Política de privacidad

Última modificación: 25 de mayo de 2022

Al acceder el sitio web de proton.me y volverse usuario de una cuenta Proton (la "Cuenta") todas sus funciones relacionadas, inclusive las cuentas Proton Mail, Proton Contacts, Proton Calendar y Proton Drive (los "Servicios"), usted comprende que todos los datos relacionados con el uso de los Servicios están basados en la siguiente política de privacidad. Esta política establece: (i) qué datos recopilamos a través de su acceso y uso de los Servicios; (ii) el uso que hacemos de dichos datos; y (iii) las salvaguardas que implementamos para protegerlos. Esta política de privacidad debe leerse y entenderse como un complemento de nuestros Términos de servicio.

Tenga en cuenta que Proton VPN está sujeto a una política distinta. Acceda a protonvpn.com/privacy-policy para conocer todos los detalles.

Los Servicios son gestionados por Proton AG (la "Empresa", "Nosotros"), con domicilio en Route de la Galaise 32, 1228 Plan-les-Ouates, Ginebra, Suiza. Por lo tanto, se rige por las leyes y normas de Suiza. Si desea más información acerca del marco legal, consulte nuestro informe de transparencia y visite nuestra página de ayuda sobre el cumplimiento de la ley.

Además, cumplimos con el RGPD. El representante designado de la Empresa en la Unión Europea (especialmente a efectos del art. 27 del RGPD) es Proton Europe sàrl, sito en rue de Grünewald 94, L-1912, Luxemburgo.

2. Recopilación y uso de datos

Nuestra política primordial es recopilar la menor cantidad posible de información sobre los usuarios (incluso sus datos personales) para garantizar una experiencia de uso completamente privada al utilizar los Servicios. No disponemos de los medios técnicos necesarios para acceder al contenido cifrado de sus correos electrónicos, archivos y eventos de calendario.

La recopilación de datos se limita a:

2.1 Visitas a nuestro sitio web: empleamos una instalación local de herramientas de análisis de desarrollo propio. Los análisis se anonimizan siempre que es posible y se almacenan a nivel local (no en la nube). Las direcciones IP no se conservan ni se almacenan para estos análisis.

2.2 Creación de cuentas: no es necesario facilitar información personal para crear una cuenta, pero puede proporcionar una dirección de correo electrónico externa para fines de notificación o recuperación de la contraseña. Si decide hacerlo, vincularemos dicha dirección de correo electrónico con su Cuenta (para que pueda recuperar la contraseña y recibir notificaciones). Solo utilizaremos dichos datos para ponernos en contacto con usted e informarle de cuestiones importantes acerca de los Servicios, enviarle información relacionada a la seguridad, verificar su cuenta o reenviarle enlaces para recuperación de su contraseña, si se habilita la opción. Existe asimismo la posibilidad de que nos comuniquemos con usted para informarle acerca de nuevos productos de Proton que puedan ser de su interés. La base legal para el procesamiento es el consentimiento y usted es libre de eliminar esos datos en el panel de configuración de su cuenta en cualquier momento.

A fin de mantener la integridad de los Servicios, debemos tomar medidas para evitar que los spammers creen cuentas. Nos vemos obligados a hacerlo porque si los spammers utilizan Proton Mail para enviar mensajes, los principales proveedores de correo electrónico, como Gmail, Yahoo, Outlook, etc., podrían bloquear las direcciones IP de Proton Mail. Para perseguir nuestro interés legítimo en evitar la creación de cuentas por parte de robots de spam o spammers humanos, utilizamos distintas metodologías de verificación humana. También se puede requerir la verificación para algunas operaciones sensibles, además de la creación de cuentas, para protegerse contra ataques de fuerza bruta. Ello puede dar lugar a que deba verificar su identidad mediante hCaptcha (o reCAPTCHA en el caso de que hCaptcha no esté disponible), correo electrónico o mensaje SMS. Guardamos temporalmente direcciones IP, direcciones de correo electrónico y números de teléfono facilitados para enviar códigos de verificación y para fines antispam. El plazo de conservación temporal de los datos ha sido determinado por nuestros intereses legítimos, con el fin de proteger nuestros Servicios de actividades relacionadas a spam, así como a los requisitos legales suizos que sean aplicables y que, por tanto, debamos cumplir. Si estos datos se guardan de forma permanente, siempre se guardan como un hash cifrado, lo que garantiza que los valores en bruto no puedan ser descifrados por nosotros. Más información

