Política de Privacidad de TermPeek
Fecha de vigencia: 8 de mayo de 2026 Última actualización: 8 de mayo de 2026 Versión: 1.0
Esta Política de Privacidad explica cómo TermPeek ("TermPeek", "nosotros", "nuestro") recopila, usa, comparte y protege la información personal cuando usas la extensión de navegador TermPeek y los servicios relacionados (el "Servicio").
TermPeek es una herramienta informativa que analiza documentos legales con los que te encuentras — como Términos de Servicio, políticas de privacidad y contratos — y proporciona resúmenes en lenguaje sencillo. TermPeek es una herramienta informativa, no un servicio legal. Nada de lo que genera TermPeek constituye asesoría legal. Para más detalle sobre este posicionamiento, consulta nuestros Términos de Servicio.
1. Quiénes somos
TermPeek es operado por un responsable persona física con base en México. Ver Sección 15 para identidad del responsable y contacto directo de privacidad.
Si te encuentras en el Espacio Económico Europeo, el Reino Unido o Suiza y prefieres dirigir consultas a un representante local, contáctanos vía el canal en Sección 15 y te indicaremos el canal aplicable.
2. Resumen (lo puedes leer en 30 segundos)
- No almacenamos los documentos que analizas. Su texto se envía a nuestro procesador de IA para el análisis y no se conserva una vez completado.
- No requerimos una cuenta, dirección de correo electrónico ni inicio de sesión. Para usar el nivel gratuito no compartes ningún identificador personal más allá de un identificador anónimo de dispositivo.
- No vendemos ni compartimos información personal para publicidad conductual contextual cruzada.
- Usamos tres subencargados para análisis con IA, infraestructura backend y pagos (estos últimos solo para suscriptores Pro), nombrados en la Sección 5.
- Si te suscribes a Pro, Polar (nuestro procesador de pagos y comerciante de registro) recolecta únicamente los datos mínimos de pago necesarios; esa información nunca llega a los servidores de TermPeek.
- Tienes derechos según tu residencia: derechos ARCO (México), derechos CCPA (California), derechos GDPR (Espacio Económico Europeo, Reino Unido) y derechos equivalentes en otras jurisdicciones. Ver Sección 8.
3. Qué recolectamos y por qué
Agrupamos los datos que manejamos por cómo se generan y dónde residen. Solo manejamos lo necesario para prestar el Servicio.
3.1 Datos almacenados localmente en tu navegador (chrome.storage.local)
Estos datos viven únicamente en el almacenamiento de extensión de tu navegador. Nunca salen de tu dispositivo a menos que mencionemos explícitamente la transmisión más abajo.
| Dato | Propósito | Conservación |
|---|---|---|
| Identificador anónimo de dispositivo (UUID) | Identificar tu instalación para el estado de suscripción sin requerir una cuenta | Vida útil de la instalación de la extensión. Se borra al desinstalar. |
| Contador mensual de uso | Aplicar el límite del nivel gratuito (5 análisis por mes) | Se reinicia cada mes. Se borra al desinstalar. |
| Preferencia de idioma de la interfaz (detectada desde tu navegador) | Mostrar la extensión en tu idioma | Se detecta nuevamente cada sesión desde la configuración de tu navegador. |
| Contador acumulado de análisis exitosos | Programar el mensaje de reseña en el momento adecuado (tras el 3er análisis exitoso) | Vida útil de la instalación. |
| Banderas de onboarding y banners | Recordar qué banners únicos ya has visto | Vida útil de la instalación. |
3.2 Contenido de documentos que analizas
Cuando inicias un análisis (vía menú contextual o popup), el texto extraído de la página que estás viendo se transmite a nuestro backend (Cloudflare Worker) y se reenvía a nuestro subencargado de IA (Anthropic) para el análisis.
- El texto extraído se procesa en tiempo real vía streaming y no se almacena en los sistemas de TermPeek una vez que finaliza el stream.
- El resultado del análisis (puntuación de riesgo, lista de cláusulas, resúmenes) se envía de vuelta a tu navegador y se muestra en el panel lateral. El resultado se mantiene en la memoria de tu navegador y se descarta cuando cierras el navegador.
- No conservamos registros del servidor que contengan el texto del documento.
- Retención por parte de Anthropic (subencargado). Aunque TermPeek no almacena el documento en sus propios sistemas, nuestro subencargado de IA (Anthropic) puede retener las entradas y salidas del análisis por un periodo limitado — generalmente hasta 30 días — para detección de abuso, respuesta a incidentes y confiabilidad del servicio, de acuerdo con su propia política de retención y el Acuerdo de Tratamiento de Datos. Ver Sección 5 para las salvaguardas del subencargado y Sección 9 para el resumen consolidado de conservación.
- Contenido que decides enviar. TermPeek no recolecta activamente categorías especiales de datos personales (ver Sección 3.5). Sin embargo, el texto del documento que decides enviar para análisis puede contener incidentalmente información sensible (por ejemplo, datos de salud, financieros o de identidad). Ese contenido se procesa únicamente para proporcionar el análisis solicitado y TermPeek no lo utiliza para ningún otro propósito.
Si el documento que estás viendo excede nuestro límite de análisis (60 000 caracteres), solo se analiza la primera porción hasta el límite; un banner en la extensión te notifica del truncamiento.
