Scopeslab — Política de privacidad

Última actualización: 28 de abril de 2026

Fecha de entrada en vigor: 28 de abril de 2026

1. Quiénes somos

Scopeslab PTE. LTD. («nosotros», «nos» o «nuestro»), ubicada en 2 Shenton Way, #15-04, SGX Centre I, Singapore 068804, opera la plataforma de estimación de proyectos impulsada por IA disponible en https://scopeslab.com (la «Plataforma»).

Responsable del tratamiento:

Scopeslab PTE. LTD. 2 Shenton Way, #15-04, SGX Centre I, Singapore 068804

Contacto para consultas de privacidad: contact@scopeslab.com

2. Alcance de esta política

Esta Política de privacidad se aplica a:

  • Todos los usuarios de la Plataforma, incluidos usuarios invitados, usuarios registrados y usuarios suscritos.
  • Todos los datos personales recopilados a través de la Plataforma, incluidos formularios web, cargas de documentos, interacciones API, proveedores de inicio de sesión único (SSO) y métodos de recopilación automatizados.
  • Integraciones de terceros utilizadas por la Plataforma, como Google, LinkedIn, GitHub SSO, Stripe, proveedores de análisis de IA, servicios de envío de correo electrónico y monitorización de errores.

Esta política no se aplica a sitios web o servicios de terceros que puedan estar enlazados desde la Plataforma. Te recomendamos revisar las políticas de privacidad de cualquier servicio de terceros que utilices.

3. Información que recopilamos

3.1 Datos de autenticación

Usamos un sistema de autenticación sin contraseña. No recopilamos ni almacenamos contraseñas.

Categoría de datos Datos específicos Finalidad Base legal (RGPD)
Dirección de correo electrónico Recopilada mediante contraseña de un solo uso (OTP) o SSO Creación de cuenta, autenticación e identificación Necesidad contractual (art. 6(1)(b))
Información de perfil OAuth Nombre, correo electrónico y URL de avatar recibidos de Google, LinkedIn o GitHub Creación de cuenta y perfil mediante SSO Necesidad contractual (art. 6(1)(b))
Tokens OAuth Tokens recibidos de Google, LinkedIn o GitHub Mantener una sesión autenticada con el proveedor SSO Necesidad contractual (art. 6(1)(b))
Tokens JWT Tokens de acceso (24 horas) y tokens de actualización (7 días) Gestión de sesión y autenticación Necesidad contractual (art. 6(1)(b))

Nota: No se almacenan contraseñas en ningún momento. La autenticación es exclusivamente sin contraseña mediante OTP o SSO.

3.2 Contenido proporcionado por el usuario

Categoría de datos Datos específicos Finalidad Base legal (RGPD)
Documentos cargados Archivos PDF, DOCX, TXT, MD con requisitos del proyecto Análisis de IA y procesamiento de estimación COSMIC Necesidad contractual (art. 6(1)(b))
Descripciones de texto Descripciones de proyecto en texto libre Definir el alcance del proyecto para el análisis Necesidad contractual (art. 6(1)(b))
Selecciones Industria, plataforma y stack tecnológico Configurar parámetros de análisis Necesidad contractual (art. 6(1)(b))
Respuestas de aclaración Respuestas a preguntas generadas por la IA Mejorar la precisión del análisis Necesidad contractual (art. 6(1)(b))
Ediciones y aprobaciones Ediciones y aprobaciones de personas, recorridos, historias de usuario y lógica de negocio Validar resultados generados por la IA Necesidad contractual (art. 6(1)(b))
Aprobación de alcance Nombre, rol y confirmación del alcance del proyecto Registrar la aprobación formal del alcance Necesidad contractual (art. 6(1)(b))
Selección de stack técnico Tecnologías frontend, backend, base de datos y servidor Generar recomendaciones técnicas y estimaciones Necesidad contractual (art. 6(1)(b))
Comentarios sobre artefactos técnicos Comentarios sobre arquitectura, ERD y especificaciones API Mejorar entregables técnicos Necesidad contractual (art. 6(1)(b))
Configuración del equipo Composición del equipo y asignación de roles Calcular esfuerzo estimado por rol Necesidad contractual (art. 6(1)(b))
Evaluación Vibe Coding Respuestas a preguntas de competencia Vibe Coding Aplicar multiplicador de productividad IA Necesidad contractual (art. 6(1)(b))
Correo de invitado (opcional) Dirección capturada durante la pantalla de espera del paso 2 Notificar cuando el análisis termina y facilitar la conversión a cuenta Interés legítimo (art. 6(1)(f)) / Consentimiento (art. 6(1)(a))

