Política de privacidad

Última modificación: 25 de mayo de 2022

Al acceder el sitio web de proton.me y volverse usuario de una cuenta Proton (la "Cuenta") todas sus características relacionadas, inclusive las cuentas Proton Mail, Proton Contacts, Proton Calendar y Proton Drive (los "Servicios"), usted comprende que todos los datos relacionados con el uso de los Servicios están basados en la siguiente política de privacidad. Esta política establece: (i) qué datos recopilamos a través de su acceso y uso de los Servicios; (ii) el uso que hacemos de dichos datos; y (iii) las salvaguardas que implementamos para protegerlos. Esta política de privacidad debe leerse y entenderse como un complemento de nuestros términos de servicio.

Tenga en cuenta que Proton VPN está sujeto a una política distinta. Acceda a protonvpn.com/privacy-policy(new window) para conocer todos los detalles.

Proton AG (la "Empresa"; "Nosotros" y sus formas derivadas y omitidas), con domicilio en Route de la Galaise 32, 1228 Plan-les-Ouates, Ginebra (Suiza), es la operadora y prestadora de los Servicios. Dada la ubicación de su sede, por tanto, la Empresa se halla regida por las leyes y normativas de Suiza. Si desea más información acerca del marco legal, consulte nuestro informe de transparencia y visite nuestra página de ayuda sobre el cumplimiento de la ley.

Además, cumplimos con el RGPD. El representante designado de la Empresa en la Unión Europea (especialmente a efectos del art. 27 del RGPD) es Proton Europe sàrl, sito en rue de Grünewald 94, L-1912, Luxemburgo.

2. Recopilación y uso de los datos

Nuestra política primordial es recopilar la menor cantidad posible de información de los usuarios (incluidos los datos personales) para garantizar una experiencia de uso completamente privada al usar los Servicios. No disponemos de los medios técnicos necesarios para acceder al contenido cifrado de sus correos electrónicos, archivos y eventos de calendario.

La recopilación de datos se limita a:

2.1 Visita a nuestro sitio web: Nos valemos de una instalación local de herramientas de análisis de desarrollo propio. Los análisis se anonimizan siempre que sea posible y se almacenan localmente (y no en la nube). Las direcciones IP no se retienen ni almacenan para dichos análisis.

2.2 Creación de cuentas: No es necesario facilitar información personal para crear una Cuenta, pero puede proporcionar una dirección de correo electrónico externa para recibir notificaciones o recuperar su contraseña. Si decide hacerlo, vincularemos dicha dirección de correo electrónico con su Cuenta (para que pueda recuperar la contraseña y recibir notificaciones). Dichos datos solo se usarán para comunicarnos con usted con notificaciones importantes sobre los Servicios, para enviarle información relacionada con la seguridad, para verificar su cuenta o para enviarle enlaces de recuperación de contraseña si activa la opción. Existe asimismo la posibilidad de que nos comuniquemos con usted para informarle acerca de nuevos productos de Proton que puedan ser de su interés. La base legal para el procesamiento es el consentimiento y usted es libre de eliminar esos datos en el panel de configuración de su cuenta en cualquier momento.

A fin de mantener la integridad de los Servicios, debemos tomar medidas para evitar que los spammers creen cuentas. Nos vemos obligados a hacerlo porque, si los spammers usan Proton Mail para enviar mensajes, los principales proveedores de correo electrónico, como Gmail, Yahoo, Outlook, etc., podrían bloquear las direcciones IP de Proton Mail. Para perseguir nuestro interés legítimo de impedir la creación de cuentas por parte de robots de spam o spammers humanos, usamos una variedad de métodos de verificación humana. También se puede solicitar verificación para algunas operaciones confidenciales además de la creación de cuentas para proteger contra ataques de fuerza bruta. Ello puede dar lugar a que deba verificar su identidad mediante hCaptcha (o reCAPTCHA en el caso de que hCaptcha no esté disponible), correo electrónico o mensaje SMS. Las direcciones IP, las direcciones de correo electrónico y los números de teléfono proporcionados se guardan temporalmente para enviarle un código de verificación y con fines antispam. El periodo de retención temporal de datos está determinado por nuestros intereses legítimos de proteger el servicio contra el spam y también por cualquier requisito legal suizo aplicable que debamos cumplir. Si estos datos se guardan de forma permanente, siempre se guardan como un hash criptográfico, lo que garantiza que no podamos descifrar los valores brutos. Más información

