Política de Privacidad
Esta política aplica a Abundera QR Pro (el servicio de pago en pro.qr.abundera.ai). Para la herramienta gratuita Abundera QR en qr.abundera.ai, consulta qr.abundera.ai/privacy/.
Cómo maneja Abundera QR los datos: casi ninguno en la herramienta gratuita; mínimos y explícitos en Pro.
1. Resumen
Dos productos, dos panoramas de datos distintos.
- Free Tool (qr.abundera.ai): sin cuenta, sin cookies, sin analíticas, sin solicitudes a nuestros servidores para generar QR. Tu contenido nunca sale de tu navegador.
- Pro Service (pro.qr.abundera.ai): basado en cuenta. Almacenamos tu correo electrónico, el ID de cliente de Stripe, los códigos QR que creas y los registros mínimos de escaneos descritos en la Sección 4. No rastreamos a tus usuarios finales en la web; no vendemos tus datos; no usamos publicidad tecnológica.
2. Datos que procesamos en el Pro Service
2.1 Datos de cuenta
Cuando inicias sesión a través de abundera.ai, recibimos tu dirección de correo y un identificador de usuario mediante nuestro flujo de autenticación delegado con JWKS. Almacenamos:
- Dirección de correo electrónico (para enviar avisos de facturación, mensajes críticos del servicio y confirmaciones de cancelación)
- ID de cliente de Stripe (para cobrar el método de pago que proporcionas)
- Preferencias de cuenta (nivel de plan, membresías de equipo, metadatos de API key)
- Marcas de tiempo (cuenta creada, actualizada, eliminación solicitada)
No almacenamos contraseñas; la autenticación se delega a abundera.ai. No recopilamos datos demográficos, preferencias de marketing ni identificadores de dispositivos más allá de lo aquí descrito.
2.2 Tus códigos y URLs
Cuando creas un código QR dinámico, almacenamos la URL de destino, una etiqueta opcional que hayas definido, etiquetas opcionales, el shortcode de 7 caracteres y el estado del ciclo de vida del código. Esto es lo que hace posible la resolución dinámica de QR.
2.3 Datos de pago
Los pagos los procesa Stripe, Inc. No almacenamos números de tarjeta, CVC ni números de cuenta bancaria. Stripe devuelve una referencia (el ID de cliente y el ID de suscripción) que almacenamos para conciliar renovaciones y facturas. Los detalles de tu método de pago permanecen en Stripe.
3. Analíticas de escaneo (qué registramos cuando alguien escanea uno de tus códigos)
Aquí es donde la mayoría de los proveedores de QR comerciales recopilan un perfil de comportamiento detallado. Nosotros hacemos lo contrario.
Lo que registramos por escaneo:
- La fecha del calendario UTC (agrupada por día)
- El país derivado del encabezado de solicitud
CF-IPCountryde Cloudflare - La clase de dispositivo (móvil / tableta / escritorio / desconocido) clasificada a partir de una expresión regular corta del User-Agent
- El shortcode del código (para atribuir el escaneo al código correcto)
Para los niveles Team y Agency, además registramos el segmento horario UTC del día durante los últimos 7 días. Los registros agrupados por día se conservan según el plan (véase la Sección 7).
Lo que no registramos: dirección IP, geolocalización precisa (sin ciudad ni latitud/longitud), URL de referencia, cadena de User-Agent sin procesar, marca de tiempo inferior a una hora, cookie o identificador de sesión del usuario que escanea, ni ningún otro dato. Tras clasificar la clase de dispositivo, la cadena del User-Agent se descarta; nunca se escribe en nuestra base de datos.
Los países con menos de cinco escaneos en el período de análisis seleccionado se agrupan como "Otros" para que los usuarios individuales no puedan ser reidentificados a partir de una muestra pequeña.
4. Cookies y seguimiento
Free Tool: sin cookies, sin seguimiento, sin fingerprinting.
