Esta Política de Privacidad describe cómo VibeAuditt recopila, usa y protege la información cuando usás nuestro Servicio (vibeauditt.com). Su marco principal es la Ley N° 29733 de Protección de Datos Personales del Perú y su Reglamento (DS 016-2024-JUS), ya que el responsable está domiciliado en Lima. Para visitantes de la Unión Europea aplicamos adicionalmente el Reglamento (UE) 2016/679 (GDPR).
1. Responsable del tratamiento
El responsable del tratamiento de datos es Pedro Gil, persona natural con domicilio en Lima, Perú. Para ejercer derechos o consultas sobre privacidad: privacy [arroba] vibeauditt.com.
2. Qué datos recopilamos
Diseñamos VibeAuditt con principio de minimización de datos: recopilamos lo estrictamente necesario para que el Servicio funcione.
2.1 Datos generados al usar el Servicio (seudonimizados)
- Hash de tu IP (SHA-256, sin sal global). No guardamos la IP en claro. El hash se usa exclusivamente para aplicar rate limiting (10 auditorías al mes por usuario free) y para asociar auditorías recurrentes desde el mismo dispositivo. Importante: este hash es una medida de seudonimización, no de anonimización irreversible; sigue tratándose de un dato personal seudonimizado.
- URLs que decidís auditar. Necesarias para ejecutar la auditoría y para que puedas volver a ver el reporte después.
- Findings generados por nuestros 12 checks. Almacenados en Cloudflare D1, asociados al hash de IP y a la URL auditada.
- Timestamps de creación, inicio y finalización de cada auditoría.
- User-Agent del navegador y código de país aproximado (vía cabecera
CF-IPCountry) para diagnóstico, seguridad y métricas agregadas. El aviso de consentimiento de analítica se muestra a todos los visitantes; tu decisión (aceptar o rechazar) se guarda únicamente en tu navegador (localStorage y una cookie no personal), no en el servidor.
2.2 Datos que vos proporcionás (cuando aplicable)
- Email: solo si te suscribís al newsletter (Fase 8) o creás una cuenta Pro (Fase 6, futura).
- Datos de pago: gestionados exclusivamente por Polar. Nosotros nunca recibimos ni almacenamos tu tarjeta de crédito. Recibimos únicamente un identificador de suscripción y el estado del pago.
2.3 Datos de prevención de abuso y fraude
Para proteger el Servicio de abuso, fraude y bots tratamos —por interés legítimo (prevención de fraude y seguridad)— los siguientes datos. No se usan para perfilarte con fines comerciales ni se comparten con anunciantes:
- Hash normalizado de tu email: generamos un hash de tu email previa
normalización (p. ej. removemos puntos y
+aliasen Gmail) solo para detectar registros duplicados y abuso de cuota. No reconstruye tu email ni se usa para contactarte. - Contador de cuota por email: un registro del consumo mensual de auditorías asociado a ese hash. Persiste aunque elimines tu cuenta, para impedir que recrear la cuenta reinicie el límite gratuito; conserva únicamente un hash seudonimizado y datos de conteo (ver "Eliminación de cuenta").
- Eventos anti-abuso: el veredicto de cada capa anti-abuso (Turnstile, email desechable, límite por IP, validación MX) por periodo, para afinar la detección. Retención: 90 días.
- Validación del dominio de tu email: consultamos si el dominio de tu email tiene registros DNS válidos (MX/A) vía DNS-over-HTTPS de Cloudflare, con caché de 24 h.
- Lista de emails desechables: comparamos el dominio de tu email contra una lista de proveedores de email temporal.
- Cloudflare Turnstile: mecanismo anti-bot del lado del cliente (sin cookies de seguimiento) en registro, newsletter e inicio de sesión.
3. Base legal del tratamiento (GDPR Art. 6)
- Ejecución de un contrato (Art. 6.1.b): rate limiting, ejecución de la auditoría, generación del reporte.
- Interés legítimo (Art. 6.1.f): prevención de abuso del Servicio (detección de scraping, ataques DoS).
