Política de privacidad

Última actualización: 25 de mayo de 2026

1. Introducción

Esta política de privacidad explica cómo Sovereign Systems recopila, utiliza y protege sus datos personales. Abarca dos ámbitos distintos: (1) el sitio web de marketing en sovereignsystems.cc y (2) la aplicación de escritorio SOSA DevOps. Estos tienen arquitecturas de datos fundamentalmente diferentes. Cumplimos con el GDPR (UE) y la PDPA (Tailandia).

2. Responsable del tratamiento

Sovereign Systems, con sede en Tailandia. Correo electrónico: [email protected]

3. Qué datos recopilamos

Ámbito del sitio web: datos de cuenta (correo electrónico, nombre de visualización), cookies de sesión para autenticación y análisis sin cookies mediante Cloudflare Web Analytics. Ámbito de la aplicación de escritorio: ninguno. SOSA DevOps es local-first. Todos los datos de la aplicación — consultas, respuestas de IA, historial de sesiones, registros de auditoría — se almacenan únicamente en su dispositivo. Sovereign Systems no tiene ningún servidor que reciba o almacene sus datos de interacción.

4. Qué NO recopilamos

Sovereign Systems no recopila: — Consultas, respuestas de IA o contenido de sesión de SOSA DevOps — Telemetría, estadísticas de uso o análisis de funciones de la aplicación de escritorio — Informes de fallos o errores de la aplicación de escritorio — Archivos de audio, archivos de proyecto, datos MIDI o contenido creativo — Historial de navegación, datos de ubicación o listas de contactos — Cookies de rastreo de terceros o identificadores publicitarios — Datos de pulsaciones de teclas, grabaciones de pantalla o datos biométricos La aplicación de escritorio no tiene ruta de carga, ruta de sincronización ni canal de telemetría.

5. Cómo usamos los datos

Los datos del sitio web se utilizan para: autenticación (verificar su identidad), comunicaciones de servicio esenciales (avisos de cuenta y seguridad). No enviamos correos electrónicos de marketing sin consentimiento explícito. No usamos sus datos para publicidad ni los vendemos a terceros.

6. Vault A — Cadena de auditoría criptográfica (aplicación de escritorio)

Vault A es una cadena de auditoría criptográfica local de solo adición almacenada en vault/audit-chain.jsonl en su dispositivo. Cada entrada contiene una marca de tiempo, tipo de evento, conteos de caracteres y hashes de contenido — nunca el texto sin formato de sus consultas o respuestas. Los hashes son unidireccionales (SHA-256); nada en Vault A puede revertirse a su contenido. Vault A es el registro a prueba de manipulaciones de lo que ocurrió. Nunca sale de su dispositivo. Sovereign Systems no puede leerlo.

7. Vault B — Registro de interacciones (aplicación de escritorio)

Vault B es un registro de interacciones local almacenado en vault/interaction-log.jsonl en su dispositivo. Contiene sus consultas, respuestas de IA y cualquier contexto RAG recuperado — en texto claro. Se almacena localmente para su propia revisión, evaluación de modelos y exportación. Vault B nunca sale de su dispositivo. Puede consultarlo desde Herramientas → Abrir registro de interacciones, exportar sesiones en formato TXT, PDF o JSONL, y eliminar sesiones mediante una confirmación por escrito. Vault B es suyo — Sovereign Systems no puede leerlo.

8. Limitación conocida v1.0 — Consultas en texto claro

SOSA DevOps v1.0 todavía no incluye un limpiador de PII completamente integrado para consultas de IA locales. En v1.0, sus consultas se escriben en Vault B tal como las escribió. Si pega una contraseña, clave API u otras credenciales sensibles en el chat, aterrizan en Vault B en texto claro. Medidas: (1) no pegue secretos en el chat, (2) si lo hace, elimine la sesión desde el visor de Vault B, (3) use cifrado de disco completo en su máquina. El limpiador de PII se integra en v1.1. Esta sección se actualizará en ese momento.

9. Modelos de IA locales

SOSA DevOps se conecta a un entorno de ejecución Ollama local que usted instala por separado. Los modelos se ejecutan en su hardware. Sus consultas se envían a 127.0.0.1:11434 — una dirección de loopback que no sale de su dispositivo. Los modelos no aprenden de usted; Ollama solo realiza inferencia, los pesos están congelados. Sovereign Systems nunca recibe sus consultas.

10. Proveedores de API externos

SOSA DevOps v1.0 se entrega sin proveedores de IA externos conectados. La pestaña Proveedores externos muestra todos los proveedores como Desactivados. Ninguna consulta, respuesta o contenido sale de su dispositivo a través de la aplicación. Cuando se conecten proveedores externos en v1.1+, cada solicitud saliente pasará por el Privacy Filter antes de salir del dispositivo. Vault A y Vault B continuarán registrando todas las interacciones. Esta política se actualizará para documentar cada proveedor, los datos enviados y las salvaguardas de transferencia aplicables.