Pro Service: una única cookie estrictamente necesaria, __Secure-abundera_session, lleva el token de sesión firmado necesario para mantenerte conectado. Es HttpOnly, Secure y SameSite=Strict. No usamos cookies de marketing, cookies de publicidad ni rastreadores entre sitios. Sin Google Analytics, Meta Pixel ni similares.
5. Sub-encargados que utilizamos
Operar el servicio requiere algunos terceros. La lista actual:
| Sub-encargado | Finalidad | Datos a los que accede | Jurisdicción |
|---|---|---|---|
| Cloudflare, Inc. | Cómputo, caché en el borde, base de datos (D1), almacén de clave-valor (KV), DNS | Todos los datos del Pro Service; encabezados de escaneo en el borde | EE. UU. con borde global |
| Stripe, Inc. | Procesamiento de pagos y facturación | Correo electrónico, datos de pago, registros de suscripción | EE. UU. |
| Zoho Corporation / ZeptoMail | Correo transaccional (bienvenida, cancelación, fallo de pago) | Dirección de correo, cuerpo del correo | EE. UU. / India |
Se mantiene una lista actualizada y fechada de sub-encargados en abundera.ai/legal/subprocessors/. Actualizaremos esa página antes de añadir un nuevo sub-encargado y daremos a los suscriptores al menos treinta (30) días para objetar cuando lo exija la ley aplicable.
6. Cuánto tiempo conservamos tus datos
Datos de cuenta: se conservan mientras tu cuenta esté activa. Cuando solicitas la eliminación de la cuenta, esta entra en un período de retención de 30 días, tras el cual todos los datos personales se eliminan de los sistemas de producción.
Códigos QR dinámicos: se conservan mientras la suscripción asociada esté activa, durante cualquier período de gracia y durante el período de retención de 30 días previo a la eliminación de la cuenta. Después de ese período, los códigos y sus shortcodes se eliminan.
Registros de escaneos: se conservan según el plan: 365 días en Solo, 730 días en Business, 1.095 días en Team y Agency, 30 días en Keep-Alive. Pasado ese período, los registros de escaneos más antiguos se eliminan de forma continua mediante nuestro cron diario.
Registros de pago e impuestos: los registros de transacciones de Stripe y los registros fiscales se conservan durante al menos siete (7) años según lo exige la ley fiscal de EE. UU.; las jurisdicciones de IVA de la UE pueden requerir una retención adicional. Estos datos no pueden eliminarse a petición durante ese período.
Registros de seguridad: los registros de aplicación estructurados (sin datos personales más allá de lo que el gestor escribe explícitamente, como los IDs de usuario de webhooks de Stripe) los conserva Cloudflare hasta 30 días.
7. Base jurídica del tratamiento (usuarios del GDPR / EEA)
Cuando aplica el GDPR, nos basamos en las siguientes bases jurídicas:
- Ejecución del contrato, para la creación de cuenta, facturación de suscripción, resolución de códigos y soporte técnico. Esto cubre prácticamente todo el tratamiento del Pro Service.
- Intereses legítimos, para la monitorización de seguridad, prevención del fraude y las analíticas de escaneo que tú, como cliente, usas para entender el rendimiento de tus campañas, que son mínimas por diseño. Nuestra evaluación es que el impacto sobre los usuarios que escanean es mínimo, ya que no se conservan datos que los identifiquen.
- Obligación legal, para la conservación de registros de pago e impuestos según lo descrito en la Sección 7.
- Consentimiento, solo cuando lo solicitamos explícitamente (p. ej., comunicaciones opcionales futuras con opt-in). Actualmente no nos basamos en el consentimiento para ningún tratamiento obligatorio.
8. Tus derechos
Sujeto a la ley aplicable y a las excepciones de retención de la Sección 7, tienes los siguientes derechos:
- Acceso: descarga un ZIP con los datos de tu cuenta (códigos, escaneos, README) en cualquier momento desde Cuenta → Privacidad → Exportar, o escribiendo a support@abundera.ai.
