Última actualización: 26 de mayo de 2026

Política de privacidad

Qué datos guardamos, por qué, con quién los compartimos, y cuáles son tus derechos. Versión para Frelanse LLC (Delaware, USA) con cobertura GDPR (EU), CCPA/CPRA (California) y leyes estatales de privacidad de EE. UU.

Esta Política de privacidad (la "Política") describe cómo Frelanse LLC ("Frelanse", "nosotros", "nuestro") recopila, usa, comparte y protege los datos personales cuando usas frelanse.com y servicios relacionados (el "Servicio"). Está pensada para ser leída en 8 minutos: si después te quedan dudas, escríbenos a privacy@frelanse.com.

Esta Política forma parte integral de nuestros Términos del Servicio. Al usar el Servicio, aceptas el tratamiento de datos descrito acá.

1. Quién es el responsable

Frelanse LLC, una sociedad de responsabilidad limitada constituida en el Estado de Delaware, Estados Unidos. Dirección registrada: [REGISTERED_AGENT_ADDRESS]. Dirección de operaciones: [OPERATIONS_ADDRESS]. Contacto general de privacidad: privacy@frelanse.com. Si nombramos un Data Protection Officer (DPO) bajo GDPR Art. 37, su contacto será: [DPO_EMAIL].

Para usuarios en la Unión Europea / Espacio Económico Europeo / Reino Unido: Frelanse LLC actúa como Controlador (Data Controller) de los datos de cuenta y como Procesador (Data Processor) de los datos que cargas sobre tus clientes. Ver sección 3 para detalle.

2. Definiciones rápidas

  • "Datos personales" / "Personal Data" / "Personal Information": cualquier información que identifica o puede identificar a una persona física.
  • "Sub-procesadores": terceros que procesan datos personales en nuestro nombre (Supabase, Anthropic, Vercel, Resend, Stripe, Google, Sentry — ver sección 6).
  • "Tu Contenido": información que cargas o generas en el workspace, incluyendo datos de tus clientes finales.

3. Tu rol vs nuestro rol — Controller / Processor

Bajo GDPR y leyes equivalentes (CCPA/CPRA, leyes estatales de EE. UU.), distinguimos dos documentos:

  • Datos de tu CUENTA Frelanse (tu email, nombre, configuración, facturación): nosotros somos el Controlador. Decidimos qué recopilamos, por qué, y cuánto tiempo lo guardamos. Esta Política describe ese tratamiento.
  • Datos que TÚ cargas sobre TUS CLIENTES en tu workspace (nombres, emails, teléfonos, briefings, archivos): nosotros somos el Procesador y tú eres el Controlador. Tú decides qué cargas, con qué fundamento legal lo procesas, y cuánto tiempo lo guardas. Si necesitas un Data Processing Agreement (DPA) separado bajo GDPR Art. 28, escríbenos a privacy@frelanse.com.

Esta distinción es importante para tus obligaciones cuando atendes clientes en la UE/EEE/UK: tú debes asegurar que tienes base legal (consentimiento del cliente, ejecución de contrato, interés legítimo, etc.) para cargar sus datos en frelanse, y debes informarle a tu cliente sobre el uso de sub-procesadores en EE. UU.

4. Qué datos recopilamos

Datos de identidad y cuenta

  • Email (para crear y autenticar la cuenta).
  • Nombre completo y/o nombre del workspace.
  • Zona horaria, idioma preferido, configuración del workspace.
  • Foto de perfil si inicias sesión con Google OAuth (opcional, configurable).
  • Categoría de negocio, descripción libre del negocio, tono preferido (para personalizar el agente IA).
  • Información de facturación si contratas un plan pago: nombre, dirección, datos de tarjeta (procesados por Stripe — nunca los vemos ni almacenamos).

Tu Contenido — datos cargados en el workspace

  • Información de tus clientes (nombre, email, teléfono, dirección, notas).
  • Proyectos, presupuestos, cuotas, comprobantes de pago.
  • Archivos que adjuntas: briefs, documentos, comprobantes, PDFs, imágenes, logos.
  • Conversaciones con el agente conversacional + la memoria que el sistema construye sobre tu trabajo (siempre visible y editable desde /configuracion/memoria).
  • Cronogramas de proyectos.

Datos técnicos y de uso

  • Logs de autenticación (timestamps, IP, user agent del navegador) — gestionados por Supabase Auth para seguridad.
  • Métricas de uso del Servicio: páginas visitadas, acciones realizadas, tokens de IA consumidos (para facturación y monitoreo de capacidad del plan).
  • Errores y excepciones técnicas vía Sentry (no incluyen Tu Contenido — solo metadata técnica).
  • Cookies estrictamente esenciales: sesión de autenticación, idioma activo, workspace activo. NO usamos cookies de tracking de terceros ni cookies publicitarias.