- Consentimiento (Art. 6.1.a): newsletter opcional y analítica con Google Analytics (que solo se activa si lo aceptás en el aviso; podés retirarlo cuando quieras).
4. Tiempo de retención
- Auditorías y findings: 90 días por defecto. Tras ese plazo se eliminan automáticamente.
- Hash de IP — ventana de rate limiting: ~1 hora (TTL en KV).
- Hash de IP — límite diario anti-abuso: ~1 día.
- Hash de IP — registro de autorización del escaneo: se conserva junto con la auditoría (90 días) como evidencia de tu declaración de autorización.
- Logs operativos (request IDs, timestamps, status codes): 30 días en Cloudflare Logs, luego se purgan.
- Datos de cuenta y suscripción: hasta que cierres tu cuenta o 24 meses tras tu última actividad, lo que ocurra primero.
5. Con quién compartimos tus datos
No vendemos datos, no los compartimos con anunciantes, no entrenamos modelos de IA con ellos. Trabajamos con los siguientes proveedores externos. Salvo Polar (ver abajo), actúan como procesadores bajo Article 28 GDPR:
- Cloudflare Inc. — hosting, CDN, D1 (database), KV (cache), R2 (storage), Workers, Browser Rendering, Web Analytics, Turnstile (anti-bot) y la API DNS-over-HTTPS (validación anti-abuso del dominio de email). Encargado del tratamiento con cláusulas contractuales estándar.
- Polar (Polar US LLC) — procesamiento de pagos como Merchant of Record. Actúa como controlador independiente de los datos de pago (no como procesador por cuenta nuestra); ese tratamiento se rige por la propia política de privacidad de Polar. Transferencia internacional a EE.UU. cubierta por cláusulas contractuales tipo (SCC).
- Resend — envío de emails transaccionales (EE.UU., cubierto por DPA).
- Google LLC — Google Analytics 4, solo si das tu consentimiento. Mide de forma agregada el uso del sitio. Transferencia internacional a EE.UU. cubierta por el Data Privacy Framework EU-US y cláusulas contractuales tipo (SCC). Si no aceptás, no se carga ni se le envía ningún dato.
Cloudflare puede procesar datos en la UE, EE.UU. y otras regiones según enrutamiento edge. Cloudflare cumple con el Data Privacy Framework EU-US.
6. Cookies y analítica
VibeAuditt no usa cookies con fines publicitarios ni las comparte con redes de anunciantes. Usamos:
- localStorage del navegador para guardar tu preferencia de tema (dark/light) y tu decisión sobre la analítica. No se envía al servidor.
- Cloudflare Web Analytics, una solución de analítica agregada que no usa cookies ni identificadores personales. Mide tráfico total sin individualizar visitantes; no requiere tu consentimiento.
- Google Analytics 4, solo si das tu consentimiento en el aviso
del sitio. Si aceptás, Google instala cookies (
_ga,_ga_*) para medir de forma agregada cómo usás el sitio. La base legal es tu consentimiento (Art. 6.1.a GDPR). Si lo rechazás —o nunca lo aceptás— no se carga nada de Google ni se le envía ningún dato.
Podés cambiar o retirar tu consentimiento en cualquier momento desde acá. Estado actual de Google Analytics: Sin decidir.
7. Tus derechos (GDPR Art. 15-22)
Si sos ciudadano o residente de la UE, tenés derecho a:
- Acceso: solicitar copia de los datos que tenemos sobre vos.
- Rectificación: corregir datos inexactos.
- Eliminación ("derecho al olvido"): pedirnos que borremos tus datos.
- Portabilidad: recibir tus datos en formato estructurado (JSON) para llevártelos a otro servicio.
- Oposición: oponerte al tratamiento basado en interés legítimo.
- Limitación: restringir el tratamiento mientras verificamos una solicitud.
- Reclamar ante la autoridad de control de tu país (en España: AEPD; en Francia: CNIL; etc.).
Para ejercer cualquiera de estos derechos, escribinos a privacy [arroba] vibeauditt.com. Respondemos en un máximo de 30 días.