- Rectificación: actualiza los datos de tu cuenta en la página de cuenta o contactando con el soporte.
- Supresión: solicita la eliminación de la cuenta desde Cuenta → Privacidad → Eliminar. Período de retención de 30 días, luego eliminación definitiva.
- Portabilidad: el ZIP de exportación es CSV legible por máquina junto con un README.
- Oposición / limitación del tratamiento: escribe a support@abundera.ai. Atenderemos las solicitudes válidas y confirmaremos por escrito.
- Retirada del consentimiento: cuando el tratamiento se base en el consentimiento, puedes retirarlo en cualquier momento sin que ello afecte al tratamiento realizado antes de la retirada.
- Presentar una reclamación: los usuarios del EEA pueden reclamar ante su autoridad supervisora local. Usuarios del Reino Unido: el ICO. Otras jurisdicciones: la autoridad equivalente.
Plazo de respuesta: acusamos recibo en 5 días hábiles y cumplimos en 30 días desde el acuse de recibo, según lo exige el artículo 12 del GDPR. Las solicitudes complejas pueden ampliarse a 90 días con aviso. Los derechos de privacidad estatales de California (CCPA), Colorado (CPA), Virginia (VCDPA) y otros estados de EE. UU. se respetan en el mismo plazo de 30 días.
9. "No vender ni compartir mi información personal"
No vendemos tu información personal. No compartimos tu información personal para publicidad conductual entre contextos. No usamos ni divulgamos información personal sensible para fines distintos a la prestación del servicio. Como no realizamos estas prácticas, no se requiere ningún opt-out. Sin embargo, los residentes de California que quieran una confirmación por escrito pueden solicitarla en support@abundera.ai.
10. Menores
El Pro Service no está dirigido a menores de 16 años. No recopilamos conscientemente información personal de menores de 16 años. Si crees que lo hemos hecho, escribe a support@abundera.ai y lo eliminaremos.
11. Transferencias internacionales
Tenemos base en EE. UU. Los datos personales recopilados de residentes del EEA, el Reino Unido o Suiza se transfieren a EE. UU. Para estas transferencias con nuestros sub-encargados (Cloudflare, Stripe, Zoho/ZeptoMail) utilizamos las Cláusulas Contractuales Tipo (SCC) de la UE. La lista de sub-encargados actualizada en abundera.ai/legal/subprocessors/ documenta el mecanismo de transferencia para cada uno.
12. Seguridad
Usamos controles estándar del sector: TLS 1.3 en tránsito, almacenamiento cifrado en reposo (Cloudflare D1, KV), API keys con alcance limitado, limitación de tasa, protección CSRF (cookies SameSite=Strict + comprobaciones de origen) y registro de accesos estructurado. No afirmamos que el servicio sea inviolable. Si sospechas de un problema de seguridad, repórtalo a security@abundera.ai.
13. Notificación de brechas
Si tenemos conocimiento de una brecha de datos personales que afecte a tu cuenta, te notificaremos sin demora indebida y en todo caso dentro de las setenta y dos (72) horas siguientes a tener conocimiento de ella, según lo exige el artículo 33 del GDPR en nuestro papel como responsable del tratamiento. Las notificaciones incluyen: naturaleza de la brecha, categorías y número aproximado de registros afectados, consecuencias probables y medidas adoptadas o propuestas.
14. Cambios en esta política
Podemos actualizar esta Política de Privacidad periódicamente. Los cambios materiales se notificarán por correo electrónico a la dirección registrada de los suscriptores Pro y mediante un aviso destacado en esta página. La fecha de vigencia al inicio de esta página refleja la versión actual. Las versiones históricas están disponibles en el registro de cambios.
15. Contacto
Preguntas sobre privacidad, solicitudes de interesados o dudas: privacy@abundera.ai (dedicado) o support@abundera.ai.
Abundera, Inc., 200 W Sahara Ave, Unit 3301, Las Vegas, NV 89102, USA.