Política de Privacidad

Hong Kong Anvil Ltd. es una sociedad registrada en la Región Administrativa Especial de Hong Kong. Puedes contactar a nuestro Delegado de Protección de Datos (DPO) en 738888@proton.me o por teléfono al +852 4748 1911.

A los efectos del Reglamento General de Protección de Datos de la UE (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) de España, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México, la Ley 25.326 de Argentina y la Ley 1581 de 2012 de Colombia, Anvil actúa como:

• Responsable del tratamiento respecto a los datos personales de los titulares de cuenta de Anvil (tú) y de los usuarios finales autorizados por ti.
• Encargado del tratamiento respecto a los registros de clientes, mensajes e información de prospectos que tú cargues o recopiles a través del Servicio — tú sigues siendo el responsable del tratamiento de esos datos.

2.1 Información que tú proporcionas

• Datos de cuenta — nombre, correo electrónico, contraseña (con hash mediante bcrypt o argon2), número de teléfono, foto de perfil, nombre de la empresa, cargo y nombre del espacio de trabajo (tenant).
• Datos de autenticación — cuando inicias sesión con Google o Apple, el proveedor de identidad nos envía tu correo, nombre e identificador. Nunca recibimos tu contraseña del proveedor.
• Datos de facturación — dirección de facturación, RFC/NIF/CUIT o identificador fiscal equivalente, y los últimos cuatro dígitos de la tarjeta de pago (el número completo queda en Stripe — nosotros nunca lo vemos).
• Contenido que creas — contactos, leads, pipelines, notas, plantillas de correo, secuencias drip, tareas de scraping, deal rooms, flujos de trabajo y archivos cargados (logos, adjuntos, grabaciones).
• Credenciales de cuentas conectadas — contraseñas SMTP, tokens OAuth de actualización para Google Calendar / Gmail, tokens de WhatsApp Business y otras claves API de terceros que decidas conectar. Se cifran en reposo con AES-256-GCM.

2.2 Información que recopilamos automáticamente

• Datos de uso — páginas vistas, funciones utilizadas, eventos de clic, duración de sesión y geolocalización aproximada derivada de la IP.
• Datos del dispositivo — tipo de navegador, sistema operativo, identificadores de dispositivo, idioma y zona horaria.
• Datos de registro (logs) — dirección IP, método de solicitud, URL, marcas de tiempo, código HTTP, identificador de solicitud y trazas de error.
• Cookies y tecnologías similares — ver Sección 10.

2.3 Información de terceros

• Proveedores de identidad que elijas (Google, Apple).
• Procesadores de pago (Stripe) — metadatos de transacción, estado de reembolso y puntuación de riesgo.
• Fuentes públicas que nos indiques rastrear en tu nombre — ver la Sección 5 sobre datos de prospectos.

Utilizamos los datos personales para:

• Proporcionar, operar, autenticar y mantener el Servicio.
• Procesar tus suscripciones y enviar comunicaciones transaccionales (facturas, restablecimientos de contraseña, alertas de seguridad, notificaciones del producto).
• Ejecutar sobre tus datos las funciones que tú habilites — por ejemplo, clasificar una respuesta entrante, redactar un correo personalizado o calcular una puntuación de ajuste para un lead.
• Supervisar el uso, detectar abusos, prevenir fraudes y asegurar las cuentas.
• Cumplir obligaciones legales y hacer valer nuestros acuerdos.
• Con tu consentimiento expreso, enviarte novedades del producto o correos de marketing. Puedes darte de baja en cualquier momento.

No utilizamos tu contenido — los correos que redactas, los leads que cargas, las conversaciones que mantienes con prospectos — para entrenar modelos de IA compartidos con otros clientes. Podemos usar estadísticas agregadas y anonimizadas para mejorar el Servicio.

Si te encuentras en el Espacio Económico Europeo, el Reino Unido o Suiza, nos basamos en las siguientes bases legales:

• Ejecución de un contrato (Art. 6.1.b RGPD) — para prestar el Servicio al que te suscribiste.
• Interés legítimo (Art. 6.1.f RGPD) — para asegurar cuentas, prevenir fraudes, mejorar el producto y realizar comunicaciones B2B ordinarias en nombre de nuestro cliente.
• Consentimiento (Art. 6.1.a RGPD) — para cookies opcionales, mensajes de marketing y cualquier función sensible que requiera opt-in expreso.
• Obligación legal (Art. 6.1.c RGPD) — para cumplir obligaciones fiscales, contables y requerimientos legales.

Para usuarios en México (LFPDPPP), nos basamos en el consentimiento del titular y en las finalidades compatibles con el tratamiento original. Para usuarios en Argentina (Ley 25.326), nos basamos en el consentimiento libre, expreso e informado. Para usuarios en Colombia (Ley 1581 de 2012), nos basamos en la autorización previa del titular. En todos los casos, respetamos los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) más el derecho a la portabilidad.

