Política de privacidad

Última modificación: 25 de mayo de 2022

Al usar el sitio web proton.me y hacer uso de una cuenta de Proton (la "Cuenta") y de todas sus características y servicios relacionados, incluidos Proton Mail, Proton Contacts, Proton Calendar y Proton Drive (los "Servicios"), acepta que el tratamiento de sus datos en relación con el uso de nuestros Servicios se rige por la siguiente política de privacidad. Esta política estipula (i) los datos que recopilamos por medio del acceso y uso que hace de los Servicios; (ii) el uso que hacemos de dichos datos; y (iii) las medidas de seguridad establecidas para proteger sus datos. Se ha de leer e interpretar la presente política de privacidad a modo de complemento de nuestros términos de servicios.

Tenga presente que Proton VPN se halla sujeto a una política diferente. Visite protonvpn.com/privacy-policy(new window) para obtener más información al respecto.

Proton AG (la "Empresa"; "Nosotros" y sus formas derivadas y omitidas), con domicilio en Route de la Galaise 32, 1228 Plan-les-Ouates, Ginebra (Suiza), es la operadora y prestadora de los Servicios. Dada la ubicación de su sede, por tanto, la Empresa se halla regida por las leyes y normativas de Suiza. Si deseas más información acerca del marco legal, consulta nuestro informe de transparencia y visita nuestra página de ayuda en materia legal.

También estamos adheridos al RGPD. El representante designado de la Empresa en la Unión Europea (especialmente a efectos del art. 27 del RGPD) es Proton Europe sàrl, sito en rue de Grünewald 94, L-1912 (Luxemburgo).

2. Recopilación y uso de los datos

Nuestra política primordial es recopilar la menor cantidad posible de información de los usuarios (incluidos los datos personales) para garantizar una experiencia de uso completamente privada al usar los Servicios. No disponemos de los medios técnicos necesarios para acceder al contenido cifrado de sus correos electrónicos, archivos y eventos de calendario.

La recopilación de datos queda limitada a lo siguiente:

2.1 Visita a nuestro sitio web: Nos valemos de una instalación local de herramientas de análisis de desarrollo propio. Los análisis se anonimizan siempre que es posible y se almacenan a nivel local (no en la nube). Las direcciones IP no se conservan ni se almacenan de cara a estos análisis.

2.2 Creación de cuentas: No es necesario facilitar información personal para crear una Cuenta, pero puede proporcionar una dirección de correo electrónico externa para recibir notificaciones o recuperar su contraseña. Si decide hacerlo, vincularemos dicha dirección de correo electrónico con su Cuenta para que pueda recuperar la contraseña y recibir notificaciones. Solo usaremos tales datos para ponernos en contacto con usted para informarle de cuestiones importantes acerca de los Servicios, enviarle información relacionada con la seguridad, verificar su cuenta o remitirle enlaces para recuperar la contraseña si habilita la opción correspondiente. También podemos informarle sobre los productos de Proton en los que podría tener interés. La base legal del tratamiento es el consentimiento, y usted es libre de eliminar los datos que haya proporcionado en cualquier momento a través del panel de configuración de su cuenta.

A fin de mantener la integridad de los Servicios, debemos tomar medidas para evitar que los spammers creen cuentas. Nos vemos obligados a hacerlo porque si los spammers usan Proton Mail para enviar mensajes, los principales proveedores de correo electrónico (Gmail, Yahoo, Outlook, etc.) podrían bloquear las direcciones IP de Proton Mail. Por ende, para hacer valer nuestro interés legítimo de evitar que spammers (humanos o automatizados) creen cuentas, empleamos diversos métodos de verificación humana. Es posible asimismo que solicitemos verificación para realizar otras operaciones sensibles con el fin de protegernos contra ataques de fuerza bruta. Ello puede dar lugar a que deba verificar su identidad con hCaptcha (o reCAPTCHA en el caso de que hCaptcha no esté disponible), correo electrónico o mensaje SMS. Guardamos temporalmente las direcciones IP, las direcciones de correo electrónico y los números de teléfono facilitados para enviar códigos de verificación y para fines antispam. El plazo de conservación temporal de los datos se halla determinado por nuestro interés legítimo de proteger nuestros Servicios de actividades relacionadas con el spam, así como por los requisitos legales suizos que sean aplicables y que, por tanto, debamos cumplir. En caso de que sea necesaria la conservación permanente de los datos, se hará a modo de hash criptográfico, que es un procedimiento que da lugar a valores sin procesar que nos son imposible descifrar. Más información

