Política de privacidad
Construimos MCPEmails con la privacidad como primer principio. El contenido de tu correo nunca se almacena en nuestros servidores. Pasa hacia tu agente y desaparece. Esta política explica qué sí recopilamos, y por qué.
Última actualización: May 29, 2026 · Vigente desde: May 25, 2026
1. Quiénes somos
MCPEmails ("MCPEmails", "nosotros", "nos" o "nuestro") opera el servicio MCPEmails disponible en mcpemails.com, incluidas todas las páginas del panel, los endpoints de API y el servidor de Model Context Protocol (MCP) que los agentes de IA usan para acceder a las cuentas de correo conectadas.
A los efectos de la legislación aplicable de protección de datos (incluido el Reglamento General de Protección de Datos de la UE, "RGPD"), MCPEmails es el responsable del tratamiento de los datos de cuenta y de uso. Para el contenido del correo, actuamos como encargado del tratamiento en tu nombre: transmitimos el contenido que nos autorizas a recuperar y no lo almacenamos.
Nuestra dirección registrada es: Oslo, Norway. Puedes contactar a nuestro equipo de privacidad en privacy@mcpemails.com.
2. Datos que recopilamos
2.1 Datos de cuenta
Cuando creas una cuenta recopilamos tu dirección de correo y una contraseña con hash (nunca almacenamos contraseñas en texto plano). Opcionalmente puedes proporcionar un nombre para mostrar. Estos datos son necesarios para crear y mantener tu cuenta.
2.2 Datos de espacio de trabajo y configuración
Almacenamos el nombre del espacio de trabajo que elijas y la configuración de cada bandeja conectada (tipo de proveedor, dirección de correo, estado de OAuth y marca de tiempo de conexión). No almacenamos tokens de acceso de OAuth ni contraseñas de aplicación en texto plano. Se cifran con AES-256-GCM antes de escribirse en la base de datos, y la clave de cifrado se guarda en un almacén de secretos separado.
2.3 Claves de API
Almacenamos un hash SHA-256 de cada clave de API que creas, junto con el nombre de la clave, sus alcances, la marca de tiempo de creación y la del último uso. El valor en bruto de la clave se te muestra exactamente una vez en el momento de la creación y nunca se almacena de forma recuperable.
2.4 Registros de uso y auditoría
Para cada llamada a una herramienta MCP que hace tu agente, registramos: el nombre de la herramienta (p. ej. read_email), la clave de API que hizo la llamada, la bandeja a la que se accedió, la marca de tiempo y si la llamada tuvo éxito. No registramos asuntos, cuerpos, destinatarios ni ningún otro contenido de correo en estos registros.
2.5 Contenido del correo: no se almacena
Cuando tu agente llama a read_email, list_inbox o cualquier otra herramienta de correo, obtenemos el contenido solicitado en vivo desde tu proveedor de correo y lo devolvemos a tu agente en la misma respuesta HTTP. El contenido nunca se escribe en disco, se almacena en caché ni se registra. Una vez enviada la respuesta HTTP, no conservamos ninguna copia de ningún cuerpo de correo, asunto, adjunto o dato de contacto.
2.6 Datos técnicos y operativos
Recopilamos datos operativos estándar del lado del servidor, incluidas direcciones IP (para limitación de tasa y prevención de abuso), marcas de tiempo de peticiones, códigos de estado HTTP y tipos de error. Estos datos se conservan en forma agregada y anonimizada y no se vinculan a cuentas individuales después de 30 días.
2.7 Cookies y almacenamiento local
El panel establece una cookie de sesión propia emitida por Supabase Auth para mantenerte con la sesión iniciada. No usamos cookies de seguimiento, cookies de publicidad ni cookies de terceros. Almacenamos una única preferencia de tema (mcpe-theme) en el almacenamiento local de tu navegador.
3. Cómo usamos tus datos
Usamos los datos descritos arriba para los siguientes fines:
3.1 Prestación del servicio
Usamos tus datos de cuenta para autenticarte, la configuración de tu espacio de trabajo para enrutar las llamadas a herramientas MCP al proveedor de correo correcto y tus claves de API para autorizar las peticiones del agente. Sin estos datos el servicio no puede funcionar. La base jurídica según el RGPD es la ejecución de un contrato.
3.2 Seguridad y prevención de abuso
Usamos direcciones IP, tasas de petición y patrones de error para detectar y bloquear actividad abusiva, aplicar límites de tasa y proteger la disponibilidad del servicio para todos los usuarios. La base jurídica son nuestros intereses legítimos en operar un servicio seguro.
