Saltar al contenido
Drokio — guardián digitalDROKIO
Legal

Resumen de Tratamiento de Datos

Última actualización: 1 de junio de 2026 · Versión 1.0

Este documento resume cómo tratamos datos al estilo de un registro de actividades de tratamiento. Es un complemento operativo de la Política de Privacidad (que prevalece en caso de discrepancia) y de la Política de Cookies.

1. Responsable del tratamiento

  • Entidad responsable: FANFUSION HUB, LLC (Wyoming, Estados Unidos).
  • Marca comercial: Drokio.
  • Contacto de privacidad: soporte@drokio.com.

2. Finalidades y bases de licitud

FinalidadDatosBase de licitud
Prestar el servicio y activar licenciasEmail, URL del sitio, license keyEjecución del contrato
Procesar pagosDatos de pago (los maneja Stripe; no los vemos)Ejecución del contrato / obligación legal
Soporte y comunicaciones transaccionalesEmail, contenido de la consultaEjecución del contrato / interés legítimo
Seguridad de la plataforma y protección colectivaTelemetría anonimizada (hashes), IOCs anonimizadosInterés legítimo en la seguridad
Cookies opcionales (si existieran)Preferencia de consentimientoConsentimiento (opt-in explícito)

3. Categorías de datos y minimización

Aplicamos minimización agresiva. La mayoría de los datos que genera el plugin Drako nunca salen del servidor del cliente. Lo que sí viaja a nuestra infraestructura está diseñado para no contener datos personales:

  • Identificadores como hash SHA-256 — la URL del sitio y la API-key viajan hasheadas, nunca en claro.
  • IOCs anonimizados (hashes de archivos maliciosos, IPs atacantes, patrones de request) enriquecidos solo con categoría de industria y país, sin identificar al cliente.
  • Contenido analizado en memoria y descartado — cuando el motor de IA analiza un archivo sospechoso, el contenido no se persiste ni se usa para entrenar modelos.

4. Privacidad por construcción (invariantes must-be-false)

La telemetría de plataforma impone, a nivel de base de datos y de la capa de persistencia, un modelo de privacidad por construcción. Un registro de telemetría tiene garantizado en false que contenga cualquiera de estos elementos — y la escritura se rechaza si alguno no es false:

  • Datos personales (PII).
  • Contenido de archivos.
  • Secretos o credenciales.
  • Direcciones IP en claro.
  • Payloads crudos de la request.

Un redactor descarta cualquier campo fuera de la lista permitida antes de escribir. El mismo modelo de consentimiento garantiza que ninguna categoría no-esencial se active sin tu opt-in explícito.

5. Sub-encargados (sub-processors)

Nos apoyamos en los siguientes proveedores, cada uno tratando datos estrictamente para la función indicada:

ProveedorFunciónUbicación
StripeProcesamiento de pagos (PCI-DSS)EE.UU. / UE
VercelHosting del sitio públicoEE.UU.
CloudflareCDN, Tunnel, mitigación DDoSGlobal (anycast)
ResendEmails transaccionalesEE.UU.
GroqInferencia del asistente de chat de soporte (opcional), con redacción de PII previaEE.UU.
DeepSeekInferencia del asistente de chat de soporte (opcional), con redacción de PII previaChina

Análisis de seguridad del sitio: el contenido/código que el plugin envía para análisis de malware NO viaja a OpenAI, Anthropic ni Google — corre con scoring heurístico y motor auto-hosteado en infraestructura propia en Soacha, Colombia, y se descarta tras el análisis.

Asistente de chat de soporte: función opcional (desactivable). Cuando está activa, tu mensaje —con PII redactada antes de salir— se envía a los proveedores de inferencia DeepSeek y/o Groq (ver tabla). No usa OpenAI, Anthropic ni Google. Si preferís no usarlo, escribinos directo a soporte@drokio.com.

6. Transferencias internacionales

Algunos datos se procesan en Estados Unidos (donde opera FANFUSION HUB, LLC y proveedores como Stripe, Vercel, Cloudflare, Resend y Groq) y en otras ubicaciones de nuestros proveedores. En particular, si usás el asistente de chat de soporte, tu mensaje (con PII redactada) puede procesarse en infraestructura de DeepSeek en China. Aplicamos medidas equivalentes de protección: cifrado en tránsito y en reposo, redacción de PII antes de la inferencia, y compromisos contractuales con cada proveedor.

7. Retención

  • Telemetría de plataforma: 90 días, luego eliminación automática.
  • Eventos operativos: 90 días rolling; después se agregan y se eliminan los registros individuales.
  • Cuenta y licencia: mientras la suscripción esté activa (+90 días de retención legal por facturación al cancelar).
  • Logs de acceso al sitio: máximo 12 meses para auditoría de seguridad.
  • Registro de solicitudes DSAR (sección 8): 365 días desde la recepción, para dejar trazabilidad auditable de cada solicitud y su resolución. El registro guarda únicamente metadatos del ciclo de vida y un hash del titular — nunca tu email, nombre ni el cuerpo de la solicitud.

El detalle completo de retención está en la Política de Privacidad, sección 5.

8. Tus derechos y cómo ejercerlos

Como titular tenés derecho a conocer, actualizar, rectificar, suprimir/eliminar, portar tus datos y a revocar el consentimiento u oponerte al tratamiento, conforme a la Ley 1581 de 2012 (Colombia), la LGPD (Brasil), el RGPD y legislación equivalente.

  • Canal principal: escribí a soporte@drokio.com. Respondemos en máximo 15 días hábiles.
  • Canal estructurado (DSAR): POST /api/v1/privacy/dsar con el tipo de pedido (access, rectification, erasure, portability, objection, withdraw_consent) y un email de contacto. Registra la solicitud con un identificador de referencia y un plazo legal de respuesta (15 días hábiles) y la deriva a una persona del equipo. Cada solicitud se sigue por su ciclo de vida — recibida → reconocida → en curso → cumplida/rechazada avanzado siempre por un humano: nunca ejecuta borrados o exportaciones de forma automática ni devuelve datos de ningún otro titular.

9. Lo que NO afirmamos (honestidad)

Este resumen describe nuestra postura y preparación reales. No declaramos cumplimiento certificado de ninguna norma ni la existencia de auditorías o sellos que no tengamos. Documentos que requieren revisión legal humana —un Acuerdo de Tratamiento de Datos (DPA) firmado, sub-acuerdos con cada proveedor, o un dictamen por jurisdicción específica— se proveen bajo solicitud y están sujetos a esa revisión; no se presumen implícitos por esta página.

Para clientes que necesiten un DPA, escribí a soporte@drokio.com indicando tu jurisdicción y caso de uso.

10. Contacto

  • Email: soporte@drokio.com
  • Entidad responsable: FANFUSION HUB, LLC.