3.3 Datos de red e infraestructura (Cloudflare)
Nuestro Worker backend corre en Cloudflare. Cloudflare procesa lo siguiente como parte de la entrega del Servicio:
| Dato | Propósito | Conservación |
|---|---|---|
| Tu dirección IP | Limitación de tasa (20 solicitudes por minuto), prevención de abuso y registro operativo estándar | Conservación operativa estándar de Cloudflare (ver Política de Privacidad de Cloudflare). No conservamos direcciones IP completas en los registros propios de TermPeek; solo se usan formas truncadas donde la retención es necesaria. |
| Metadatos de solicitud (timestamp, endpoint, estado de respuesta) | Monitoreo operativo | Conservación operativa estándar de Cloudflare. |
| Caché de estado de suscripción | Acelerar la verificación del estado Pro sin llamar a Polar en cada solicitud (TTL de 5 minutos) | 5 minutos en el almacenamiento KV de Cloudflare, luego se reverifica. |
| Hash anti-abuso de telemetría (hash criptográfico irreversible de metadatos de solicitud automáticos — ver párrafo abajo) | Detectar reinstalaciones repetidas de la extensión por el mismo dispositivo que de otro modo reiniciarían tu contador mensual del nivel gratuito; proteger la sostenibilidad a largo plazo del nivel gratuito para usuarios legítimos | 30 días en el almacenamiento KV de Cloudflare, luego se purgan automáticamente. Nunca almacenamos los metadatos de solicitud sin procesar — solo el hash irreversible resultante. |
Sobre el hash anti-abuso de telemetría. Cuando envías un documento para análisis, nuestro Worker calcula un hash criptográfico irreversible a partir de un conjunto fijo de metadatos técnicos que tu navegador y la red envían automáticamente con cada solicitud HTTP (tu dirección IP, User-Agent, hints del navegador, preferencia de idioma, y el país y operador de red que Cloudflare deriva del lado del servidor). El hash se almacena en nuestro almacenamiento KV de Cloudflare junto con tu identificador anónimo de dispositivo (UUID) y el mes calendario, con una expiración automática de 30 días. Este hash se usa únicamente para proteger el nivel gratuito frente al abuso y no bloquea, ralentiza ni altera tu análisis de ninguna manera. No lo usamos para publicidad, perfiles conductuales, seguimiento entre sitios, identificarte como persona, ni ningún propósito más allá de proteger el nivel gratuito frente al abuso. La base legal se describe en la Sección 6, el resumen de retención en la Sección 9, y tu derecho de oposición en la Sección 8.3.
3.4 Datos de pago (solo suscriptores Pro, procesados por Polar)
Si te suscribes a Pro, pasas por una página de checkout alojada por Polar (nuestro procesador de pagos y comerciante de registro). Polar recolecta:
- Dirección de correo electrónico
- Nombre (si eliges proporcionarlo)
- Detalles del método de pago (tarjeta, etc.)
- País de facturación para efectos fiscales
TermPeek no recibe ni almacena los detalles de tu método de pago. Polar nos informa únicamente:
- Que una suscripción está activa para tu identificador anónimo de dispositivo.
- Cambios en el estado de la suscripción (cancelada, renovada, pago fallido).
El correo electrónico y los detalles de pago permanecen con Polar. Ver la Política de Privacidad de Polar para detalle del tratamiento propio de Polar.
3.5 Lo que NO recolectamos
- No recolectamos tu dirección de correo electrónico en el nivel gratuito (no se requiere cuenta).
- Sin seguimiento cruzado entre sitios ni publicidad conductual. No realizamos seguimiento cruzado entre sitios (cross-site tracking), no construimos perfiles conductuales y no usamos cookies de seguimiento, web beacons, pixel tags, técnicas de fingerprinting del lado del cliente (como canvas fingerprinting, WebGL fingerprinting, audio probing, enumeración de fuentes, o cualquier extracción basada en JavaScript de entropía del dispositivo desde tu navegador), ni analítica de terceros para publicidad. No monitoreamos qué sitios web visitas fuera de los análisis que inicias explícitamente. El identificador anónimo de dispositivo y el contador mensual de uso descritos en la Sección 3.1 son señales técnicas locales que permiten verificar la suscripción y aplicar el límite del nivel gratuito — no se usan para rastrearte entre sitios ni para construir un perfil de tu comportamiento. El hash anti-abuso de telemetría del lado del servidor descrito en la Sección 3.3 es una medida técnica separada de propósito acotado: procesa únicamente encabezados de solicitud HTTP que tu navegador ya envía automáticamente (no se ejecuta JavaScript en tu navegador para recolectar datos adicionales), es irreversible, se purga después de 30 días, y se usa exclusivamente para detectar abuso del nivel gratuito — nunca para seguimiento, perfilado ni publicidad.
- No recolectamos geolocalización precisa.
- Categorías especiales de datos personales. No recolectamos activamente categorías especiales de datos personales (como datos de salud, biométricos, genéticos, identificadores financieros o datos neurales). Sin embargo, el contenido que decides enviar para análisis puede incluir incidentalmente ese tipo de datos. Como se describe en la Sección 3.2, todo lo que envías se procesa únicamente para proporcionar el análisis solicitado y TermPeek no lo utiliza para ningún otro propósito.
4. Cómo usamos inteligencia artificial
TermPeek usa inteligencia artificial para analizar documentos legales. En específico:
- Proveedor: Anthropic (API de Claude). El modelo utilizado es una versión de Claude Haiku (actualmente
claude-haiku-4-5); el modelo específico puede cambiar con actualizaciones de producto. - País de tratamiento: la infraestructura de Anthropic se ubica principalmente en Estados Unidos.
