Política de Privacidad

Fecha de entrada en vigor: 10 de mayo de 2026 · Última actualización: 10 de mayo de 2026

TellDone («nosotros», «nuestro», «nos») es una aplicación de planificación por voz operada por un desarrollador individual con sede en Rumanía. Esta Política de Privacidad explica cómo recopilamos, usamos, almacenamos y protegemos tus datos personales cuando utilizas nuestras aplicaciones móviles (iOS, iPadOS, watchOS, Android) y servicios en la nube (en conjunto, el «Servicio»).

Al usar el Servicio, reconoces que has leído y comprendido esta Política de Privacidad. Si no estás de acuerdo, por favor no uses el Servicio.

1. Datos que recopilamos

1.1 Datos de cuenta

Dirección de correo electrónico: para la creación de cuenta, inicio de sesión, recuperación de contraseña e informes por correo. Si creas una cuenta usando Sign in with Apple y eliges la opción «Ocultar mi email» de Apple, recibimos una dirección de retransmisión privada (@privaterelay.appleid.com) en lugar de tu dirección real; tratamos esa dirección de retransmisión como tu email de cuenta y nunca intentamos deducir, buscar ni correlacionarla con tu email real.
Nombre de visualización: opcional, para personalización. Si inicias sesión con Apple o Google y consientes compartir tu nombre, lo almacenamos; puedes editarlo o eliminarlo en Configuración en cualquier momento.
Contraseña: almacenada como hash bcrypt; nunca almacenamos ni vemos tu contraseña en texto plano. No se recopila si inicias sesión únicamente con Apple o Google.
Idioma y zona horaria: para preferencias de idioma, programación de informes e interpretación de fechas.
Identificador de Sign in with Apple: un ID de usuario estable y opaco emitido por Apple (campo «sub») utilizado únicamente para reconocerte en inicios de sesión posteriores.
Identificador de Sign in with Google: el campo «sub» de la cuenta Google, tu nombre (si lo concediste) y tu email, utilizados únicamente para reconocerte en inicios de sesión posteriores. Solicitamos los scopes mínimos de OpenID Connect (openid, email, profile) y ningún scope adicional de Google para el inicio de sesión.

1.2 Grabaciones de audio

Notas de voz que grabas dentro de la app. El audio se sube a nuestros servidores para transcripción y análisis con IA.
El audio se convierte al formato OGG/Opus (comprimido) y se almacena en un almacenamiento de objetos cifrado.
El audio se conserva para reproducción en la app y puede ser eliminado por ti en cualquier momento.

1.3 Contenido generado

Notas: transcripciones, títulos, resúmenes, etiquetas y prioridades creados por la IA a partir de tu voz.
Tareas: elementos de acción con fechas límite, etiquetas, prioridades y estados.
Eventos: eventos de calendario con horarios, ubicaciones, asistentes y reglas de recurrencia.
Informes: resúmenes de productividad diarios, semanales, mensuales y anuales generados por IA.
Etiquetas: etiquetas detectadas automáticamente y creadas por el usuario para organizar el contenido.

1.4 Datos del dispositivo

Identificador de dispositivo (UUID): generado por la app para sincronización entre dispositivos y autenticación por dispositivo.
Plataforma y versión de la app: para compatibilidad y depuración.
Token de notificaciones push (si está activado): para el envío de notificaciones.

1.5 Datos de uso y diagnóstico

Registros de uso de la API: qué funciones usas, conteos de solicitudes, consumo de tokens (para gestión de cuota).
Registros de errores: errores técnicos para depuración (no se incluye contenido personal).
No utilizamos SDKs de análisis de terceros, rastreadores publicitarios ni huellas digitales dentro de las apps.

1.6 Datos de integración

Si conectas un servicio de productividad de terceros (Todoist, Notion, Things, Google Tasks, Google Calendar, Apple Calendar, Apple Reminders), almacenamos, cifrados en reposo:

El token de acceso OAuth, el token de actualización (cuando se emita) y las marcas de tiempo de expiración del token para esa integración.
Los identificadores mínimos necesarios para mantener tus elementos de TellDone sincronizados con el elemento externo correspondiente:

Todoist: ID de usuario, IDs de proyectos, IDs de tareas.
Notion: ID de espacio de trabajo, ID de bot, IDs de bases de datos/páginas a las que concediste acceso explícitamente durante el flujo OAuth de Notion.
Google Tasks / Google Calendar: ID de lista de tareas, ID de tarea, ID de calendario, ID de evento.
Apple Calendar / Apple Reminders: identificadores locales de eventos/recordatorios almacenados únicamente en el dispositivo.