3.3 Analíticas de uso y mejora del producto
Usamos datos de uso agregados y anonimizados (recuentos de llamadas a herramientas, tasas de error, latencia) para entender cómo se usa el servicio y priorizar mejoras. No usamos datos de uso a nivel individual para este fin. La base jurídica son nuestros intereses legítimos en mejorar el servicio.
3.4 Facturación y aplicación de planes
Usamos los recuentos de uso para determinar si tu espacio de trabajo ha alcanzado los límites del plan y para calcular tu factura en los planes de pago. La base jurídica es la ejecución de un contrato.
3.5 Cumplimiento legal
Podemos tratar y divulgar datos cuando lo exija la legislación aplicable, una orden judicial o una autoridad reguladora. La base jurídica es el cumplimiento de una obligación legal.
3.6 Lo que nunca haremos
- Vender tus datos personales o de uso a terceros.
- Usar el contenido de tu correo para entrenar modelos de IA.
- Usar tus datos para mostrarte publicidad.
- Compartir tus datos con terceros para sus propios fines de marketing.
3.7 Servicios de la API de Google: uso limitado
El uso y la transferencia a cualquier otra aplicación por parte de MCPEmails de la información recibida de las API de Google (incluida la API de Gmail) se ajustará a la Política de datos de usuario de los servicios de la API de Google, incluidos los requisitos de uso limitado.
Cuando conectas una cuenta de Gmail, concedes a MCPEmails los siguientes alcances de Gmail. Solicitamos cada alcance únicamente para proporcionar las funciones que invocas a través de tu agente de IA, y los usamos solo en tu nombre:
gmail.readonly: listar mensajes y leer el contenido de los mensajes para que tu agente pueda buscar, leer y resumir correo a petición tuya.gmail.send: redactar y enviar mensajes que tu agente crea a petición tuya.
De acuerdo con los requisitos de uso limitado, MCPEmails:
- usa los datos de usuario de Google solo para proporcionar y mejorar las funciones de cara al usuario descritas arriba;
- no transfiere ni vende datos de usuario de Google a terceros, intermediarios de datos o redes publicitarias;
- no usa los datos de usuario de Google para mostrar anuncios;
- no usa los datos de usuario de Google para desarrollar, mejorar o entrenar modelos de IA o de aprendizaje automático generalizados o no personalizados;
- no permite que personas lean datos de usuario de Google a menos que (a) des consentimiento explícito para mensajes específicos, (b) sea necesario por motivos de seguridad como investigar abusos, (c) sea obligatorio para cumplir la legislación aplicable, o (d) los datos hayan sido agregados y anonimizados.
Como se describe en la Sección 2.5, el contenido de correo recuperado de la API de Gmail se transmite hacia tu agente en la misma petición y MCPEmails nunca lo almacena, lo guarda en caché ni lo registra.
4. Conservación de datos
Conservamos cada categoría de datos durante los siguientes períodos:
| Categoría de datos | Período de conservación | Motivo |
|---|---|---|
| Datos de cuenta (correo, nombre para mostrar) | Hasta la eliminación de la cuenta, más 30 días | Operación del servicio; ventana de recuperación |
| Configuración de espacio de trabajo y bandeja | Hasta que la elimines, más 30 días | Operación del servicio; ventana de recuperación |
| Tokens de OAuth / contraseñas de aplicación cifrados | Hasta desconectar la bandeja o eliminar la cuenta | Necesario para autenticar las llamadas a la API del proveedor |
| Hashes de claves de API | Hasta su revocación, más 30 días | Pista de auditoría; ventana de recuperación |
| Registros de auditoría de llamadas a herramientas MCP | 90 días (Gratis y Solo); 1 año (Team) | Auditoría de seguridad; función del plan |
| Métricas de uso agregadas | 2 años | Historial de facturación; analíticas de producto |
| Registros operativos del servidor (IP, estado) | 30 días en bruto; agregado anonimizado conservado | Prevención de abuso; disponibilidad |
| Contenido del correo | No se almacena; conservación cero | Privacidad por diseño |
Cuando eliminas tu cuenta, iniciamos la eliminación de todos los datos personales en un plazo de 30 días. Las estadísticas de uso agregadas y no personales derivadas de tu cuenta pueden conservarse más allá de este período en forma anonimizada.