- Qué hace la IA: genera la puntuación de riesgo (1–10), resúmenes por categoría de cláusulas problemáticas, explicaciones en lenguaje sencillo y declaraciones de impacto, con base en el texto del documento que envías.
- Qué NO hace la IA: no brinda asesoría legal, no toma decisiones automatizadas significativas sobre ti (no decide tu acceso a crédito, vivienda, empleo, educación, servicios de salud ni seguros), ni te perfila con fines publicitarios. La IA de TermPeek analiza el texto de documentos legales — no a ti. No construye perfiles conductuales de usuarios individuales, no infiere atributos sobre ti, y no se usa para tomar decisiones sobre ti como persona. Ver Sección 3.5 sobre los límites relacionados de lo que recolectamos, y Secciones 8.2 y 8.3 sobre las posiciones correspondientes bajo CCPA (ADMT) y GDPR (Art. 22).
- Transparencia (EU AI Act Art. 50(1) y Ley Coreana de IA Art. 31(1)): se te informa que estás interactuando con un sistema de IA tanto en nuestra pestaña de bienvenida al primer instalar como persistentemente en el pie del panel lateral donde aparecen los análisis. Este aviso cumple con la obligación de transparencia del Art. 50(1) del Reglamento (UE) 2024/1689 (EU AI Act), aplicable desde el 2 de agosto de 2026, y del Artículo 31(1) de la Ley Marco de Desarrollo de Inteligencia Artificial y Establecimiento de una Base de Confiabilidad (인공지능 기본법, Ley Coreana de IA), vigente desde el 22 de enero de 2026.
- Supervisión humana: TermPeek no reentrena ni afina el modelo de IA con base en los documentos que analizas. El uso propio que Anthropic da a los datos de API está regido por el Acuerdo de Tratamiento de Datos de Anthropic y se limita a detección de abuso, respuesta a incidentes y confiabilidad del servicio — no a entrenamiento de modelos — a la fecha de vigencia de esta Política.
Para más detalle sobre los límites del análisis con IA, consulta nuestro disclaimer in-product en la pestaña de bienvenida y nuestros Términos de Servicio.
5. Subencargados del tratamiento
Nos apoyamos en tres subencargados para operar el Servicio. Un subencargado es un tercero que contratamos para tratar información personal en nuestro nombre.
| Subencargado | Propósito | Datos que trata | País/región | Salvaguardas |
|---|---|---|---|---|
| Anthropic PBC | Análisis con IA del texto del documento | Texto del documento (streaming únicamente, no retenido por nosotros), identificador anónimo de dispositivo para correlación de abuso | Estados Unidos (primario) | Acuerdo de Tratamiento de Datos de Anthropic que incorpora Cláusulas Contractuales Tipo de la UE (Módulos Dos y Tres) para transferencias internacionales. SOC 2 Tipo II. Política de Privacidad de Anthropic |
| Cloudflare, Inc. | Infraestructura backend (Workers, almacenamiento KV, ruteo de dominio personalizado, limitación de tasa) | Dirección IP (registros operativos), caché de estado de suscripción (TTL 5 min), metadatos de solicitud | Red edge global de Cloudflare | Acuerdo de Tratamiento de Datos de Cloudflare + Cláusulas Contractuales Tipo de la UE. ISO 27001, SOC 2 Tipo II. Política de Privacidad de Cloudflare |
| Polar Software B.V. | Procesamiento de pagos, gestión de suscripciones, comerciante de registro (maneja impuestos, fraude y contracargos) | Correo electrónico, nombre, método de pago, país de facturación (solo suscriptores Pro) | Países Bajos (UE) | Cumplimiento GDPR como encargado con sede en la UE. Política de Privacidad de Polar |
Te notificaremos cambios a nuestros subencargados con al menos 15 días de anticipación vía un banner in-product y actualizando esta Política de Privacidad. Tu uso continuado del Servicio después de dicho aviso constituye aceptación del cambio.
6. Bases legales del tratamiento (EEE, Reino Unido, Suiza)
Cuando se aplica GDPR o UK GDPR, tratamos tus datos personales bajo las siguientes bases legales (Art. 6 GDPR):
| Actividad de tratamiento | Base legal |
|---|---|
| Operación de la extensión (identificador de dispositivo, contador de uso, preferencia de idioma) | Intereses legítimos (Art. 6(1)(f)): operar el Servicio que solicitaste al instalar la extensión. |
| Análisis de documentos que envías | Ejecución de un contrato (Art. 6(1)(b)): entregar el análisis que solicitaste. |
| Limitación de tasa y prevención de abuso (registro de IP por Cloudflare) | Intereses legítimos (Art. 6(1)(f)): proteger el Servicio frente a abuso. |
| Hash anti-abuso de telemetría (hash criptográfico del lado del servidor sobre metadatos de solicitud automáticos almacenado en KV de Cloudflare, TTL de 30 días — ver Sección 3.3) | Intereses legítimos (Art. 6(1)(f)): preservar la sostenibilidad a largo plazo del nivel gratuito detectando abuso basado en reinstalación sin imponer una alternativa con alta fricción (como creación obligatoria de cuenta o fingerprinting del dispositivo con banners de consentimiento). El tratamiento es solo telemetría; no produce decisiones automatizadas que tengan efectos legales o similarmente significativos sobre ti (Art. 22 no se activa — ver Sección 8.3). |
| Procesamiento de datos de pago vía Polar (suscriptores Pro) | Ejecución de un contrato (Art. 6(1)(b)): prestar la suscripción paga que contrataste. |
| Notificación de cambios materiales a esta Política | Obligación legal (Art. 6(1)(c)): cumplir con GDPR Art. 13/14 de transparencia. |
No nos apoyamos principalmente en el consentimiento (Art. 6(1)(a)) como base legal, ya que el tratamiento anterior es necesario para prestar el Servicio que solicitaste. No obstante, ciertas acciones voluntarias tuyas — como enviar contenido para análisis — pueden constituir una manifestación de voluntad que habilita el tratamiento correspondiente.
