Política de Privacidad

Última revisión: 4 de junio de 2026

La privacidad no es una sección en Noctcom: es la arquitectura. El servidor está construido para no poder leer tu contenido. Esta política explica qué datos tratamos, por qué, durante cuánto tiempo y qué derechos tienes (RGPD).

1. Responsable del tratamiento

Redder Labs, responsable del tratamiento de los datos del servicio Noctcom. Para cualquier asunto de privacidad o para ejercer tus derechos: [email protected].

2. El principio zero-knowledge

Tus archivos se cifran en tu dispositivo con claves derivadas de tu contraseña, que nunca sale de él. Lo que llega a nuestros servidores es texto cifrado que no podemos descifrar: ni el contenido, ni los nombres de archivo, ni los metadatos. No es una promesa de «no mirar»: es una imposibilidad técnica, verificable en el código abierto (AGPL-3.0).

3. Qué datos tratamos

Tratamos el mínimo imprescindible para que el servicio funcione:

  • Hash del correo electrónico (BLAKE2b). No almacenamos tu email en claro. Cuando necesitamos enviarte un correo (verificación, código de acceso, recuperación), tu cliente nos envía el email solo para esa entrega y se transmite a nuestro proveedor de email; no se guarda en nuestra base de datos.
  • Nombre de usuario que tú eliges (puede ser un seudónimo).
  • Contenido cifrado: blobs de archivos, nombres y metadatos, todos cifrados de extremo a extremo. Para nosotros son bytes opacos.
  • Datos técnicos de seguridad: registros de sesión y de intentos de acceso con la dirección IP hasheada (no en claro), para prevenir abuso y fuerza bruta.
  • Información de dispositivo (p. ej. el navegador), almacenada cifrada para que reconozcas tus sesiones.
  • Informes de error: ante un fallo de la aplicación, se registra el error técnico (traza, navegador) para poder corregirlo; puede incluir la dirección IP de la petición. No incluye tu contenido.

No creamos perfiles publicitarios, no vendemos datos y no usamos cookies de rastreo (ver la Política de Cookies).

4. Para qué y con qué base legal

  • Prestar el servicio (cuenta, almacenamiento, sincronización): ejecución del contrato (art. 6.1.b RGPD).
  • Seguridad y prevención de abuso (hashes de IP, límites, registros): interés legítimo (art. 6.1.f).
  • Corrección de errores (informes técnicos): interés legítimo (art. 6.1.f), minimizando datos.
  • Comunicaciones de servicio (verificación, códigos, avisos): ejecución del contrato.

5. Encargados y transferencias internacionales

Para operar, usamos proveedores que actúan como encargados del tratamiento. Solo manejan datos cifrados o el mínimo necesario:

  • Render — alojamiento de la aplicación.
  • Neon — base de datos (metadatos cifrados y hashes).
  • Backblaze B2 — almacenamiento de los blobs cifrados.
  • Resend — envío de correos (recibe tu email solo para entregar el mensaje).
  • Google / Firebase — notificaciones push (si las activas).
  • GlitchTip — registro de errores de la aplicación.
  • Cloudflare — red de distribución y protección frente a ataques.

Algunos proveedores pueden tratar datos fuera del Espacio Económico Europeo (p. ej. EE. UU.). En esos casos, las transferencias se amparan en las garantías previstas por el RGPD (cláusulas contractuales tipo o marcos de adecuación vigentes). Dado el diseño zero-knowledge, lo que estos proveedores almacenan es, en su mayor parte, cifrado e ilegible para ellos.

6. Cuánto tiempo conservamos los datos

  • Cuenta y contenido cifrado: mientras tu cuenta exista. Al borrarla, se eliminan.
  • Registros de intentos de acceso: se purgan automáticamente a los 30 días.
  • Sesiones: hasta su expiración o revocación.
  • Copias de seguridad: se conservan durante una ventana limitada y rotan; el contenido sigue cifrado.

7. Tus derechos (RGPD)

Puedes ejercer en cualquier momento tus derechos de:

  • Acceso y rectificación.
  • Supresión: puedes borrar tu cuenta y datos desde los ajustes.
  • Portabilidad: exporta tu bóveda completa cuando quieras.
  • Oposición y limitación del tratamiento.

Para ejercerlos, escríbenos a [email protected]. También tienes derecho a reclamar ante la autoridad de control competente (en España, la Agencia Española de Protección de Datos).

Nota: por el cifrado zero-knowledge, no podemos acceder al contenido de tu cuenta para atender una solicitud sobre archivos concretos; tú mantienes ese acceso con tus claves.

8. Menores

Noctcom no está dirigido a menores de 14 años. Si crees que un menor nos ha facilitado datos sin el consentimiento adecuado, contáctanos y lo resolveremos.

9. Cambios en esta política

Podemos actualizar esta política. Los cambios sustanciales se comunicarán por los medios disponibles. La fecha de «última revisión» de arriba indica la versión vigente.

Política de Privacidad · Noctcom | Noctcom