3.3 Contenido generado por IA

La Plataforma genera el siguiente contenido basado en tus entradas. Este contenido se asocia a tu cuenta o sesión de invitado:

Categoría de datos Datos específicos Finalidad Base legal (RGPD)
Resultados de análisis Personas, recorridos de usuario, historias de usuario, lógica de negocio y recomendaciones técnicas Prestar el servicio principal de análisis Necesidad contractual (art. 6(1)(b))
Resultados de estimación COSMIC Análisis CFP y desglose de esfuerzo por rol Prestar el servicio de estimación Necesidad contractual (art. 6(1)(b))
Borradores de artefactos técnicos Diagramas de arquitectura, ERD y especificaciones API Proporcionar entregables de planificación técnica Necesidad contractual (art. 6(1)(b))
Estimación de sprint Estimación a nivel sprint basada en el módulo AUTH Proporcionar salida de planificación de sprint Necesidad contractual (art. 6(1)(b))

3.4 Datos de invitado / visitante

Los usuarios invitados que usan la Plataforma sin registrarse tienen los siguientes datos recopilados:

Categoría de datos Datos específicos Finalidad Base legal (RGPD)
ID de sesión Identificador UUID de sesión Seguir actividad de invitado en los pasos 1 a 8 Interés legítimo (art. 6(1)(f))
Datos de análisis Entradas y resultados de pasos 1 a 8 almacenados bajo session_id Prestar análisis a usuarios invitados Interés legítimo (art. 6(1)(f))
Registros de proyecto invitado Datos de proyecto en la tabla guest_projects Persistir el trabajo de sesión invitada Interés legítimo (art. 6(1)(f))

Los datos de sesión invitada expiran después de 7 días. Los registros expirados se eliminan mediante limpieza automática diaria. Si un invitado se registra, sus datos de sesión se convierten en un proyecto propiedad del usuario y se conservan según la política estándar.

3.5 Datos financieros

Categoría de datos Datos específicos Finalidad Base legal (RGPD)
Registros de pago Transacciones vía Stripe (los datos de tarjeta son tratados solo por Stripe) Procesar y verificar pagos Necesidad contractual (art. 6(1)(b))
Estado de suscripción Plan actual e historial Gestionar el ciclo de vida de la suscripción Necesidad contractual (art. 6(1)(b))
Facturas Documentos e historial de facturación Cumplir obligaciones fiscales y contables Obligación legal (art. 6(1)(c))
Uso de créditos Pro Historial de consumo de créditos Pro Seguir uso de créditos prepagados Necesidad contractual (art. 6(1)(b))

Importante: Los datos de tarjeta son procesados directamente por Stripe y nunca se almacenan en nuestros servidores. Stripe cumple PCI DSS. Recibimos solo un token de confirmación de pago e información de estado de suscripción.

3.6 Datos técnicos y de uso

Categoría de datos Datos específicos Finalidad Base legal (RGPD)
Contadores de límite API Llamadas API diarias (5/día gratis, 50/día pago) Aplicar cuotas de uso Interés legítimo (art. 6(1)(f))
Seguimiento de estado del proyecto Progreso: borrador, analizando, analizado, estimando, completado Gestionar ciclo de vida del proyecto Interés legítimo (art. 6(1)(f))
Reintentos de análisis Intentos de reintento (máximo 3 por análisis) Monitorizar y limitar reintentos Interés legítimo (art. 6(1)(f))
Rondas de feedback Rondas por proyecto (máximo 3) Aplicar límites de feedback Interés legítimo (art. 6(1)(f))
Revisiones Intentos de revisión por proyecto (máximo 3) Aplicar límites de revisión Interés legítimo (art. 6(1)(f))
Datos de registro IP, navegador, sistema operativo, timestamps, páginas visitadas y llamadas API Seguridad, depuración y analítica Interés legítimo (art. 6(1)(f))
Información del dispositivo Resolución y tipo de dispositivo Optimizar visualización Interés legítimo (art. 6(1)(f))

