Legal

Política de Privacidad

Última actualización: 2026-04-29. Leíble en 4 minutos.

En Memchats tu privacidad no es una declaración: es una decisión de arquitectura. Servidores en Alemania, embeddings self-hosted, mensajes nunca compartidos con terceros para entrenamiento. Esta política explica qué datos recopilamos, por qué, y cómo los proteges tú mismo.

1. Quién es responsable de tus datos

El responsable es Memchats, propiedad de José Díaz, con email de contacto [email protected]. Para asuntos de protección de datos, escribe a [email protected].

2. Qué datos recopilamos

2.1 Datos de cuenta

  • Email y nombre (si lo proporcionas vía Google login)
  • Identificador único de Keycloak (proveedor de auth)
  • Plan de suscripción y estado de facturación

2.2 Datos de mensajería que tú importas

Cuando importas un export de WhatsApp, Telegram, email o screenshot, almacenamos:

  • Texto plano de los mensajes (cifrado en reposo via Postgres + at-rest encryption del proveedor)
  • Metadatos: timestamps, sender (alias), canal de origen
  • Embeddings vectoriales (representación matemática) calculados localmente con bge-m3 self-hosted
  • Memoria estructurada derivada (rasgos, compromisos, eventos timeline) generada por LLMs

2.3 Datos de uso

  • Logs de errores via Sentry (sin contenido de mensajes; solo stack traces)
  • Eventos de producto (signup, upgrade, qué tier, qué asesor) : sin contenido

3. Datos de terceros (importante)

Cuando importas un chat con María, María no firmó consentimiento. Memchats trata estos datos como uso personal análogo a un diario:

  • Anonimización en ingesta: nombres, teléfonos, emails y direcciones de la contraparte se hashean / pseudonimizan antes de tocar la base de datos
  • Tú ves un alias estable ("contacto-1a2b" o el nombre que tú asignes), no los datos identificativos crudos
  • Los mensajes raw originales se almacenan cifrados con key específica de tu usuario; nunca se procesan sin tu acción explícita
  • Si una persona aparece en tu chat y solicita borrado de sus datos en Memchats vía [email protected], lo procesamos en 30 días

4. Para qué usamos los datos

  • Función del producto: construir tu memoria, responder con contexto, detectar patrones, recordar compromisos
  • Mejora del producto: análisis agregado y anonimizado de uso (ej: "qué % de usuarios usan Lexiel")
  • Seguridad: detectar abusos, fraude, infracciones
  • Comunicación: emails transaccionales (welcome, password reset, alertas) y, opcionalmente, newsletter (opt-in)

Nunca usamos tus datos para entrenar modelos de IA. Nunca los vendemos. Nunca los compartimos con anunciantes.

5. Con quién compartimos datos

Subprocessors mínimos, todos en EU o con cláusulas contractuales tipo (SCC):

  • Hetzner Online (Alemania): hosting de base de datos Postgres + Redis + workers
  • Cloudflare R2 (UE): almacenamiento de archivos de ingestión originales
  • Anthropic (USA, SCC firmado): LLM Claude para generación de respuestas. Anthropic no entrena con tus datos por contrato
  • Stripe (Irlanda): procesamiento de pagos. No tenemos acceso a tu tarjeta
  • Sentry (USA, SCC firmado): error tracking sin PII
  • Mailcow self-hosted (Alemania): emails transaccionales

Lista completa actualizada en /security.

6. RGPD y DPA (Acuerdo de Procesamiento de Datos)

Si eres empresa o procesas datos de empleados/clientes con Memchats, podemos firmar un DPA específico. Solicítalo en [email protected] con asunto "DPA request".

7. Tus derechos

Bajo RGPD tienes derecho a:

  • Acceder: pedir copia de tus datos en formato JSON estructurado
  • Rectificar: corregir datos incorrectos
  • Borrar: solicitar eliminación completa (la procesamos en 30 días)
  • Portabilidad: exportar tus datos a otro servicio
  • Oposición: oponerte a procesamientos específicos
  • Reclamación: ante la AEPD (España) o autoridad de control de tu país

Para ejercer estos derechos: [email protected].

8. Retención

  • Cuenta activa: mientras la cuenta exista
  • Cuenta cancelada: 30 días de gracia, luego eliminación completa
  • Logs operativos: 90 días
  • Backups cifrados: 14 días rolling
  • Datos de facturación: 6 años (obligación fiscal española)

9. Cookies

Usamos sólo cookies estrictamente necesarias:

  • next-auth.session-token: sesión autenticada (HttpOnly, Secure, SameSite=Lax)
  • memchats-theme: tu preferencia visual claro/oscuro

No usamos Google Analytics, Facebook Pixel, ni similares. Para analytics interno usamos PostHog self-hosted (sin cookies de tracking).

10. Niños menores de 16

Memchats no está dirigido a menores de 16 años. No recopilamos conscientemente datos de menores. Si descubrimos que un menor ha creado cuenta, la eliminamos inmediatamente.

11. Cambios a esta política

Si cambiamos materialmente esta política, te avisaremos por email con 30 días de antelación y publicaremos el changelog en /changelog. La fecha de "última actualización" arriba siempre indica la versión vigente.

12. Contacto

Email general: [email protected]
Privacidad: [email protected]
Soporte: [email protected]