Política de privacidad
Última actualización: 20 de mayo de 2026
Información que recopilamos
Cuando creas una cuenta de QMailing, recopilamos tu nombre y dirección de correo electrónico (o la información de perfil de OAuth de Google, Microsoft, GitHub o Telegram). No requerimos número de teléfono.
Cuando usas QMailing, almacenamos los correos que envías y recibes, las configuraciones de los buzones y los datos de uso (almacenamiento utilizado, número de buzones).
Cómo usamos tu información
Usamos tu información para:
- Proporcionar, mantener y mejorar el servicio QMailing
- Enviarte notificaciones transaccionales (alertas de seguridad, recibos de facturación)
- Detectar y prevenir abusos, fraudes y amenazas de seguridad
- Cumplir con obligaciones legales
No leemos, escaneamos ni analizamos el contenido de tus correos con fines publicitarios.
Almacenamiento y seguridad de datos
Tus datos se almacenan en servidores cifrados dentro de la Unión Europea. Usamos cifrado TLS para todos los datos en tránsito y cifrado AES-256 para los datos en reposo.
Servicios de terceros
Para operar el servicio dependemos de un pequeño conjunto de proveedores externos:
- Procesador de pagos — gestiona suscripciones y facturas de los planes de pago
- Seguimiento de errores — para detectar y solucionar problemas rápidamente
Sub-procesadores
QMailing depende de un pequeño conjunto de proveedores de confianza para operar el servicio. Cada uno está vinculado por un DPA (Data Processing Agreement) consistente con el Artículo 28 del RGPD. La lista completa está abajo; actualizamos esta sección antes de añadir o quitar un sub-procesador.
| Proveedor | Servicio | Ubicación | DPA |
|---|---|---|---|
| Amazon Web Services | Envío/recepción de correo (SES), almacenamiento de objetos (S3), base de datos (RDS PostgreSQL), compute (EC2, Lambda), contadores rate-limit y abuse (DynamoDB). | EU (eu-north-1, Stockholm) | DPA |
| Paddle | Procesamiento de pagos (merchant of record). Tarjetas, facturas, impuestos, reembolsos. | EU / UK | DPA |
| Grafana Labs | Telemetría frontend (Grafana Faro): errores JavaScript, métricas de rendimiento. Sin contenido de correos. | EU | DPA |
| Cloudflare | Bot challenge (Turnstile) al iniciar sesión. Mitigación DDoS en el edge de red. | Global (EU edge) | DPA |
| Solo inicio de sesión OAuth. Nunca leemos tu Gmail, Drive ni Contactos. | Global | DPA | |
| Microsoft | Solo inicio de sesión OAuth. Nunca leemos tu Outlook, OneDrive ni Calendar. | Global | DPA |
| GitHub | Solo inicio de sesión OAuth. Nunca leemos tus repositorios ni datos de organización. | Global | DPA |
| Telegram | Solo inicio de sesión OAuth. Nunca leemos tus chats. | Global | DPA |
Inicio de sesión OAuth
Cuando inicias sesión con Google, Microsoft, GitHub o Telegram, el proveedor devuelve a QMailing un perfil mínimo: tu dirección de correo, tu nombre para mostrar y (cuando está disponible) la URL del avatar. Usamos estos datos estrictamente para crear tu cuenta en el primer inicio de sesión y para reconectarte en visitas posteriores.
QMailing nunca lee ni escribe datos en tu cuenta de Google/Microsoft/GitHub/Telegram más allá del propio handshake OAuth. No solicitamos scopes para bandeja, drive, calendario, repositorio o contactos. No te enviamos marketing a través de estos proveedores. No compartimos datos derivados de OAuth con terceros.
Acceso a la API e integraciones MCP
QMailing emite tokens Bearer estilo OAuth (qm_live_*) para acceso programático a través de la API REST pública y el servidor MCP alojado en https://qmailing.com/mcp. Cada token recibe scopes en la emisión (por ejemplo mailbox:read, email:send) y está vinculado a una sola cuenta.
Cuando un agente IA se conecta con un token, QMailing registra metadatos de petición — timestamp, nombre de herramienta, código HTTP, tiempo de respuesta — durante 30 días para detección de abusos y contabilidad del rate-limit. Los bodies de petición y los resultados de herramientas NO se persisten en los logs. Los tokens se almacenan en servidor como hashes bcrypt; el valor en claro se muestra exactamente una vez al emitirse.
Puedes revocar cualquier token en Ajustes → Desarrolladores, o para conexiones concedidas por OAuth en Ajustes → Conexiones. La revocación se honra en la siguiente petición — sin caché.
Cookies
Usamos cookies esenciales para la autenticación y la gestión de sesiones. Las cookies analíticas solo se establecen con tu consentimiento explícito. Puedes gestionar tus preferencias de cookies en cualquier momento.
Tus derechos
Según el RGPD, tienes derecho a:
- Acceder a tus datos personales
- Exportar tus datos en un formato legible por máquina
- Solicitar la eliminación de tu cuenta y todos los datos asociados
- Oponerte al tratamiento de datos
Puedes ejercer estos derechos en Configuración > Privacidad o escribiéndonos a privacy@qmailing.com.
Transferencias internacionales de datos
QMailing está alojado en la Unión Europea (AWS eu-north-1, Estocolmo). La entrega de correo a través de Amazon SES atraviesa infraestructura edge de AWS, lo que puede incluir instalaciones fuera del EEE dependiendo del servidor de correo del destinatario. Las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea se aplican a cualquier transferencia de datos personales fuera del EEE. No transferimos datos a jurisdicciones sin decisión de adecuación o salvaguardas equivalentes.
Conservación y eliminación de datos
Conservamos tus datos mientras tu cuenta esté activa. Cuando eliminas tu cuenta, un buzón o un correo, los datos entran en una ventana de eliminación lógica de 30 días — durante este período puedes restaurarlos (cuentas volviendo a iniciar sesión y cancelando la eliminación, buzones y correos desde la Papelera). Pasados los 30 días, los datos se eliminan de forma permanente de nuestros sistemas activos.
No conservamos copias de seguridad fuera de los sistemas más allá de la ventana de eliminación lógica — una vez transcurrido ese período, la recuperación deja de ser posible.
Notificación de brecha de datos
En caso de una brecha de datos personales que probablemente cause riesgo a tus derechos y libertades, notificaremos a la autoridad de control competente dentro de las 72 horas siguientes a tener conocimiento de la brecha, conforme al Artículo 33 del RGPD. Si la brecha probablemente cause riesgo ALTO, notificaremos a los usuarios afectados directamente sin demora indebida, por correo a tu dirección registrada.
Privacidad de menores
QMailing no está dirigido ni destinado a menores. No recopilamos a sabiendas datos personales de menores de 16 años en el Espacio Económico Europeo, o menores de 13 años en Estados Unidos. Si crees que hemos recopilado dichos datos sin querer, contáctanos y los eliminaremos sin demora indebida.
Responsable del tratamiento
El responsable del tratamiento de QMailing es Bohdan Abramovych, persona física residente en Kyiv, Ucrania. Para cualquier consulta de privacidad, ejercicio de derechos RGPD (acceso, rectificación, supresión, limitación, portabilidad, oposición) o reclamación, escribe a privacy@qmailing.com.
Contacto
Para preguntas sobre privacidad, escríbenos a privacy@qmailing.com.