Para el tratamiento basado en intereses legítimos (Art. 6(1)(f)), hemos ponderado nuestro interés en operar y proteger el Servicio frente a tus derechos y libertades, y concluimos que los datos mínimos involucrados (identificador anónimo de dispositivo, contador mensual de uso, registros operativos incluyendo datos de IP truncados usados únicamente para limitación de tasa y prevención de abuso, y el hash anti-abuso de telemetría irreversible descrito en la Sección 3.3, que almacena únicamente el hash resultante por 30 días y nunca los metadatos de solicitud sin procesar) no prevalecen sobre esos derechos. No realizamos profiling conductual ni seguimiento cruzado entre sitios (ver Sección 3.5). Tienes derecho a oponerte en cualquier momento al tratamiento basado en intereses legítimos conforme al Art. 21 GDPR; ver Sección 8.3 sobre cómo ejercer este derecho.
No tratamos activamente categorías especiales de datos (Art. 9 GDPR); ver Sección 3.5 sobre cómo se maneja el contenido que envías cuando pueda incluir ese tipo de datos de forma incidental.
7. Transferencias internacionales
El Servicio de TermPeek implica transferencias de datos personales a Estados Unidos (Anthropic) y globalmente (red edge de Cloudflare). Cuando la transferencia sale del EEE, Reino Unido o Suiza, nos apoyamos en:
- Cláusulas Contractuales Tipo de la UE (SCCs) — Módulos Dos (responsable-a-encargado) y Tres (encargado-a-encargado), incorporadas en los Acuerdos de Tratamiento de Datos de Anthropic y Cloudflare.
- Medidas suplementarias según aplique, incluyendo cifrado en tránsito (TLS 1.3) y cifrado en reposo donde el subencargado lo soporte.
- La arquitectura de red de Cloudflare rutea los datos al edge saludable más cercano, lo que para usuarios UE típicamente mantiene el manejo de solicitudes dentro de la UE — aunque pueden ocurrir transferencias efímeras a otras regiones.
Polar (nuestro procesador de pagos) tiene sede en Países Bajos y se encuentra dentro de la UE; los datos de pago de suscriptores Pro no salen de la UE como parte del tratamiento estándar de Polar.
Para usuarios en México: las transferencias a Anthropic (EE.UU.) y Cloudflare (global) se amparan en los artículos 29-31 de la LFPDPPP 2025, con tu autorización implícita para transferencias estrictamente necesarias para la prestación del Servicio, según se divulga en este Aviso de Privacidad.
Para usuarios en Japón (APPI Artículo 28(2)): cuando transferimos tu información personal a Anthropic PBC (Estados Unidos), divulgamos lo siguiente según lo exige el Artículo 28(2) de la APPI:
- (i) País del receptor: Estados Unidos.
- (ii) Sistema de protección de información personal en el país receptor: Estados Unidos no cuenta con una ley federal integral de protección de datos equivalente a la APPI; aplican leyes sectoriales y estatales, incluyendo la California Consumer Privacy Act (CCPA/CPRA) y regímenes similares en otros estados. EE.UU. no está actualmente designado por la PPC como país con un nivel de protección de datos equivalente bajo el Artículo 28(1) de la APPI.
- (iii) Medidas que el receptor implementa: Anthropic PBC ha implementado medidas organizacionales y técnicas que incluyen (a) el Acuerdo de Tratamiento de Datos de Anthropic, que incorpora Cláusulas Contractuales Tipo de la UE (Módulos Dos y Tres) para transferencias internacionales; (b) certificación SOC 2 Tipo II; y (c) el compromiso de no entrenar el modelo descrito en las Secciones 4 y 5 de esta Política. Para detalles, ver la Política de Privacidad de Anthropic y el Acuerdo de Tratamiento de Datos de Anthropic.
Al usar el Servicio, consientes a esta transferencia. La misma divulgación aplica a las transferencias a la red edge global de Cloudflare (operada por Cloudflare, Inc., Estados Unidos), con la medida adicional de las certificaciones ISO 27001 y SOC 2 Tipo II de Cloudflare y el Acuerdo de Tratamiento de Datos de Cloudflare que incorpora Cláusulas Contractuales Tipo de la UE.
Para usuarios en Corea del Sur (PIPA Artículo 28-8, vigente desde el 15 de septiembre de 2023): cuando transferimos tu información personal a Anthropic PBC (Estados Unidos), divulgamos lo siguiente según lo exige el Artículo 28-8(1) de la PIPA:
- Receptor: Anthropic PBC.
- País del receptor: Estados Unidos.
- Propósito de la transferencia: análisis con IA del texto del documento que envías, generando la puntuación de riesgo y los resúmenes por categoría descritos en la Sección 4 de esta Política.
- Elementos de información personal transferidos: el contenido del texto del documento que envías, el identificador anónimo de dispositivo (UUID) y tu preferencia de idioma (locale).