El contenido que enviamos o recibimos de estos servicios se limita estrictamente a los campos que creas en TellDone (título, notas, fecha de vencimiento, etiquetas, estado de finalización). No extraemos contenido arbitrario de tu espacio de trabajo de Notion, cuenta de Todoist ni cuenta de Google más allá de lo necesario para mantener en sincronía los elementos que creaste en TellDone.

Puedes desconectar cualquier integración en cualquier momento en Configuración → Integraciones. Al desconectar, revocamos el token OAuth relevante con el tercero (donde el tercero expone un punto de revocación), eliminamos el token almacenado de nuestra base de datos y dejamos de sincronizar. Los elementos externos creados previamente desde TellDone no se eliminan automáticamente del servicio de terceros; puedes eliminarlos desde ese servicio si lo deseas.

2. Cómo usamos tus datos

Las bases jurídicas que se indican a continuación se enuncian para el GDPR/UK GDPR; un análisis equivalente se aplica bajo los regímenes de California, Suiza y otros comparables.

Finalidad	Datos utilizados	Base jurídica
Prestar el Servicio	Audio, cuenta, contenido	Ejecución del contrato, Art. 6(1)(b)
Generar informes de productividad	Notas, tareas, eventos	Ejecución del contrato
Enviar informes por correo	Correo, notas, tareas	Consentimiento (opción de cancelación en configuración)
Sincronización entre dispositivos	Todo el contenido, ID de dispositivo	Ejecución del contrato
Integraciones de terceros	Elementos que sincronizas,	Consentimiento (conexión
(Todoist, Notion, Google,	tokens OAuth	iniciada por el usuario por integración)
Apple, Things)
Sign in with Apple / Google	Campo sub de Apple/Google, nombre, correo	Ejecución del contrato (creación de cuenta y autenticación)
Control de cuota y facturación	Conteos de uso	Ejecución del contrato
Seguridad y prevención del fraude	Intentos de inicio de sesión, datos del dispositivo	Interés legítimo, Art. 6(1)(f)
Mejora del servicio, depuración	Registros de errores anonimizados	Interés legítimo

No hacemos lo siguiente:

Vender tus datos personales a terceros.
«Compartir» tus datos personales para publicidad conductual entre contextos (según esos términos se definen en la CPRA de California).
Usar tus datos para fines publicitarios o de marketing.
Usar tu audio, transcripciones o contenido para entrenar modelos de IA.
Usar los datos de Sign in with Apple o los datos de usuario de la API de Google para ningún propósito distinto a autenticarte y prestar las funciones que usas explícitamente en TellDone.
Compartir tus datos con intermediarios de datos.

3. Procesadores de datos de terceros

Utilizamos los siguientes servicios de terceros para proporcionar funcionalidades básicas. Tus datos se procesan bajo acuerdos de procesamiento de datos (DPAs) con cada proveedor cuando actúa como procesador en nuestro nombre, y bajo los propios términos del proveedor cuando actúa como proveedor de identidad independiente:

Servicio	Función	Finalidad	Datos compartidos	Ubicación
Soniox	Procesador	Transcripción de voz a texto	Grabaciones de audio	EE. UU.
OpenAI	Procesador	Análisis de IA, estructuración de notas, embeddings	Transcripciones, contexto de tareas	EE. UU.
Anthropic	Procesador	Generación de informes con IA (planes Pro/Ultra)	Contexto del informe (resúmenes de notas y tareas)	EE. UU.
Resend	Procesador	Entrega de correo transaccional	Dirección de correo, contenido del informe	EE. UU.
Apple Inc.	Controlador independiente	Proveedor de identidad Sign in with Apple; retransmisión privada de email	Identificador de Sign in with Apple, nombre (si se comparte), email de retransmisión (si se usa Hide My Email)	EE. UU.
Google LLC	Controlador independiente	Proveedor de identidad Sign in with Google	Campo sub de Google, nombre, correo	EE. UU.
Google LLC	Controlador independiente	Sincronización con Google Tasks / Google Calendar (cuando los conectas)	Contenido de tareas y eventos que creas en TellDone	EE. UU.
Notion	Independiente	Sincronización con Notion (cuando lo	Contenido de páginas/bases de datos	EE. UU.
Labs, Inc.	controlador	conectas mediante OAuth)	para los elementos que sincronizas
Doist S.L.	Independiente	Sincronización con Todoist (cuando lo	Contenido de tareas de los elementos	UE
(Todoist)	controlador	conectas mediante OAuth)	que sincronizas
Cultured	Independiente	Sincronización con Things (cuando lo	Contenido de tareas de los elementos	DE
Code GmbH	controlador	conectas)	que sincronizas
(Things)

Todos los procesadores de terceros están contractualmente obligados a procesar tus datos únicamente según nuestras instrucciones y a mantener medidas de seguridad adecuadas. Ninguno de estos proveedores usa tus datos para entrenar sus modelos de IA. Los servicios de Apple, Google, Notion, Doist y Cultured Code listados como «controladores independientes» procesan tus datos bajo sus propias políticas de privacidad una vez que están en sus sistemas; te recomendamos que revises:

Apple: https://www.apple.com/legal/privacy/data/en/sign-in-with-apple/
Google: https://policies.google.com/privacy
Notion: https://www.notion.com/trust/privacy-policy
Todoist (Doist): https://doist.com/privacy
Cultured Code (Things): https://culturedcode.com/privacy/

4. Transferencias internacionales de datos

Nuestros servidores están ubicados en Europa (Alemania), dentro del Espacio Económico Europeo. Como el responsable del tratamiento está establecido en Rumanía (estado miembro de la UE), las transferencias dentro del EEE no requieren un mecanismo de transferencia específico. Algunos procesadores de terceros y proveedores de identidad (Sección 3) están ubicados en los Estados Unidos. Para estas transferencias, nos basamos en:

El Marco de Privacidad de Datos UE-EE. UU. (DPF), la Extensión del Reino Unido y el DPF Suiza-EE. UU., donde el destinatario está certificado.
Las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, con el Anexo de Transferencia Internacional de Datos del Reino Unido donde corresponda.
Los compromisos de cumplimiento del GDPR de los procesadores y sus evaluaciones de impacto de transferencia publicadas.

5. Retención de datos

Tipo de dato	Período de retención
Datos de cuenta	Hasta la eliminación de la cuenta
Grabaciones de audio	Hasta que las elimines o elimines tu cuenta
Notas, tareas, eventos	Hasta que los elimines o elimines tu cuenta
Elementos eliminados (papelera)	Free: 7 días · Basic: 30 días · Pro: 90 días · Ultra: 365 días
Informes	Hasta la eliminación de la cuenta
Tokens de integración OAuth	Hasta que desconectes la integración
(Todoist, Notion, Google,	o elimines tu cuenta; revocados con
Apple, Things)	el proveedor al desconectar cuando sea técnicamente posible
Identificadores de Sign in with	Hasta la eliminación de la cuenta; al eliminarla
Apple/Google	también llamamos al endpoint REST de revocación de Apple para invalidar el token de actualización
Registros de uso de la API	12 meses, luego anonimizados
Registros de errores	30 días
Copias de seguridad (cifradas)	30 días, luego eliminadas
Exportaciones de datos (GDPR / CCPA)	48 horas tras la generación, luego eliminadas

Una vez que confirmas la eliminación, la solicitud se programa para ejecutarse después de un período de gracia de 7 días. Puedes cancelar la eliminación pendiente en cualquier momento antes de que expire el período de gracia. Tras el período de gracia, todos los datos personales se eliminan de forma permanente, incluidos: registros de base de datos (eliminación en cascada), archivos de audio del almacenamiento de objetos, tokens OAuth (revocados con el tercero donde sea posible), tokens de actualización de Apple (revocados mediante la API REST de Apple), exportaciones GDPR/CCPA y contadores de cuota de Redis. No se requiere revisión humana.