2.3 Actividad de las Cuentas de Proton Mail: Debido a las limitaciones del protocolo SMTP, tenemos acceso a los siguientes metadatos de los correos electrónicos: las direcciones de remitentes y destinatarios, las direcciones IP de las que proceden los mensajes entrantes, el asunto de los mensajes y las horas de envío y recepción. Sin embargo, NO contamos con acceso al contenido cifrado de los mensajes. Por otra parte, los mensajes no cifrados que se envían desde proveedores externos a su Cuenta o desde Proton Mail a servicios externos de correo electrónico sin cifrar son analizados en busca de spam y virus para hacer valer nuestro interés legítimo de proteger la integridad de nuestros Servicios y nuestros usuarios. Este procedimiento de análisis se lleva a cabo mientras los mensajes permanecen en memoria y, una vez superado, nuestro sistema los cifra y los escribe en el disco. No disponemos de la capacidad técnica para analizar el contenido de los mensajes una vez cifrados. Adicionalmente, tenemos acceso a los siguientes registros relacionados con la actividad de las Cuentas: número de mensajes enviados, cantidad de espacio de almacenamiento usado, número total de mensajes y última hora de inicio de sesión. Los datos de los usuarios nunca se usan con fines publicitarios.

2.4 Actividad de las Cuentas de Proton Calendar: El Servicio necesita disponer de acceso a determinadas propiedades de los eventos para poder recuperarlos e indexarlos eficientemente, así como para enviar las notificaciones y alarmas pertinentes Para ello, tenemos acceso a los siguientes metadatos de cada evento: nombre y descripción del calendario, identificador único del evento (UID, por sus siglas en inglés), fecha de inicio y de finalización (incluida la zona horaria), regla de repetición (incluidas las fechas u horas de exclusión), participación de los asistentes, información del organizador (solo cuando se emite o se recibe una invitación), alarmas y notificaciones, horas de creación y actualización del evento y su estado (confirmado o cancelado). NO tenemos acceso a la descripción, el resumen ni el título de los eventos, ni tampoco conocemos las ubicaciones ni las direcciones de correo electrónico de los asistentes.

2.5 Actividad de las Cuentas de Proton Drive: Por cuestiones operativas, el Servicio debe tener acceso a los siguientes metadatos sin cifrar: fecha y hora de la creación y modificación de archivos/carpetas, permisos de archivos/carpetas, tipos de archivo y persona que ha creado los archivos/carpetas Al compartirse un archivo o carpeta, nos resulta preciso registrar qué usuarios poseen dicho archivo o carpeta compartida o tienen acceso a ellos. Al compartir una URL, tenemos conocimiento de la fecha y hora en la que se creó y de la última vez que se accedió a ella, del número de veces que se ha accedido a ella y del nombre de usuario de su creador. No obstante, NO disponemos de acceso a su contenido, NO somos conocedores de los nombres de sus archivos y carpetas, NI TAMPOCO podemos ver sus miniaturas. Todos estos datos están debidamente cifrados de extremo a extremo. Solo almacenamos el tamaño de los archivos cifrados, no el tamaño de los archivos originales sin cifrar. Si se interpone una denuncia por uso indebido de una URL compartida por parte de un tercero, este debe facilitarnos la contraseña usada para descifrar los archivos al disponer de acceso a ella. Nosotros solo podemos acceder al contenido de los archivos en tales casos.

Además de contar con cifrado de extremo a extremo, el contenido es firmado criptográficamente por el usuario antes de enviárnoslo. Esto significa que puede comprobar en todo momento la firma de cualquier contenido que reciba de nuestros servidores para evitar falsificaciones (de personas con fines malintencionados, por ejemplo).

2.6 Comunicaciones con Proton: Nuestro personal podría guardar las comunicaciones que tenga con nosotros en forma de envíos de solicitudes de soporte, de informes de errores o de solicitud de características. La base legal del tratamiento es nuestro interés legítimo para solucionar problemas de manera más eficiente y mejorar la calidad de nuestros Servicios.

