — te avisamos por email o WhatsApp con al menos 30 días de antelación para que puedas revisar el cambio antes de que entre en vigor. Si no te encaja, puedes cancelar tu suscripción.

Para cambios menores — correcciones tipográficas, mejoras de redacción, actualización de enlaces — basta con publicar la versión nueva.

Esta política se rige por las leyes del Estado de Delaware, Estados Unidos, salvo los derechos imperativos que la ley de tu país de residencia te garantice como consumidor o como titular de datos personales.

En particular, los derechos reconocidos por la LGPD en Brasil, la LFPDPPP en México, la Ley 25.326 en Argentina, la Ley 19.628 en Chile, la Ley 1581 en Colombia, la Ley 29.733 en Perú, la Ley 18.331 en Uruguay y la CCPA/CPRA en California prevalecen sobre cualquier disposición de esta política que les sea menos favorable.