6. Seguridad de los datos

Cifrado en tránsito: todas las conexiones utilizan TLS 1.2/1.3 (HTTPS).
Cifrado en reposo: archivos de audio almacenados en almacenamiento de objetos cifrado (MinIO). Copias de seguridad cifradas con AES-256-CBC. Tokens OAuth cifrados a nivel de columna de base de datos con cifrado de sobre.
Seguridad de contraseñas: contraseñas hasheadas con bcrypt (nunca almacenadas en texto plano).
Autenticación: basada en JWT con tokens de actualización por dispositivo. Los tokens son revocables.
Infraestructura: los servicios de base de datos, caché y almacenamiento no están expuestos a internet público.
Control de acceso: los servicios se ejecutan bajo un usuario de sistema dedicado con privilegios mínimos.
Monitoreo: protección contra fuerza bruta SSH mediante fail2ban; detección de intrusiones en la capa de aplicación.
Acceso humano a tu contenido: no permitimos que personas lean tu audio, transcripciones ni datos derivados de la API de terceros, salvo cuando (a) has dado tu consentimiento expreso (por ejemplo, cuando contactas con soporte y nos autorizas a ver elementos específicos), (b) es necesario por motivos de seguridad (por ejemplo, para investigar abusos), (c) es necesario para cumplir con la legislación aplicable, o (d) los datos están agregados y anonimizados para operaciones internas.

7. Tus derechos

7.1 Bajo el GDPR / UK GDPR (usuarios europeos)

Si te encuentras en el Espacio Económico Europeo, el Reino Unido o Suiza, tienes los siguientes derechos:

Acceso (Art. 15): solicitar una copia de todos tus datos personales. Disponible mediante la función de exportación de datos en la app.
Rectificación (Art. 16): corregir datos inexactos a través de la configuración de tu cuenta.
Supresión (Art. 17): eliminar tu cuenta y todos los datos asociados. Disponible mediante la función de eliminación de cuenta en la app.
Portabilidad de datos (Art. 20): exportar tus datos en formato JSON legible por máquina. Disponible en la app.
Limitación del tratamiento (Art. 18): solicitar que limitemos el tratamiento de tus datos.
Oposición al tratamiento (Art. 21): oponerte al tratamiento basado en interés legítimo.
Retirar el consentimiento: cuando el tratamiento se base en el consentimiento (informes por correo, integraciones de terceros), puedes retirarlo en cualquier momento desde la configuración de la app sin afectar a la licitud del tratamiento realizado antes de la retirada.
Presentar una reclamación ante tu autoridad de control local.

7.2 Bajo la CCPA / CPRA (residentes de California)

Si eres residente de California, tienes derecho a:

Conocer qué información personal recopilamos, las fuentes, las finalidades y las categorías de destinatarios.
Eliminar tu información personal, con sujeción a las excepciones permitidas por la ley.
Corregir información personal inexacta.
Oponerte a la «venta» de información personal: no vendemos tu información personal. Nunca lo hemos hecho ni lo haremos.
Oponerte al «intercambio» de información personal para publicidad conductual entre contextos: no compartimos tu información personal con estos fines.
Limitar el uso de información personal sensible (grabaciones de audio): usamos la información personal sensible únicamente en la medida razonablemente necesaria para prestar el Servicio que solicitaste.
No discriminación: no te discriminaremos por ejercer tus derechos.

Categorías de información personal recopilada (según CCPA/CPRA): identificadores (correo electrónico, campo sub de Apple/Google, UUID de dispositivo); información de audio y electrónica (grabaciones de voz); actividad en internet (registros de uso); información personal sensible (grabaciones de audio, donde puedan contener contenido sensible que el usuario elija grabar).

7.3 Cómo ejercer tus derechos

En la app: la exportación de datos y la eliminación de cuenta están disponibles directamente en la configuración de la app.
Por correo: contáctanos en privacy@telldone.app para cualquier solicitud relacionada con la privacidad.
Responderemos a las solicitudes verificadas dentro de los plazos requeridos por la legislación aplicable (normalmente un mes bajo el GDPR, prorrogable por dos meses para solicitudes complejas; 45 días bajo la CCPA, prorrogable por 45 días cuando sea razonablemente necesario).

