Política de privacidad

1. Quiénes somos

aravo es una plataforma SaaS de gestión de tiempo, proyectos, reportes, facturación y presupuestos para freelancers, profesionales independientes y pequeños equipos. El servicio es desarrollado y operado por Kavaju Resa. Si tienes preguntas sobre esta política, puedes contactarnos en hola@aravo.app.

2. Información que recopilamos

Para brindar el servicio, recopilamos la siguiente información:

Datos de cuenta y autenticación: correo electrónico, identificador de usuario y, si eliges Google OAuth, datos básicos facilitados por Google para iniciar sesión.
Datos de trabajo: registros de tiempo, descripciones, tareas, etiquetas, clientes, proyectos, facturas, presupuestos, importaciones o exportaciones compatibles con Toggl, importes, estados y documentos generados.
Datos de workspace: nombre del workspace, miembros, roles, invitaciones, correos invitados, solicitudes de acceso y preferencias de idioma, zona horaria, numeración, branding o configuración documental.
Datos de reportes compartidos: enlaces, permisos, visibilidad, comentarios, nombres o correos de personas invitadas o solicitantes de acceso.
Datos de facturación: plan activo, estado de suscripción, ciclo, identificadores de cliente o suscripción y eventos de pago gestionados por Polar. No almacenamos números completos de tarjetas de crédito.
Datos técnicos y de sesión: tokens de sesión, preferencia de idioma, tema, workspace activo, consentimiento de analytics, registros mínimos de seguridad y datos necesarios para mantener la sesión y operar la aplicación.

La mayor parte de estos datos los introduces tú directamente o se generan por acciones normales dentro del producto.

3. Para qué usamos los datos

Usamos tus datos para prestar y mantener aravo: autenticar usuarios, guardar y mostrar contenido, calcular reportes, generar PDFs, gestionar workspaces, enviar invitaciones, procesar importaciones, aplicar límites de plan, administrar facturación, responder consultas, prevenir abuso y mejorar el producto.

La base para este tratamiento es principalmente la prestación del servicio que solicitas. También podemos tratar ciertos datos por interés legítimo en seguridad, prevención de fraude y mejora operativa; por obligación legal cuando aplique; y por consentimiento cuando se trate de analytics de producto.

4. Análisis y métricas de uso

Con tu consentimiento explícito, utilizamos PostHog (posthog.com) para recopilar métricas de comportamiento dentro del producto. El objetivo es entender qué funciones se usan, detectar fricción y mejorar la experiencia general.

Cuando aceptas el aviso de cookies, PostHog puede registrar:

Páginas visitadas dentro del panel y en la web pública.
Acciones realizadas, como crear registros de tiempo, facturas, presupuestos, proyectos, tareas o enlaces compartidos.
Tu identificador de usuario, correo electrónico y plan activo, para asociar eventos a una cuenta cuando has iniciado sesión.

Importante: tenemos desactivada la captura automática de formularios. No enviamos deliberadamente a PostHog nombres de clientes, descripciones de tiempo, importes de facturas, contenido de presupuestos ni datos equivalentes de tu trabajo. Se registran eventos de interacción y propiedades limitadas, no el contenido de tus documentos.

Los datos de analytics se almacenan exclusivamente en servidores de la Unión Europea (infraestructura EU de PostHog), lo cual cumple con los requisitos del Reglamento General de Protección de Datos (RGPD). Los datos de analytics se conservan durante un máximo de 12 meses.

No vendemos, alquilamos ni compartimos tus datos de analytics con terceros para fines publicitarios o comerciales.

Cómo controlar tu consentimiento

El aviso de analytics aparece en tu primera visita. Si rechazas, PostHog no registrará actividad. Si aceptas y luego cambias de opinión, puedes revocar el consentimiento escribiéndonos a hola@aravo.app o eliminando la entrada aravo-analytics-consent de tu localStorage.

5. Proveedores de servicio

Para operar aravo utilizamos los siguientes terceros como procesadores de datos:

Supabase — autenticación, base de datos, almacenamiento de PDFs y archivos operativos.
Cloudflare — alojamiento web, CDN, funciones serverless, protección de red y ejecución de tareas programadas.
Polar — checkout, portal de suscripción, impuestos, comprobantes y gestión de pagos como merchant of record.
Resend — envío de correos transaccionales, como invitaciones, avisos de facturación y comunicaciones de ciclo de vida de cuenta.
Google — autenticación OAuth si eliges iniciar sesión con Google.
PostHog — analytics de producto (solo con consentimiento).

Cada proveedor opera bajo sus propios términos, medidas de seguridad y política de privacidad. Algunos proveedores pueden tratar datos fuera de tu país de residencia; cuando corresponde, usamos proveedores con garantías contractuales y operativas razonables para servicios SaaS.

