Política de Privacidad

1. Responsable del tratamiento

2. Datos que recopilamos

Recopilamos únicamente los datos necesarios para prestar el servicio:

• Correo electrónico: utilizado para la autenticación (magic link o Google OAuth) y comunicaciones transaccionales.
• Claves API: almacenadas en forma de hash SHA-256. El valor original no se conserva en nuestros servidores tras la generación.
• Tokens OAuth: cifrados con AES-256 en base de datos. Se utilizan exclusivamente para mantener la sesión activa.
• Registros de uso: nombre de la herramienta MCP invocada, marca de tiempo y duración de la llamada. No almacenamos el contenido de las respuestas MCP.

No recopilamos contraseñas (usamos autenticación sin contraseña), ni el contenido de las respuestas de los servidores MCP, ni datos especialmente protegidos conforme al artículo 9 del RGPD.

3. Finalidades del tratamiento

• Prestación del servicio: crear y mantener tu cuenta, autenticarte y permitirte acceder a los servidores MCP conectados.
• Autenticación: verificar tu identidad mediante magic link o Google OAuth y gestionar sesiones activas.
• Analítica de uso: entender cómo se utiliza la plataforma de forma agregada para mejorar el servicio y detectar anomalías.
• Facturación: gestionar suscripciones y el historial de uso cuando aplique un plan de pago.

4. Base jurídica del tratamiento

• Ejecución de un contrato (art. 6.1.b RGPD): el tratamiento de tu correo electrónico, tokens de sesión y claves API es necesario para prestarte el servicio que has solicitado.
• Interés legítimo (art. 6.1.f RGPD): los registros de uso anonimizados y los datos de seguridad se tratan para proteger la integridad de la plataforma y mejorar el servicio. Este interés no prevalece sobre tus derechos y libertades fundamentales.

5. Destinatarios de los datos

No vendemos tus datos. Los compartimos exclusivamente con los siguientes encargados del tratamiento, con quienes mantenemos los acuerdos contractuales exigidos por el RGPD:

• Supabase Inc. (Frankfurt, UE): base de datos PostgreSQL y autenticación. Infraestructura alojada en la región eu-central-1 (Alemania), dentro del Espacio Económico Europeo.
• Cloudflare Inc. (global): red de entrega de contenido y protección DDoS. Certificado bajo el EU-US Data Privacy Framework (DPF).
• Vercel Inc. (EE.UU.): alojamiento y despliegue de la aplicación. Certificado bajo el EU-US Data Privacy Framework (DPF).
• Resend Inc. (EE.UU.): envío de correos transaccionales (magic links). Vinculado mediante Cláusulas Contractuales Tipo de la Comisión Europea.

6. Transferencias internacionales de datos

7. Plazos de conservación

• Cuentas de usuario: hasta que solicites la eliminación de tu cuenta. Tras la solicitud, los datos se borran o anonimizan en un plazo máximo de 30 días, salvo obligación legal de conservación.
• Tokens OAuth: hasta que revoques el acceso o cierres tu cuenta.
• Registros de uso: 90 días. Transcurrido ese plazo se eliminan automáticamente.
• Claves API: hasta que las regeneres o elimines tu cuenta. Los hashes anteriores se borran al regenerar.

8. Tus derechos como interesado

Conforme al RGPD, tienes los siguientes derechos respecto a tus datos personales:

• Acceso (art. 15): obtener confirmación de si tratamos tus datos y, en su caso, acceder a ellos.
• Rectificación (art. 16): corregir datos inexactos o incompletos.
• Supresión (art. 17): solicitar el borrado de tus datos cuando ya no sean necesarios o retires el consentimiento.
• Portabilidad (art. 20): recibir tus datos en formato estructurado y de lectura mecánica, o solicitar que se transmitan a otro responsable.
• Limitación del tratamiento (art. 18): solicitar la restricción del tratamiento mientras se resuelve una impugnación de exactitud o una reclamación.
• Oposición (art. 21): oponerte al tratamiento basado en interés legítimo por motivos relacionados con tu situación particular.

Para ejercer cualquiera de estos derechos, envía un correo a privacidad@spainmcp.com indicando el derecho que deseas ejercer y adjuntando una copia de tu documento de identidad. Responderemos en un plazo máximo de 30 días desde la recepción de la solicitud, prorrogable dos meses adicionales en casos complejos con notificación previa.

9. Derecho a reclamar ante la autoridad de control

Si consideras que el tratamiento de tus datos personales infringe el RGPD o la LOPDGDD, tienes derecho a presentar una reclamación ante la autoridad de control competente. En España, la autoridad de control es la Agencia Española de Protección de Datos (AEPD):

Antes de acudir a la AEPD, te invitamos a contactarnos directamente en privacidad@spainmcp.com para intentar resolver la incidencia.

10. Cookies

SpainMCP utiliza exclusivamente cookies de sesión necesarias para la autenticación y el mantenimiento de la sesión del usuario. Estas cookies están exentas de consentimiento previo conforme al artículo 22.2 de la LSSI y al considerando 25 de la Directiva ePrivacy, al ser estrictamente necesarias para la prestación del servicio solicitado.

No utilizamos cookies de seguimiento, publicidad ni analítica de terceros. No se instala ninguna cookie de terceros al navegar por la plataforma.

11. Modificaciones de esta política

Podemos actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas, en los servicios que ofrecemos o en la legislación aplicable. Cuando los cambios sean sustanciales, te notificaremos mediante un aviso visible en la plataforma o por correo electrónico con al menos 15 días de antelación. La fecha de la última revisión aparece al inicio de este documento.

El uso continuado de SpainMCP tras la entrada en vigor de la nueva versión implica la aceptación de los cambios. Si no estás de acuerdo, puedes eliminar tu cuenta enviando un correo a privacidad@spainmcp.com.