Limpiar Email

Política de privacidad

Última actualización · 2026-05-28 · Versión 2

00 · Responsable del tratamiento

Este servicio lo opera Jaume, persona física, como responsable del tratamiento. Contacto: [email protected]. Limpiar Email es el nombre comercial del servicio.

Esta política describe qué datos personales tratamos cuando usas Limpiar Email, con qué finalidades, durante cuánto tiempo, con quién los compartimos, y qué derechos tienes sobre ellos. Aplica al sitio web, a la aplicación, y a todas las operaciones que el servicio realiza contra tu cuenta de Google.

01 · Qué datos recogemos

Cuando inicias sesión con Google:

  • Tu identificador único de Google (sub).
  • Tu dirección de email asociada a esa cuenta de Google.
  • Un access token y un refresh token OAuth 2.0 emitidos por Google, junto con su fecha de expiración. Estos tokens son los que permiten al servicio llamar a la API de Gmail en tu nombre.

No almacenamos tu contraseña de Google en ningún momento. Google nunca nos la entrega.

Cuando lanzas un escaneo de tu inbox, por cada mensaje analizado guardamos:

  • El ID interno de Gmail del mensaje y de su hilo.
  • El remitente, el asunto, un snippet corto y la fecha de recepción.
  • La clasificación que asignamos (basura / importante / desconocido), la razón corta (qué regla hizo match) y la acción aplicada (pendiente / movido a papelera / dejado / etiquetado / fallido).

No descargamos ni almacenamos el cuerpo completo de tus mensajes, ni archivos adjuntos.

Datos técnicos mínimos: una cookie de sesión httpOnly + SameSite para mantenerte autenticado, y logs operativos del worker (timestamps, IDs internos, número de mensajes procesados, errores) sin contenido de tus emails.

02 · Cómo usamos los datos de Google

Usamos los tokens OAuth para llamar exclusivamente a estas operaciones de la API de Gmail, y solo cuando tú las solicitas explícitamente:

  • users.messages.list — para enumerar el lote de mensajes a clasificar.
  • users.messages.get (formato metadata) — para leer remitente, asunto y snippet.
  • users.messages.trash — solo cuando tú confirmas el envío de un escaneo a la papelera.

El propósito es exclusivamente proveer y mejorar la funcionalidad del servicio que estás usando: clasificar tu correo según tus reglas y mover a la papelera lo que tú confirmes.

03 · Cumplimiento del Limited Use (Google API Services User Data Policy)

El uso y la transferencia que Limpiar Email hace de la información recibida desde las APIs de Google a cualquier otra aplicación cumplirá con la Google API Services User Data Policy, incluidos los requisitos de Limited Use.

En particular, declaramos expresamente que NO:

  • Transferimos datos de Gmail a terceros con fines publicitarios, de prospección, ni de creación de perfiles.
  • Usamos datos de Gmail para mostrarte ni servirte anuncios. Los anuncios de AdSense en este sitio se sirven con datos de Google ajenos a tu Gmail.
  • Usamos datos de Gmail para entrenar, ajustar, evaluar ni desarrollar modelos generales de inteligencia artificial o machine learning.
  • Permitimos que personas humanas lean tus emails, salvo (a) con tu consentimiento explícito para resolver un incidente que tú nos reportas, (b) cuando sea estrictamente necesario por motivos de seguridad (p. ej., investigar abuso de la plataforma), o (c) cuando la ley nos obligue.

04 · Sub-procesadores y con quién compartimos

No vendemos tus datos. No los cedemos a terceros para sus propios fines. Para operar el servicio, los datos pasan por los siguientes proveedores en calidad de encargados del tratamiento:

  • Proveedor de hosting (VPS): ejecuta la aplicación y la base de datos. Sin acceso lógico a los datos por su parte.
  • MySQL gestionado: almacena los datos descritos en la sección 01.
  • RabbitMQ: cola interna que orquesta los trabajos de escaneo y purga. Solo contiene identificadores de trabajo, no contenido de emails.
  • Google LLC: origen de los datos OAuth y de la API de Gmail. La relación se rige por los términos de Google que aceptaste al iniciar sesión.
  • Google AdSense (si está activo en esta instalación): sirve anuncios. AdSense no recibe datos de tu Gmail; solo lo habitual de navegación web (cookies, IP, user-agent).

