Política de Privacidad
Cómo Abundera QR maneja los datos: casi cero en la herramienta gratuita; mínimo y explícito en Pro.
1. Resumen
Dos productos, dos panoramas de datos diferentes.
- Herramienta Gratuita (qr.abundera.ai): sin cuenta, sin cookies, sin analítica, sin solicitudes a nuestros servidores para generar QR. Su contenido nunca sale de su navegador.
- Servicio Pro (pro.qr.abundera.ai): basado en cuenta. Almacenamos su correo electrónico, ID de cliente de Stripe, los códigos QR que crea y los registros de escaneo mínimos descritos en la Sección 4. No rastreamos a sus usuarios finales por la web; no vendemos sus datos; no usamos tecnología publicitaria.
2. Datos que procesamos en la Herramienta Gratuita
Del lado del servidor: ninguno. Abundera QR es una aplicación totalmente del lado del cliente. Cada código QR, vCard, contraseña WiFi, tarjeta de presentación, CSV por lotes e imagen escaneada se procesa íntegramente dentro de su navegador. Ningún dato de formulario, contenido QR, imagen ni registro sale de su dispositivo.
Del lado del cliente (solo en el almacenamiento de su navegador): preferencias de interfaz, idioma elegido, plantillas de estilo guardadas, historial reciente de QR (miniaturas almacenadas localmente) y los archivos de proyecto por QR que guarda explícitamente. Ninguno de estos datos se transmite a nosotros. Bórrelos en cualquier momento desde el control de borrar datos del sitio de su navegador.
Solicitudes a terceros: la página se carga únicamente desde qr.abundera.ai. Sin fuentes de terceros, sin scripts, sin imágenes, sin CDN de analítica. El escáner QR opcional usa su cámara localmente. El campo opcional de URL de foto para vCards obtiene la imagen desde la URL que escribió, esa solicitud va directamente desde su navegador a ese servidor, nunca pasa por nosotros.
3. Datos que procesamos en el Servicio Pro
3.1 Datos de cuenta
Cuando inicia sesión a través de abundera.ai, recibimos su dirección de correo electrónico y un identificador de usuario mediante nuestro flujo de autenticación delegado por JWKS. Almacenamos:
- Dirección de correo electrónico (para enviar avisos de facturación, mensajes críticos del servicio y confirmaciones de cancelación)
- ID de cliente de Stripe (para cobrar al método de pago que proporciona)
- Preferencias de cuenta (nivel de plan, membresías de equipo, metadatos de claves API)
- Marcas de tiempo (cuenta creada, actualizada, eliminación solicitada)
No almacenamos contraseñas; la autenticación está delegada a abundera.ai. No recopilamos datos demográficos, preferencias de marketing ni identificadores de dispositivo más allá de lo descrito aquí.
3.2 Sus códigos y URLs
Cuando crea un código QR dinámico, almacenamos la URL de destino, una etiqueta opcional que defina, etiquetas opcionales, el código corto de 7 caracteres y el estado del ciclo de vida del código. Esto es lo que hace posible la resolución dinámica de QR.
3.3 Datos de pago
Los pagos son procesados por Stripe, Inc. No almacenamos números de tarjeta, CVC ni números de cuenta bancaria. Stripe devuelve una referencia (el ID de cliente y el ID de suscripción) que almacenamos para poder conciliar renovaciones y facturas. Los detalles de su método de pago permanecen en Stripe.
4. Analítica de escaneos (qué registramos cuando alguien escanea uno de sus códigos)
Aquí es donde la mayoría de proveedores comerciales de QR recopilan un perfil de comportamiento detallado. Hacemos lo contrario.
Qué registramos por escaneo:
- La fecha calendario UTC (segmento por día)
- El país derivado del encabezado de solicitud
CF-IPCountryde Cloudflare - La clase de dispositivo (móvil / tableta / escritorio / desconocido) clasificada a partir de un breve regex de User-Agent
- El código corto del QR (para que podamos atribuir el escaneo al código correcto)
Para los niveles Team y Agency, además registramos el segmento de hora-del-día UTC durante hasta 7 días atrás. Los registros segmentados por día se conservan según el plan (ver Sección 7).