- Período de retención del receptor: Anthropic generalmente retiene los datos de solicitud y respuesta de API hasta por 30 días, según se describe en la Sección 3.2 de esta Política.
- Procedimiento para retirar el consentimiento: deja de usar el Servicio y desinstala la extensión para terminar cualquier transferencia adicional. Nota que el retiro no afecta las transferencias ya completadas.
Al usar el Servicio, consientes a esta transferencia. La misma divulgación aplica a las transferencias a la red edge global de Cloudflare (operada por Cloudflare, Inc., Estados Unidos), donde los elementos transferidos se limitan a datos operativos (dirección IP para limitación de tasa, caché de estado de suscripción, metadatos de solicitud) y el período de retención es consistente con el resumen de conservación de datos de la Sección 9 de esta Política.
8. Tus derechos
Independientemente de dónde residas, tienes derecho a contactarnos en privacy@termpeek.com con cualquier pregunta o solicitud sobre tus datos personales. Responderemos dentro del menor de los plazos legales aplicables (20 días bajo LFPDPPP, 30/45 días bajo GDPR, 45 días bajo CCPA).
Identificadores pseudónimos y limitaciones prácticas (Art. 11 GDPR y equivalentes). TermPeek opera con identificadores pseudónimos (un UUID anónimo generado en tu navegador) y no recolectamos información que nos permita identificarte como persona. Para ejercer cualquier derecho sobre los datos vinculados a tu uso del Servicio (estado de suscripción Pro, hash anti-abuso de telemetría), debes proporcionarnos tu identificador anónimo de dispositivo (UUID) en tu solicitud. Sin esa información adicional, no podemos vincular tu solicitud a datos específicos y podremos rechazar la solicitud bajo el Art. 11(2) del GDPR o disposiciones equivalentes en otras jurisdicciones. El derecho de oposición al procesamiento futuro (por ejemplo, al hash anti-abuso) puede ejercerse sin proporcionar UUID.
8.1 Si estás en México — derechos ARCO (LFPDPPP 2025)
Tienes derecho a:
- Acceso: acceder a los datos personales que tenemos sobre ti y obtener información sobre su tratamiento.
- Rectificación: corregir datos personales inexactos, incompletos o desactualizados. En la práctica, los datos que conservamos sobre ti (estado Pro, hash anti-abuso) son metadatos derivados automáticamente que no son rectificables como concepto; los datos de pago los maneja Polar.
- Cancelación: cancelar tus datos personales de nuestros sistemas (esto puede terminar tu capacidad de usar el Servicio).
- Oposición: oponerte a actividades específicas de tratamiento, incluyendo el tratamiento que produzca decisiones automatizadas con efectos legales o significativos adversos sobre ti.
Para ejercer estos derechos, envía una solicitud a privacy@termpeek.com con: (a) tu nombre y medio de contacto para la respuesta; (b) el derecho que deseas ejercer; (c) cualquier dato que nos ayude a identificar el tratamiento al que te refieres (por ejemplo, el identificador anónimo de dispositivo almacenado por tu extensión, disponible en la vista de Ajustes de la extensión). Responderemos dentro de los 20 días hábiles que exige el Art. 32 de la LFPDPPP.
Si no estás conforme con nuestra respuesta, puedes presentar una denuncia ante la Secretaría Anticorrupción y Buen Gobierno (SABG), la autoridad federal mexicana de protección de datos personales bajo la LFPDPPP 2025.
8.2 Si estás en California — derechos CCPA/CPRA
Tienes derecho a:
- Saber qué información personal hemos recolectado, usado y divulgado sobre ti, incluyendo las categorías, fuentes y propósitos.
- Eliminar tu información personal que conservemos, sujeto a excepciones estatutarias.
- Corregir información personal inexacta que conservemos sobre ti. En la práctica, los datos que conservamos son metadatos derivados automáticamente que no son rectificables como concepto.
- Opt-out de venta o compartición de información personal (CCPA §1798.135). TermPeek no vende ni comparte información personal bajo las definiciones de CCPA/CPRA, por lo que esta opción no aplica a nuestra operación actual.
- Limitar el uso de información personal sensible (SPI). No recolectamos SPI según la definición de CCPA/CPRA §1798.140(ae), por lo que no hay nada que limitar.
- No discriminación: no te discriminaremos por ejercer cualquier derecho bajo CCPA.
- Global Privacy Control (GPC): si tu navegador envía una señal GPC válida a
termpeek.com, la trataremos como una solicitud válida de exclusión de venta/compartición donde aplique. Como se indica arriba, TermPeek no vende ni comparte información personal, por lo que en la práctica esta señal no modifica nuestras operaciones.
Para ejercer estos derechos, contáctanos en privacy@termpeek.com. Responderemos dentro de 45 días. Podemos solicitar información necesaria para verificar tu solicitud; para usuarios sin cuenta, la verificación puede limitarse a hacer coincidir el identificador anónimo de dispositivo que proporciones.
Tecnología de Toma de Decisiones Automatizadas (ADMT) — regulaciones CCPA 2026: En nuestra evaluación actual, el uso de IA por TermPeek no constituye tecnología de toma de decisiones automatizadas para "decisiones significativas" según la definición del término en las regulaciones CCPA 2026 (§7001(ooo)), ya que no produce efectos legales y no afecta significativamente a los usuarios de manera directa — no decide tu acceso a servicios financieros, vivienda, educación, empleo, contratación independiente, servicios de salud ni bienes y servicios esenciales. El resultado de la IA es contenido informativo que tú mismo revisas. Sobre esta base, el Pre-use Notice y los requisitos de opt-out en §7220 y siguientes no aplican actualmente a nuestro uso de IA. Esta evaluación se revisará periódicamente conforme evolucione la regulación y el alcance del producto, y actualizaremos esta Política en consecuencia si nuestra posición cambia.