8. Cookies y seguimiento

Nuestro sitio web (telldone.app) usa Google Analytics 4 para estadísticas básicas de visitas en la página de inicio, cargado únicamente después de que aceptes el aviso de cookies. No utilizamos cookies publicitarias, píxeles de seguimiento ni rastreadores entre sitios en el sitio web. Nuestras apps móviles no contienen SDKs publicitarios, SDKs de análisis de terceros ni SDKs de seguimiento (no se muestra ningún aviso de App Tracking Transparency porque no rastreamos a los usuarios en el sentido de dicha normativa).

9. Privacidad de los menores

El Servicio no está dirigido a menores de 16 años y no recopilamos conscientemente información personal de ninguna persona menor de 16 años. En los Estados Unidos, el Servicio no está dirigido a menores de 13 años en el sentido de la Ley de Protección de la Privacidad Infantil en Línea («COPPA»), y no recopilamos conscientemente información personal de menores de 13 años. Si descubrimos que hemos recopilado datos de un menor por debajo de la edad mínima aplicable, los eliminaremos de inmediato. Si crees que un menor nos ha proporcionado datos personales, contáctanos en privacy@telldone.app y actuaremos sin demora indebida.

10. Cambios en esta política

Podemos actualizar esta Política de Privacidad de vez en cuando. Cuando realicemos cambios materiales (cambios que afecten de forma relevante a la forma en que recopilamos o usamos tus datos, incluido cualquier cambio en cómo usamos los datos de usuario de la API de Google o los datos de Sign in with Apple), lo haremos:

Actualizando la fecha de «Última actualización» en la parte superior de esta página.
Notificándote por correo electrónico y mediante notificación en la app al menos 30 días antes de que los cambios entren en vigor.
Cuando lo exija la ley (o la Política de Datos de Usuario de los Servicios de la API de Google cuando el cambio afecte a datos de usuario de Google), solicitándote que renueyes el consentimiento antes de que comience el nuevo tratamiento, y sin aplicar el nuevo tratamiento a los datos que ya tenemos hasta que consientas.

Si no estás de acuerdo con los cambios, puedes cerrar tu cuenta antes de la fecha de entrada en vigor y no aplicaremos la política modificada en tu contra.

11. Servicios de la API de Google (uso limitado)

El uso por parte de TellDone y la transferencia a cualquier otra app de la información recibida de las API de Google se ajustará a la Política de Datos de Usuario de los Servicios de la API de Google, incluidos los requisitos de uso limitado.

https://developers.google.com/terms/api-services-user-data-policy

Lo que esto significa en la práctica:

Cuando usas Sign in with Google, solicitamos los scopes mínimos de OpenID Connect (openid, email, profile). Usamos los datos que recibimos únicamente para crear y autenticar tu cuenta de TellDone.
Cuando conectas Google Tasks o Google Calendar, solicitamos únicamente los scopes necesarios para leer y escribir los elementos que creas en TellDone (típicamente https://www.googleapis.com/auth/tasks y/o https://www.googleapis.com/auth/calendar.events). Solicitamos estos scopes de forma incremental, en contexto, únicamente cuando activas esa integración.
Usamos los datos de usuario de Google únicamente para proporcionar y mejorar las funciones visibles y destacadas de TellDone que son accesibles al usuario (inicio de sesión, sincronización bidireccional de tareas/eventos).
No transferimos datos de usuario de Google a terceros salvo (a) cuando sea necesario para proporcionar esas funciones y únicamente con tu consentimiento (por ejemplo, nuestros proveedores de infraestructura que actúan como procesadores de datos), (b) por motivos de seguridad, (c) para cumplir con la legislación aplicable, o (d) como parte de una fusión, adquisición o venta de activos previa obtención de tu consentimiento previo y expreso.
No permitimos que personas lean datos de usuario de Google salvo cuando (a) has dado tu consentimiento expreso para ver elementos específicos, (b) es necesario por motivos de seguridad (por ejemplo, para investigar abusos), (c) es necesario para cumplir con la legislación aplicable, o (d) los datos están agregados y anonimizados para operaciones internas.
No usamos datos de usuario de Google para desarrollar, mejorar ni entrenar modelos de IA generalizados o no personalizados. No vendemos datos de usuario de Google, no los usamos para publicidad (incluido el retargeting o la publicidad basada en intereses), ni los usamos para determinar la solvencia crediticia ni para fines de préstamo.