Datos de marketing y waitlist

Si te suscribes a nuestra lista de espera antes de tener cuenta: email + nombre (opcional). Lo usamos solo para avisarte cuando habilitamos el acceso, y para enviarte updates ocasionales sobre el producto si lo aceptas explícitamente.

5. Para qué usamos los datos — finalidades y bases legales

Tratamos tus datos solo para los fines descriptos abajo. Para usuarios en la UE/EEE/UK, identificamos la base legal bajo GDPR Art. 6:

  • Prestar el Servicio que contrataste (autenticación, persistir tu contenido, generar briefings/quotes, enviar emails transaccionales) — base legal: Ejecución de contrato (GDPR Art. 6(1)(b)).
  • Procesar pagos vía Stripe — base legal: Ejecución de contrato.
  • Personalizar el agente IA al rubro y tono que describiste — base legal: Ejecución de contrato.
  • Detectar y prevenir fraude, abuso, violaciones de seguridad — base legal: Interés legítimo (GDPR Art. 6(1)(f)).
  • Cumplir obligaciones legales (tax records, AML, requerimientos de autoridades) — base legal: Obligación legal (GDPR Art. 6(1)(c)).
  • Comunicación de producto: invitations al cohort early, updates importantes — base legal: Interés legítimo. Puedes optar por no recibir comms no-esenciales.
  • Mejorar el Servicio mediante analytics agregados (no individualmente identificables) — base legal: Interés legítimo.

NO usamos tus datos personales ni Tu Contenido para entrenar modelos de IA, para publicidad dirigida, para venderlos, ni para perfilado automatizado con efectos legales significativos.

6. Sub-procesadores — con quién compartimos datos

Para prestar el Servicio, compartimos datos con los siguientes sub-procesadores, todos sujetos a obligaciones contractuales de confidencialidad y seguridad equivalentes o superiores a las nuestras. Todos están ubicados primariamente en Estados Unidos:

  • Supabase, Inc. (USA) — base de datos PostgreSQL, autenticación, storage de archivos. Encriptación at-rest y in-transit. Más info: supabase.com/privacy.
  • Anthropic, PBC (USA) — modelos de lenguaje Claude (Sonnet 4.5, Haiku 4.5) para el agente conversacional y generadores de briefings/quotes. Tus inputs y outputs NO se usan para entrenamiento bajo los términos comerciales de la API. Más info: anthropic.com/legal/privacy.
  • Vercel, Inc. (USA) — hosting de la aplicación web, CDN, edge functions. Más info: vercel.com/legal/privacy-policy.
  • Resend, Inc. (USA) — envío de emails transaccionales (welcome, payment reminders, plan changes). Más info: resend.com/legal/privacy-policy.
  • Stripe, Inc. (USA) — procesamiento de pagos, gestión de suscripciones. PCI-DSS Nivel 1. Nunca vemos los datos completos de tu tarjeta. Más info: stripe.com/privacy.
  • Google LLC (USA) — Google OAuth para sign-in, Google Calendar para integración opcional (Calendar API tokens con tu autorización explícita). Más info: policies.google.com/privacy.
  • Functional Software, Inc. (Sentry, USA) — monitoreo de errores técnicos. Recibe metadata de errores (stack traces, browser info), NO Tu Contenido. Filtrado activo de inputs/outputs sensibles. Más info: sentry.io/privacy.

Si agregamos un sub-procesador nuevo (ej. MercadoPago para cobros del usuario en LatAm), actualizaremos esta lista y notificaremos a users registrados con anticipación razonable (al menos 30 días para sub-procesadores nuevos materiales).

7. Transferencias internacionales de datos

Como Frelanse LLC está incorporada en Delaware (USA) y nuestros sub-procesadores están principalmente en EE. UU., los datos personales de usuarios en la UE/EEE/UK/LatAm se transfieren fuera de su jurisdicción. Para esas transferencias:

  • Para usuarios UE/EEE/UK: usamos Standard Contractual Clauses (SCCs) aprobadas por la Comisión Europea (2021/914/UE) con sub-procesadores que no están bajo decisión de adecuación. Frelanse LLC y nuestros principales sub-procesadores cuentan con certificación bajo el EU-U.S. Data Privacy Framework cuando esté disponible.
  • Para usuarios en otras jurisdicciones: respetamos las obligaciones aplicables y aplicamos salvaguardas contractuales y técnicas razonables (encriptación in-transit con TLS 1.2+, encriptación at-rest, controles de acceso por rol).

Si quieres más detalles sobre las salvaguardas que aplicamos a una transferencia específica, escríbenos a privacy@frelanse.com.