2.3 Actividad de las cuentas de Proton Mail: debido a las limitaciones del protocolo SMTP, tenemos acceso a los siguientes metadatos del correo electrónico: direcciones de correo electrónico de remitentes y destinatarios, direcciones IP de las que proceden los mensajes entrantes, asunto de los mensajes, horario de envío y recepción de ellos. Sin embargo, NO contamos con acceso al contenido de los mensajes cifrados. Por otra parte, los mensajes no cifrados enviados desde proveedores externos a su Cuenta o desde Proton Mail a servicios de correo electrónico externos no cifrados, son analizados en busca de spam y virus para hacer valer nuestro interés legítimo de proteger la integridad de nuestros Servicios y usuarios. Tales mensajes entrantes se analizan en busca de spam en la memoria y, a continuación, se cifran y se graban en el disco. No tenemos capacidad técnica para analizar el contenido de los mensajes después de que se hayan cifrado. También tenemos acceso a los siguientes registros de actividad de la cuenta: número de mensajes enviados, cantidad de espacio de almacenamiento utilizado, número total de mensajes, última hora de inicio de sesión. Los datos de los usuarios nunca se utilizan con fines publicitarios.

2.4 Actividad de las cuentas Proton Calendar: el Servicio necesita disponer de acceso a determinadas propiedades de los eventos para poder recuperarlos e indexarlos eficientemente, así como para enviar las notificaciones y alarmas pertinentes. Para ello, tenemos acceso a los siguientes metadatos de cada evento: nombre y descripción del calendario, identificador único del evento (UID, por sus siglas en inglés), fecha de inicio y de finalización (incluida la zona horaria), regla de repetición (incluidas las fechas u horas de exclusión), estado de participación de los asistentes, información del organizador (solo cuando se emite o se recibe una invitación), alarmas y notificaciones, horas de creación y actualización del evento y su estado (confirmado o cancelado). NO tenemos acceso a la descripción, resumen o título de los eventos, ni tampoco conocemos las ubicaciones y direcciones de correo electrónico de los asistentes.

2.5 Actividad de las cuentas de Proton Drive: para fines operativos, el Servicio debe tener acceso a los siguientes metadatos sin cifrar: marcas de tiempo de creación y modificación de archivos/carpetas, permisos de archivos/carpetas, tipo de archivo, creador de archivos/carpetas. Al compartir URL, tenemos acceso a la hora de creación y último acceso, el número de veces que se accedió a la URL y su creador. Sin embargo, NO tenemos acceso al contenido de los archivo, a los nombres de archivo y carpeta, ni a las vistas previas en miniatura. Dichos datos se cifran de extremo a extremo. Solo almacenamos el tamaño de los archivos cifrados, no el tamaño del archivo original sin cifrar. En el caso de un informe por abuso de una URL compartida por terceros partes, este último acceso tiene la contraseña utilizada para descifrar el/los archivo/s y nos la transmite. Nosotros solo podemos acceder al contenido del o de los archivos en tales casos.

Además del cifrado de extremo a extremo, todo el contenido también está firmado criptográficamente por el usuario, antes de que se nos envíe. Esto significa que siempre puede verificar la firma de cualquier contenido que reciba de nuestros servidores, lo que lo protege de la falsificación (por ejemplo, de un actor malintencionado).

2.6 Comunicación con Proton: nuestro personal puede guardar sus comunicaciones con nosotros, como solicitudes de soporte, informes de error o solicitudes de función. La base legal para el procesamiento es nuestro interés legítimo de solucionar problemas de la manera más eficiente y mejorar la calidad de nuestros Servicios.

