Política de privacidad
Fecha de entrada en vigor: 2026-04-23 Última actualización: 2026-04-23
Idiomas. Este documento se publica en español e inglés; ambas versiones son igualmente auténticas. Las traducciones a otros idiomas se ofrecen a título informativo y no modifican sus derechos ni obligaciones. La normativa imperativa de protección al consumidor de su país de residencia se aplica con independencia de la versión lingüística.
Esta Política de privacidad explica cómo Overspiral S.L. ("Overspiral", "nosotros") trata los datos personales en relación con el servicio Overslash (https://overslash.com, https://app.overslash.com — el "Servicio").
1. Responsable del tratamiento
- Responsable: Overspiral S.L.
- NIF: B27633486
- Domicilio social: C/ Fuenterrabía 9, 28014 Madrid, España
- Correo electrónico: privacy@overslash.com
- Contacto de seguridad: security@overslash.com
Si usted es una organización que utiliza Overslash para mediar el acceso a sus propias fuentes de datos (Google Workspace, etc.), Overspiral actúa como encargado del tratamiento respecto de los datos personales contenidos en dichas fuentes, y usted sigue siendo el responsable. Respecto de los datos de cuenta, facturación y telemetría del Servicio descritos a continuación, Overspiral es el responsable del tratamiento.
2. Datos que recopilamos
Datos de cuenta
Correo electrónico, nombre visible, organización e identificadores de autenticación del proveedor OAuth con el que inicie sesión (Google, GitHub, etc.).
Datos de facturación
Para los planes de pago: razón social, dirección de facturación, NIF/CIF y metadatos de pago. Los datos de tarjeta los gestiona directamente nuestro proveedor de pagos (Stripe) y nunca pasan por nuestros servidores.
Telemetría del Servicio
Registros de operación del Servicio: marcas de tiempo, direcciones IP, cadenas user-agent, rutas de petición, trazas de error y contadores agregados de uso. Se utilizan para operar, asegurar y depurar el Servicio.
Datos de servicios conectados (cuando conecta Google Workspace, etc.)
Cuando autoriza a Overslash a actuar como pasarela frente a un servicio de terceros en su nombre, custodiamos los tokens OAuth de dicho servicio y reenviamos a través de ellos las peticiones que sus agentes realizan. El contenido de esas peticiones y respuestas se procesa de forma transitoria para aplicar sus políticas y generar un registro de auditoría, y no se conserva más allá de lo necesario para esos fines, salvo que usted habilite expresamente una conservación más prolongada.
Granularidad
Por diseño, Overslash le permite otorgar permisos granulares por usuario y por agente más restringidos que los del proveedor subyacente. Puede revocar cualquier delegación en cualquier momento desde el Servicio.
3. Servicios API de Google — Limited Use
Cuando conecta Google Workspace, Google Docs, Google Drive o Gmail a Overslash, el uso que Overslash hace de la información recibida de las API de Google se ajusta a la Google API Services User Data Policy, incluidos los requisitos de Limited Use.
En particular:
- Utilizamos los datos de usuario de Google únicamente para proporcionar y mejorar las funcionalidades de Overslash dirigidas al usuario que usted haya autorizado expresamente (mediar y reenviar las llamadas entre sus agentes y el servicio de Google).
- No utilizamos datos de usuario de Google para desarrollar, mejorar o entrenar modelos de IA o ML generalistas.
- No vendemos, alquilamos ni transferimos datos de usuario de Google a terceros con fines publicitarios, de personalización de anuncios o cualquier otra finalidad no relacionada.
- No permitimos que personas lean datos de usuario de Google salvo que: (a) contemos con su consentimiento explícito para los mensajes o ficheros concretos; (b) sea necesario por motivos de seguridad (por ejemplo, para investigar un abuso o un fallo); (c) la ley aplicable nos obligue a hacerlo; o (d) los datos estén agregados y se utilicen para operaciones internas de modo que no se pueda identificar a los usuarios individuales.
Actualmente solicitamos permisos OAuth únicamente para Google Workspace, Google Docs, Google Drive y Gmail, y solo en la medida necesaria para el conector que usted habilite.