8. Retención de datos

  • Datos de cuenta activa: mientras tengas cuenta activa.
  • Datos del workspace (Tu Contenido): mientras tengas cuenta activa + 30 días post-cancelación para permitir reactivación. Después, borrado permanente (sujeto a backups técnicos que rotan en 60 días).
  • Datos de facturación: conservados por al menos siete (7) años desde la última transacción, por requerimientos del IRS (Estados Unidos) y de leyes contables aplicables.
  • Logs de autenticación y seguridad: 90 días por defecto, prorrogable a 12 meses si hay investigación activa de fraude.
  • Emails transaccionales en Resend: el log de delivery se retiene según política de Resend (~30 días).
  • Errores en Sentry: 90 días por defecto en el plan que tengamos contratado.
  • Métricas agregadas y anonimizadas (no identifican a un usuario individual): pueden conservarse indefinidamente para fines de mejora del producto.

9. Seguridad

Implementamos medidas técnicas y organizativas razonables para proteger tus datos:

  • Encriptación en tránsito (TLS 1.2+) y en reposo (AES-256 en Supabase Storage y backups).
  • Row-Level Security (RLS) en la base de datos para que un workspace no acceda a datos de otro.
  • Autenticación vía Google OAuth o magic link (sin contraseñas almacenadas).
  • Tokens de integración cifrados con AES-256-GCM antes de persistir.
  • Acceso al sistema productivo restringido a personal autorizado, con logs de auditoría.
  • Backups automáticos y testeo periódico de restauración.
  • Monitoreo de errores y anomalías de seguridad vía Sentry.
  • Política de contraseñas seguras y MFA para acceso interno a Supabase, Vercel y Stripe.

Ninguna medida de seguridad es perfecta. Si ocurre una brecha de seguridad que afecte materialmente tus datos personales, te notificaremos sin demora indebida según las leyes aplicables (GDPR Art. 33-34 para users UE; estatutos estatales como California Civ. Code § 1798.82 para users de California; otras según jurisdicción).

10. Tus derechos

Para todos los usuarios

  • Acceder a tus datos personales (descarga vía /configuracion o por solicitud a privacy@frelanse.com).
  • Rectificar datos inexactos (editables desde /configuracion).
  • Borrar tu cuenta y Tu Contenido (desde /configuracion o por solicitud).
  • Exportar Tu Contenido en formato portable.
  • Optar por no recibir comunicaciones no esenciales.
  • Presentar una queja ante la autoridad de protección de datos competente de tu jurisdicción.

Derechos adicionales para usuarios en la UE/EEE/UK (GDPR)

  • Restringir el procesamiento bajo ciertas circunstancias (Art. 18).
  • Oponerte al procesamiento basado en interés legítimo (Art. 21).
  • Portabilidad de datos en formato estructurado y comúnmente usado (Art. 20).
  • Retirar el consentimiento cuando el procesamiento se base en él (sin afectar el procesamiento previo).
  • No estar sujeto a decisiones automatizadas con efectos legales significativos. Frelanse no realiza este tipo de decisiones automatizadas.
  • Presentar queja ante tu autoridad de protección de datos nacional (lista: edpb.europa.eu).

Derechos para residentes de California (CCPA / CPRA)

Si eres residente de California, bajo el California Consumer Privacy Act (CCPA) modificado por el California Privacy Rights Act (CPRA) tienes:

  • Right to Know: solicitar las categorías y elementos específicos de datos personales que recopilamos, las fuentes, las finalidades, y los terceros con quienes los compartimos.
  • Right to Delete: solicitar el borrado de tus datos personales (sujeto a excepciones legales).
  • Right to Correct: solicitar la corrección de información inexacta.
  • Right to Opt-Out of Sale or Sharing: Frelanse NO vende datos personales ni los comparte para advertising cross-context behavioral. Por lo tanto este derecho aplica trivialmente — no hay opt-out porque no hay venta.
  • Right to Limit Use of Sensitive Personal Information: aplicable si recopiláramos información sensible. Frelanse no recopila información sensible bajo CPRA § 1798.140(ae) excepto datos de cuenta (login + password reset) que están exentos.
  • Right to Non-Discrimination: no te discriminamos por ejercer tus derechos.
  • Authorized Agent: puedes designar un agente autorizado para ejercer tus derechos en tu nombre.

Para ejercer derechos CCPA/CPRA escríbenos a privacy@frelanse.com con "CCPA Request" en el asunto. Verificaremos tu identidad antes de responder. Respondemos dentro de 45 días (prorrogable a 90 con notificación).

Otros estados de EE. UU.

Si eres residente de Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), o de otros estados con legislación de privacidad similar, tienes derechos comparables a los de California. Para ejercerlos: privacy@frelanse.com con "State Privacy Rights Request" en el asunto, indicando tu estado.

