NEHIA
NEHIAIniciar sesión

Última actualización: 15 de mayo de 2026 · Vigente desde: 15 de mayo de 2026

Política de Privacidad

Esta política describe cómo iKingdom LLC (“NEHIA”, “nosotros”, “nuestro”) recopila, usa, almacena, transfiere y comparte la información personal de quienes usan nehia.app (el “Servicio”).

Si tenés preguntas o querés ejercer tus derechos, escribinos a privacy@nehia.app o a info@nehia.app.

1. Responsable del tratamiento

El responsable del tratamiento de tus datos es iKingdom LLC, sociedad de responsabilidad limitada registrada en el Estado de California, Estados Unidos, con domicilio en San Diego, California, EE.UU. Para asuntos de privacidad escribinos a privacy@nehia.app.

2. Qué datos recopilamos

2.1 Datos que vos nos das

  • Datos de cuenta: email, contraseña (almacenada como hash bcrypt, nunca en texto plano), nombre opcional, foto opcional, idioma preferido, zona horaria.
  • Datos de pago: los procesa directamente Stripe (PCI-DSS Nivel 1). Nosotros guardamos: customer ID de Stripe, estado de suscripción, plan, último renovación, últimos 4 dígitos y marca de tarjeta (para mostrar en tu cuenta), país de facturación.
  • Contenido que cargás: bosquejos, documentos (PDF, Word, texto, Markdown), sesiones armadas, plantillas, notas, grabaciones de ensayo si las activás.
  • Comunicaciones con soporte: emails que intercambiamos, mensajes en formularios.

2.2 Datos que generamos al usar el Servicio

  • Telemetría de uso: páginas visitadas, tiempo en sesión, errores de software, agentes IA invocados, tokens consumidos por agente, tiempo de respuesta de cada operación.
  • Logs técnicos: dirección IP (truncada al terminar la sesión), user agent, referer, timestamps. Retenidos hasta 90 días para seguridad y debugging.
  • Cookies y storage local: sesión autenticada, preferencia de tema, idioma, consentimiento de cookies. Detalles en sección 8.

2.3 Datos que recibimos de terceros

  • Stripe: confirmación de pago, fallos, disputas, reembolsos. No recibimos números de tarjeta completos en ningún momento.
  • Proveedores de identidad (si los usás): Google, Apple o similares pueden compartir email y nombre cuando elegís "iniciar sesión con". Limitamos a lo mínimo necesario.

3. Cómo usamos los datos

  • Entrega del Servicio: autenticar tu cuenta, procesar tus bosquejos con los 10 agentes IA, cronometrar tus sesiones, almacenar tu contenido, generar análisis post-sesión.
  • Cobro y administración de suscripción: procesar pagos, emitir comprobantes, gestionar cancelaciones y reembolsos.
  • Soporte: responder tus consultas, diagnosticar problemas técnicos.
  • Mejora del producto: entender qué funciones se usan, dónde hay fricción. Usamos datos agregados y anonimizados. No usamos tu contenido para entrenar modelos de IA (ver sección 5).
  • Comunicaciones operativas: cambios de servicio, facturación, seguridad, cambios en estos términos. Estas comunicaciones no requieren tu consentimiento (son parte del contrato).
  • Comunicaciones de marketing: solo si te diste de alta voluntariamente. Podés salirte en cualquier momento desde el footer del email o en tu cuenta.
  • Cumplimiento legal: responder a requerimientos judiciales válidos, prevenir fraude, hacer cumplir nuestros términos.

Si estás en la Unión Europea, Reino Unido o Brasil, procesamos tus datos personales bajo estas bases legales (artículo 6 GDPR, artículo 7 LGPD):

  • Ejecución del contrato: cuenta, suscripción, procesamiento de contenido cargado, soporte. Sin esto no podemos entregarte el servicio.
  • Interés legítimo: seguridad del Servicio, prevención de fraude, mejora de funciones agregadas y anonimizadas, comunicaciones operativas.
  • Consentimiento: marketing, cookies no-esenciales, AI training (siempre opt-in, ver sección 5).
  • Cumplimiento legal: retención fiscal (registros de facturación), respuesta a órdenes judiciales válidas.

5. Inteligencia Artificial

NEHIA usa modelos de IA (principalmente Anthropic Claude, con posible Anthropic Haiku y futuros modelos) para los 10 agentes del producto. Esto significa que cuando invocás un agente, tu contenido relevante (bosquejo, sesión, prompt) se envía a la API del proveedor.

