Comenzá gratis y escalá cuando crezcas. No te pedimos tarjeta para iniciar.Empezar gratis

Legal

Data Processing Agreement

Términos bajo los cuales Iterar procesa datos personales de tus usuarios finales en tu nombre, conforme al GDPR (UE) y CCPA (California). Aceptás este DPA implícitamente al usar Iterar; podés pedir una copia firmada digitalmente a privacy@iterar.io.

Última actualización: 20 de mayo de 2026

1. Definición de roles

Para los datos personales de tus usuarios finales (gente que manda feedback a través del widget, vota en tu roadmap público o se suscribe a tu changelog):

Vos sos el Controlador (Controller / Responsable del Tratamiento). Determinás el propósito y los medios del procesamiento.
Iterar es el Procesador (Processor / Encargado del Tratamiento). Procesamos esos datos únicamente bajo tus instrucciones y para cumplir con el servicio.

Para los datos personales de la cuenta del founder (tu email, facturación, etc.), Iterar actúa como Controlador independiente. Ver /privacy para más detalle.

2. Categorías de datos procesados

Categoría	Ejemplos	Origen
Identificadores	Email del usuario final (opcional), fingerprint del navegador	Widget o portal público
Contenido	Texto del feedback, comentarios, votos	Widget o portal público
Metadata técnica	IP, user-agent, URL de origen, idioma detectado, timestamp	Captura automática al recibir feedback
Metadata custom	Atributos pasados vía Iterar.identify() — userId, plan, etc.	Provistos por vos mediante el SDK

3. Subprocesadores autorizados

Iterar se apoya en los siguientes subprocesadores. Todos son contratualmente requeridos a aplicar medidas equivalentes a las nuestras y a respetar GDPR / Standard Contractual Clauses:

Subprocesador	Propósito	Región	Acuerdo legal
Supabase (DB + Auth)	Base de datos primaria, autenticación	AWS us-east-1	DPA + SCC
Stripe	Procesamiento de pagos del founder	EE.UU. / EU	DPA + SCC
Resend	Envío de emails transaccionales	EE.UU.	DPA + SCC
Anthropic (Claude)	Clasificación y dedupe de feedback	EE.UU.	DPA
OpenAI	Embeddings + clasificación de fallback	EE.UU.	DPA + SCC
Google (Gemini)	Clasificación opcional	EE.UU.	DPA
Netlify	Hosting + CDN	Global edge	DPA
Cloudflare (Turnstile)	Anti-bot en widget	Global edge	DPA

Cambios de subprocesador

Te avisamos por email al menos 14 días antes de incorporar un nuevo subprocesador. Si lo objetás, podés cancelar tu suscripción sin penalidad antes del cambio.

4. Ubicación y transferencias internacionales

Los datos se almacenan principalmente en infraestructura AWS us-east-1 (Supabase). Para clientes de la UE, las transferencias se hacen bajo las Standard Contractual Clauses (SCC) de la Comisión Europea. Estamos trabajando para ofrecer residencia EU opcional para clientes del plan Studio en H2 2026.

5. Medidas de seguridad

Cifrado en tránsito (TLS 1.3) y en reposo (AES-256 vía Supabase).
Tokens OAuth + bearer hasheados con SHA-256 antes de almacenarse.
Row-Level Security (RLS) en todas las tablas con datos del usuario.
Service-role keys aisladas, nunca expuestas al cliente.
Logs de auditoría para acciones sensibles (cancelaciones, deletes, exports).
Rate-limiting + Cloudflare Turnstile en endpoints públicos.
Backups diarios automáticos retenidos 7 días, snapshots semanales 4 semanas.

6. Retención y eliminación

Mantenemos los datos mientras tu cuenta esté activa. Cuando:

Eliminás tu cuenta → eliminamos todos los datos en 30 días. Los backups que aún contengan esos datos se sobrescriben dentro de los 7-30 días siguientes.
Eliminás un proyecto → eliminamos los datos del proyecto en 30 días.
Un usuario final pide eliminación → ejecutalo desde el dashboard. Si necesitás ayuda, privacy@iterar.io.
Suspendés tu cuenta (impago, etc.) → retenemos los datos 90 días por si recuperás la suscripción; luego se eliminan.

7. Derechos de los titulares (Data Subject Requests)

Si un usuario final ejerce sus derechos GDPR/CCPA (acceso, rectificación, eliminación, portabilidad, oposición) directamente contra Iterar, lo redirigimos a vos como Controlador y te avisamos en un plazo máximo de 5 días. Te brindamos las herramientas en el dashboard para resolverlo. Si necesitás soporte técnico para una solicitud, privacy@iterar.io.

8. Notificación de incidentes

En caso de incidente de seguridad que comprometa datos personales, notificamos a los Controladores afectados sin demora indebida — en un plazo máximo de 72 horas — vía email a la dirección registrada de la cuenta. La notificación incluye naturaleza del incidente, categorías y volumen de datos afectados, medidas tomadas y plan de mitigación.

9. Auditoría

Para clientes del plan Studio, ofrecemos:

Reporte anual SOC 2 Type II (vía Supabase como subprocesador).
Acceso a documentación de seguridad bajo NDA.
Una auditoría on-site al año con 30 días de aviso (a costo del Cliente).

10. Devolución o eliminación al terminar el contrato

Al finalizar tu suscripción, podés exportar todos tus datos en JSON desde el dashboard durante los 30 días siguientes. Pasados esos 30 días, eliminamos los datos automáticamente y, a tu pedido, emitimos certificación de eliminación.

11. Contacto

Para cualquier consulta sobre este DPA, ejercicio de derechos GDPR, solicitar copia firmada o reportar incidentes: privacy@iterar.io.

Iterar es operado por High Value LLC, registrada en Estados Unidos. Representante UE designado a pedido para clientes Studio.