11. Encargados del tratamiento (solo sitio web)

Los siguientes encargados del tratamiento gestionan los datos del sitio web en nuestro nombre: Supabase (Estados Unidos) — autenticación y base de datos. Certificado SOC 2 Tipo II. Cloudflare (Estados Unidos) — alojamiento web, CDN y almacenamiento R2. Certificado SOC 2 Tipo II e ISO 27001. Cloudflare Web Analytics no usa cookies y no recopila información de identificación personal. Todos los encargados están vinculados por Acuerdos de Tratamiento de Datos (ATD) que exigen el cumplimiento del GDPR y la PDPA. La aplicación de escritorio no tiene encargados — todos los datos son locales.

12. Transferencias internacionales de datos

Ámbito del sitio web: sus datos personales pueden ser procesados en los Estados Unidos por Supabase y Cloudflare. Para el cumplimiento del GDPR (Capítulo V) nos apoyamos en las Cláusulas Contractuales Estándar (CCE). Para el cumplimiento de la PDPA (Secciones 28-29) nos apoyamos en salvaguardas contractuales, ya que no se ha publicado ninguna lista de adecuación del PDPC a partir de 2026. Ámbito de la aplicación de escritorio: no se producen transferencias internacionales en v1.0. Todos los datos son locales en su dispositivo.

13. Retención de datos

Los datos de cuenta del sitio web se retienen mientras su cuenta esté activa. Tras la eliminación de la cuenta, los datos personales se eliminan en un plazo de 30 días. Las copias de seguridad cifradas se purgan en 90 días. Datos de la aplicación de escritorio: retenidos en su dispositivo bajo su control. Elimine sesiones desde el visor de Vault B, o desinstale y elimine el directorio de datos de la aplicación para una eliminación completa.

14. Cookies

Solo cookies esenciales: una cookie de sesión HTTP-only, Secure establecida por Supabase para mantener su estado de sesión iniciada, y ss_cookie_consent para registrar su reconocimiento de este aviso. No utilizamos cookies de rastreo, analíticas, publicitarias ni de terceros. Cloudflare Web Analytics es completamente libre de cookies.

15. Sus derechos bajo el GDPR

Si se encuentra en el EEE: acceso, rectificación, supresión, portabilidad de datos, oposición, limitación, retirada del consentimiento y derecho a presentar una reclamación ante su autoridad de control. Contacto: [email protected]. Respondemos en un plazo de 30 días. Para datos de la aplicación de escritorio: sus derechos se ejercen directamente — sus datos están en su máquina. Ver (Herramientas → Abrir registro de interacciones), exportar (TXT/PDF/JSONL por sesión), eliminar (por sesión o desinstalación completa).

16. Sus derechos bajo la PDPA (Tailandia)

Acceso, corrección, eliminación, oposición, portabilidad de datos y retirada del consentimiento. La retirada debe ser tan fácil como otorgar el consentimiento. Presente reclamaciones ante el Comité de Protección de Datos Personales (PDPC) en pdpc.or.th. Contacto: [email protected].

17. Notificación de brechas de datos

Una brecha de datos convencional — acceso no autorizado a una base de datos de servidor — está estructuralmente limitada por la arquitectura de SOSA DevOps. No operamos ningún servidor que contenga sus datos de interacción. Si descubrimos un incidente de seguridad que afecte a datos que sí conservamos (p. ej. la lista de correo del sitio web o las claves de firma de la aplicación), notificaremos al PDPC y a la autoridad de control de la UE correspondiente en un plazo de 72 horas, y a las personas afectadas sin demora indebida si existe un alto riesgo para sus derechos y libertades.

18. Privacidad de menores

Nuestros servicios no están dirigidos a niños. Bajo el GDPR, no recopilamos conscientemente datos de niños menores de 16 años. Bajo la PDPA, los niños menores de 10 años requieren consentimiento parental. Contacte con [email protected] si cree que un niño ha proporcionado datos.

19. Cambios en esta política

Los cambios sustanciales — como añadir telemetría, conectar un proveedor externo o modificar la invariante solo-local — se anunciarán con 30 días de antelación por correo electrónico y en un banner dentro de la aplicación. Los cambios menores (aclaraciones, correcciones tipográficas) se documentan en el registro de cambios del proyecto.

20. Contacto

Preguntas de privacidad: [email protected] Preguntas sobre IA: [email protected] Divulgación de seguridad: [email protected] Preguntas legales: [email protected]