  • No entrenamos modelos con tu contenido por defecto. Anthropic confirma en su política de API que no usa datos de API para entrenar a menos que el cliente opte explícitamente.
  • Opt-out adicional: si querés bloquear cualquier uso de tu contenido más allá de generar la respuesta inmediata, escribinos a privacy@nehia.app. Acreditamos la solicitud en 7 días.
  • Retención del proveedor: Anthropic conserva datos de API hasta 30 días para uso operacional (abuse detection, debugging) y los borra después. Más detalle en anthropic.com/legal/privacy.
  • Output de IA: las sugerencias de los agentes son orientaciones, no consejo profesional. Vos sos responsable final de cómo usás el contenido generado.

6. Subprocesadores

NEHIA usa los siguientes subprocesadores. Mantenemos contratos de tratamiento de datos (DPA) con cada uno donde aplica.

  • Supabase Inc. (EE.UU.) — base de datos PostgreSQL, autenticación, storage. Cifrado en reposo (AES-256) y en tránsito (TLS 1.2+). Row-Level Security.
    DPA de Supabase
  • Vercel Inc. (EE.UU., multi-región) — hosting de la aplicación y CDN. Logs de acceso retenidos hasta 30 días.
    DPA de Vercel
  • Stripe Inc. (EE.UU.) — procesamiento de pagos. PCI-DSS Nivel 1. Cumple con GDPR, CCPA, PSD2.
    DPA de Stripe
  • Anthropic, PBC (EE.UU.) — modelos de IA (Claude). No entrena con datos de API por defecto.
    Términos comerciales
  • Google LLC (EE.UU.) — Google Analytics 4 con IP anonimizada (anonymize_ip). Sin remarketing activado. Sin Google Signals.
    Política de Google
  • Cloudflare Inc. (EE.UU.) — vía Vercel, DDoS y edge.

Notificamos cambios materiales de subprocesadores con al menos 30 días de anticipación. Suscribite a las actualizaciones escribiendo a privacy@nehia.app.

7. Transferencias internacionales

Nuestros subprocesadores están principalmente en Estados Unidos. Si estás en la UE/EEE o Reino Unido, las transferencias se basan en:

  • Cláusulas Contractuales Tipo (SCC) de la Comisión Europea (versión 2021), incluidas en los DPA de nuestros subprocesadores.
  • EU-US Data Privacy Framework (DPF) cuando el subprocesador esté certificado (Stripe, Google, Cloudflare lo están).
  • Medidas suplementarias: cifrado, controles de acceso, ningún subprocesador autoriza transferencias gubernamentales sin orden judicial válida.

8. Cookies y tecnologías similares

Usamos tres categorías de cookies:

  • Estrictamente necesarias: sesión autenticada (Supabase auth cookie), preferencia CSRF. Sin estas el Servicio no funciona. No requieren consentimiento.
  • De preferencias: tema (claro/oscuro), idioma, consentimiento de cookies. Activadas tras tu primera visita.
  • De analítica: Google Analytics 4 (ID de cliente anónimo, duración de sesión). Podés rechazarlas desde el banner de cookies o el toggle en tu cuenta. Si las rechazás, no afectará el funcionamiento del Servicio.

No usamos cookies de publicidad, remarketing, fingerprinting ni terceros de marketing.

9. Retención

Mantenemos tus datos durante distintos plazos según su tipo:

  • Datos de cuenta: mientras la cuenta esté activa. Si la eliminás, borramos en 30 días.
  • Contenido (bosquejos, sesiones, plantillas): mientras la cuenta esté activa. Si la eliminás, borramos en 30 días. Podés exportarlo todo antes desde tu cuenta.
  • Telemetría agregada anonimizada: hasta 3 años para análisis de producto. No puede vincularse a vos.
  • Logs técnicos con IP: hasta 90 días para seguridad y debugging.
  • Registros fiscales (facturas, pagos): 7 años, por obligación legal (Estados Unidos IRS y equivalentes en otras jurisdicciones).
  • Comunicaciones de soporte: hasta 3 años tras la última interacción.
  • Datos de marketing (si te diste de alta): hasta que te des de baja, máximo 3 años de inactividad.

10. Seguridad

Implementamos medidas técnicas y organizativas razonables:

  • Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256).
  • Row-Level Security (RLS) en PostgreSQL — tu contenido aislado por owner_id.
  • Hashing bcrypt para contraseñas (factor ≥ 10).
  • Autenticación de dos factores opcional para tu cuenta.
  • Acceso interno restringido por rol (principio de menor privilegio).
  • Logs auditables en cambios sensibles (facturación, permisos).
  • Revisiones de seguridad periódicas y dependencias monitoreadas.
  • Pruebas de recuperación de respaldos (RPO ≤ 24h, RTO ≤ 4h).

