Política de privacidad.

#1. Qué guardamos del lado servidor

Cuenta: tu email y un hash de tu contraseña (gestionados por Supabase Auth). Cuando creas cuenta, esos datos viven en una base Postgres alojada en infraestructura de Supabase.

Licencia: una fila con tu ID de usuario, el ID de tu pedido y de tu cliente en Polar, el estado de la licencia (activa/reembolsada) y las fechas relevantes. Esta fila la escribe el webhook de Polar cuando hay cambios; tú sólo la lees.

No guardamos del lado del servidor: tus notas, proyectos, archivos adjuntos, memorias de K, observaciones, métricas, conversaciones con K, ni el contenido de tus síntesis. Nada de eso sale de tu dispositivo salvo que lo exportes tú manualmente.

#2. Qué guarda tu dispositivo

Verdant es una aplicación de escritorio (Tauri). Tus datos viven en el directorio de aplicación de tu sistema operativo (típicamente ~/.config/Verdant en Linux, ~/Library/Application Support/Verdant en Mac, %APPDATA%/Verdant en Windows). En tu disco, no en la red. Si borras ese directorio o desinstalas la app, los borras permanentemente — por eso recomendamos exportar regularmente desde Ajustes → Datos.

Verdant no sincroniza tus datos entre dispositivos. Si instalas la app en dos máquinas, son dos universos separados. Esta limitación es deliberada: cero datos personales en la nube nuestra.

#3. Procesadores externos

Supabase: aloja la base Postgres con tu cuenta y tu licencia. Procesa autenticación. Política: supabase.com/privacy.

Polar.sh: es nuestro Merchant of Record y procesa todos los pagos. Cuando compras, tu navegador interactúa directamente con el checkout de Polar — nosotros no vemos los datos de tu tarjeta en ningún momento. Polar guarda los datos de tu método de pago bajo estándares PCI-DSS. Política: polar.sh/legal/privacy.

Vercel: aloja la aplicación (HTML, CSS, JS, edge functions). Sirve los archivos estáticos y ejecuta los webhooks/edge functions cuando se invocan. No tiene acceso a tu IndexedDB. Política: vercel.com/legal/privacy-policy.

Proveedor de IA (BYOK): tú eliges en Ajustes qué modelo usa K. Puede ser Anthropic (Claude), OpenAI o cualquier servicio compatible con la API de OpenAI (Groq, OpenRouter, DeepSeek, entre otros). Las peticiones que K hace al modelo viajan directo de la app al proveedor que configuraste, con tu propia API key; Verdant no actúa como intermediario de esos datos. Aplica la política de privacidad del proveedor que elijas (p. ej. anthropic.com/privacy, openai.com/policies/privacy-policy).

Ollama (local): alternativa al modelo en la nube. Si usas Ollama, todo el procesamiento del modelo ocurre en tu máquina; nada sale de tu red. Sin proveedor externo involucrado.

Resend: si nos escribes a algún email (hello@, legal@, privacy@verdant.plus), tu mensaje pasa por Resend y queda en nuestra bandeja. Política: resend.com/legal/privacy-policy.

#4. Qué NO hacemos

No vendemos datos. Punto.

No alquilamos datos a terceros con fines de marketing o publicidad.

No usamos tu contenido (notas, conversaciones, memorias) para entrenar modelos de IA propios ni de terceros.

No analizamos tu contenido para perfilarte o generar insights agregados.

No ponemos cookies de tracking publicitario. Sólo las cookies estrictamente necesarias (sesión, preferencias). Ver /legal/cookies para el detalle.

No tenemos analítica de terceros (Google Analytics, Mixpanel, etc) en la app. La landing pública tampoco — sólo deploy logs de Vercel.

#5. Tus derechos

Acceso: puedes exportar todo lo tuyo (22 tablas en JSON) desde Ajustes → Datos en cualquier momento, incluso en modo archivo (tras un reembolso).

Rectificación: editas tus datos directamente en la app. Para datos del lado servidor (email, etc.) escríbenos.

Borrado: pide borrado de cuenta y datos del servidor escribiendo a privacy@verdant.plus. Procesamos en hasta 30 días. Lo local lo borras tú desde tu dispositivo.

Portabilidad: el export JSON es tu formato portable. Lo puedes importar de vuelta en otra cuenta Verdant, o procesarlo con cualquier herramienta que parsee JSON.

Objeción y limitación: si tienes residencia en EU o UK, puedes objetar el procesamiento o pedir limitación bajo GDPR/UK-GDPR. Escribe a privacy@verdant.plus.

Reclamo: si piensas que mishandleamos tus datos, puedes reclamar ante la autoridad de protección de datos de tu jurisdicción (AEPD en España, CNIL en Francia, ICO en UK, etc.).

#6. Retención

Cuenta: mantenemos tu fila mientras tengas cuenta activa. Si pides borrado, eliminamos en hasta 30 días.

Licencia: mantenemos la fila mientras la licencia exista y hasta 7 años después de la última transacción (requisitos contables y de auditoría). Si pides borrado, anonimizamos en 30 días — eliminamos tu user_id y dejamos sólo metadatos numéricos para conciliación contable.

Backups: Supabase guarda backups por hasta 30 días según su plan. Eso significa que después de un borrado, tu fila puede persistir en backups hasta esa ventana.

#7. Menores

Verdant no está dirigido a menores de 16 años. No solicitamos ni recolectamos a sabiendas datos de menores de 16. Si te das cuenta de que un menor de 16 creó cuenta, escríbenos y la eliminamos.

#8. Transferencias internacionales

Si resides en una jurisdicción con regulaciones específicas (GDPR en EU, LGPD en Brasil, CCPA en California, etc.), tus datos pueden viajar a servidores en US o EU (Supabase, Stripe, Vercel, Anthropic). Los proveedores que usamos están comprometidos con marcos como Standard Contractual Clauses (SCCs) o adequacy decisions.

#9. Cambios a esta política

Si cambia algo material (nuevos procesadores, nuevos datos recolectados, cambio de retención), te avisamos por email con al menos 30 días de anticipación y actualizamos la fecha de "Última actualización" arriba. Cambios menores se actualizan en silencio.

#10. Contacto

Privacidad y borrado de datos: privacy@verdant.plus. Respondemos en hasta 5 días hábiles.