3.7 Información de terceros

Fuente Datos recibidos Finalidad Base legal (RGPD)
Google (SSO) Correo, nombre, avatar Crear cuenta e iniciar sesión vía Google OAuth Necesidad contractual (art. 6(1)(b))
LinkedIn (SSO) Correo, nombre, avatar Crear cuenta e iniciar sesión vía LinkedIn OAuth Necesidad contractual (art. 6(1)(b))
GitHub (SSO) Correo, nombre, avatar Crear cuenta e iniciar sesión vía GitHub OAuth Necesidad contractual (art. 6(1)(b))
Stripe Confirmación de pago, estado de suscripción, facturas Verificar pagos y gestionar suscripciones Necesidad contractual (art. 6(1)(b))

4. Cómo usamos tu información

4.1 Finalidades principales

Usamos la información recopilada para:

  1. Prestar los Servicios — Procesar documentos, ejecutar análisis IA, generar estimaciones COSMIC, producir artefactos técnicos y entregar informes.
  2. Gestionar tu cuenta — Autenticarte mediante OTP o SSO, gestionar sesiones JWT y mantener la seguridad.
  3. Procesar pagos — Gestionar pagos de suscripción vía Stripe, generar facturas y seguir créditos Pro.
  4. Gestionar sesiones invitadas — Proporcionar análisis limitado a visitantes no registrados, con expiración de 7 días y limpieza automática.
  5. Comunicarnos contigo — Enviar correos de servicio como OTP, notificaciones de análisis, recibos y actualizaciones de suscripción.
  6. Aplicar límites de uso — Seguir y aplicar límites diarios, reintentos, rondas de feedback y revisiones.
  7. Mantener la seguridad — Detectar y prevenir accesos no autorizados, fraude y abuso.

4.2 Finalidades secundarias

Con la base legal correspondiente, también podemos usar información para:

  1. Mejorar la Plataforma — Analizar patrones de uso para mejorar funciones, rendimiento y experiencia.
  2. Prestar soporte — Responder consultas y resolver problemas.
  3. Cumplir obligaciones legales — Cumplir requisitos regulatorios, responder solicitudes legales y conservar registros.
  4. Analítica anonimizada — Generar estadísticas agregadas no identificables sobre el uso.

5. Cómo compartimos tu información

5.1 Proveedores de servicios terceros

Compartimos datos con las siguientes categorías de proveedores que tratan datos en nuestro nombre bajo obligaciones contractuales estrictas:

Proveedor Servicio Datos compartidos Finalidad Salvaguardas
Anthropic Modelo Claude Contenido de documentos, configuración y descripciones Generar análisis, personas, historias, lógica y estimaciones SCC; DPA vigente
OpenAI Modelo GPT-4 Contenido de documentos, configuración y descripciones Generar análisis y recomendaciones técnicas SCC; DPA vigente
Stripe, Inc. Procesamiento de pagos Método de pago, dirección de facturación Procesar pagos y suscripciones PCI DSS Level 1
Google OAuth 2.0 SSO Token de autenticación Habilitar inicio de sesión Google DPA Google; SCC si aplica
LinkedIn OAuth 2.0 SSO Token de autenticación Habilitar inicio de sesión LinkedIn DPA LinkedIn
GitHub OAuth 2.0 SSO Token de autenticación Habilitar inicio de sesión GitHub DPA GitHub
SendGrid / Brevo Envío de correo Correo y contenido Enviar OTP y notificaciones de servicio DPA vigente
Sentry Monitorización de errores Logs, información de dispositivo y stack traces Diagnosticar y corregir problemas DPA vigente

Todos los procesadores externos están sujetos a acuerdos de tratamiento de datos que requieren procesar datos solo según nuestras instrucciones y conforme a las leyes aplicables.

5.2 Requisitos legales

Podemos divulgar tu información cuando lo exija la ley, una orden judicial o regulación gubernamental, incluyendo:

  • Cumplir obligaciones legales.
  • Proteger nuestros derechos, propiedad o seguridad, o los de nuestros usuarios.
  • Investigar o prevenir fraude o violaciones de seguridad.

