Política de privacidad
Versión 1.0 — Última actualización: 14 de julio de 2026
1. Qué datos recolectamos
- Datos de cuenta: usuario, email, contraseña (hasheada — nunca en texto plano), nombre y profesión opcionales, e instrucciones personalizadas si las configurás.
- Conversaciones: las consultas que hacés al asistente y sus respuestas, para mostrarte tu historial y sostener el contexto de cada conversación.
- Documentos que adjuntás para análisis: se procesan en memoria y no se guardan en nuestros servidores. Si activás “Recordar documentos en este dispositivo”, quedan solo en tu navegador (IndexedDB local); podés desactivarlo y borrarlos desde tu perfil.
- Documentos que elegís guardar (opt-in): se almacenan cifrados con AES-256-GCM, con la clave de cifrado fuera de la base de datos y ligados a tu cuenta. Ni un acceso directo a la base de datos permite leerlos.
- Métricas de uso: consumo de tu cuota, costo y latencia por consulta (para operar los planes).
- Logs técnicos y de seguridad: IP, user-agent y eventos de autenticación (para detectar abuso y proteger tu cuenta).
2. Para qué los usamos
- Autenticarte y mantener tu sesión.
- Generar las respuestas del asistente y sostener el contexto multi-turno de tus conversaciones.
- Mostrarte tu historial y tus documentos guardados.
- Administrar tu cuota y tu plan.
- Detectar y prevenir abuso o accesos no autorizados.
No usamos tus consultas ni tus documentos para entrenar modelos de IA, y no vendemos tus datos. Si en el futuro ofrecemos contribuir datos para mejorar COLEPA, será opcional (opt-in explícito y separado) y con anonimización previa.
3. Qué terceros reciben qué datos
COLEPA funciona sobre proveedores de infraestructura y de IA. Esto es exactamente qué recibe cada uno:
- Anthropic (Claude) — recibe el texto de tus consultas, el contexto de la conversación y el contenido de los documentos que adjuntás, para generar cada respuesta. Bajo su política de API, no entrena modelos con esos datos.
- OpenAI — recibe el texto de la consulta para generar los embeddings de búsqueda (representaciones numéricas). Misma política de API sin entrenamiento.
- Supabase (Postgres + almacenamiento) — aloja la base de datos: cuenta, conversaciones, documentos guardados (cifrados) y la biblioteca pública de normas.
- Render — aloja el servidor backend y sus logs técnicos.
- Vercel — aloja la aplicación web (frontend).
- Qdrant Cloud — índice de búsqueda del corpus legal. No contiene datos de usuarios, solo textos de normas y fallos.
- Procesadores de pago (cuando actives un plan pago) — procesan tu tarjeta; COLEPA nunca ve ni almacena el número completo, solo un token de cobro.
4. Cómo protegemos tus datos
- Cifrado en tránsito (HTTPS) en todo el servicio.
- Documentos guardados cifrados en reposo (AES-256-GCM, clave fuera de la base de datos, ligados criptográficamente a tu cuenta).
- Sesiones con tokens de corta duración y revocables; podés ver tus sesiones activas y cerrarlas todas desde tu perfil.
- Controles de acceso a nivel de base de datos y auditoría de eventos de autenticación.
5. Cuánto tiempo conservamos tus datos
- Conversaciones: hasta que borres la conversación o tu cuenta.
- Documentos guardados: hasta que los borres (borrado definitivo, sin papelera) o borres tu cuenta.
- Al eliminar tu cuenta se borran tus datos personales, conversaciones y documentos. Los registros contables de facturación se conservan de forma desvinculada de tu identidad (obligación administrativa).
6. Tus derechos (Ley N° 6534/2020 y Constitución, Arts. 33 y 135)
Como titular de los datos podés ejercer, directamente desde tu perfil (Datos y privacidad), sin pedirnos permiso:
- Acceso y portabilidad: exportar todos tus datos en formato JSON.
- Rectificación: editar tus datos de perfil.
- Supresión: eliminar conversaciones, documentos o tu cuenta completa.
Para cualquier otro pedido (o si preferís que lo procesemos nosotros), escribí a privacidad@colepa.com — respondemos en un máximo de 30 días.
7. Cookies
Usamos únicamente cookies técnicas de sesión (autenticación). No usamos cookies de tracking ni analytics de terceros.
8. Cambios a esta Política
Los cambios significativos se notifican por email a las cuentas activas con al menos 30 días de anticipación; los demás, publicando la nueva versión en esta página con su fecha.

