Ir al contenido
LucidFlow

Política de privacidad

Última actualización: 12 de mayo de 2026

1. Identidad y contacto

LucidFlow (lucidflow.ai) es una plataforma de mapeo y optimización de procesos BPMN impulsada por IA.

Para cualquier consulta relacionada con la privacidad, contáctenos en: privacy@lucidflow.ai

2. Datos que recopilamos

Datos de cuenta

  • Dirección de correo electrónico y credenciales de autenticación (gestionados por Supabase Auth)
  • Nombre, foto de perfil e identificador del proveedor si inicia sesión con Google OAuth o LinkedIn (alcance LinkedIn OIDC: openid, profile, email)

Datos de procesos

  • Documentos que carga (almacenados en Supabase Storage)
  • Texto extraído de sus documentos (almacenado en nuestra base de datos para el análisis)
  • Diagramas BPMN generados, resultados de optimización e historial de conversaciones

Datos de pago

Los pagos son procesados por Stripe. Almacenamos su ID de cliente de Stripe y el estado de su suscripción, pero nunca los datos de su tarjeta.

Datos técnicos

  • Dirección IP (utilizada para la limitación de velocidad y la prevención de abusos)
  • Encabezados HTTP estándar (tipo de navegador, preferencias de idioma)

3. Cómo usamos sus datos

  • Para proporcionar el servicio de mapeo y optimización BPMN
  • Para procesar pagos a través de Stripe
  • Para aplicar los límites de uso según su plan de suscripción
  • Para proteger contra abusos (verificación CAPTCHA, limitación de velocidad)
  • Para analizar el uso del producto y mejorar el servicio. La analítica detallada del lado del cliente (vistas de página, clics auto-capturados, grabaciones de sesión) solo se ejecuta con tu consentimiento de cookies. Los datos mínimos de eventos del producto del lado del servidor (cuenta, plan, uso de funciones) se procesan bajo nuestro interés legítimo (RGPD Art. 6(1)(f)) sin dirección IP, geolocalización ni huella de dispositivo. Puedes desactivar la analítica del lado del servidor en cualquier momento en Ajustes → Privacidad y Analíticas.

4. Procesadores de datos terceros

  • Supabase: Base de datos, autenticación y almacenamiento de archivos (regiones disponibles en la UE)
  • Stripe: Procesamiento de pagos (compatible con PCI DSS)
  • Google Gemini API: Análisis de documentos mediante IA. Los documentos se envían para su análisis y el texto extraído se conserva en nuestra base de datos para la continuidad de la sesión. Los archivos originales se almacenan en Supabase Storage y se eliminan cuando usted elimina una sesión.
  • Anthropic Claude API: Proveedor de IA de respaldo (Anthropic, Estados Unidos). Se utiliza únicamente cuando falla una solicitud a Google Gemini: el contenido del documento se envía entonces a la API de Anthropic Claude para esa solicitud puntual. Configurado con zero data retention (ZDR): Anthropic no conserva los prompts ni las salidas y no los utiliza para entrenar sus modelos.
  • Render: Alojamiento de la aplicación
  • Cloudflare Turnstile: Verificación CAPTCHA para la prevención de abusos
  • PostHog: Analítica de producto. Dos canales: (1) la analítica detallada del lado del cliente (vistas de página, clics auto-capturados) solo se ejecuta cuando aceptas las cookies analíticas; (2) los eventos mínimos del lado del servidor (cuenta, plan, uso de funciones) se envían sin dirección IP ni huella de dispositivo bajo interés legítimo, con opt-out explícito en Ajustes → Privacidad y Analíticas. Datos alojados en la UE (eu.i.posthog.com). Ver la política de privacidad de PostHog: https://posthog.com/privacy
  • LinkedIn: Proveedor de identidad para el inicio de sesión con LinkedIn (LinkedIn Ireland Unlimited Company / Microsoft). Se utiliza únicamente si elige iniciar sesión con LinkedIn. Ver la política de privacidad de LinkedIn: https://www.linkedin.com/legal/privacy-policy

5. Transferencias internacionales de datos

Algunos de nuestros procesadores operan fuera de la Unión Europea, el Reino Unido, Suiza y Canadá (en particular Google Gemini, Anthropic, Stripe y LinkedIn en Estados Unidos). Cuando transferimos sus datos personales fuera de estas jurisdicciones, nos basamos en garantías adecuadas:

  • Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, con la addenda del Reino Unido cuando proceda
  • Certificaciones EU-US Data Privacy Framework (DPF) y Swiss-US DPF cuando el destinatario está inscrito
  • Garantías contractuales equivalentes para las transferencias regidas por la Ley 25 de Quebec (evaluación de impacto sobre la privacidad documentada) y la nLPD suiza

Puede solicitar una copia del mecanismo de transferencia de cualquier procesador específico en privacy@lucidflow.ai.

