Política de privacidad
Fecha de entrada en vigor: 2026-04-23 Última actualización: 2026-04-23
Idiomas. Este documento se publica en español e inglés; ambas versiones son igualmente auténticas. Las traducciones a otros idiomas se ofrecen a título informativo y no modifican sus derechos ni obligaciones. La normativa imperativa de protección al consumidor de su país de residencia se aplica con independencia de la versión lingüística.
Esta Política de privacidad explica cómo Overspiral S.L. ("Overspiral", "nosotros") trata los datos personales en relación con el servicio Overfolder (https://www.overfolder.com, https://cloud.overfolder.com y el bot de Telegram @OverfolderBot — el "Servicio").
1. Responsable del tratamiento
- Responsable: Overspiral S.L.
- NIF: B27633486
- Domicilio social: C/ Fuenterrabía 9, 28014 Madrid, España
- Correo electrónico: privacy@overfolder.com
- Contacto de seguridad: security@overfolder.com
Para los datos de cuenta, facturación, espacio de trabajo y telemetría del Servicio descritos a continuación, Overspiral es responsable del tratamiento. Cuando Overfolder se conecta en su nombre a servicios de terceros (Google Workspace, Gmail, etc.), Overspiral actúa como encargado del tratamiento respecto de los datos personales contenidos en esas fuentes, y usted sigue siendo el responsable sobre esos datos.
2. Datos que recabamos
Datos de cuenta
Correo electrónico, nombre mostrado, ID de usuario de Telegram (y alias si está disponible) e identificadores de autenticación del proveedor OAuth con el que inicie sesión (Google, GitHub, etc.).
Datos de conversación y espacio de trabajo
Los mensajes que envía al bot de Overfolder (texto, notas de voz, imágenes), las respuestas que generamos, los archivos que crea su IA y los scripts o notas almacenados en su espacio de trabajo persistente. Este contenido vive dentro de su microVM de Firecracker por usuario.
Datos de facturación
Para planes de pago: nombre de la empresa, dirección de facturación, NIF y metadatos de pago. Los datos de tarjeta los gestiona directamente nuestro procesador de pagos (Stripe) y no pasan por nuestros servidores.
Telemetría del Servicio
Registros de operación del Servicio: marcas de tiempo, direcciones IP, cadenas user-agent, rutas de solicitud, trazas de error y contadores de uso agregados. Sirven para operar, proteger y depurar el Servicio.
Datos de servicios conectados (cuando conecta Google Workspace, etc.)
Cuando autoriza a Overfolder a actuar en su nombre a través de un servicio de terceros, conservamos los tokens OAuth de ese servicio y realizamos llamadas a través de ellos a petición de su IA. El contenido de esas llamadas y respuestas se procesa de forma transitoria para producir la respuesta solicitada y para mantener un registro de auditoría, y no se conserva más allá de lo necesario para esos fines, salvo que usted active explícitamente una retención mayor.
Granularidad
Puede revocar cualquier delegación de servicio conectado en cualquier momento desde el panel web en cloud.overfolder.com.
3. Servicios de API de Google — Limited Use
Cuando conecta Google Workspace, Google Docs, Google Drive o Gmail a Overfolder, el uso por parte de Overfolder de la información recibida de las API de Google cumple con la Política de datos del usuario de Google API Services, incluidos los requisitos de Uso Limitado (Limited Use).
En concreto:
- Usamos los datos de usuario de Google solo para ofrecer y mejorar las funciones de Overfolder orientadas al usuario que haya autorizado expresamente (leer, resumir, redactar y gestionar elementos en el servicio de Google en su nombre a través del asistente de IA).
- No utilizamos datos de usuario de Google para desarrollar, mejorar ni entrenar modelos de IA/ML generalizados.
- No vendemos, alquilamos ni transferimos datos de usuario de Google a terceros con fines publicitarios, de personalización publicitaria ni para ningún otro fin no relacionado.
- No permitimos que personas lean datos de usuario de Google salvo que: (a) contemos con su consentimiento expreso para los mensajes o archivos concretos; (b) sea necesario por motivos de seguridad (investigar abuso o un bug); (c) estemos obligados por la ley aplicable; o (d) se trate de datos agregados usados para operaciones internas en un formato en el que no se puedan identificar usuarios individuales.
Actualmente solicitamos scopes de OAuth solo para Google Workspace, Google Docs, Google Drive y Gmail, y únicamente en la medida necesaria para el conector que habilite.
4. Finalidades y bases jurídicas (GDPR Art. 6)
| Finalidad | Base jurídica |
|---|---|
| Prestación del Servicio (cuenta, asistente de IA, servicios conectados) | Contrato (Art. 6(1)(b)) |
| Facturación y cumplimiento fiscal | Obligación legal + contrato |
| Seguridad, prevención de abuso, detección de fraude | Interés legítimo |
| Mejora del Servicio mediante telemetría agregada | Interés legítimo |
| Correos de marketing (si los hay) | Consentimiento — opt-in, revocable |
| Respuesta a requerimientos legales de autoridades | Obligación legal |
5. Encargados y terceros
Empleamos un reducido conjunto de proveedores para operar el Servicio. Encargados actuales:
- Vercel Inc. — alojamiento del sitio de marketing y edge (EE. UU. / UE).