2.3 Actividad de las Cuentas de Proton Mail: Debido a las limitaciones del protocolo SMTP, tenemos acceso a los siguientes metadatos de los correos electrónicos: las direcciones de remitentes y destinatarios, las direcciones IP de las que proceden los mensajes entrantes, el asunto de los mensajes y las horas de envío y recepción. NO tenemos acceso al contenido de los mensajes cifrados, pero los mensajes no cifrados enviados desde proveedores externos a su Cuenta, o desde Proton Mail a servicios de correo electrónico externos no cifrados, se analizan en busca de spam y virus para perseguir el interés legítimo de proteger la integridad de nuestros Servicios y usuarios. Estos mensajes entrantes se analizan en busca de correo no deseado en la memoria y, a continuación, se cifran y se escriben en el disco. No poseemos la capacidad técnica para escanear el contenido de los mensajes después de que hayan sido cifrados. También tenemos acceso a los siguientes registros de actividad de la Cuenta: número de mensajes enviados, cantidad de espacio de almacenamiento usado, número total de mensajes, hora del último inicio de sesión. Los datos del usuario nunca se usan con fines publicitarios.

2.4 Actividad de las Cuentas de Proton Calendar: El Servicio necesita disponer de acceso a determinadas propiedades de los eventos para poder recuperarlos e indexarlos eficientemente, así como para enviar las notificaciones y alarmas pertinentes Para ello, tenemos acceso a los siguientes metadatos de cada evento: nombre y descripción del calendario, identificador único del evento (UID, por sus siglas en inglés), fecha de inicio y de finalización (incluida la zona horaria), regla de repetición (incluidas las fechas u horas de exclusión), estado de participación de los asistentes, información del organizador (solo cuando se emite o se recibe una invitación), alarmas y notificaciones, horas de creación y actualización del evento y su estado (confirmado o cancelado). NO tenemos acceso a la descripción, resumen o título de los eventos, ni tampoco conocemos las ubicaciones y direcciones de correo electrónico de los asistentes.

2.5 Actividad de las Cuentas de Proton Drive: Por cuestiones operativas, el Servicio debe tener acceso a los siguientes metadatos sin cifrar: fecha y hora de la creación y modificación de archivos/carpetas, permisos de archivos/carpetas, tipos de archivo y persona que ha creado los archivos/carpetas Al compartirse un archivo o carpeta, nos resulta preciso registrar qué usuarios poseen dicho archivo o carpeta compartida o tienen acceso a ellos. Al compartir direcciones URL tenemos acceso a la hora de creación y último acceso, la cantidad de veces que se accedió a la URL y su creador. Sin embargo, NO tenemos acceso al contenido de los archivos, a los nombres de archivos y carpetas ni a las vistas previas en miniatura. Estos datos están cifrados de extremo a extremo. Solo almacenamos el tamaño de los archivos cifrados, no el tamaño de los archivos originales sin cifrar. Si se interpone una denuncia por uso indebido de una URL compartida por parte de un tercero, este debe facilitarnos la contraseña usada para descifrar los archivos al disponer de acceso a ella. Nosotros solo podemos acceder al contenido de los archivos en tales casos.

Además de contar con cifrado de extremo a extremo, el contenido es firmado criptográficamente por el usuario antes de enviárnoslo. Esto significa que puede comprobar en todo momento la firma de cualquier contenido que reciba de nuestros servidores para evitar falsificaciones (de personas con fines malintencionados, por ejemplo).

2.6 Comunicaciones con Proton: Nuestro personal podría guardar las comunicaciones que tenga con nosotros en forma de envíos de solicitudes de asistencia, de informes de errores o de solicitud de características. La base legal para el procesamiento es nuestro interés legítimo de solucionar problemas de manera más eficiente y mejorar la calidad de nuestros Servicios.

