Política de Privacidad

Cómo QLAC trata datos personales, técnicos y de uso cuando visitas la web o utilizas la plataforma.

Información legal publicada para QLAC Audit.

Última actualización: 2026-05-11

1. Responsable del tratamiento

El responsable del tratamiento para QLAC Audit es Fantomid LLC, sociedad constituida en New Mexico, USA, operadora de QLAC Audit, con domicilio registrado en 1209 Mountain Road PL NE, STE R, Albuquerque, NM 87110, USA. Contacto de privacidad: privacy@qlacaudit.com.

Esta política se aplica a la web comercial de QLAC, al acceso a la aplicación, a formularios, solicitudes de trial, comunicaciones de soporte y uso ordinario de la plataforma.

2. Datos que podemos tratar

  • Datos de cuenta: nombre, email, contraseña cifrada, idioma, moneda preferida, rol y estado de la cuenta.
  • Datos de contacto y empresa: organización, país, proyecto asociado, mensajes enviados y datos de soporte.
  • Datos de facturación y suscripción: plan, ciclo, moneda, estado de checkout, eventos de Paddle, facturas y datos fiscales necesarios. QLAC no almacena tarjetas ni datos bancarios.
  • Datos técnicos de proyecto: URLs auditadas, stack declarado, resultados de mediciones Lighthouse en laboratorio, indexación, informes, evidencias, archivos subidos y actividad asociada.
  • Datos de seguridad: registros de acceso, audit trail, eventos de abuso, rate limits, cambios de sesión, 2FA y descargas autorizadas.
  • Cookies y preferencias: idioma, moneda, consentimiento de cookies y preferencias estrictamente necesarias para prestar el servicio.

3. Finalidades y bases legales

Tratamos datos para crear y gestionar cuentas, prestar el servicio contratado, ejecutar mediciones y auditorías, generar informes, aplicar límites de plan, gestionar billing, atender soporte, prevenir abuso y mantener la seguridad de la plataforma.

Las bases legales habituales son la ejecución de un contrato o medidas precontractuales, el cumplimiento de obligaciones legales, el interés legítimo en seguridad y mejora del servicio, y el consentimiento cuando se usen cookies no necesarias, comunicaciones comerciales o integraciones opcionales.

4. Proveedores y transferencias

QLAC puede apoyarse en proveedores de hosting, email transaccional, almacenamiento, monitorización, analytics con consentimiento, Paddle para pagos y proveedores de IA o automatización solo si la funcionalidad está activada y documentada.

Cuando un proveedor esté fuera del Espacio Económico Europeo o trate datos desde terceros países, deberán revisarse las garantías aplicables, como cláusulas contractuales tipo, acuerdos de tratamiento, medidas suplementarias o mecanismos equivalentes.

5. Conservación

  • Cuenta y suscripción: mientras exista relación activa y durante los plazos necesarios para obligaciones legales o reclamaciones.
  • Informes, evidencias y mediciones: mientras el proyecto esté activo o según el plan contratado, políticas de retención o solicitudes de borrado aplicables.
  • Logs de seguridad y audit trail: durante el tiempo razonable para trazabilidad, prevención de abuso, cumplimiento y defensa ante incidencias.
  • ZIPs, artefactos y credenciales temporales: con retención limitada y limpieza programada cuando ya no sean necesarios.
  • Analytics: según la herramienta usada y siempre sujeto al consentimiento cuando proceda.

6. Derechos de las personas

Puedes solicitar acceso, rectificación, supresión, oposición, limitación, portabilidad y retirada del consentimiento cuando el tratamiento se base en él. También puedes presentar una reclamación ante la autoridad de control competente.

Para ejercer derechos escribe a privacy@qlacaudit.com. En la app, el Portal Cliente incluye exportación de datos y solicitud de borrado para facilitar la gestión operativa, sin sustituir la evaluación legal de cada solicitud.

7. Seguridad

QLAC aplica controles razonables: autenticación, separación entre Backoffice y Portal Cliente, políticas de acceso por rol, almacenamiento privado, descargas por controlador autorizado, no ejecución de código subido, cifrado de secretos y registros de auditoría.