2.7 Registro de IP: por defecto, no mantenemos registros de IP permanentes en relación con su Cuenta. Sin embargo, los registros de IP pueden conservarse temporalmente para combatir el abuso y el fraude, y su dirección IP puede conservarse permanentemente si participa en actividades que infrinjan nuestros términos y condiciones (por ejemplo, spam, ataques DDoS contra nuestra infraestructura, ataques de fuerza bruta). La base legal de este procesamiento es nuestro interés legítimo de proteger nuestro servicio contra actividades malintencionadas.

Si habilita el registro de autenticación para su cuenta, el registro de sus direcciones IP de inicio de sesión se conserva mientras que la función esté habilitada. Esta función está desactivada por defecto y todos los registros se eliminan al desactivarla. La base legal de este procesamiento es el consentimiento, y usted es libre de participar o excluirse de ese procesamiento en cualquier momento en el panel de seguridad de su Cuenta.

2.8 Información de pago: dependemos de terceros para procesar transacciones con tarjeta de crédito, PayPal y Bitcoin y, por lo tanto, debemos compartir la información de pago con ellos. Se aceptan pagos y donaciones anónimas en efectivo o Bitcoin. La base legal de este procesamiento es la necesidad de la ejecución del contrato para proporcionar los Servicios.

2.9 Aplicaciones nativas: cuando utiliza nuestras aplicaciones nativas, nosotros (o los proveedores de la plataformas de aplicaciones móviles) podemos recopilar cierta información. Podemos utilizar software de análisis móvil (por ejemplo, estadísticas de aplicación fabric.io e informes de colapso, estadísticas de aplicación de Play Store, estadísticas de aplicaciones de Aplicación Store o informes de colapso de Sentry autohospedados) para enviar información sobre colapso a nuestros desarrolladores, con el fin de corregir lo ante posible esos errores. Algunas plataformas, como Play Store de Google o App Store de Apple, también pueden recopilar estadísticas agregadas y anónimas, que pueden regirse por sus respectivas políticas de privacidad y términos y condiciones. Dichas estadísticas pueden incluir los dispositivos y sistemas operativos más utilizados (por ejemplo, el porcentaje de Android 6.x v. Android 7.x), el número total de instalaciones y desinstalaciones y el número total de usuarios activos.

Nuestras aplicaciones no acceden ni rastrean ninguna información basada en la ubicación de su dispositivo.

2.10 Import Assistant con “Iniciar sesión con Google”: cuando utiliza nuestra herramienta Import Assistant para importar sus datos de Google y autenticarse mediante la opción “Iniciar sesión con Google”, el procesamiento por parte de nuestro Import Assistant de la información recibida de las API de Google se ejecutará, de acuerdo con la Política de datos del usuario de los Servicios de API de Google, incluidos los requisitos de Uso limitado.

2.11 Import Assistant con una combinación de nombre de usuario y contraseña: cuando utiliza nuestra herramienta Import Assistant para importar sus correos electrónicos desde otro proveedor de servicios, almacenamos las credenciales de la cuenta de correo electrónico desde la que se realiza la importación durante la duración limitada de la importación. Una vez que se realiza la importación, esas credenciales se eliminan por completo de nuestros sistemas.

Tenga en cuenta que Proton VPN está sujeto a una política distinta. Acceda a protonvpn.com/privacy-policy para conocer todos los detalles.

3. Almacenamiento de datos

All servers used in connection with the provision of the Services are wholly owned and operated by the Company or its subsidiaries. Only employees of the Company have physical or other access to the servers. Data is always stored in encrypted format on our servers. Offline backups, which may be stored periodically, are also encrypted. We cannot decrypt any user encrypted content on either the production servers or in the backups. Backups are kept for up to 30 days.