Puedes revocar nuestro acceso a tu cuenta de Google en cualquier momento en https://myaccount.google.com/permissions, además de desconectarlo en TellDone Configuración → Integraciones.

12. Sign in with Apple

Cuando usas Sign in with Apple, recibimos únicamente los datos que Apple proporciona:

Un identificador de usuario estable y opaco (el campo «sub»).
Tu nombre, solo si eliges compartirlo en el primer inicio de sesión.
Tu dirección de correo electrónico o, si eliges Hide My Email, una dirección de retransmisión privada en @privaterelay.appleid.com.

Usamos estos datos únicamente para crear y autenticar tu cuenta de TellDone y (en el caso del correo electrónico) para enviarte correos transaccionales como resúmenes de informes, restablecimientos de contraseña y avisos de seguridad. No intentamos desanonimizar la dirección de retransmisión, no enviamos correos de marketing a direcciones de retransmisión y respetamos tu decisión de desactivar el reenvío de correo desde la configuración de tu Apple ID.

Cuando eliminas tu cuenta de TellDone, llamamos al endpoint de revocación REST de Sign in with Apple para invalidar el token de actualización que nos fue emitido, además de eliminar los datos de tu cuenta en nuestra parte. También puedes revocar la autorización de Apple en cualquier momento en Configuración de iOS → [tu nombre] → Sign in with Apple, o en https://appleid.apple.com.

13. Integraciones con Notion y Todoist

Cuando conectas Notion mediante OAuth, accedes a la pantalla de autorización de Notion donde seleccionas qué espacio de trabajo y qué páginas o bases de datos específicas puede acceder TellDone. Solo podemos ver los recursos que nos concedes; no podemos leer otro contenido de tu espacio de trabajo. Usamos este acceso únicamente para crear, leer, actualizar y eliminar elementos que correspondan a tus notas, tareas o eventos de TellDone. Nunca usamos tu contenido de Notion para entrenar ningún modelo de IA y nunca lo compartimos con ninguna parte que no sean los procesadores de datos listados en la Sección 3, estrictamente para prestar la función de sincronización.

Cuando conectas Todoist mediante OAuth, solicitamos únicamente los scopes necesarios para la sincronización bidireccional de tareas (típicamente data:read_write, y data:delete si activas la eliminación bidireccional). Usamos este acceso únicamente para crear, leer, actualizar, completar y (si lo activas) eliminar tareas que correspondan a tus tareas de TellDone. No usamos tu contenido de Todoist para entrenar ningún modelo de IA y no lo compartimos más allá de los procesadores de datos de la Sección 3.

Puedes desconectar cualquiera de las integraciones en cualquier momento en TellDone Configuración → Integraciones; revocaremos el token OAuth con el proveedor al desconectar. También puedes revocar la integración directamente:

Notion: Configuración → Mis conexiones en tu espacio de trabajo de Notion.
Todoist: Configuración → Integraciones → Aplicaciones conectadas en Todoist.

14. Responsable del tratamiento y contacto

El responsable del tratamiento de los datos personales procesados bajo esta Política de Privacidad es el operador de TellDone, al que puedes contactar en:

Correo (privacidad): privacy@telldone.app Correo (general): support@telldone.app Sitio web: https://telldone.app

Si consideras que tus derechos de protección de datos han sido vulnerados, tienes derecho a presentar una reclamación ante tu autoridad de control local de protección de datos. La autoridad de control competente para el responsable del tratamiento es la Autoridad Nacional de Supervisión del Tratamiento de Datos Personales de Rumanía (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, ANSPDCP), en https://www.dataprotection.ro. Los usuarios de otros estados miembros del EEE también pueden presentar una reclamación ante su autoridad de control local.

Esta Política de Privacidad se aplica a las aplicaciones móviles de TellDone (iOS, iPadOS, watchOS, Android) y al servicio en la nube en api.telldone.app. No se aplica a los servicios de terceros enlazados desde nuestra app (Notion, Todoist, Things, Google, Apple, etc.), que tienen sus propias políticas de privacidad.