8.3 Si estás en el Espacio Económico Europeo, el Reino Unido o Suiza — derechos GDPR
Tienes derecho a:
- Acceso (Art. 15): obtener confirmación de que tratamos tus datos y una copia de esos datos.
- Rectificación (Art. 16): corregir datos inexactos o incompletos. En la práctica, los datos que conservamos son metadatos derivados automáticamente que no son rectificables como concepto.
- Supresión / "derecho al olvido" (Art. 17): solicitar la eliminación de los datos vinculados a tu UUID (estado de suscripción Pro, hash anti-abuso de telemetría) donde existan fundamentos legales.
- Limitación del tratamiento (Art. 18): solicitar que limitemos el tratamiento de los datos vinculados a tu UUID en los supuestos del Art. 18 (impugnación de exactitud, oposición pendiente de resolución, etc.).
- Portabilidad (Art. 20): recibir los datos que proporcionaste en un formato estructurado, de uso común y legible por máquina (aplica únicamente a datos tratados en base a consentimiento o contrato). En la práctica, el único dato que conservamos bajo base contractual es tu estado de suscripción Pro, que puede ser exportado a solicitud.
- Oposición (Art. 21): oponerte al tratamiento basado en intereses legítimos, en particular el hash anti-abuso de telemetría descrito en la Sección 3.3. Evaluaremos la oposición bajo el balancing test del Art. 6(1)(f) y detendremos el tratamiento relevante salvo que podamos demostrar motivos legítimos imperiosos.
- A no ser objeto de una decisión basada únicamente en tratamiento automatizado (Art. 22): el análisis con IA de TermPeek no produce decisiones con efectos legales ni similarmente significativos sobre ti, por lo que las obligaciones del Art. 22 no se activan.
- Presentar una queja ante una autoridad de control (Art. 77): puedes contactar a la autoridad de protección de datos en tu país UE/EEE de residencia, trabajo o el lugar de la supuesta infracción. Para usuarios en el Reino Unido, la Information Commissioner's Office (ICO). Para usuarios en Suiza, el Federal Data Protection and Information Commissioner (FDPIC).
Para ejercer estos derechos, contáctanos en privacy@termpeek.com. Responderemos dentro de 30 días (extensibles a 60 días para solicitudes complejas bajo Art. 12(3) GDPR).
8.4 Si estás en otros estados de EE.UU. (Virginia, Colorado, Connecticut, Utah, Texas, Oregon, Delaware, Montana, Iowa, Tennessee, etc.)
Tienes derechos sustantivamente equivalentes a los derechos de California arriba, incluyendo acceso, eliminación, corrección, portabilidad y opt-out de publicidad dirigida / venta / profiling. Honramos señales de Universal Opt-Out Mechanism (UOOM) (incluyendo GPC) según aplique en los estados donde se requiera.
Para ejercer estos derechos, contáctanos en privacy@termpeek.com. Responderemos dentro del plazo estatutario aplicable a tu estado (típicamente 45 días).
8.5 Si estás en cualquier otra jurisdicción
Puedes contactarnos con cualquier solicitud de privacidad en privacy@termpeek.com. Evaluaremos la solicitud bajo la ley aplicable y responderemos de buena fe.
8.6 Si estás en Japón — derechos APPI (Ley de Protección de Información Personal)
Si resides en Japón, la Ley de Protección de Información Personal (個人情報保護法, "APPI") te otorga derechos sobre tu información personal que conservamos o tratamos, incluyendo:
- Divulgación (開示請求権, Artículo 33): solicitar acceso a la información personal que conservamos sobre ti y a los propósitos de su tratamiento.
- Corrección, adición o eliminación (訂正・追加・削除請求権, Artículo 34): solicitar corrección, adición o eliminación de información personal inexacta. En la práctica, los datos que conservamos son metadatos derivados automáticamente que no son corregibles como concepto; la eliminación sí se honra a tu solicitud.
- Cese de uso, eliminación o cese de provisión a terceros (利用停止・消去・第三者提供停止請求権, Artículo 35): solicitar que dejemos de usar la información personal vinculada a tu UUID (estado de suscripción Pro, hash anti-abuso de telemetría), la eliminemos o dejemos de proveerla a terceros, cuando el tratamiento exceda el propósito divulgado, haya sido obtenido ilegalmente o exista otro motivo legalmente reconocido. TermPeek no provee información personal a terceros bajo el Artículo 27 de la APPI (nuestros subencargados nombrados en la Sección 5 son entrusted processors, no terceros receptores).
Para ejercer estos derechos, envía una solicitud a privacy@termpeek.com. Responderemos sin demora indebida según lo exige el Artículo 38 de la APPI.
La autoridad supervisora es la Comisión de Protección de Información Personal (個人情報保護委員会, "PPC"), a la que puedes contactar en https://www.ppc.go.jp/.
Para detalle sobre la transferencia internacional de tu información personal a Anthropic (Estados Unidos) — limitada al contenido del documento que envías para análisis, procesado en tiempo real y no conservado por TermPeek — y Cloudflare (red edge global) — limitada a los metadatos estándar de solicitud HTTP que tu navegador envía a cualquier servicio web con el que interactúas, más el hash anti-abuso descrito en la Sección 3.3 — incluyendo el país del receptor, el sistema de protección de datos en ese país y las medidas que el receptor implementa según lo exige el Artículo 28(2) de la APPI, ver la Sección 7 de esta Política.