6. Seguridad y almacenamiento

Los datos de trabajo se almacenan principalmente en Supabase/Postgres y, cuando generas documentos, en Supabase Storage. Aplicamos medidas razonables como autenticación por sesión, controles de acceso por usuario y workspace, Row Level Security en tablas expuestas, uso restringido de claves de servicio, cifrado en tránsito mediante HTTPS/TLS y medidas de seguridad del proveedor para almacenamiento en reposo.

aravo no ofrece cifrado de extremo a extremo sobre el contenido que introduces. Esto significa que la aplicación y sus servicios backend deben poder procesar tus registros de tiempo, clientes, proyectos, facturas, presupuestos y reportes para mostrar datos, generar documentos, compartir enlaces y prestar soporte cuando sea necesario. No uses aravo para guardar contraseñas, claves privadas, secretos técnicos, datos médicos u otra información altamente sensible que no sea necesaria para gestionar tu actividad profesional.

Ningún sistema es completamente seguro. Si sospechas un acceso no autorizado o un problema de seguridad, contáctanos cuanto antes.

7. Retención y eliminación de datos

Conservamos tus datos mientras tu cuenta o workspace permanezcan activos y durante el tiempo necesario para prestar el servicio, cumplir obligaciones legales, resolver incidencias, prevenir abuso o mantener registros mínimos de facturación y seguridad.

Puedes solicitar la eliminación de tu cuenta desde la configuración del panel. La eliminación se programa con un período de gracia de 60 días; durante ese plazo puedes reactivar la cuenta iniciando sesión de nuevo. Si tienes una suscripción profesional activa, la recurrencia puede quedar programada para cancelarse al final del período vigente.

Cuando finaliza el período de gracia, eliminamos de producción la cuenta de autenticación y los datos asociados que controlamos directamente, incluyendo registros de tiempo, clientes, proyectos, tareas, facturas, presupuestos, enlaces compartidos, PDFs generados y configuración de la cuenta, salvo datos mínimos que debamos conservar por motivos legales, contables, antifraude, seguridad o auditoría. Las copias de seguridad pueden conservar vestigios temporalmente hasta que roten o se sobrescriban según los ciclos técnicos de nuestros proveedores.

Si eres propietario de un workspace con otros miembros activos, es posible que debas transferir la propiedad antes de programar la eliminación de tu cuenta para evitar afectar datos compartidos de otras personas.

8. Derechos de los usuarios

Usuarios en la Unión Europea (RGPD)

Si resides en el Espacio Económico Europeo, tienes los siguientes derechos bajo el Reglamento (UE) 2016/679 (RGPD):

Derecho de acceso (Art. 15): solicitar qué datos personales tenemos sobre ti.
Derecho de rectificación (Art. 16): corregir datos inexactos.
Derecho de supresión (Art. 17): solicitar la eliminación de tus datos.
Derecho de portabilidad (Art. 20): recibir tus datos en formato estructurado.
Derecho de oposición (Art. 21): oponerte al tratamiento de datos para análisis.

Para ejercer tus derechos, contáctanos en hola@aravo.app. Procuraremos responder en menos de 30 días laborables. También puedes gestionar ciertos datos directamente desde el panel, incluyendo edición, exportación de documentos y eliminación de cuenta. Si consideras que no hemos gestionado correctamente una solicitud, puedes acudir a la autoridad de protección de datos que corresponda en tu jurisdicción.

Usuarios en California, Estados Unidos (CCPA)

Si eres residente de California, la California Consumer Privacy Act (CCPA) te otorga derechos adicionales:

Derecho a saber qué información personal recopilamos.
Derecho a solicitar la eliminación de tu información personal.
Derecho a no ser discriminado por ejercer tus derechos de privacidad.

aravo no vende información personal. No transferimos tus datos a terceros con fines comerciales ni publicitarios.

Usuarios en Latinoamérica

Si resides en países de América Latina que cuentan con legislación de protección de datos (como la Ley 25.326 en Argentina, la LGPD en Brasil, o la Ley Federal de Protección de Datos en México), tienes derechos similares de acceso, rectificación, cancelación y oposición. Contáctanos para ejercerlos.

9. Privacidad infantil

aravo es una plataforma profesional concebida intrínsecamente para adultos (freelancers, contratistas y agencias operativas). Nuestro servicio de software no se dirige bajo ninguna circunstancia a menores de edad; tampoco recopilamos o almacenamos intencionalmente datos personales relativos a menores de 18 años. Si eres padre o tutor legal y confirmas que un menor ha proveído información, por favor dirígete a nuestro correo electrónico para aplicar su cese y eliminación inminente.

10. Cambios a esta política

Podemos modificar esta política de privacidad para reflejar cambios del producto, proveedores, medidas técnicas o requisitos legales. Si los cambios son materiales, procuraremos avisarte mediante la web, el panel o el correo asociado a tu cuenta. La fecha de última actualización indica la versión vigente.

11. Contacto

Para cualquier consulta sobre el procesamiento de tus datos, esta política o el ejercicio de tus derechos, escríbenos a:

hola@aravo.app