5.3 No vendemos datos personales

No vendemos, alquilamos ni intercambiamos tu información personal con terceros para fines de marketing.

5.4 Transferencias de datos

  • Los proveedores de IA pueden tratar datos fuera del EEE. Aseguramos salvaguardas adecuadas, incluidas cláusulas contractuales tipo.
  • Stripe trata datos de pago conforme a PCI DSS y sus acuerdos de tratamiento.
  • Google, LinkedIn y GitHub tratan datos de autenticación bajo sus respectivas políticas y acuerdos.

6. Almacenamiento y seguridad de datos

6.1 Almacenamiento

Tus datos se almacenan usando la siguiente infraestructura:

Sistema Datos almacenados Medidas de seguridad
Base PostgreSQL Datos de cuenta, proyectos, resultados, estimaciones y metadatos Conexiones cifradas TLS; acceso restringido
Almacenamiento compatible MinIO S3 Documentos cargados, informes y artefactos técnicos Cifrado AES-256 en reposo; aislamiento por usuario
Almacén de datos invitados Datos en la tabla guest_projects Conexiones cifradas; expiración de 7 días con limpieza diaria

Los archivos se almacenan con aislamiento por usuario, separados lógicamente de los archivos de otros usuarios.

6.2 Medidas de seguridad

Implementamos medidas de seguridad estándar de la industria:

Medida Implementación
Cifrado en tránsito TLS para tráfico API y comunicaciones web
Cifrado en reposo AES-256 para almacenamiento de archivos
Autenticación OTP y SSO sin contraseña; no se almacenan contraseñas
Tokens JWT Acceso 24 horas; actualización 7 días
Seguridad de base de datos Conexiones cifradas y acceso basado en roles
Aislamiento de archivos Aislamiento por usuario en almacenamiento objeto
Gestión de claves Claves en variables de entorno, nunca en código fuente
Control de acceso Control basado en roles para funciones administrativas
Auditoría Registro completo de acciones de usuario y eventos del sistema

6.3 Respuesta ante incidentes

En caso de violación de datos personales:

  • Notificaremos a los usuarios afectados dentro de 72 horas desde que tengamos conocimiento, conforme al artículo 33 del RGPD.
  • Las notificaciones incluirán la naturaleza de la violación, categorías de datos afectadas y medidas recomendadas.
  • Notificaremos a la autoridad correspondiente cuando la ley lo exija.

6.4 Limitaciones

Aunque implementamos medidas robustas, ningún sistema es completamente seguro. No podemos garantizar seguridad absoluta. Eres responsable de mantener la confidencialidad de tus credenciales y reportar accesos no autorizados.

7. Cookies y tecnologías de seguimiento

7.1 Cookies que usamos

Tipo Finalidad Base legal
Cookies esenciales / de sesión Mantener estado de sesión, almacenar JWT y habilitar autenticación Interés legítimo / necesidad contractual
Almacenamiento de JWT Guardar tokens de acceso y actualización Necesidad contractual

7.2 Lo que no usamos

  • No usamos cookies publicitarias de terceros.
  • No usamos cookies de seguimiento para publicidad dirigida.

7.3 Analítica

Si usamos Google Analytics o un servicio similar, funciona bajo un acuerdo de tratamiento y puede usar datos anonimizados o seudonimizados. Puedes optar por no participar mediante tu navegador o preferencias de cookies.

Para detalles completos, consulta nuestra Política de cookies.

8. Conservación de datos

8.1 Periodos de conservación

Tipo de dato Periodo Motivo
Información de cuenta Duración de la cuenta + 30 días tras solicitud de eliminación Gestión de cuenta
Datos de análisis Permanente Servicio principal y continuidad del proyecto
Resumen de estimación Permanente Continuidad histórica
Detalles completos de estimación Requiere suscripción activa Gestión de derechos
Informes PDF / CSV Conservados; descarga requiere estado pago activo Gestión de derechos
Historial de proyecto Permanente; solo lectura Registro y auditoría
Documentos cargados Duración de cuenta + 90 días tras eliminación Servicio y posterior eliminación
Datos de sesión invitada 7 días Limpieza automática
Pagos 7 años Requisitos fiscales
Facturas 7 años Requisitos fiscales
Uso de créditos Pro Duración de cuenta Seguimiento de derechos
Logs de servidor 90 días Seguridad y depuración
Logs de auditoría 1 año Seguridad y cumplimiento
Comunicaciones de soporte 2 años tras resolución Calidad y disputas
Analítica anonimizada Indefinidamente Mejora de plataforma