05 · Mecanismos de protección

Aplicamos las siguientes medidas técnicas y organizativas:

  • Todo el tráfico hacia el sitio y hacia las APIs de Google viaja sobre TLS 1.2+.
  • Los access tokens y refresh tokens de Google se cifran a nivel de columna con AES-256-GCM antes de persistirse. La clave de cifrado (KEK) se gestiona como secreto del entorno de ejecución, fuera del repositorio de código y de los backups de la base de datos.
  • El acceso al servidor de base de datos está limitado al backend del servicio por reglas de red y credencial dedicada.
  • La cookie de sesión se emite con flags HttpOnly, Secure y SameSite=Lax.
  • El servicio aplica el principio de mínimo privilegio: la API solo pide los scopes estrictamente necesarios (gmail.modify + perfil básico).
  • Los logs no contienen contenido de tus emails, solo identificadores internos y contadores.
  • Las credenciales del servidor (OAuth client secret, clave de cifrado de tokens, contraseña de DB, RabbitMQ) se gestionan como secretos fuera del repositorio de código.

06 · Retención y borrado

Aplicamos los siguientes plazos de conservación:

  • Emails clasificados (tabla classified_emails): 30 días desde su creación. Se eliminan automáticamente. Si necesitas conservar un resultado más tiempo, exporta la lista antes.
  • Trabajos de escaneo (tabla scan_jobs): 30 días, con los mismos criterios.
  • Reglas (tabla filter_rules): hasta que tú las borres o hasta que se elimine la cuenta.
  • Tokens OAuth y datos de cuenta: hasta que (a) revocas los permisos en myaccount.google.com/permissions, o (b) solicitas el borrado de tu cuenta.

Cuando revocas los permisos en Google, el servicio detectará el primer fallo de refresh del token y borrará tus datos asociados (emails clasificados, escaneos y reglas) en un plazo máximo de 30 días, conservando únicamente lo estrictamente necesario para cumplir obligaciones legales si las hubiera.

Puedes pedir el borrado inmediato escribiendo a [email protected]. Te responderemos en un máximo de 30 días.

07 · Tus derechos

Tienes derecho a:

  • Acceso: solicitar copia de los datos que tenemos sobre ti.
  • Rectificación: corregir datos inexactos.
  • Supresión: pedir el borrado de tu cuenta y datos asociados.
  • Oposición y limitación: oponerte a tratamientos concretos o restringirlos.
  • Portabilidad: recibir tus datos en formato estructurado y legible por máquina.
  • Revocación: retirar el consentimiento OAuth en cualquier momento desde tu cuenta de Google; eso interrumpe inmediatamente nuestro acceso a tu Gmail.
  • Reclamación: si crees que no respetamos tus derechos, puedes reclamar ante la autoridad de protección de datos competente (en España, la AEPD: aepd.es).

Para ejercer cualquiera de estos derechos, escribe a [email protected].

08 · Cookies y consentimiento

Usamos las siguientes categorías de cookies:

  • Esenciales (siempre activas): una única cookie técnica de sesión, HttpOnly + Secure + SameSite=Lax, necesaria para mantenerte autenticado tras el login con Google. La ley no requiere consentimiento para cookies estrictamente necesarias.
  • Marketing (opt-in): si y solo si una instalación tiene Google AdSense configurado, mostramos un banner de consentimiento en tu primera visita. AdSense solo se carga si aceptas. Si rechazas, la librería de AdSense no se descarga y no verás anuncios.

Puedes cambiar tu elección en cualquier momento pulsando Configurar cookies en el pie de página. AdSense también te permite gestionar la personalización publicitaria en adssettings.google.com.

No usamos cookies de analítica propia, ni rastreadores de terceros más allá de los descritos.

09 · Menores

Limpiar Email no está dirigido a menores de 14 años. Si descubrimos que hemos recogido datos de un menor sin el consentimiento adecuado, los eliminaremos.

10 · Cambios a esta política

Si modificamos esta política de forma sustancial, actualizaremos la fecha en la cabecera y, si los cambios afectan a cómo tratamos tus datos, mostraremos un aviso visible en el dashboard la próxima vez que inicies sesión. Cambios menores (correcciones, redacción) se publicarán sin aviso.

11 · Contacto

Para cualquier pregunta sobre privacidad o sobre cómo tratamos tus datos, escribe a [email protected]. Respondemos en un máximo de 30 días.