Ningún sistema es 100% seguro. Si descubrís una vulnerabilidad, reportala responsablemente a security@nehia.app. Respondemos en menos de 72 horas.

11. Tus derechos

Vivas donde vivas, podés ejercer estos derechos:

  • Acceso: pedir copia de los datos personales que tenemos sobre vos.
  • Rectificación: corregir datos inexactos.
  • Eliminación / "derecho al olvido": pedir el borrado. Lo ejecutamos en 30 días salvo obligaciones legales.
  • Portabilidad: recibir tus datos en formato estructurado (JSON o CSV).
  • Oposición: al tratamiento basado en interés legítimo.
  • Limitación: pedir que pausemos el tratamiento durante una disputa.
  • Retirar consentimiento: en cualquier momento, sin afectar la legalidad del tratamiento previo.
  • No discriminación: ejercer estos derechos no afecta el precio ni la calidad del Servicio.
  • Presentar queja ante la autoridad de protección de datos de tu jurisdicción.

Para ejercer cualquier derecho, escribinos a privacy@nehia.app con la palabra DERECHOS en el asunto. Verificamos identidad antes de actuar y respondemos en máximo 30 días (60 si la solicitud es compleja, notificándote la extensión).

12. Menores

El Servicio no está dirigido a menores de 13 años (16 si residís en la UE/EEE/Reino Unido por GDPR). No recopilamos datos de menores intencionalmente. Si nos enteramos de que un menor creó una cuenta sin el consentimiento parental requerido, la eliminaremos.

13. Notificación de incidentes

Si hay un incidente de seguridad que afecte tus datos personales:

  • Notificaremos a la autoridad de protección de datos correspondiente dentro de 72 horas de detectarlo (GDPR Art. 33, LGPD).
  • Te notificaremos sin demora indebida cuando exista riesgo alto para tus derechos (GDPR Art. 34).
  • Publicaremos un resumen del incidente y las medidas tomadas en status.nehia.app.

14. Aviso a residentes de California (CCPA/CPRA)

Si residís en California, tenés derechos adicionales:

  • Derecho a saber qué categorías de datos personales recopilamos, fuentes, propósito y con quién los compartimos.
  • Derecho a eliminar tus datos personales.
  • Derecho a corregir datos inexactos.
  • Derecho a limitar el uso de información personal sensible a los propósitos necesarios.
  • Derecho a opt-out de venta o "sharing" de datos personales. NEHIA NO vende ni compartió (en el sentido CCPA, para publicidad comportamental cruzada) datos personales en los últimos 12 meses, ni lo hará a futuro.
  • No discriminación por ejercer estos derechos.

Para ejercerlos, escribinos a privacy@nehia.app o llamá al número que publicaremos cuando tengamos línea dedicada. Podés designar a un agente autorizado.

15. Aviso a residentes de Brasil (LGPD)

Conforme a la Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), tenés los derechos del artículo 18: confirmación de tratamiento, acceso, corrección, anonimización/bloqueo, portabilidad, eliminación, información sobre compartido y revocar consentimiento. Para ejercerlos contactá a nuestro encargado de datos en privacy@nehia.app.

16. Aviso a residentes de México (LFPDPPP)

Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, tenés los derechos ARCO (acceso, rectificación, cancelación, oposición). El responsable es iKingdom LLC, con representante para asuntos de datos personales en privacy@nehia.app. Podés revocar tu consentimiento o limitar el uso/divulgación de tus datos en cualquier momento.

17. Cambios en esta política

Si modificamos esta política de forma material (nuevos subprocesadores, cambios en uso, retención o derechos), actualizamos la fecha y te notificamos por email y en la app con al menos 14 días de anticipación antes de que el cambio entre en vigor. El uso continuado tras la notificación constituye aceptación. Si no estás de acuerdo, podés cancelar la cuenta sin penalización.

18. Contacto

iKingdom LLC
San Diego, California, Estados Unidos
Privacidad: privacy@nehia.app
General: info@nehia.app
Seguridad: security@nehia.app

Para residentes de la UE/EEE/Reino Unido sin representante comunitario formal designado, podés escribirnos directamente o presentar queja ante tu Autoridad de Protección de Datos local.

Este documento es un acuerdo operativo de iKingdom LLC con sus usuarios. No constituye asesoría legal. Para preguntas regulatorias específicas en tu jurisdicción, consultá un abogado calificado.