2.7 Registros de IP: En principio, no guardamos registros de IP permanentes en relación con su Cuenta. Sin embargo, es posible que tomemos la decisión de conservarlos de forma temporal para combatir casos de abuso y fraude. De igual manera, podríamos conservar permanentemente su dirección IP si usted participa en actividades que infrinjan nuestros términos y condiciones (por ejemplo, envío de spam, ataques DDoS contra nuestra infraestructura o ataques de fuerza bruta). La base legal de este tratamiento es nuestro interés legítimo de proteger nuestro servicio contra actividades maliciosas.

Si activa la función de registro de autenticación para su Cuenta, se conservarán sus direcciones IP de inicio de sesión a menos que la desactive. Esta función está desactivada por defecto, y todos los registros se eliminan al desactivarla. La base legal de este tratamiento es el consentimiento, y usted es libre de aceptar o rechazar dicho tratamiento en cualquier momento en el panel de seguridad de su Cuenta.

Tenga presente que Proton VPN se halla sujeto a una política diferente. Visite protonvpn.com/privacy-policy(new window) para obtener más información al respecto.

2.8 Información sobre los pagos: Dependemos de terceros para procesar las transacciones con tarjeta de crédito, PayPal y bitcoin, por lo que debemos compartir la información sobre los pagos con ellos Aceptamos pagos anónimos en efectivo o bitcoin, así como donaciones. La base legal de este tratamiento es la necesidad de ejecución del contrato de prestación de los Servicios.

2.9 Aplicaciones nativas: Al hacer uso de nuestras aplicaciones nativas, da su permiso (tanto a nosotros como a los proveedores de plataformas de aplicaciones móviles) para que se recopile cierta información. Existe la posibilidad de que empleemos software de análisis para dispositivos móviles (por ejemplo, informes de fallos y estadísticas de aplicaciones fabric.io, estadísticas de aplicaciones de Play Store, estadísticas de aplicaciones del App Store o informes de fallos autoalojados de Sentry) para enviar información sobre fallos a nuestros desarrolladores con el fin de subsanar rápidamente los errores. Es posible, asimismo, que algunas plataformas, como Google Play Store o el App Store de Apple, recopilen estadísticas agregadas y anónimas sobre la base y en el marco de sus respectivas políticas de privacidad y términos y condiciones. Tales estadísticas podrían abarcar los dispositivos y sistemas operativos más usados (por ejemplo, el porcentaje de uso de Android 6.x en comparación con el de Android 7.x), el número total de instalaciones y desinstalaciones o la cantidad total de usuarios activos.

Nuestras aplicaciones no disponen de acceso ni rastrean ninguna información relacionada con la ubicación de su dispositivo.

2.10 Import Assistant con inicio de sesión con Google: Si usa nuestro Import Assistant para importar sus datos de Google y se autentica con la opción "Iniciar sesión con Google", el tratamiento de la información recibida de las API de Google se realizará de acuerdo con la política de datos de los usuarios de los servicios de las API de Google, contemplándose asimismo los requisitos de uso limitado.

2.11 Import Assistant con una combinación de nombre de usuario y contraseña: Cuando hace uso de nuestro Import Assistant para importar correos electrónicos desde otro proveedor de servicios, almacenamos las credenciales de la cuenta de correo electrónico desde la que se realiza la importación únicamente mientras dura el proceso. Una vez finalizada la importación, eliminamos por completo las credenciales de nuestros sistemas.

3. Almacenamiento de datos

Todos los servidores usados en relación con la prestación de los Servicios son propiedad y están gestionados en su totalidad por la Empresa o sus filiales. Solo los empleados de la Empresa disponen de acceso físico o de otro tipo a los servidores. Los datos se almacenan siempre en formato cifrado en nuestros servidores. Las copias de seguridad sin conexión, cuyo almacenamiento puede ser habitual, también están codificadas. No gozamos de la posibilidad de acceder a ningún contenido encriptado por el usuario, ya sea en los servidores de producción o en las copias de seguridad.