6. Decisiones automatizadas e IA

LucidFlow utiliza IA (Google Gemini como proveedor principal, con Anthropic Claude como respaldo cuando falla una solicitud a Gemini) para generar diagramas BPMN, sugerencias de optimización, planes de transformación con IA y recomendaciones de herramientas a partir de los documentos que usted proporciona.

Estas salidas generadas por IA son sugerencias destinadas a asistirle en la toma de decisiones. No producen efectos jurídicos ni efectos significativos comparables sobre usted en el sentido del artículo 22 del RGPD, del artículo 12.1 de la Ley 25 de Quebec o del artículo 21 de la nLPD suiza. Usted conserva el control total: puede modificar, aceptar, rechazar o ignorar cualquier salida de IA antes de que se aplique a su negocio.

Si tiene preguntas sobre cómo se produjo una sugerencia de IA o desea que una persona revise una salida específica, contacte privacy@lucidflow.ai.

7. Retención de datos

  • Sus datos se conservan mientras su cuenta esté activa.
  • Cuando elimina una sesión, todos los documentos, textos extraídos, resultados BPMN e historial de conversaciones asociados se eliminan permanentemente.
  • Puede eliminar su cuenta en cualquier momento desde la página de Configuración. Todos los datos se eliminan permanentemente.
  • Después de la eliminación de la cuenta, sus registros del procesador de pagos (ID de cliente de Stripe e historial de facturación) se conservan de acuerdo con las obligaciones legales de mantenimiento de registros financieros y para prevenir abusos del servicio. No se conserva ningún dato personal más allá de su asociación de correo electrónico en Stripe.

8. Sus derechos (RGPD / UE y R. U.)

  • Derecho de acceso: Puede ver todos sus datos dentro de la aplicación.
  • Derecho de supresión: Puede eliminar sesiones individuales y todos los datos asociados. También puede eliminar toda su cuenta desde la página de Configuración.
  • Derecho a la portabilidad: Exporte gratuitamente la totalidad de los datos personales que mantenemos sobre usted (sesiones, contenido BPMN, conversaciones, suscripción) en formato JSON estructurado desde Configuración → Exportar sus datos. Las exportaciones visuales (PNG, SVG, PDF) son funcionalidades de producto de pago, distintas de este derecho legal.
  • Derecho de rectificación: Contáctenos para corregir cualquier dato personal inexacto.
  • Derecho de oposición y limitación: Puede oponerse en cualquier momento al tratamiento basado en el interés legítimo (por ejemplo, la analítica del lado del servidor) desde Ajustes → Privacidad y Analíticas.
  • Derecho a presentar una reclamación: Puede presentar una reclamación ante su autoridad de control nacional (por ejemplo, la AEPD en España, la CNIL en Francia, la ICO en el Reino Unido o cualquier otra autoridad europea de protección de datos).

Para ejercer cualquiera de estos derechos, contacte: privacy@lucidflow.ai

9. Residentes de Quebec (Ley 25)

Si reside en Quebec, la Ley sobre la protección de la información personal en el sector privado (« Ley 25 ») le otorga, además de los derechos descritos anteriormente, los derechos siguientes.

Persona responsable de la protección de la información personal

Nuestra persona designada responsable de la protección de la información personal puede ser contactada en privacy@lucidflow.ai. Las solicitudes escritas deben contener información suficiente para verificar su identidad.

Sus derechos bajo la Ley 25

  • Derecho de acceso e información: Puede solicitar una copia de la información personal que mantenemos sobre usted, así como información sobre su uso y las personas a quienes se comunica. Una copia completa y legible por máquina está disponible gratuitamente desde Configuración → Exportar sus datos.
  • Derecho de rectificación: Puede hacer rectificar cualquier información personal inexacta, incompleta o equívoca.
  • Derecho a la desindexación y al cese de difusión: Puede solicitar que cesemos la difusión de información personal sobre usted o que se desindexe cualquier hipervínculo que dé acceso a esa información por un medio tecnológico, cuando se cumplan las condiciones del artículo 28.1 de la Ley 25.
  • Derecho relativo a las decisiones automatizadas: Cuando una decisión que produce efectos jurídicos o le afecta significativamente se basa exclusivamente en un tratamiento automatizado, puede obtener la información personal utilizada y las razones que llevaron a esa decisión. Como se indica en la sección 6, las salidas de IA de LucidFlow son sugerencias y no constituyen tales decisiones.

La información personal de los residentes de Quebec puede ser transferida fuera de Quebec, a Estados Unidos y la Unión Europea, para su tratamiento por nuestros prestadores. Se ha completado una evaluación de impacto sobre la privacidad para estas transferencias; se puede proporcionar un resumen previa solicitud.

Puede presentar una queja ante la Comisión de Acceso a la Información de Quebec (CAI): https://www.cai.gouv.qc.ca

10. Residentes suizos (nLPD)

Si reside en Suiza, la nueva Ley Federal de Protección de Datos (nLPD, en vigor desde el 1 de septiembre de 2023) se aplica al tratamiento de sus datos personales. Los derechos descritos en la sección 8 (acceso, rectificación, supresión, portabilidad, oposición) se le aplican de manera equivalente.

