Politica de Privacidad

1. Responsable del tratamiento

2. Datos que recopilamos

Recopilamos unicamente los datos necesarios para prestar el servicio:

• Correo electronico: utilizado para la autenticacion (magic link o Google OAuth) y comunicaciones transaccionales.
• Claves API: almacenadas en forma de hash SHA-256. El valor original no se conserva en nuestros servidores tras la generacion.
• Tokens OAuth: cifrados con AES-256 en base de datos. Se utilizan exclusivamente para mantener la sesion activa.
• Registros de uso: nombre de la herramienta MCP invocada, marca de tiempo y duracion de la llamada. No almacenamos el contenido de las respuestas MCP.

No recopilamos contrasenas (usamos autenticacion sin contrasena), ni el contenido de las respuestas de los servidores MCP, ni datos especialmente protegidos conforme al articulo 9 del RGPD.

3. Finalidades del tratamiento

• Prestacion del servicio: crear y mantener tu cuenta, autenticarte y permitirte acceder a los servidores MCP conectados.
• Autenticacion: verificar tu identidad mediante magic link o Google OAuth y gestionar sesiones activas.
• Analitica de uso: entender como se utiliza la plataforma de forma agregada para mejorar el servicio y detectar anomalias.
• Facturacion: gestionar suscripciones y el historial de uso cuando aplique un plan de pago.

4. Base juridica del tratamiento

• Ejecucion de un contrato (art. 6.1.b RGPD): el tratamiento de tu correo electronico, tokens de sesion y claves API es necesario para prestarte el servicio que has solicitado.
• Interes legitimo (art. 6.1.f RGPD): los registros de uso anonimizados y los datos de seguridad se tratan para proteger la integridad de la plataforma y mejorar el servicio. Este interes no prevalece sobre tus derechos y libertades fundamentales.

5. Destinatarios de los datos

No vendemos tus datos. Los compartimos exclusivamente con los siguientes encargados del tratamiento, con quienes mantenemos los acuerdos contractuales exigidos por el RGPD:

• Supabase Inc. (Frankfurt, UE): base de datos PostgreSQL y autenticacion. Infraestructura alojada en la region eu-central-1 (Alemania), dentro del Espacio Economico Europeo.
• Cloudflare Inc. (global): red de entrega de contenido y proteccion DDoS. Certificado bajo el EU-US Data Privacy Framework (DPF).
• Vercel Inc. (EE.UU.): alojamiento y despliegue de la aplicacion. Certificado bajo el EU-US Data Privacy Framework (DPF).
• Resend Inc. (EE.UU.): envio de correos transaccionales (magic links). Vinculado mediante Clausulas Contractuales Tipo de la Comision Europea.

6. Transferencias internacionales de datos

7. Plazos de conservacion

• Cuentas de usuario: hasta que solicites la eliminacion de tu cuenta. Tras la solicitud, los datos se borran o anonimizan en un plazo maximo de 30 dias, salvo obligacion legal de conservacion.
• Tokens OAuth: hasta que revoques el acceso o cierres tu cuenta.
• Registros de uso: 90 dias. Transcurrido ese plazo se eliminan automaticamente.
• Claves API: hasta que las regeneres o elimines tu cuenta. Los hashes anteriores se borran al regenerar.

8. Tus derechos como interesado

Conforme al RGPD, tienes los siguientes derechos respecto a tus datos personales:

• Acceso (art. 15): obtener confirmacion de si tratamos tus datos y, en su caso, acceder a ellos.
• Rectificacion (art. 16): corregir datos inexactos o incompletos.
• Supresion (art. 17): solicitar el borrado de tus datos cuando ya no sean necesarios o retires el consentimiento.
• Portabilidad (art. 20): recibir tus datos en formato estructurado y de lectura mecanica, o solicitar que se transmitan a otro responsable.
• Limitacion del tratamiento (art. 18): solicitar la restriccion del tratamiento mientras se resuelve una impugnacion de exactitud o una reclamacion.
• Oposicion (art. 21): oponerte al tratamiento basado en interes legitimo por motivos relacionados con tu situacion particular.

Para ejercer cualquiera de estos derechos, envia un correo a privacidad@spainmcp.com indicando el derecho que deseas ejercer y adjuntando una copia de tu documento de identidad. Responderemos en un plazo maximo de 30 dias desde la recepcion de la solicitud, prorrogable dos meses adicionales en casos complejos con notificacion previa.

9. Derecho a reclamar ante la autoridad de control

Si consideras que el tratamiento de tus datos personales infringe el RGPD o la LOPDGDD, tienes derecho a presentar una reclamacion ante la autoridad de control competente. En Espana, la autoridad de control es la Agencia Espanola de Proteccion de Datos (AEPD):

Antes de acudir a la AEPD, te invitamos a contactarnos directamente en privacidad@spainmcp.com para intentar resolver la incidencia.

10. Cookies

SpainMCP utiliza exclusivamente cookies de sesion necesarias para la autenticacion y el mantenimiento de la sesion del usuario. Estas cookies estan exentas de consentimiento previo conforme al articulo 22.2 de la LSSI y al considerando 25 de la Directiva ePrivacy, al ser estrictamente necesarias para la prestacion del servicio solicitado.

No utilizamos cookies de seguimiento, publicidad ni analitica de terceros. No se instala ninguna cookie de terceros al navegar por la plataforma.

11. Modificaciones de esta politica

Podemos actualizar esta Politica de Privacidad para reflejar cambios en nuestras practicas, en los servicios que ofrecemos o en la legislacion aplicable. Cuando los cambios sean sustanciales, te notificaremos mediante un aviso visible en la plataforma o por correo electronico con al menos 15 dias de antelacion. La fecha de la ultima revision aparece al inicio de este documento.

El uso continuado de SpainMCP tras la entrada en vigor de la nueva version implica la aceptacion de los cambios. Si no estas de acuerdo, puedes eliminar tu cuenta enviando un correo a privacidad@spainmcp.com.