Qué no registramos: dirección IP, geolocalización precisa (sin ciudad ni latitud/longitud), URL de referencia, cadena cruda de User-Agent, marca de tiempo por debajo de la hora, cookie o identificador de sesión del escaneador, ni ninguna otra cosa. Tras la clasificación de dispositivo, la cadena de User-Agent se descarta; nunca se escribe en nuestra base de datos.
Los países con menos de cinco escaneos en la ventana analítica que seleccione se agrupan como "Otros" para que escaneadores individuales no puedan ser re-identificados a partir de una muestra pequeña.
5. Cookies y rastreo
Herramienta Gratuita: sin cookies, sin rastreo, sin huella digital.
Servicio Pro: una única cookie estrictamente necesaria, __Secure-abundera_session, lleva el token de sesión firmado requerido para mantenerle conectado. Es HttpOnly, Secure y SameSite=Strict. No usamos cookies de marketing, cookies publicitarias ni rastreadores entre sitios. Sin Google Analytics, Meta Pixel ni similares.
6. Sub-procesadores que utilizamos
Operar el servicio requiere algunos terceros. La lista actual:
| Sub-procesador | Finalidad | Datos accedidos | Jurisdicción |
|---|---|---|---|
| Cloudflare, Inc. | Cómputo, caché de borde, base de datos (D1), almacén clave-valor (KV), DNS | Todos los datos del Servicio Pro; encabezados de escaneo en el borde | EE.UU. con borde global |
| Stripe, Inc. | Procesamiento de pagos y facturación | Correo electrónico, detalles de pago, registros de suscripción | EE.UU. |
| Zoho Corporation / ZeptoMail | Correo transaccional (bienvenida, cancelación, fallo de pago) | Dirección de correo, cuerpo del mensaje | EE.UU. / India |
Una lista actualizada y fechada de sub-procesadores se mantiene en abundera.ai/legal/subprocessors/. Actualizaremos esa página antes de añadir un nuevo sub-procesador y daremos a los suscriptores al menos treinta (30) días para objetar cuando lo exija la ley aplicable.
7. Cuánto tiempo conservamos sus datos
Datos de cuenta: conservados mientras su cuenta esté activa. Cuando solicita la eliminación de la cuenta, esta entra en una espera de 30 días, luego todos los datos personales se purgan de los sistemas de producción.
Códigos QR dinámicos: conservados mientras la suscripción asociada esté activa, durante cualquier período de gracia y durante la espera de 30 días de eliminación de cuenta. Después de eso, los códigos y sus códigos cortos se eliminan.
Registros de escaneos: conservados según el plan: 365 días en Solo, 730 días en Business, 1.095 días en Team y Agency, 30 días en Keep-Alive. Más allá de esa ventana, los registros más antiguos se purgan de forma continua mediante nuestro cron diario.
Registros de pago e impuestos: los registros de transacciones de Stripe y los registros fiscales se conservan al menos siete (7) años según lo exige la ley fiscal de EE.UU.; las jurisdicciones de IVA de la UE pueden requerir retención adicional. Estos datos no se pueden eliminar a petición durante ese período.
Registros de seguridad: los registros estructurados de la aplicación (sin PII más allá de lo que el manejador escribe explícitamente, como IDs de usuario de webhooks de Stripe) son conservados por Cloudflare hasta 30 días.
8. Base legal del tratamiento (RGPD / usuarios del EEE)
Donde se aplique el RGPD, nos basamos en las siguientes bases legales:
- Ejecución del contrato, para creación de cuenta, facturación de suscripción, resolución de códigos y soporte técnico. Esto cubre esencialmente todo el tratamiento del Servicio Pro.
- Intereses legítimos, para monitoreo de seguridad, prevención de fraude y la analítica de escaneos que usted como cliente nuestro usa para entender el rendimiento de campañas, que es mínima por diseño. Nuestra evaluación es que el impacto en escaneadores es mínimo porque no se conserva ningún dato identificador del escaneador.
- Obligación legal, para conservación de registros de pago e impuestos según lo descrito en la Sección 7.
- Consentimiento, solo cuando lo solicitamos explícitamente (p. ej., futuras comunicaciones opcionales con opt-in). Actualmente no nos basamos en el consentimiento para ningún tratamiento obligatorio.