- Google LLC (Google Cloud) — alojamiento de aplicación, microVMs y base de datos (región UE).
- Telegram FZ-LLC — transporte de mensajería (la plataforma Telegram en sí, cuando usa el bot).
- Stripe Payments Europe Ltd. — procesamiento de pagos (IE / EE. UU.).
- Anthropic, PBC / OpenAI, L.L.C. / OpenRouter, Inc. — proveedores de inferencia de IA (EE. UU.). El proveedor que atiende su solicitud depende de su configuración y del enrutamiento que elijamos.
- Google LLC (API de Google Workspace) — cuando conecta Google Workspace, Docs, Drive o Gmail como fuentes de datos (EE. UU.).
Actualmente no utilizamos un proveedor de correo transaccional externo; los correos del sistema se envían desde nuestra propia infraestructura. Si añadimos uno, lo listaremos aquí con antelación.
Podemos actualizar esta lista. Los cambios sustanciales en los encargados se reflejarán aquí y se anunciarán con antelación a los clientes activos cuando sea razonablemente posible.
6. Transferencias internacionales
Algunos de los encargados anteriores están ubicados en Estados Unidos o transfieren datos allí. En tales casos, las transferencias se protegen mediante las Cláusulas Contractuales Tipo de la UE y, cuando corresponde, el Marco de Privacidad de Datos UE–EE. UU. Aplicamos medidas técnicas adicionales (cifrado en tránsito y en reposo, minimización de alcance) para limitar los datos transferidos a lo estrictamente necesario.
7. Conservación
- Datos de cuenta: mientras su cuenta esté activa, más hasta 12 meses para posibles reactivaciones; más tiempo si lo exige la ley (p. ej. registros de facturación, 6 años en España).
- Registros de facturación: conforme a la ley fiscal española (actualmente 6 años).
- Historial de conversaciones y archivos de espacio de trabajo: mientras su cuenta esté activa y accesibles para usted; se eliminan al borrar la cuenta (y, en todo caso, se pueden purgar a petición).
- Logs operativos: de 30 a 90 días, después se agregan o se eliminan.
- Tokens OAuth de servicios conectados: hasta que desconecte el servicio o borre su cuenta.
- Contenido de solicitudes/respuestas de servicios conectados: transitorio — no se conserva más allá de la llamada, salvo los registros de auditoría (solo metadatos de la solicitud), que se conservan durante el período que configure.
8. Sus derechos
Viva donde viva, puede escribir a privacy@overfolder.com para:
- acceder a los datos personales que tenemos sobre usted;
- rectificarlos o actualizarlos;
- suprimirlos (sujeto a las excepciones de conservación legal anteriores);
- exportarlos en un formato legible por máquina;
- oponerse a ciertos tratamientos o restringirlos;
- retirar cualquier consentimiento que haya prestado;
- desconectar cualquier servicio de terceros que haya autorizado.
Si se encuentra en el EEE / Reino Unido, también tiene derecho a presentar una reclamación ante su autoridad de control. En España es la Agencia Española de Protección de Datos (AEPD) — https://www.aepd.es.
9. Menores
El Servicio no se dirige a menores de 14 años (umbral bajo la ley española). No recogemos conscientemente datos personales de menores de esa edad. Si cree que un menor nos ha proporcionado datos personales, contáctenos y los eliminaremos.
10. Cookies y tecnologías similares
El sitio de marketing (www.overfolder.com) usa solo almacenamiento local estrictamente necesario (preferencia de idioma y opt-out de analítica) y no utiliza cookies de seguimiento. La aplicación (cloud.overfolder.com) utiliza cookies estrictamente necesarias para mantenerle con sesión iniciada. Utilizamos Vercel Analytics de forma agregada y anonimizada para medir el tráfico del sitio de marketing; no fija cookies identificativas. Actualmente no usamos cookies publicitarias ni de seguimiento entre sitios de terceros. Si esto cambia, publicaremos una Política de cookies separada y solicitaremos consentimiento cuando sea necesario.
11. Cambios en esta Política
Revisaremos esta Política a medida que el Servicio evolucione. Los cambios sustanciales se notificarán a los usuarios activos por el bot de Telegram o por correo electrónico con al menos 14 días de antelación a su entrada en vigor. La fecha de "Última actualización" arriba refleja siempre la versión vigente.
12. Contacto
Preguntas, solicitudes o reclamaciones: privacy@overfolder.com. Divulgación de seguridad: security@overfolder.com.