Ningún sistema puede garantizar seguridad absoluta. QLAC comunica medidas, límites y responsabilidades sin presentar certificaciones no obtenidas ni prometer riesgo cero.

8. Contacto y cambios

Contacto de soporte: support@qlacaudit.com. Contacto de privacidad: privacy@qlacaudit.com. Los cambios relevantes de esta política se publicarán con fecha de actualización y, cuando sea necesario, se comunicarán por medios razonables.

9. Aviso internacional de privacidad

Esta política funciona como aviso global para usuarios, clientes y visitantes internacionales. Si una norma regional concede derechos adicionales, QLAC aplicará el suplemento regional correspondiente sin reducir los derechos previstos en el aviso global.

QLAC no vende datos personales ni comparte datos para publicidad comportamental entre contextos. Si esto cambiara en el futuro, la política, el banner de cookies y los mecanismos de opt-out deberán actualizarse antes de activar esa práctica.

10. Suplementos regionales

  • EU/EEA: cuando aplique el GDPR, QLAC documentará responsable o encargado, base legal, derechos, retención, transferencias internacionales y garantías como decisiones de adecuación, cláusulas contractuales tipo o medidas suplementarias.
  • UK: antes de dirigir operaciones de forma material al Reino Unido, QLAC debe validar el suplemento británico y los datos de contacto o representación exigibles con fuente oficial específica. Mientras tanto, se aplican el aviso global y salvaguardas contractuales equivalentes cuando proceda.
  • US / California: si el CCPA/CPRA aplica, los residentes de California podrán ejercer derechos de acceso, eliminación, corrección, limitación de uso de información sensible y opt-out de venta o compartición. QLAC respeta Global Privacy Control para venta, compartición publicitaria comportamental y marketing cuando corresponda.
  • Brazil: bajo LGPD, QLAC atenderá derechos de confirmación, acceso, corrección, anonimización, bloqueo, eliminación, información sobre compartición y revocación de consentimiento cuando sean aplicables.
  • Canada: QLAC aplicará principios de consentimiento significativo, fines identificados, acceso, corrección, salvaguardas, retención limitada y canal de reclamaciones cuando PIPEDA u obligaciones equivalentes sean aplicables.
  • Australia: QLAC alineará el tratamiento con principios de transparencia, colección limitada, uso y divulgación adecuados, seguridad, corrección y acceso cuando apliquen los Australian Privacy Principles.
  • Singapore: QLAC tendrá en cuenta obligaciones de consentimiento, notificación, limitación de finalidad, exactitud, protección, retención, transferencias y accountability cuando aplique PDPA.
  • Japan: QLAC documentará finalidades, obtención adecuada, seguridad, restricciones de transferencias a terceros, divulgación, corrección y suspensión de uso cuando aplique APPI.
  • Otras regiones / LATAM: QLAC tratará solicitudes regionales desde el canal de privacidad con principios de transparencia, minimización, finalidad, seguridad, retención limitada y respuesta proporcional al riesgo.

11. No vender ni compartir información personal

QLAC no vende datos personales y actualmente no comparte información personal para publicidad comportamental entre contextos. El uso de Paddle para pagos, proveedores de hosting, email, seguridad o analytics con consentimiento no se considera una venta de datos personales por parte de QLAC.

Cuando el navegador envía Global Privacy Control, QLAC lo trata como una señal de opt-out para venta, compartición publicitaria comportamental y marketing cuando sea legalmente relevante. Rechazar cookies no necesarias implica que no se cargan analytics ni marketing.

12. Avisos futuros de producto

  • Análisis asistido por IA: si se activa, QLAC deberá explicar proveedor, datos enviados, finalidad, límites, retención, revisión humana y cómo excluir datos sensibles.
  • Acceso a repositorios: GitHub/GitLab deberá requerir consentimiento explícito, permisos mínimos, trazabilidad, cifrado de tokens y revocación visible.
  • RUM / Real User Monitoring: si se activa medición de campo, deberá diferenciarse de las mediciones Lighthouse en laboratorio, requerir consentimiento cuando proceda y describir datos, muestreo, retención y proveedores.