Cuando se transfieren datos personales a Estados Unidos u otros países sin una decisión de adecuación reconocida por Suiza, nos basamos en las Cláusulas Contractuales Tipo o, cuando proceda, en el Swiss-US Data Privacy Framework.

Puede presentar una queja ante el Comisionado Federal de Protección de Datos e Información (PFPDT): https://www.edoeb.admin.ch

11. Derechos de los residentes de California (CCPA / CPRA)

Si es residente de California, el California Consumer Privacy Act, modificado por el California Privacy Rights Act (CCPA / CPRA), le otorga los derechos siguientes.

Categorías de información personal recopilada

  • Identificadores: dirección de correo electrónico, credenciales de cuenta, dirección IP, identificador del proveedor OAuth (Google, LinkedIn)
  • Información comercial: estado de suscripción, historial de facturación, registros de uso
  • Actividad en Internet: tipo de navegador, preferencias de idioma, interacción con nuestro servicio
  • Información profesional: documentos de procesos empresariales y diagramas BPMN generados

Información personal sensible

No recopilamos información personal sensible según la define el CPRA (como números de seguridad social, geolocalización precisa, datos biométricos o de salud, origen racial, religión, orientación sexual o contenido de comunicaciones privadas).

Fines comerciales de la recopilación

  • Proporcionar y mejorar el servicio de mapeo BPMN, optimización y transformación con IA
  • Procesamiento de pagos y gestión de suscripciones a través de Stripe
  • Protección contra abusos, aplicación de límites y seguridad del servicio

Sin venta, intercambio limitado

LucidFlow no vende información personal. El único « intercambio » en el sentido del CCPA / CPRA corresponde a la analítica de producto (PostHog) cuando usted acepta las cookies analíticas. Puede retirar este consentimiento en cualquier momento desde Ajustes → Privacidad y Analíticas o rechazando el banner de cookies.

Sus derechos CCPA / CPRA

  • Derecho a saber: Puede solicitar detalles sobre las categorías y la información personal específica que hemos recopilado. Una copia completa y legible por máquina está disponible gratuitamente desde Configuración → Exportar sus datos.
  • Derecho a eliminar: Puede solicitar la eliminación de su información personal a través de la página de Configuración o contactándonos.
  • Derecho de corrección: Puede solicitar la corrección de la información personal inexacta que mantenemos sobre usted.
  • Derecho a rechazar la venta / intercambio: Como se ha indicado anteriormente, no vendemos información personal. Para oponerse al « intercambio » vinculado a la analítica, rechace las cookies analíticas o utilice Ajustes → Privacidad y Analíticas.
  • Derecho a la no discriminación: No le discriminaremos por ejercer sus derechos CCPA / CPRA.
  • Mandatario autorizado: Los residentes de California pueden designar a un mandatario autorizado para presentar solicitudes en su nombre, con prueba verificable de autorización.

Cómo ejercer sus derechos

Para ejercer estos derechos, contáctenos en privacy@lucidflow.ai o use las funciones de exportación y eliminación en su Configuración.

Responderemos a las solicitudes verificables en un plazo de 45 días calendario. Si necesitamos más tiempo (hasta 90 días), se lo notificaremos.

12. Cookies

Utilizamos dos categorías de cookies:

Cookies esenciales

Necesarias para la gestión de sesiones de autenticación (Supabase Auth). No se pueden desactivar.

Cookies analíticas (opcionales)

Cuando acepta las cookies analíticas, utilizamos PostHog para recopilar datos de uso anonimizados como páginas vistas, interacciones con funcionalidades y patrones de navegación. Esto nos ayuda a mejorar LucidFlow. Los datos analíticos se alojan en la UE (eu.i.posthog.com). Puede darse de baja en cualquier momento rechazando las cookies analíticas o contactando a privacy@lucidflow.ai.

No utilizamos cookies de marketing ni publicitarias.

13. Seguridad y notificación de violación

  • Todos los datos se transmiten a través de HTTPS con cifrado TLS.
  • El acceso a la base de datos está protegido por políticas de seguridad a nivel de fila (RLS).
  • La autenticación está gestionada por Supabase Auth con soporte para Google OAuth y LinkedIn OIDC.
  • Los datos de pago son procesados exclusivamente por Stripe y nunca pasan por nuestros servidores.
  • En caso de violación de datos personales que pueda suponer un riesgo para sus derechos y libertades, notificaremos a la autoridad de control competente en un plazo de 72 horas e informaremos a los usuarios afectados sin demora indebida, de conformidad con los artículos 33-34 del RGPD, el artículo 3.5 de la Ley 25 de Quebec y el artículo 24 de la nLPD suiza.

14. Cambios en esta política

Podemos actualizar esta política de privacidad de vez en cuando. Los cambios se publicarán en esta página con una fecha actualizada.

← Volver al inicio