4. Finalidades y bases jurídicas (RGPD, art. 6)
| Finalidad | Base jurídica |
|---|---|
| Prestar el Servicio (cuenta, pasarela, auditoría) | Ejecución contractual (art. 6.1.b) |
| Facturación y obligaciones tributarias | Obligación legal + ejecución contractual |
| Seguridad, prevención del abuso y detección de fraude | Interés legítimo |
| Mejora del Servicio mediante telemetría agregada | Interés legítimo |
| Comunicaciones de marketing (en su caso) | Consentimiento — opt-in, revocable |
| Atender requerimientos lícitos de las autoridades | Obligación legal |
5. Subencargados y terceros
Utilizamos un conjunto reducido de proveedores para operar el Servicio. Subencargados actuales:
- Vercel Inc. — alojamiento de la página de presentación y edge (EE. UU./UE).
- Google LLC (Google Cloud) — alojamiento de la aplicación y la base de datos (región de la UE).
- Stripe Payments Europe Ltd. — procesamiento de pagos (IE / EE. UU.).
- Anthropic, PBC — inferencia de IA para funcionalidades internas del Servicio (EE. UU.).
- Google LLC (API de Google Workspace) — cuando conecta Google Workspace, Docs, Drive o Gmail como fuentes de datos (EE. UU.).
No utilizamos actualmente ningún proveedor externo de envío transaccional de correo; los correos del sistema se envían directamente desde nuestra propia infraestructura. Si añadimos uno, lo incluiremos aquí con antelación.
Podremos actualizar esta lista. Las modificaciones sustanciales relativas a subencargados se reflejarán aquí y se anunciarán a los clientes activos con la antelación razonablemente posible.
6. Transferencias internacionales
Algunos de los subencargados anteriores se encuentran en Estados Unidos o realizan transferencias hacia EE. UU. En tales casos, las transferencias se amparan en las Cláusulas Contractuales Tipo de la UE y, cuando proceda, en el Marco de Privacidad de Datos UE–EE. UU. Aplicamos garantías técnicas adicionales (cifrado en tránsito y en reposo, minimización de permisos) para limitar los datos transferidos a lo estrictamente necesario.
7. Plazos de conservación
- Datos de cuenta: mientras su cuenta esté activa, más hasta 12 meses por reactivación; más tiempo si así lo exige la ley (por ejemplo, registros de facturación, 6 años en España).
- Registros de facturación: según exija la normativa fiscal española (actualmente 6 años).
- Logs operativos: entre 30 y 90 días, después se agregan o se eliminan.
- Tokens OAuth de servicios conectados: hasta que desconecte el servicio o elimine su cuenta.
- Contenido de peticiones/respuestas a servicios conectados: transitorio — no se conserva más allá de la llamada, salvo los registros de auditoría (solo metadatos de la petición), que se conservan durante el periodo que usted configure.
8. Sus derechos
Independientemente de dónde resida, puede escribir a privacy@overslash.com para:
- acceder a los datos personales que tengamos sobre usted;
- corregirlos o actualizarlos;
- suprimirlos (sin perjuicio de las excepciones de conservación legal indicadas);
- exportarlos en un formato legible por máquina;
- oponerse o limitar determinados tratamientos;
- retirar cualquier consentimiento prestado;
- desconectar cualquier servicio de terceros que haya autorizado.
Si reside en el EEE / Reino Unido, también puede presentar una reclamación ante su autoridad de control. En España es la Agencia Española de Protección de Datos (AEPD) — https://www.aepd.es.
9. Menores
El Servicio no se dirige a menores de 14 años (umbral fijado por la legislación española). No recopilamos a sabiendas datos personales de menores de esa edad. Si cree que un menor nos ha facilitado datos personales, póngase en contacto con nosotros y los eliminaremos.
10. Cookies y tecnologías similares
El sitio de presentación (overslash.com) utiliza únicamente almacenamiento local estrictamente necesario (preferencia de tema) y no emplea cookies de seguimiento. La aplicación (app.overslash.com) utiliza cookies estrictamente necesarias para mantener su sesión iniciada. Actualmente no utilizamos cookies publicitarias de terceros ni de seguimiento entre sitios. Si esto cambia, publicaremos una Política de cookies separada y solicitaremos consentimiento cuando sea exigible.
11. Cambios en esta Política
Revisaremos esta Política a medida que evolucione el Servicio. Las modificaciones sustanciales se notificarán a los usuarios activos por correo electrónico y/o mediante un aviso dentro de la aplicación con al menos 14 días de antelación. La fecha de "Última actualización" en la parte superior refleja siempre la versión vigente.
12. Contacto
Consultas, solicitudes o reclamaciones: privacy@overslash.com. Para divulgaciones de seguridad: security@overslash.com.