4. Redes de terceros

Gracias a la tecnología de enrutamiento alternativo de Proton, los servicios de Proton son capaces de eludir muchos bloqueos de censura. Sin embargo, al hacerlo, se puede dar la circunstancia de que su tráfico de red discurra por redes de terceros, cuyo control nos es ajeno. Esto puede dar lugar a que un tercero registre su dirección IP o sepa que está usando aplicaciones de Proton (básicamente, la misma información que puede conocer su proveedor de servicios de Internet). En cualquier caso, estos terceros no pueden ver los datos en sí, los cuales permanecen cifrados. Las aplicaciones de Proton no hacen uso de la tecnología de enrutamiento alternativo por defecto. Solo recurren a ella si detectan medidas de censura activas en la red. Dispone de la opción de desactivarla en el panel de configuración de nuestras aplicaciones móviles y de escritorio. No obstante, si lo hace, podría no ser capaz de acceder a su Cuenta desde una red en la que Proton se halle censurada. Más información(new window)

5. Subencargados del tratamiento

Para hacer posible la prestación de nuestros Servicios, nos valemos de diferentes subencargados del tratamiento que se encargan de tratar debidamente los datos en sus distintas categorías. Los encargados del tratamiento nunca almacenan datos fuera del ámbito de su finalidad específica. En particular, no almacenan datos en relación con el uso cotidiano general de su Cuenta y de los Servicios, los cuales son responsabilidad de la Empresa. Los subencargados del tratamiento con los que trabajamos son los siguientes:

5.1 Subencargados del Grupo Proton

ProtonLabs DOOEL Skopje

  • Finalidad: Tratar datos relacionados con solicitudes de soporte al cliente u otras comunicaciones directas con la empresa (sección 2.4)
  • Lugar del tratamiento: Macedonia

ProtonLabs Taiwan Co., Ltd

  • Finalidad: Tratar datos relacionados con solicitudes de soporte al cliente u otras comunicaciones directas con la empresa (sección 2.4)
  • Lugar del tratamiento: Taiwán (República de China.)

5.2 Terceros subencargados del tratamiento

Zendesk, Inc.

  • Finalidad: Prestar servicios en relación con el tratamiento de datos de atención al cliente (sección 2.4)
  • Lugar del tratamiento: Estados Unidos

Stripe, Inc.

  • Finalidad: Prestar servicios en relación con el tratamiento de datos de pago (sección 2.6)
  • Lugar del tratamiento: Estados Unidos

Grupo PayPal

  • Finalidad: Prestar servicios en relación con el tratamiento de datos de pago (sección 2.6)
  • Lugar del tratamiento: Estados Unidos y Singapur

6. Divulgación de datos

Únicamente divulgaremos los datos limitados que poseemos de los usuarios si una solicitud vinculante procedente de las autoridades suizas competentes nos obliga legalmente a hacerlo. Solo podremos atenernos a las notificaciones entregadas electrónicamente si la entrega se produce en total conformidad con los requisitos de la legislación suiza. Siguiendo su política general, Proton impugnará las solicitudes siempre que sea posible y cuando existan dudas sobre su validez o haya interés público. En tales situaciones, no cumpliremos con la solicitud hasta que se hayan agotado todos los recursos legales o de otro tipo. De acuerdo con la legislación suiza, los sujetos de los procedimientos judiciales han de ser notificados de tales procedimientos, si bien las notificaciones deben remitirlas las autoridades, no la Empresa. En ningún caso, Proton puede descifrar el contenido de los mensajes cifrados ni divulgar así copias sin cifrar. Nuestro informe de transparencia recoge estadísticas agregadas sobre solicitudes de datos de las autoridades suizas competentes.

7. Derecho de acceso, rectificación, supresión, portabilidad y derecho a presentar reclamaciones

Dispone de la posibilidad de acceder, editar, eliminar o exportar directamente los datos personales tratados por la Empresa por su uso de los Servicios en la propia interfaz de su Cuenta.

Si su Cuenta ha sido suspendida por incumplimiento de nuestros términos y condiciones y desea ejercer los derechos relativos a sus datos personales, puede presentar una solicitud ante nuestro equipo de soporte.

En caso de violación de sus derechos, tiene derecho a presentar una reclamación ante la autoridad supervisora competente.

8. Modificaciones de la política de privacidad

Nos reservamos el derecho de revisar y modificar periódicamente la presente política, y notificaremos a los usuarios que hayan activado la preferencia de notificación sobre los cambios que efectuemos en ella. El uso continuado de los Servicios se considerará una aceptación de dichos cambios.