Política de privacidad
Última actualización: 2026-04-29
1. Quién es el responsable
El responsable del tratamiento es el titular del proyecto Aegis Audit, accesible en /legal/aviso-legal. Email de contacto para asuntos de privacidad: [email protected].
2. Qué datos recogemos y por qué
| Dato | Base legal | Conservación |
|---|---|---|
| Contrato (Art. 6.1.b RGPD) | Hasta el borrado de cuenta | |
| Perfil GitHub (id, login, nombre, avatar, email) | Consentimiento OAuth | Hasta desconexión o borrado |
| Hash SHA-256 de tu IP | Interés legítimo (Art. 6.1.f) — anti-abuso | 24 h (anonimizado por cron) |
| Código fuente subido (.zip) | Contrato (ejecutar el audit) | Procesado en memoria, no se almacena |
| Hallazgos generados (texto IA) | Contrato | Mientras la cuenta exista |
| Datos de pago (gestionados por Stripe) | Contrato + obligación fiscal | Stripe los retiene; nosotros guardamos solo el ID y el importe |
3. Procesadores externos
- Cloudflare Workers / Pages / D1 / KV — alojamiento en EU. DPA aquí.
- Stripe — procesador de pagos. DPA estándar UE.
- OpenRouter — proxy de LLMs. Los modelos
:freepueden registrar tus prompts según su política. Si usas crédito de pago tu cuota va a tu cuenta y la privacidad la define ese modelo. - Resend — envío del enlace mágico al iniciar sesión por email.
4. Sobre el código que subes
Tu .zip se procesa en memoria por nuestro Worker. No lo almacenamos en disco. Los hallazgos generados (texto producido por la IA) sí se guardan vinculados a tu cuenta para que puedas consultarlos y exportarlos. El hash de IP se borra a las 24 h por cron diario.
5. Tus derechos (RGPD Arts. 15-22)
- Acceso y portabilidad: descarga todos tus datos en JSON desde
GET /api/me/exportmientras estás logueado. - Rectificación: contacta a [email protected].
- Supresión (derecho al olvido):
POST /api/me/deleteanonimiza tu cuenta. - Oposición / limitación: por email.
- Reclamación: ante la AEPD (aepd.es) si no resolvemos.
6. Cookies
Solo usamos una cookie técnica de sesión (aegis_session) con flags HttpOnly · Secure · SameSite=Lax. Es estrictamente necesaria para el login y está exenta del consentimiento previo (Art. 22.2 LSSI). No usamos analytics, ni cookies de marketing, ni de terceros.
7. Transferencias internacionales
Algunos procesadores (Stripe, OpenRouter, Resend) procesan datos fuera del EEE. Aplican Cláusulas Contractuales Tipo de la Comisión Europea o decisiones de adecuación.
8. Brechas de seguridad
Si detectamos una brecha que afecte a tus datos, te notificaremos en menos de 72 h y, en su caso, comunicaremos a la AEPD según el Art. 33 RGPD.
¿Dudas? [email protected]