8.2 Proceso de eliminación

  • Tras una solicitud de eliminación de cuenta, tus datos personales se programan para eliminación en 30 días, sujeto a requisitos legales.
  • Los datos de proyecto y documentos se programan para eliminación en 90 días.
  • Pagos y facturas se conservan 7 años por requisitos fiscales.
  • Los datos anonimizados que no puedan vincularse contigo pueden conservarse indefinidamente.

9. Tus derechos

9.1 Derechos RGPD (EEE / Reino Unido)

Si estás en el EEE o Reino Unido, tienes los siguientes derechos:

Derecho Artículo Descripción Cómo ejercerlo
Acceso Art. 15 Solicitar confirmación y copia de tus datos. Contactar contact@scopeslab.com
Rectificación Art. 16 Corregir datos inexactos o incompletos. Editar perfil o contactar
Supresión Art. 17 Solicitar eliminación. Nota: debes cancelar suscripciones activas antes de eliminar la cuenta. Panel o contact@scopeslab.com
Limitación Art. 18 Limitar tratamiento en determinadas circunstancias. Contactar contact@scopeslab.com
Portabilidad Art. 20 Recibir datos en formato estructurado. Exportaciones en CSV, JSON y PDF. Contactar o usar exportación
Oposición Art. 21 Oponerte a tratamiento basado en interés legítimo o marketing directo. Contactar contact@scopeslab.com
Decisiones automatizadas Art. 22 Solicitar revisión humana de decisiones automatizadas significativas. Las estimaciones IA son herramientas de apoyo, no decisiones legales automatizadas. Contactar contact@scopeslab.com

Tiempo de respuesta: Responderemos en 30 días. En casos complejos puede extenderse a 60 días.

Verificación: Podemos solicitar verificación de identidad antes de procesar tu solicitud.

Retiro de consentimiento: Cuando el tratamiento se base en consentimiento, puedes retirarlo en cualquier momento contactando contact@scopeslab.com o ajustando la configuración.

9.2 Derechos CCPA (California)

Si eres residente de California, tienes derecho a:

  • Saber qué información personal se recopila.
  • Eliminar tu información personal.
  • Optar por no vender información personal (no vendemos información personal).
  • No discriminación por ejercer tus derechos.

Para ejercer estos derechos, contáctanos en contact@scopeslab.com.

9.3 Otras jurisdicciones

Usuarios de otras jurisdicciones pueden tener derechos adicionales bajo leyes locales. Respetaremos los derechos aplicables según la ley.

10. Decisiones automatizadas y tratamiento de IA

10.1 Resultados generados por IA

La Plataforma usa modelos de IA (Claude de Anthropic y GPT-4 de OpenAI) para:

  • Analizar documentos y extraer requisitos.
  • Generar personas, recorridos e historias de usuario.
  • Identificar lógica de negocio y brechas.
  • Calcular estimaciones COSMIC ISO 19761.
  • Generar borradores técnicos.
  • Producir estimaciones de sprint basadas en AUTH.
  • Evaluar competencia IA mediante Vibe Coding.

10.2 Supervisión humana y control

  • Los resultados IA son herramientas de apoyo y planificación, no determinaciones finales.
  • Los usuarios conservan control completo del proceso de validación y aprobación.
  • Los usuarios pueden editar, aprobar o rechazar contenido generado por IA antes de finalizar.
  • Los parámetros pueden sobrescribirse manualmente.
  • Rondas de feedback y revisiones permiten refinamiento iterativo.

10.3 Sin decisiones totalmente automatizadas con efectos legales

Conforme al artículo 22 del RGPD, no usamos decisiones totalmente automatizadas que produzcan efectos legales o similares. Todos los resultados IA requieren revisión y confirmación explícita antes de finalizarse. Son de naturaleza consultiva.

11. Eliminación de cuenta y borrado de datos

11.1 Cómo eliminar tu cuenta

  1. Cancela cualquier suscripción activa desde el panel de facturación.
  2. Ve a Configuración de cuenta y selecciona «Eliminar cuenta».
  3. Confirma la solicitud.