7.1 Self-service desde tu cuenta
Si tenés cuenta activa en VibeAuditt, podés ejercer dos de estos derechos directamente desde tu configuración sin necesidad de email:
- Portabilidad: el botón "Descargar mis datos" genera un JSON con tu usuario, todas tus auditorías con findings, y tus suscripciones. Rate limit de 1 export por 24 horas para prevenir abuso.
- Eliminación: el botón "Eliminar mi cuenta" inicia un flujo de doble confirmación. Te enviamos un email con un enlace válido por 1 hora; al confirmarlo, cancelamos tu suscripción en Polar (si la hay), revocamos todas tus sesiones, y anonimizamos tu email y datos personales. Las auditorías históricas quedan huérfanas (sin email asociado) por integridad de logs; podemos eliminarlas completamente si lo pedís por email. Excepción (prevención de fraude): conservamos el contador de cuota por hash de email descrito en la sección 2.3 —un hash seudonimizado, no tu email en claro— para impedir que recrear la cuenta reinicie el límite gratuito. Es el único dato que sobrevive al borrado, y su base es el interés legítimo de prevención de abuso.
Para rectificación, acceso completo, oposición o limitación, contactanos por email.
7.2 Derechos para titulares en Perú (Ley 29733)
Si estás en Perú (o tus datos se rigen por la Ley N° 29733), tenés derecho a, de forma gratuita:
- Acceso: saber qué datos tratamos y obtener una copia — 20 días hábiles.
- Rectificación: corregir datos inexactos o incompletos — 10 días hábiles.
- Cancelación (supresión): pedir que eliminemos tus datos cuando ya no sean necesarios o retires tu consentimiento — 10 días hábiles.
- Oposición: oponerte a un tratamiento por motivos legítimos — 10 días hábiles.
- Portabilidad e Información: recibir tus datos en formato estructurado — 20 días hábiles.
Los plazos corren desde el día siguiente a tu solicitud (o su subsanación) y admiten una única prórroga por igual plazo si lo justificamos. Ejercé tus derechos escribiendo a privacy [arroba] vibeauditt.com o desde tu configuración (Descargar mis datos / Eliminar mi cuenta). Si no respondemos o denegamos tu solicitud, podés presentar un reclamo ante la Autoridad Nacional de Protección de Datos Personales (ANPD) del Ministerio de Justicia y Derechos Humanos del Perú (gob.pe/anpd) y, en su caso, acudir a la vía judicial.
8. Seguridad
Aplicamos medidas razonables para proteger tus datos: TLS 1.3 obligatorio, HSTS preload, headers de seguridad estrictos (CSP, X-Frame-Options), contraseñas hasheadas con Argon2id (parámetros recomendados por OWASP), tokens de share generados con CSPRNG, rate limiting estricto, principio de mínimo privilegio en todos los bindings de Cloudflare.
En caso de incidente de seguridad que afecte datos personales, notificaremos a la Autoridad Nacional de Protección de Datos Personales (ANPD) y a los titulares afectados en un máximo de 48 horas desde que lo conozcamos, conforme al DS 016-2024-JUS. Para usuarios de la Unión Europea aplicamos además el plazo de 72 horas del GDPR (Art. 33 y 34).
9. Menores de edad
El Servicio no está dirigido a menores de 16 años. No recopilamos intencionalmente datos de menores. Si descubrimos que hemos recibido datos de un menor sin consentimiento parental, los eliminamos inmediatamente.
10. Transferencias internacionales
Como Cloudflare opera infraestructura global, tus datos pueden ser procesados en países fuera del EEE. Cloudflare implementa cláusulas contractuales estándar (SCC) aprobadas por la Comisión Europea para garantizar un nivel adecuado de protección.
11. Cambios a esta Política
Si cambiamos esta Política de manera material, te avisaremos por email (si tenés cuenta) y publicaremos la nueva versión con su fecha de actualización. El uso continuado del Servicio tras la notificación implica aceptación de la nueva versión.
12. Contacto
Cualquier duda sobre esta Política o sobre el tratamiento de tus datos: privacy [arroba] vibeauditt.com.