2.7 Registros de IP: En principio, no guardamos registros de IP permanentes en relación con su Cuenta. Sin embargo, es posible que tomemos la decisión de conservarlos de forma temporal para combatir casos de abuso y fraude. De igual manera, podríamos conservar permanentemente su dirección IP si usted participa en actividades que infrinjan nuestros términos y condiciones (por ejemplo, envío de spam, ataques DDoS contra nuestra infraestructura o ataques de fuerza bruta). La base legal de este tratamiento es nuestro interés legítimo de proteger nuestro servicio contra actividades maliciosas.

Si habilita el registro de autenticación para su cuenta, el registro de sus direcciones IP de inicio de sesión se conserva mientras que la función esté habilitada. Esta función está desactivada por defecto y todos los registros se eliminan al desactivarla. La base legal de este procesamiento es el consentimiento, y usted es libre de participar o excluirse de ese procesamiento en cualquier momento en el panel de seguridad de su Cuenta.

Tenga en cuenta que Proton VPN está sujeto a una política distinta. Acceda a protonvpn.com/privacy-policy(new window) para conocer todos los detalles.

2.8 Información sobre los pagos: Dependemos de terceros para procesar las transacciones con tarjeta de crédito, PayPal y bitcoin, por lo que debemos compartir la información sobre los pagos con ellos Se aceptan donaciones y pagos anónimos en efectivo o Bitcoin. La base legal de este procesamiento es la necesidad de la ejecución del contrato para proporcionar los Servicios.

2.9 Aplicaciones nativas: Al hacer uso de nuestras aplicaciones nativas, da su permiso (tanto a nosotros como a los proveedores de plataformas de aplicaciones móviles) para que se recopile cierta información. Existe la posibilidad de que empleemos software de análisis para dispositivos móviles (por ejemplo, informes de fallos y estadísticas de aplicaciones fabric.io, estadísticas de aplicaciones de Play Store, estadísticas de aplicaciones del App Store o informes de fallos autoalojados de Sentry) para enviar información sobre fallos a nuestros desarrolladores con el fin de subsanar rápidamente los errores. Es posible, asimismo, que algunas plataformas, como Google Play Store o el App Store de Apple, recopilen estadísticas agregadas y anónimas sobre la base y en el marco de sus respectivas políticas de privacidad y términos y condiciones. Tales estadísticas podrían abarcar los dispositivos y sistemas operativos más usados (por ejemplo, el porcentaje de uso de Android 6.x en comparación con el de Android 7.x), el número total de instalaciones y desinstalaciones o la cantidad total de usuarios activos.

Nuestras aplicaciones no acceden ni rastrean ninguna información basada en la ubicación de su dispositivo.

2.10 Import Assistant con “Iniciar sesión con Google”: cuando usa nuestra herramienta Import Assistant para importar sus datos de Google y autenticarse mediante la opción “Iniciar sesión con Google”, el procesamiento por parte de nuestro Import Assistant de la información recibida de las API de Google se ejecutará, de acuerdo con la Política de datos del usuario de los Servicios de API de Google, incluidos los requisitos de Uso limitado.

2.11 Import Assistant con una combinación de nombre de usuario y contraseña: Cuando hace uso de nuestro Import Assistant para importar correos electrónicos desde otro proveedor de servicios, almacenamos las credenciales de la cuenta de correo electrónico desde la que se realiza la importación únicamente mientras dura el proceso. Una vez finalizada la importación, eliminamos por completo las credenciales de nuestros sistemas.

3. Almacenamiento de datos

Todos los servidores usados en conexión con la prestación de los Servicios son propiedad y están operados en su totalidad por la Empresa o sus filiales. Solo los empleados de la Empresa tienen acceso físico o de otro tipo a los servidores. Los datos siempre se almacenan en formato cifrado en nuestros servidores. Las copias de seguridad sin conexión, que pueden almacenarse periódicamente, también están cifradas. No tenemos la capacidad de acceder a ningún contenido cifrado del usuario, servidores de producción o copias de seguridad.