11.2 Qué ocurre al eliminar la cuenta

  • Todas las tareas activas se terminan automáticamente.
  • Tus datos personales se programan para eliminación en 30 días.
  • Datos de proyecto, documentos y resultados se programan para eliminación en 90 días.
  • Pagos y facturas se conservan 7 años.
  • Los datos permanentes se anonimizarán o eliminarán conforme a requisitos legales.
  • Los datos anonimizados y agregados se conservan.

11.3 Exportación previa

Antes de eliminar la cuenta, puedes solicitar exportación de tus datos personales y de proyecto en CSV, JSON y PDF. Contacta contact@scopeslab.com.

12. Transferencias internacionales

12.1 Mecanismos

Tus datos pueden transferirse y tratarse fuera de tu país, incluso fuera del EEE. Usamos salvaguardas adecuadas:

  • Cláusulas contractuales tipo (SCC) para procesadores fuera del EEE.
  • Decisiones de adecuación cuando correspondan.
  • Acuerdos de tratamiento de datos (DPA) con procesadores terceros.

12.2 Contextos específicos

  • IA (Anthropic, OpenAI): documentos y análisis pueden transmitirse a EE. UU.; SCC y DPA vigentes.
  • Stripe: pagos tratados bajo PCI DSS.
  • SSO: tokens y perfiles tratados bajo términos de cada proveedor.
  • Correo (SendGrid / Brevo): direcciones y contenido pueden transmitirse a EE. UU.; DPA vigente.
  • Sentry: datos de error pueden transmitirse a EE. UU.; DPA vigente.

12.3 Tu consentimiento

Al usar la Plataforma, reconoces que tus datos pueden transferirse a jurisdicciones con niveles de protección diferentes. Cuando sea necesario, obtendremos tu consentimiento explícito.

13. Privacidad de menores

La Plataforma no está destinada a menores de 16 años. No recopilamos conscientemente información personal de menores de 16 años.

Si descubrimos que hemos recopilado datos de un menor de 16 años, tomaremos medidas para eliminarlos. Si crees que un menor nos ha proporcionado información, contáctanos en contact@scopeslab.com.

14. Comunicaciones por correo electrónico

14.1 Correos transaccionales

Enviaremos correos relacionados con tu uso de la Plataforma, incluyendo:

  • Códigos OTP.
  • Notificaciones de análisis completado.
  • Notificaciones de estimación completada.
  • Recibos y facturas.
  • Cambios de suscripción.
  • Alertas de seguridad.
  • Notificaciones de análisis invitado si se proporcionó correo.

Estos correos son necesarios para el servicio y no pueden desactivarse.

14.2 Correos de marketing

Con tu consentimiento, podemos enviarte:

  • Actualizaciones de producto y funciones.
  • Consejos y buenas prácticas.
  • Ofertas especiales y promociones.

Puedes darte de baja en cualquier momento mediante el enlace de baja o contactando contact@scopeslab.com.

15. Cambios a esta política

15.1 Notificación

Podemos actualizar esta Política de privacidad. Los cambios materiales se comunicarán mediante:

  • Correo a usuarios registrados al menos 30 días antes de la entrada en vigor.
  • Aviso destacado en la Plataforma.
  • Actualización de la fecha de «Última actualización».

15.2 Uso continuado

Tu uso continuado de la Plataforma después de la fecha de entrada en vigor constituye aceptación de la política revisada.

16. Contacto

Si tienes preguntas, inquietudes o solicitudes sobre esta Política de privacidad o nuestras prácticas de datos, contáctanos:

  • Responsable del tratamiento: Scopeslab PTE. LTD., 2 Shenton Way, #15-04, SGX Centre I, Singapore 068804
  • Privacidad: contact@scopeslab.com
  • Soporte general: contact@scopeslab.com
  • Plataforma: https://scopeslab.com

16.1 Autoridad supervisora

Si estás en el EEE o Reino Unido y crees que nuestro tratamiento viola el RGPD, tienes derecho a presentar una reclamación ante tu autoridad local de protección de datos. Puedes encontrarla en https://www.edpb.europa.eu/about-edpb/about-edpb/members_en.

Esta Política de privacidad fue actualizada por última vez el 28 de abril de 2026.