Anvil ayuda a sus usuarios a descubrir y contactar potenciales clientes B2B. Los datos sobre esos prospectos pueden recopilarse de:

• Directorios empresariales de acceso público (OpenStreetMap, Google Maps, sitios web corporativos, páginas públicas de LinkedIn, comunicados de prensa).
• Fuentes que tú autorices expresamente (cargas CSV, importaciones CRM, feeds API).
• Campos de contacto empresarial mostrados en el sitio web público del prospecto (por ejemplo, la dirección info@empresa.com publicada en su página de contacto).

Para este tratamiento nos basamos en el interés legítimo del Art. 6.1.f RGPD. En la práctica:

• Solo recopilamos datos de contexto profesional (correo de trabajo, cargo, teléfono de empresa) — nunca datos personales ajenos a la capacidad profesional del prospecto.
• Realizamos un test de ponderación antes de cada flujo de rastreo y respetamos tokens de exclusión, directivas robots.txt y términos expresos del sitio fuente cuando es técnicamente factible.
• Los usuarios de Anvil están contractualmente obligados a cumplir las leyes anti-spam aplicables (CAN-SPAM, CASL, Art. 21 RGPD, PIPL, LFPDPPP, Ley 1581, Ley 25.326).
• Cada correo saliente enviado a través de Anvil incluye un enlace funcional de baja. La baja de un clic se honra en menos de 24 horas y el destinatario se añade a una lista de supresión global del usuario.

Derecho del prospecto a ser notificado o eliminado. Si eres un prospecto cuyos datos fueron recopilados para un envío por parte de un cliente de Anvil, puedes ejercer tus derechos directamente con ese cliente o contactarnos en 738888@proton.me y reenviaremos tu solicitud o actuaremos directamente en un plazo de 30 días.

Nunca vendemos datos personales. Compartimos datos limitados con los siguientes subencargados, todos vinculados por acuerdos de tratamiento de datos:

• Alojamiento en la nube — la infraestructura de servidores sobre la que se ejecuta el Servicio (región: Hong Kong / Singapur / UE, según el cliente).
• Cloudflare Inc. (EE.UU./global) — CDN, WAF, protección DDoS, DNS.
• Stripe Payments Europe Ltd. — procesamiento de pagos. El número de tarjeta nunca se envía a Anvil.
• Resend Inc. (EE.UU.) — entrega de correo transaccional y de marketing.
• OpenAI, LLC (EE.UU.) — inferencia IA opcional. El contenido enviado a OpenAI no se utiliza para entrenar sus modelos.
• Google LLC (EE.UU.) — Google OAuth, Calendar, API opcional de Places (solo cuando habilitas esas integraciones).
• Meta Platforms Ireland Ltd. — WhatsApp Cloud API (solo si conectas un canal de WhatsApp).
• Sentry Inc. (EE.UU.) — monitorización de errores. La PII se depura antes de la transmisión.
• Twilio Inc. (EE.UU.) — telefonía y SMS (solo si habilitas voz/SMS).
• ElevenLabs Inc. (EE.UU.) — síntesis de voz IA (solo si habilitas la función de voz).
• GitHub Inc. (EE.UU.) — alojamiento del código fuente; sin contenido de clientes.

Mantenemos una lista actualizada en anvilhk.com/legal/subprocessors. Los clientes Enterprise reciben un preaviso de 30 días ante cualquier cambio material.

También divulgamos información cuando lo exige la ley (citaciones, órdenes judiciales, requerimientos regulatorios) o para proteger nuestros derechos, propiedad o seguridad. Impugnaremos solicitudes desproporcionadas o ilegales cuando sea razonable.

En caso de fusión, adquisición o venta de activos, podrían transferirse datos personales. Te avisaremos por correo y en el producto al menos 30 días antes de cualquier transferencia de este tipo.

Conservamos los datos personales solo el tiempo necesario:

• Datos de cuenta y facturación — durante la vida de tu cuenta más 7 años para cumplir requisitos fiscales y contables.
• Contenido (CRM, correos, flujos) — mientras la suscripción esté activa. Se elimina en 30 días tras el cierre de la cuenta, salvo que solicites una prórroga.
• Copias de seguridad — instantáneas cifradas que rotan cada 30 días y se purgan totalmente en 90 días.
• Registros de acceso y auditoría — hasta 1 año para fines de seguridad y forenses.
• Listas de supresión — se conservan indefinidamente para honrar las solicitudes de baja a través de cambios de espacio de trabajo.