4. Redes de terceros

La tecnología de enrutamiento alternativo de Proton permite a los Servicios de Proton eludir muchos bloqueos de censura, pero al hacerlo, el tráfico de su red puede pasar por redes de terceros, que no controlamos. Esto podría habilitar que un tercero grabe su dirección IP o vea que está usando aplicaciones de Proton (la misma información que su proveedor de servicio de Internet puede ver). Estos terceros no pueden ver sus datos reales, que permanecen cifrados. Por defecto, el enrutamiento alternativo no se usa para las aplicaciones Proton a menos que detecten que estén activas medidas de censura en su red. La ruta alternativa también se puede deshabilitar en el panel Ajustes de nuestras aplicaciones móviles y de computadora de escritorio. Sin embargo, si lo hace, puede que no pueda acceder a su cuenta desde una red que censura Proton. Más información(new window)

5. Subprocesadores de datos

Para prestar los Servicios, nos basamos en diferentes subprocesadores de datos, que procesan diferentes categorías de datos. Los procesadores nunca almacenan datos fuera del alcance de su propósito específico. En particular, no almacenan datos en relación con el uso cotidiano general de su Cuenta y de los Servicios, los cuales son responsabilidad de la Empresa. Los subprocesadores son los siguientes:

5.1 Subprocesadores de Proton Group

ProtonLabs DOOEL Skopje

  • Propósito: procesar datos en relación con las solicitudes de atención al cliente u otras comunicaciones directas con la empresa (sección 2.4).
  • Lugar de procesamiento de datos: Macedonia

ProtonLabs Taiwan Co., Ltd

  • Propósito: procesar datos en relación con las solicitudes de atención al cliente u otras comunicaciones directas con la empresa (sección 2.4).
  • Lugar de procesamiento de datos: Taiwán (RDC.)

5.2 Subprocesadores de terceros

Zendesk, Inc.

  • Propósito: proveer servicios en relación con el procesamiento de datos de atención al cliente (sección 2.4).
  • Lugar de procesamiento de datos: Estados Unidos.

Stripe, Inc.

  • Propósito: proveer servicios en relación con el procesamiento de datos de pago (sección 2.6).
  • Lugar de procesamiento de datos: Estados Unidos.

Grupo PayPal

  • Propósito: proveer servicios en relación con el procesamiento de datos de pago (sección 2.6).
  • Lugar de procesamiento de datos: Estados Unidos, Singapur.

6. Divulgación de datos

Solo revelaremos los datos de usuario limitados que poseemos si estamos legalmente obligados a hacerlo mediante una solicitud vinculante procedente de las autoridades suizas competentes. Podemos cumplir con las notificaciones enviadas electrónicamente solo cuando se entreguen en pleno cumplimiento de los requisitos de la ley suiza. La política general de Proton es impugnar las solicitudes siempre que sea posible y cuando existan dudas sobre la validez de la solicitud o si existe un interés público en hacerlo. En tales situaciones, no cumpliremos con la solicitud hasta que se hayan agotado todos los recursos legales o de otro tipo. Según la legislación suiza, los sujetos de procedimientos judiciales deben ser notificados de dichos procedimientos, aunque dicha notificación debe provenir de las autoridades y no de la Empresa. Proton no puede, bajo ningún concepto, descifrar el contenido de un mensaje cifrado ni divulgar copias cifradas. Las estadísticas agregadas sobre las solicitudes de datos de los contactos de las autoridades suizas competentes se pueden encontrar en nuestro informe de transparencia.

7. Derecho de acceso, rectificación, supresión, portabilidad y derecho a presentar una queja

A través de la interfaz de su Cuenta, puede acceder, editar, eliminar o exportar directamente los datos personales procesados por la Empresa en su uso de los Servicios.

Si su Cuenta ha sido suspendida por una vulneración de nuestros términos y condiciones, y desea ejercer los derechos relacionados con sus datos personales, puede hacer una solicitud a nuestro equipo de soporte.

En caso de violación de sus derechos, tiene derecho a presentar una queja ante la autoridad supervisora competente.

8. Modificaciones de la política de privacidad

Nos reservamos el derecho de revisar y modificar periódicamente la presente política, y notificaremos a los usuarios que hayan activado la preferencia de notificación sobre los cambios que efectuemos en ella. El uso continuado de los Servicios se considerará una aceptación de dichos cambios.