8.7 Si estás en Corea del Sur — derechos PIPA (Ley de Protección de Información Personal) y Ley Coreana de IA
Si resides en Corea del Sur, la Ley de Protección de Información Personal (개인정보 보호법, "PIPA") te otorga derechos sobre tu información personal, incluyendo:
- Derecho de inspección (열람권, Artículo 35): solicitar acceso a la información personal que conservamos sobre ti e información sobre su tratamiento.
- Derecho de corrección o eliminación (정정·삭제권, Artículo 36): solicitar la corrección o eliminación de información personal inexacta o recolectada indebidamente. En la práctica, los datos que conservamos son metadatos derivados automáticamente que no son corregibles como concepto; la eliminación sí se honra a tu solicitud.
- Derecho de suspensión del tratamiento (처리정지권, Artículo 37): solicitar la suspensión del tratamiento de la información personal vinculada a tu UUID, en particular el hash anti-abuso de telemetría descrito en la Sección 3.3 (tratado bajo interés legítimo). Evaluaremos la solicitud bajo los supuestos aplicables de la PIPA y detendremos el tratamiento relevante salvo que podamos demostrar motivos legítimos imperiosos.
- Derecho a ser informado y a retirar el consentimiento (Artículos 15 y 22): solicitar información sobre cómo se trata tu información y retirar el consentimiento cuando el tratamiento se base en él. En la práctica, TermPeek trata los datos bajo interés legítimo (Art. 15(1)(4) de la PIPA) y base contractual (suscripción Pro), no bajo consentimiento, por lo que el derecho de retiro de consentimiento no aplica a nuestra operación actual. El derecho a ser informado se cumple mediante esta Política.
Para ejercer estos derechos, envía una solicitud a privacy@termpeek.com. Responderemos dentro de 10 días según lo exige el Artículo 35(3) de la PIPA (extensible hasta 10 días adicionales cuando se justifique).
La autoridad supervisora es la Comisión de Protección de Información Personal (개인정보보호위원회, "PIPC"), a la que puedes contactar en https://www.pipc.go.kr/.
Para detalle sobre la transferencia internacional de tu información personal a Anthropic (Estados Unidos) — limitada al contenido del documento que envías para análisis, procesado en tiempo real y no conservado por TermPeek — y Cloudflare (red edge global) — limitada a los metadatos estándar de solicitud HTTP que tu navegador envía a cualquier servicio web con el que interactúas, más el hash anti-abuso descrito en la Sección 3.3 — incluyendo el receptor, el país, el propósito, los elementos de información personal transferidos, el período de retención del receptor y el procedimiento para retirar tu consentimiento según lo exige el Artículo 28-8 de la PIPA (vigente desde el 15 de septiembre de 2023), ver la Sección 7 de esta Política.
Cumplimiento de la Ley Coreana de IA. TermPeek califica como servicio de IA generativa bajo la Ley Marco de Desarrollo de Inteligencia Artificial y Establecimiento de una Base de Confiabilidad (인공지능 기본법, "Ley Coreana de IA," vigente desde el 22 de enero de 2026). El aviso de transparencia descrito en la Sección 4 — informándote que estás interactuando con un sistema de IA al primer instalar (en nuestra pestaña de bienvenida) y persistentemente en el pie del panel lateral donde aparecen los análisis — también cumple la obligación de transparencia del Artículo 31(1) de la Ley Coreana de IA para usuarios en la República de Corea.
9. Resumen de conservación de datos
| Categoría | Conservación |
|---|---|
| Contenido de los documentos que analizas | No se conserva en los sistemas de TermPeek (stream y descarte). Nuestro subencargado de IA Anthropic puede retener entradas y salidas del análisis temporalmente — generalmente hasta 30 días — para detección de abuso, respuesta a incidentes y confiabilidad del servicio (ver Secciones 3.2 y 5). |
| Resultado del análisis | No se conserva en los sistemas de TermPeek (se envía a tu navegador para visualización; reside en memoria del navegador y se descarta cuando cierras el navegador). La retención de Anthropic aplica según lo descrito arriba. |
| Identificador anónimo de dispositivo (UUID) | Vida útil de la instalación de la extensión; se borra al desinstalar |
| Contador mensual de uso, banderas de onboarding | Vida útil de la instalación de la extensión; se borra al desinstalar |
| Direcciones IP (vía registros de Cloudflare) | Retención operativa estándar de Cloudflare; no conservamos IPs en los registros propios de TermPeek |
| Estado de suscripción (caché KV de Cloudflare) | TTL de 5 minutos, luego reverificado con Polar |
| Hash anti-abuso de telemetría (KV de Cloudflare) | 30 días desde la última actividad, luego se purga automáticamente. Almacenamos únicamente el hash irreversible, nunca los metadatos de solicitud sin procesar usados para calcularlo. Ver Sección 3.3. |
| Datos de pago (vía Polar) | Según la política de retención de Polar |
| Correspondencia relacionada con privacidad (correos que nos envías) | El tiempo necesario para manejar tu solicitud + registros estatutarios (hasta 2 años) |
10. Menores
TermPeek no está dirigido a personas menores de 16 años, y no recolectamos conscientemente datos personales de menores de 16 años. Si consideras que un menor de 16 años ha usado el Servicio, contáctanos en privacy@termpeek.com y eliminaremos los datos vinculados al identificador anónimo de dispositivo (UUID) del menor, según se describe en la Sección 8 (Tus derechos). El contenido del documento analizado por el menor no es conservado por TermPeek (ver Sección 3.2).
