Empezar gratis
Iterar
Legal

Política de Privacidad

En Iterar respetamos tu privacidad y la de tus usuarios. Este documento explica qué datos recolectamos, cómo los usamos, con quién los compartimos, cómo los protegemos y cómo podés pedir que los borremos.

Última actualización: 19 de mayo de 2026

1. Quiénes somos

Iterar es operado por High Value LLC, registrada en Estados Unidos. Iterar es un SaaS de feedback management con widget embebible, roadmap público y servidor MCP. Para consultas relacionadas con privacidad: privacy@iterar.io.

2. Datos que recolectamos

De founders (usuarios del dashboard)

  • Email (provisto al crear cuenta, gestionado por Supabase Auth).
  • Nombre y foto de perfil (si vinculás Google OAuth — ver sección 3).
  • Datos de facturación procesados por Stripe (nunca tocamos tarjetas).
  • Logs de uso del dashboard (PostHog, anónimo por default, opt-out documentado).

De usuarios finales (los que mandan feedback)

  • El texto del feedback que escriben.
  • Email opcional, si el founder lo habilitó en la config del widget.
  • Idioma detectado, URL de origen, IP, user-agent.
  • Cualquier metadata adicional que el founder envíe vía Iterar.identify().

3. Datos de Google (login con Google)

Cuando elegís iniciar sesión con Google, Iterar le pide a tu cuenta de Google acceso a un conjunto mínimo y explícito de datos a través de tres scopes no-sensibles de OAuth 2.0. No solicitamos acceso a Gmail, Drive, Calendar, Contacts ni ninguna otra API sensible de Google.

Scope OAuthQué datos pidePara qué los usa Iterar
openidIdentificador único de tu cuenta Google (sub claim)Crear y mantener tu sesión en iterar.io (autenticación). Sin esto no podemos asociar tu login con tu cuenta de Iterar.
.../auth/userinfo.emailTu dirección de email y si está verificadaIdentificarte como usuario único, mandarte emails transaccionales del producto (welcome, billing, weekly digest) y vincularte a tu suscripción de Stripe.
.../auth/userinfo.profileNombre completo y URL pública de foto de perfilMostrar tu nombre y avatar en el dashboard. Es opcional — funciona sin estos datos pero la UI muestra placeholders.

Estos datos se almacenan en nuestra base Supabase (tabla user_profiles + tabla auth.users gestionada por Supabase Auth) bajo el mismo nivel de protección que el resto de tu cuenta.

Limitaciones de uso de datos de Google
Cumpliendo con la Google API Services User Data Policy y los requisitos de Limited Use:
  • Iterar solo usa los datos de Google para proveer o mejorar funciones visibles del usuario (autenticación + display de perfil).
  • Iterar no vende ni transfiere datos de Google a terceros, anunciantes, data brokers, redes publicitarias, modelos de scoring crediticio, ni proveedores de publicidad personalizada.
  • Iterar no usa datos de Google para entrenar, evaluar ni mejorar modelos de IA generalizados (propios o de terceros).
  • Iterar no permite que humanos lean los datos de Google del usuario salvo: (a) con tu consentimiento explícito previo, (b) por motivos de seguridad o investigación de abuso, (c) para cumplir leyes aplicables, o (d) en forma agregada y anonimizada para mejorar el producto.

Cómo borrar tus datos de Google de Iterar

  • Desde el dashboard: /dashboard/settings/profile → "Eliminar cuenta". Tus datos (incluidos los que vinieron de Google) se borran en máximo 30 días.
  • Por email: escribinos a privacy@iterar.io desde la dirección Google que usaste para registrarte y respondemos en máximo 30 días.
  • Desde Google: myaccount.google.com/permissions → revocar el acceso de Iterar. Esto corta nuestro permiso para futuros logins pero no borra los datos ya almacenados — para eso usá una de las opciones de arriba.

