Política de Privacidad

QDocu ("nosotros", "nuestro" o "la Plataforma") se compromete a proteger la privacidad y los datos personales de sus usuarios. La presente Política de Privacidad describe cómo recopilamos, usamos, almacenamos y protegemos su información al utilizar nuestra plataforma de gestión documental e inteligencia artificial.

1. Responsable del Tratamiento

QDocu es el responsable del tratamiento de los datos personales que usted proporciona al registrarse y utilizar la Plataforma. Si tiene preguntas sobre esta política, puede contactarnos a través de los canales indicados en la sección de Contacto.

2. Datos que Recopilamos

2.1 Datos de Cuenta y Perfil

• Nombre completo, correo electrónico y contraseña (almacenada con hash BCrypt)
• Fotografía de perfil (almacenada en Google Cloud Storage)
• Número de teléfono (opcional)
• Empresa y cuenta (tenant) a la que pertenece

2.2 Datos de Uso y Auditoría

• Registro de inicios y cierres de sesión (IP, dispositivo, timestamp)
• Acciones realizadas sobre documentos y expedientes
• Metadatos de archivos subidos (nombre, tipo MIME, tamaño, fecha)

2.3 Contenido Documental

• Archivos subidos por el usuario (PDF, DOCX, ODT, imágenes) para procesamiento OCR y análisis
• Texto extraído mediante OCR (Azure Computer Vision)
• Resultados de análisis parametrizado mediante IA (Azure OpenAI)
• Documentos generados a partir de plantillas

3. Finalidad del Tratamiento

• Prestación del servicio: gestión de expedientes, generación de documentos, procesamiento OCR y análisis con IA.
• Seguridad: autenticación, control de acceso basado en roles (RBAC) y auditoría de eventos.
• Mejora de la Plataforma: análisis de uso agregado y anónimo para mejorar las funcionalidades.
• Comunicaciones: notificaciones sobre el estado de sus documentos y actualizaciones del servicio.
• Cumplimiento legal: conservación de registros requeridos por la legislación aplicable.

4. Almacenamiento y Seguridad

Todos los archivos y documentos se almacenan cifrados en Google Cloud Storage (GCS). El acceso a los archivos se realiza exclusivamente mediante URLs firmadas con tiempo de vida limitado (TTL), nunca mediante rutas públicas permanentes. La base de datos se aloja en servidores MySQL 8.0 con acceso restringido por red.

Implementamos controles de seguridad alineados con las recomendaciones del OWASP Top 10, incluyendo protección contra inyección SQL, XSS, CSRF, autenticación JWT con refresh token rotativo y rate limiting en endpoints sensibles.

5. Procesamiento con Inteligencia Artificial

Los documentos que usted sube pueden ser procesados por servicios de IA de terceros (Azure Computer Vision para OCR y Azure OpenAI para análisis paramétrico). Este procesamiento se realiza bajo los términos de confidencialidad de los acuerdos suscritos con Microsoft Azure. El contenido de sus documentos no se utiliza para entrenar modelos de IA de terceros.

6. Compartición de Datos

No vendemos ni cedemos sus datos personales a terceros. Solo compartimos información con:

• Proveedores de infraestructura: Google Cloud (almacenamiento), Microsoft Azure (OCR e IA), bajo acuerdos de procesamiento de datos.
• Autoridades competentes: cuando sea legalmente requerido y mediante orden judicial.

7. Retención de Datos

• Datos de cuenta: mientras la cuenta esté activa y hasta 90 días tras su eliminación.
• Documentos y expedientes: mientras el tenant (cuenta) esté activo; eliminados bajo solicitud formal.
• Registros de auditoría: 2 años por requerimiento de cumplimiento.
• Logs de sistema: 90 días en rotación automática.

8. Derechos del Usuario

De acuerdo con la legislación de protección de datos aplicable, usted tiene derecho a:

• Acceso: solicitar una copia de sus datos personales.
• Rectificación: corregir datos inexactos desde su perfil o mediante solicitud.
• Eliminación: solicitar la eliminación de su cuenta y datos asociados.
• Portabilidad: exportar sus datos en formato estándar.
• Oposición: oponerse al tratamiento para finalidades de marketing o análisis.

Para ejercer estos derechos, contacte a su administrador de cuenta o escríbanos al correo de soporte.

9. Cookies y Sesión

QDocu utiliza una cookie httpOnly + sameSite=Strict para el almacenamiento seguro del Refresh Token. No utilizamos cookies de seguimiento de terceros ni publicidad. La cookie de sesión expira automáticamente al cerrar el navegador, salvo que active "Recordar sesión".

10. Modificaciones a esta Política

Nos reservamos el derecho de actualizar esta Política de Privacidad. Le notificaremos los cambios sustanciales mediante correo electrónico o aviso en la Plataforma con al menos 15 días de anticipación. El uso continuado de QDocu tras la vigencia de los cambios implica su aceptación.

11. Contacto

Para consultas sobre privacidad y tratamiento de datos, contáctenos en: privacidad@qdocu.io