4. Redes de terceros

Proton's alternative routing technology allows Proton Services to bypass many censorship blocks, but in doing so your network traffic may go through third-party networks, which we do not control. This could enable a third party to record your IP address or see that you are using Proton apps (the same information that your Internet Service Provider is able to see). These third parties cannot see your actual data, which remains encrypted. By default, alternative routing is not used for Proton apps unless they detect that censorship measures are active on your network. Alternative routing can also be disabled in the Settings panel of our mobile and desktop applications. However, doing so may cause you to be unable to access your Account from a network that is censoring Proton. Learn more

Subprocesadores de datos

Para prestar los Servicios, nos basamos en diferentes subprocesadores de datos, que procesan diferentes categorías de datos. Los procesadores nunca almacenan datos fuera del alcance de su propósito específico. En particular, no almacenan datos en relación con el uso diario general de su Cuenta y Servicios, que es procesado exclusivamente por la Empresa. Los subprocesadores son los siguientes:

5.1 Subprocesadores de Proton Group

ProtonLabs DOOEL Skopje

  • Propósito: procesar datos en relación con las solicitudes de atención al cliente u otras comunicaciones directas con la empresa (sección 2.4).
  • Lugar de procesamiento de datos: Macedonia

ProtonLabs Taiwan Co., Ltd

  • Propósito: procesar datos en relación con las solicitudes de atención al cliente u otras comunicaciones directas con la empresa (sección 2.4).
  • Lugar de procesamiento de datos: Taiwán (RDC)

5.2 Subprocesadores de terceros

Zendesk, Inc.

  • Propósito: proveer servicios en relación con el procesamiento de datos de atención al cliente (sección 2.4).
  • Lugar de procesamiento de datos: Estados Unidos.

Stripe, Inc.

  • Propósito: proveer servicios en relación con el procesamiento de datos de pago (sección 2.6).
  • Lugar de procesamiento de datos: Estados Unidos.

Grupo PayPal

  • Propósito: proveer servicios en relación con el procesamiento de datos de pago (sección 2.6).
  • Lugar de procesamiento de datos: Estados Unidos, Singapur.

6. Divulgación de datos

Solo divulgaremos los datos de usuario limitados que tenemos y en el caso de que estuviéramos legalmente obligados a hacerlo, mediante una solicitud vinculante procedente de las autoridades suizas competentes. Podemos cumplir con los avisos entregados electrónicamente solo cuando se entreguen en total conformidad con los requisitos de la leyes de suiza. La política general de Proton es impugnar las solicitudes siempre que sea posible y cuando haya dudas sobre la validez de la solicitud o si existe un interés público en hacerlo. En tales situaciones, no cumpliremos con la solicitud hasta que se hayan agotado todos los recursos legales o de otro tipo. Según la ley suiza, quienes son objeto de demandas judiciales deben ser notificados, aunque dicha notificación deberá provenir de las autoridades y no de la Empresa. Según la ley suiza, quienes son objeto de demandas judiciales deben ser notificados, aunque dicha notificación deberá provenir de las autoridades y no de la Empresa. Las estadísticas agregadas sobre las solicitudes de datos de los contactos de las autoridades suizas competentes se pueden encontrar en nuestro informe de transparencia.

7. Derecho de acceso, rectificación, supresión, portabilidad y derecho a presentar una queja

A través de la interfaz de su Cuenta, puede acceder, editar, eliminar o exportar directamente los datos personales procesados por la Empresa en su uso de los Servicios.

Si su Cuenta ha sido suspendida por un incumplimiento de nuestros Términos y condiciones, y desea ejercer los derechos relacionados a sus datos personales, puede hacer una solicitud a nuestro equipo de soporte.

En caso de violación de sus derechos, tiene derecho a presentar una queja ante la autoridad supervisora competente.

8. Modificaciones de la política de privacidad

La Empresa se reserva el derecho de revisar y cambiar periódicamente esta política de vez en cuando y notificar a los usuarios que hayan habilitado la preferencia de notificación sobre los cambios en nuestra política de privacidad. El uso permanente de los Servicios se considerará como aceptación de dichos cambios.