• TLS 1.2+ en tránsito; HSTS activado en todos los dominios de cara al cliente.
• AES-256 en reposo para almacenamiento de objetos, copias de base de datos y campos de credenciales de terceros (SMTP, OAuth).
• Tokens JWT en cookies HttpOnly, Secure, SameSite-strict. Los refresh tokens rotan en cada renovación; los tokens revocados se añaden a una lista de bloqueo.
• Autenticación multifactor disponible y requerida por defecto para roles Owner y Admin en planes Business.
• Principio de mínimo privilegio: solo personal autorizado puede acceder a datos de producción, únicamente para diagnósticos de emergencia, con registro completo.
• Gestión de vulnerabilidades: dependencias de terceros monitorizadas a diario y parcheadas según un SLA por severidad.
• Notificaremos a los clientes afectados de cualquier violación confirmada de datos personales en un plazo de 72 horas desde que tengamos conocimiento, conforme al Art. 33 del RGPD y la DPP4 de la PDPO de Hong Kong.

Según tu jurisdicción, tienes algunos o todos los siguientes derechos:

• Acceso — solicitar una copia de los datos personales que tenemos sobre ti.
• Rectificación — pedirnos que corrijamos datos inexactos o incompletos.
• Cancelación / Supresión («derecho al olvido») — solicitar la eliminación de tus datos, sujeta a obligaciones legales de conservación.
• Oposición — oponerte al tratamiento basado en interés legítimo, incluida la mercadotecnia directa.
• Portabilidad — recibir una exportación de tus datos en formato legible por máquina.
• Limitación — pedirnos que pausemos el tratamiento mientras se resuelve una disputa.
• Retirar el consentimiento — cuando el tratamiento se base en consentimiento, podrás retirarlo en cualquier momento.
• Presentar reclamación — ante tu autoridad local de protección de datos (por ejemplo, la Agencia Española de Protección de Datos AEPD, el INAI en México, la Agencia de Acceso a la Información Pública AAIP en Argentina, la Superintendencia de Industria y Comercio SIC en Colombia, la ANPD en Brasil, la PCPD de Hong Kong o la Comisión Irlandesa de Protección de Datos para residentes de la UE).

Los residentes en España, México, Argentina, Colombia y otros países latinoamericanos gozan de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) más el derecho a la portabilidad y a no ser objeto de decisiones automatizadas con efectos jurídicos significativos.

Puedes ejercer la mayoría de los derechos directamente dentro del Servicio en Ajustes → Privacidad, o escribiendo a 738888@proton.me. Respondemos en un plazo de 30 días (20 días hábiles para LFPDPPP México).

Residentes de California (CCPA/CPRA) tienen derecho a conocer las categorías de información personal recopilada, vendida o compartida (Anvil no vende), a eliminar, a corregir, a excluir del intercambio para publicidad conductual de contexto cruzado y a no ser discriminados por ejercer estos derechos.

Residentes de China continental (PIPL) tienen derecho a conocer, decidir, acceder, corregir, copiar, transferir y eliminar su información personal, y a retirar el consentimiento. Para transferencias fuera de la RPC nos basamos en el Contrato Estándar de la RPC.

Usamos un conjunto mínimo de cookies:

• Estrictamente necesarias — cookies de sesión (autenticación), tokens CSRF, preferencia de idioma. No pueden desactivarse.
• Preferencia — modo oscuro, idioma, estado de la barra lateral.
• Analíticas — métricas anonimizadas de primera parte (sin rastreadores externos por defecto).

No usamos cookies publicitarias ni de seguimiento entre sitios. Los visitantes de la UE/Reino Unido verán un banner en la primera visita para aceptar o rechazar las cookies no esenciales.

Anvil opera desde Hong Kong. Los datos pueden transferirse y tratarse en países distintos al tuyo, incluidos Estados Unidos y la Unión Europea, según la ubicación de nuestros subencargados (ver Sección 6).

Para transferencias fuera del EEE, Reino Unido o Suiza, nos basamos en las Cláusulas Contractuales Tipo de la Comisión Europea (2021/914/UE) y, cuando corresponda, en el Anexo del Reino Unido (IDTA). Para transferencias desde México (LFPDPPP), aplicamos cláusulas contractuales que garantizan el mismo nivel de protección. Para transferencias desde China continental, aplicamos el Contrato Estándar aprobado por la CAC.

El Servicio está destinado a uso empresarial y no se dirige a personas menores de 16 años. No recopilamos deliberadamente datos personales de menores. Si crees que lo hemos hecho, contáctanos de inmediato y los eliminaremos.

Podemos actualizar esta Política de Privacidad periódicamente. Los cambios materiales se notificarán por correo electrónico a los titulares de cuenta de Anvil al menos 30 días antes de su entrada en vigor. La fecha de «Última actualización» al inicio refleja siempre la versión más reciente.

Para preguntas de privacidad, solicitudes de titulares o presentar reclamaciones:

• Correo: 738888@proton.me
• Teléfono: +852 4748 1911
• Dirección postal: Hong Kong Anvil Ltd., Hong Kong SAR

Si no resolvemos tu inquietud satisfactoriamente, tienes derecho a presentar una reclamación ante tu autoridad supervisora local (AEPD, INAI, AAIP, SIC, ANPD, PCPD, ICO, según corresponda).