4. Cómo usamos los datos

  • Procesar el feedback con IA (clasificación, deduplicación semántica, detección de spam).
  • Mostrar el roadmap público al visitante final.
  • Notificarte por email transaccional: welcome, low credits, daily/weekly digest, billing (todos opt-out vía link en el footer del email).
  • Facturarte (procesamiento por Stripe).
  • Medir performance agregada del producto (PostHog, anónimo).
Qué NO hacemos con tu data
  • No la vendemos a terceros.
  • No la usamos para entrenar nuestros modelos ni los de proveedores.
  • No la compartimos con anunciantes, data brokers ni redes publicitarias.
  • No la usamos para publicidad personalizada ni para evaluar creditworthiness.

5. Sub-procesadores

Iterar se apoya en los siguientes proveedores para operar. Cada uno tiene su propia política de privacidad y un Data Processing Agreement firmado con nosotros.

ProveedorPropósitoUbicación
SupabaseBase de datos + Auth + StorageUS / EU (configurable)
CloudflareCDN del SDK + Turnstile anti-spam + MCP WorkersGlobal
OpenAIEmbeddings para dedup semántico (opt-out de entrenamiento)US
Google (Gemini)Clasificación de feedback y spam (opt-out de entrenamiento)US
AnthropicGeneración de PRDs (Claude Sonnet 4.6, opt-out de entrenamiento)US
StripePagos y facturaciónGlobal
ResendEmails transaccionalesUS
SentryTracking de errores (sin datos personales)EU
PostHogProducto analytics (anónimo, opt-out)EU
NetlifyHosting del dashboard y la landingGlobal

Los datos obtenidos de Google (email, nombre, foto) se almacenan únicamente en Supabase, no se transfieren a OpenAI, Anthropic ni a ningún sub-procesador de IA.

6. Seguridad

  • Cifrado en tránsito: todas las comunicaciones usan TLS 1.2+ (HTTPS estricto en iterar.io con HSTS).
  • Cifrado en reposo: la base Supabase encripta datos en disco con AES-256.
  • Aislamiento por tenant: Row-Level Security en Postgres asegura que los datos de un founder nunca son visibles para otro.
  • Secrets management: API keys de proveedores (Resend, Stripe, OpenAI, etc.) viven solo en el entorno serverless de Netlify, nunca en el cliente.
  • Hash de API keys: las claves de Iterar (lpbk_sk_*) se almacenan solo como hash SHA-256.
  • 2FA: recomendado a través de Google OAuth (heredás la 2FA configurada en tu cuenta Google).
  • Auditoría: toda llamada al servidor MCP queda registrada en mcp_call_log con args hasheados (SHA-256, sin PII en plano).

7. Tracking opcional

Usamos PostHog para entender qué features del dashboard se usan. No usamos cookies de tracking ni pixels de terceros (excepto el pixel de Meta en la landing pública con fines de medir conversión de la campaña de marketing, que respeta tu opt-out de cookies si lo elegiste). Podés desactivar la telemetría desde el banner del primer login o desde /dashboard/settings.

8. Derechos del usuario

Si sos un usuario final que envió feedback a través del widget de un founder, tenés derecho a:

  • Pedir copia de tus datos.
  • Solicitar borrado de tus feedbacks.
  • Solicitar rectificación.

Escribinos a privacy@iterar.io y respondemos en máximo 30 días.

9. Retención de datos

  • Feedbacks: mientras la cuenta del founder esté activa.
  • Si el founder cierra su cuenta: todos los datos (incluidos los obtenidos de Google) se borran de manera permanente en máximo 30 días.
  • Logs de aplicación: 90 días.
  • Datos de facturación: 7 años (requisito legal US/EU).
  • Logs de auditoría del MCP server: 365 días (args hasheados, sin PII).

10. GDPR / Habeas Data

Para clientes en EU o LATAM con normativa específica:

  • Ofrecemos DPA (Data Processing Agreement) para planes Pro y Studio.
  • Hosting configurable en EU para Pro / Studio.
  • Contacto DPO: dpo@iterar.io.

11. Cambios a esta política

Si hacemos cambios materiales, te avisamos por email al menos 30 días antes de que entren en vigencia. La fecha de "última actualización" en la parte superior de esta página siempre refleja la versión actual.

12. Contacto

Cualquier consulta sobre privacidad: privacy@iterar.io · dpo@iterar.io.

High Value LLC · United States. Dirección postal disponible bajo solicitud para clientes con DPA firmado.

Política de Privacidad · Iterar