11. Cómo ejercer tus derechos

Para la mayoría de los derechos puedes actuar directamente desde /configuracion en tu cuenta:

  • Acceder y editar perfil + workspace settings.
  • Editar la memoria del agente IA (/configuracion/memoria).
  • Cancelar suscripción (/configuracion/suscripcion).
  • Borrar workspace + cuenta (/configuracion — solicitud por email para evitar borrados accidentales).

Para solicitudes que requieren intervención humana (export, restricción, oposición, queja) escríbenos a privacy@frelanse.com. Respondemos en español o inglés. Verificaremos tu identidad antes de actuar. Plazos de respuesta: 30 días por defecto (GDPR), 45 días (CCPA), 45 días (otras leyes estatales US), prorrogables con notificación si la solicitud es compleja.

12. Menores de edad

El Servicio NO está dirigido a menores de 13 años y no recopilamos conscientemente datos personales de menores de 13 (cumplimiento de Children's Online Privacy Protection Act, COPPA, 15 U.S.C. § 6501). Si descubrimos que recopilamos datos de un menor de 13 sin consentimiento parental verificable, los borramos.

Para crear una cuenta debes tener al menos 18 años (o la edad de mayoría en tu jurisdicción). Frelanse no permite el registro de menores aunque los términos de servicios SaaS lo permitan en algunas jurisdicciones para edades 16-18.

13. Cookies y tecnologías similares

Usamos cookies y almacenamiento local mínimos y estrictamente esenciales:

  • Cookie de sesión (Supabase Auth): para mantenerte logueado entre páginas. Duración: hasta logout o expiración del token.
  • Cookie de idioma preferido: persiste tu elección entre visitas.
  • Cookie de workspace activo: cuando perteneces a múltiples workspaces, recuerda en cuál estás operando.
  • Cookie de captura de referral (T17.C): si entras vía un link /r/<slug>, guardamos el slug por 30 días para asociar tu signup al referrer. Sin tracking cross-site.

NO usamos: cookies de tracking de terceros, pixels publicitarios, fingerprinting del navegador, ni cookies analíticas no-esenciales. Por eso no requerimos consent banner intrusivo (un banner informativo mínimo cumple para usuarios UE).

Respetamos señales "Do Not Track" y "Global Privacy Control" (GPC) del navegador como opt-out de cualquier procesamiento basado en interés legítimo distinto a la prestación del Servicio.

14. Comunicaciones con vos

Te enviamos comunicaciones por email a la dirección registrada en tu cuenta:

  • Emails transaccionales (welcome, trial ending, payment confirmation, payment failed, plan changed): no puedes optar por no recibirlos — son parte del Servicio.
  • Recordatorios operativos relacionados con tus proyectos (resúmenes, alertas): configurables desde /configuracion/agentes.
  • Comunicaciones del producto (changelog, features, invitations al cohort): puedes optar por no recibirlas escribiendo a hola@frelanse.com con "unsubscribe" en el asunto, o desde el link en el footer de los emails.

Cumplimos con la CAN-SPAM Act (15 U.S.C. § 7701 et seq.) en todos los emails de marketing: identificamos el remitente claramente, incluimos mecanismo de unsubscribe, no usamos subject deceptivos.

15. Cambios a esta Política

Podemos actualizar esta Política cuando cambiemos cómo tratamos los datos, agreguemos sub-procesadores, o por nuevos requerimientos legales. Si los cambios son MATERIALES (afectan la base legal, agregan sub-procesadores, expanden finalidades, reducen tus derechos), te avisaremos por email con al menos 30 días de anticipación. Para cambios no materiales, actualizamos la fecha de "última actualización" sin notificar individualmente.

El uso continuo del Servicio después de la fecha de entrada en vigencia constituye aceptación de la Política modificada.

16. Contacto y quejas

Contacto general de privacidad: privacy@frelanse.com. Si nombramos DPO: [DPO_EMAIL]. Para asuntos legales: legal@frelanse.com.

Si tienes una queja no resuelta puedes contactar a la autoridad de protección de datos competente de tu jurisdicción:

  • Estados Unidos: Federal Trade Commission (FTC), reportfraud.ftc.gov; California Privacy Protection Agency, cppa.ca.gov.
  • Unión Europea / EEE: tu autoridad nacional (edpb.europa.eu/about-edpb/about-edpb/members_en).
  • Reino Unido: Information Commissioner's Office (ICO), ico.org.uk.
  • España: Agencia Española de Protección de Datos (AEPD), aepd.es.
  • México: Instituto Nacional de Transparencia (INAI), inai.org.mx.
  • Argentina: Agencia de Acceso a la Información Pública (AAIP), argentina.gob.ar/aaip.
  • Colombia: Superintendencia de Industria y Comercio (SIC), sic.gov.co.
  • Chile: Consejo para la Transparencia, consejotransparencia.cl.