9. Sus derechos
Sujeto a la ley aplicable y a las excepciones de retención de la Sección 7, tiene los siguientes derechos:
- Acceso: descargar un ZIP de los datos de su cuenta (códigos, escaneos, README) en cualquier momento desde Cuenta → Privacidad → Exportar, o enviando un correo a support@abundera.ai.
- Rectificación: actualizar datos de cuenta a través de su página de cuenta o contactando con soporte.
- Eliminación: solicitar eliminación de cuenta desde Cuenta → Privacidad → Eliminar. Espera de 30 días, luego eliminación definitiva.
- Portabilidad: el ZIP de exportación es CSV legible por máquina más un README.
- Objetar / restringir tratamiento: contactar con support@abundera.ai. Honraremos solicitudes válidas y confirmaremos por escrito.
- Retirar el consentimiento: donde el tratamiento se base en el consentimiento, puede retirarlo en cualquier momento sin afectar el tratamiento realizado antes de la retirada.
- Presentar una reclamación: los usuarios del EEE pueden reclamar ante su autoridad de control local. Usuarios del Reino Unido: la ICO. Otras jurisdicciones: la autoridad equivalente.
Tiempo de respuesta: acusamos recibo en 5 días hábiles y completamos en 30 días desde la confirmación, según lo requerido por el Artículo 12 del RGPD. Solicitudes complejas pueden extenderse a 90 días con aviso. Los derechos de privacidad estatales de EE.UU. de California (CCPA), Colorado (CPA), Virginia (VCDPA) y otros se honran en el mismo plazo de 30 días.
10. "No vender ni compartir mi información personal"
No vendemos su información personal. No compartimos su información personal para publicidad conductual entre contextos. No usamos ni divulgamos información personal sensible para fines distintos de la prestación del servicio. Como no realizamos estas prácticas, no se requiere opt-out, sin embargo, los residentes de California que deseen una confirmación por escrito pueden solicitarla en support@abundera.ai.
11. Menores
El Servicio Pro no está dirigido a menores de 16 años. No recopilamos a sabiendas información personal de menores de 16 años. Si cree que lo hemos hecho, contacte con support@abundera.ai y la eliminaremos.
12. Transferencias internacionales
Estamos basados en EE.UU. Los datos personales recopilados de residentes del EEE, Reino Unido o Suiza se transfieren a EE.UU. Nos basamos en las Cláusulas Contractuales Tipo (SCC) de la UE para estas transferencias con nuestros sub-procesadores (Cloudflare, Stripe, Zoho/ZeptoMail). La lista actual de sub-procesadores en abundera.ai/legal/subprocessors/ documenta el mecanismo de transferencia de cada uno.
13. Seguridad
Usamos controles estándar del sector: TLS 1.3 en tránsito, almacenamiento cifrado en reposo (Cloudflare D1, KV), claves API con alcance restringido, limitación de tasa, protección CSRF (cookies SameSite=Strict + verificaciones de origen) y registro de acceso estructurado. No afirmamos que el servicio sea inquebrantable. Si sospecha un problema de seguridad, repórtelo a security@abundera.ai.
14. Notificación de brechas
Si tomamos conocimiento de una brecha de datos personales que afecte a su cuenta, le notificaremos sin demora indebida y en cualquier caso dentro de las setenta y dos (72) horas tras tomar conocimiento, según lo requerido por el Artículo 33 del RGPD para nuestro rol como responsable del tratamiento. Las notificaciones incluyen: naturaleza de la brecha, categorías y número aproximado de registros afectados, consecuencias probables y medidas tomadas o propuestas.
15. Cambios a esta política
Podemos actualizar esta Política de Privacidad de vez en cuando. Los cambios sustanciales se notificarán por correo electrónico a la dirección registrada para los suscriptores Pro y publicando un aviso destacado en esta página. La fecha de vigencia en la parte superior de esta página refleja la versión actual. Las versiones históricas están disponibles en el registro de cambios.
16. Contacto
Preguntas de privacidad, solicitudes de titulares de datos o inquietudes: privacy@abundera.ai (dedicado) o support@abundera.ai.
Abundera, Inc., 200 W Sahara Ave, Unit 3301, Las Vegas, NV 89102, EE.UU.