Este umbral (16+) aplica globalmente y es consistente con:
- GDPR Art. 8 (edad mínima de consentimiento para servicios de la sociedad de la información — los estados miembro pueden fijarla entre 13 y 16; aplicamos los 16, más protectora, como umbral global uniforme).
- COPPA (EE.UU.) — aplica a menores de 13 años; el umbral de TermPeek de 16+ es más protector.
- LFPDPPP 2025 y consideraciones de patria potestad del Código Civil mexicano.
11. Seguridad
Usamos medidas técnicas y organizativas estándar para proteger tus datos personales:
- Cifrado TLS 1.3 en tránsito para toda la comunicación entre la extensión, nuestro Worker y nuestros subencargados.
- Sin almacenamiento persistente del contenido de los documentos en nuestros servidores.
- Selección de subencargados en función de disponibilidad de SOC 2, ISO 27001 o certificaciones de seguridad de terceros equivalentes.
- Principio del mínimo privilegio: la extensión solicita únicamente los permisos estrictamente necesarios para operar (ver el manifiesto de la extensión en el listado del Chrome Web Store).
- Limitación de tasa (20 solicitudes por minuto por IP) a nivel del Worker para disuadir el abuso.
Ningún sistema es perfectamente seguro. Si consideras que tus datos fueron accedidos o usados de forma que viola esta Política, contáctanos inmediatamente en privacy@termpeek.com.
12. Tecnologías de almacenamiento que usamos
TermPeek usa únicamente chrome.storage.local, un área de almacenamiento gestionada por el navegador que vive en tu dispositivo y se borra cuando desinstalas la extensión. No usamos:
- Cookies de seguimiento, web beacons ni pixel tags
chrome.storage.sync(que sincronizaría datos a través de tus dispositivos vía Google)- SDKs de analítica de terceros
- Herramientas de grabación de sesión
- Fingerprinting
Si visitas termpeek.com (nuestro sitio web), Cloudflare puede usar cookies estándar del sitio para protección anti-bot y caché. Estas no rastrean usuarios individuales entre sitios y no se usan para publicidad. El flujo de checkout de Polar, alojado en polar.sh, establece sus propias cookies para funcionalidad de pagos — ver la Política de Privacidad de Polar para detalle.
13. Certificación "Limited Use" del Chrome Web Store
En cumplimiento con las Políticas del Programa para Desarrolladores del Chrome Web Store, el uso que TermPeek hace de cualquier dato obtenido vía APIs del Chrome Web Store se limita como sigue:
- El uso de los datos se limita a prestar o mejorar el propósito único de TermPeek: analizar documentos legales a solicitud del usuario y proporcionar puntuación de riesgo y resúmenes informativos.
- Sin transferencia de datos de usuario a terceros excepto lo estrictamente necesario para prestar o mejorar el propósito único de TermPeek, como parte de una fusión o adquisición con consentimiento previo explícito del usuario, o para cumplir con la ley aplicable.
- Sin uso de datos de usuario para servir publicidad personalizada.
- Sin venta de datos de usuario a brokers de datos o revendedores de información.
- Sin uso de datos de usuario para determinar solvencia crediticia o para fines de préstamo.
14. Cambios a esta Política
Podemos actualizar esta Política de Privacidad periódicamente. Cuando hagamos un cambio material — por ejemplo, agregar un nuevo subencargado, cambiar la base legal del tratamiento o ampliar las categorías de datos que recolectamos — lo haremos así:
- Actualizaremos la fecha de "Última actualización" en la parte superior de esta Política.
- Publicaremos un resumen del cambio en la parte superior de esta Política durante al menos 30 días después de la actualización.
- Si el cambio reduce materialmente tus derechos, daremos al menos 15 días de aviso anticipado antes de que el cambio entre en vigor.
Tu uso continuado del Servicio después de que un cambio entre en vigor indica aceptación de la Política actualizada. Si no aceptas un cambio, tu recurso es dejar de usar el Servicio y desinstalar la extensión.
15. Contacto
Para preguntas de privacidad, solicitudes de derechos o quejas: privacy@termpeek.com
Responsable: Leonardo Villa Salcedo, con residencia en México (operando como responsable persona física).
Oficial Jefe de Privacidad / Encargado de Protección de Datos: Leonardo Villa Salcedo, en capacidad personal, actuando como punto de contacto designado para asuntos de privacidad bajo el Artículo 31 de la PIPA (República de Corea), el Artículo 37 del GDPR (cuando aplique) y como punto de contacto estándar bajo APPI, LFPDPPP, CCPA/CPRA y otros marcos aplicables. Contacto: privacy@termpeek.com.
Para la respuesta más rápida, incluye en tu mensaje:
- La naturaleza de tu solicitud (ej. "Quiero ejercer mi derecho de acceso bajo GDPR").
- Tu país de residencia (para aplicar el marco legal correcto).
- Cualquier identificador que nos ayude a localizar datos sobre ti — si eres suscriptor Pro, el correo que usaste en el checkout de Polar; en cualquier caso, el identificador anónimo de dispositivo almacenado por tu extensión, disponible en la vista de Ajustes.
Fin de la Política de Privacidad de TermPeek (ES)