5. Terceros e intercambio de datos
5.1 Proveedores de infraestructura (encargados del tratamiento)
Usamos los siguientes subencargados para operar el servicio. Cada uno está vinculado por un Acuerdo de Tratamiento de Datos y trata los datos solo siguiendo nuestras instrucciones:
| Proveedor | Finalidad | Datos tratados | Ubicación |
|---|---|---|---|
| Supabase | Base de datos, autenticación, edge functions | Datos de cuenta, configuración del espacio de trabajo, registros de auditoría | UE (Fráncfort) o EE. UU. (Virginia); eliges al registrarte |
| Vercel | Alojamiento web, CDN | Metadatos de peticiones HTTP; sin contenido de correo | Edge global (región más cercana al usuario) |
| Stripe (solo planes de pago) | Procesamiento de pagos | Correo de facturación, datos de tarjeta de pago (almacenados por Stripe, no por nosotros) | EE. UU. (Stripe tiene certificación PCI-DSS) |
5.2 Proveedores de correo (tus proveedores, no los nuestros)
Cuando conectas Gmail, Outlook o una cuenta de Fastmail / IMAP, MCPEmails se autentica con ese proveedor usando las credenciales que proporcionas. La propia política de privacidad de tu proveedor de correo rige los datos guardados en tu buzón. MCPEmails accede a tu buzón solo cuando tu agente hace una llamada a una herramienta, y solo para los mensajes o carpetas específicos que la herramienta solicita.
5.3 Sin intermediarios de datos ni redes publicitarias
No compartimos ningún dato con intermediarios de datos, redes publicitarias, plataformas de redes sociales ni empresas de analíticas que construyen perfiles de usuario.
5.4 Divulgaciones legales
Podemos divulgar datos personales si lo exige la ley, un proceso legal válido (como una orden judicial o citación), o para proteger los derechos, la propiedad o la seguridad de MCPEmails, nuestros usuarios o el público. Cuando la ley lo permita, notificaremos a los usuarios afectados antes de divulgar sus datos.
5.5 Transferencias empresariales
En caso de fusión, adquisición o venta de activos, los datos personales pueden transferirse como parte de esa transacción. Notificaremos a los usuarios a través de la dirección de correo de su cuenta antes de que ocurra cualquier transferencia de este tipo y antes de que sus datos queden sujetos a una política de privacidad diferente.
6. Transferencias internacionales de datos
MCPEmails se opera desde Noruega, que está sujeta al marco de protección de datos del Espacio Económico Europeo (EEE). Si accedes al servicio desde fuera del EEE, tus datos pueden transferirse y tratarse en países dentro del EEE.
Nuestros subencargados de infraestructura (Supabase, Vercel) operan bajo Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea para transferencias de datos a terceros países. Para Stripe, el tratamiento está cubierto por su certificación del Marco de Privacidad de Datos UE-EE. UU.
Los clientes empresariales pueden optar por almacenar todos los datos de cuenta y configuración exclusivamente en infraestructura ubicada en la UE (región de Fráncfort) sin coste adicional.
7. Tus derechos
Según tu ubicación, puedes tener los siguientes derechos sobre tus datos personales:
- Acceso. Solicitar una copia de todos los datos personales que tenemos sobre ti.
- Rectificación. Pedirnos que corrijamos datos inexactos o incompletos.
- Supresión ("derecho al olvido"). Solicitar la eliminación de tus datos personales. Puedes activarlo tú mismo eliminando tu cuenta en Panel → Configuración → Eliminar cuenta.
- Limitación. Pedirnos que limitemos el tratamiento de tus datos en determinadas circunstancias.
- Portabilidad de datos. Solicitar tus datos en un formato legible por máquina (JSON).
- Oposición. Oponerte al tratamiento basado en intereses legítimos.
- Retirar el consentimiento. Cuando el tratamiento se base en el consentimiento, retirarlo en cualquier momento sin afectar a la licitud del tratamiento previo.
Para ejercer cualquiera de estos derechos, escríbenos a privacy@mcpemails.com. Responderemos en un plazo de 30 días (o 72 horas para solicitudes urgentes relacionadas con la seguridad). Podemos pedirte que verifiques tu identidad antes de procesar la solicitud.
Si te encuentras en el EEE o el Reino Unido, tienes derecho a presentar una reclamación ante tu autoridad de control local. En Noruega, esta es el Datatilsynet (datatilsynet.no).
8. Seguridad
Nos tomamos en serio la seguridad de tus datos e implementamos medidas técnicas y organizativas adecuadas, entre ellas:
- Todos los datos en tránsito se cifran usando TLS 1.2 o superior. Las conexiones que no admiten TLS se rechazan.
- Los tokens de OAuth y las credenciales IMAP se cifran en reposo usando AES-256-GCM. La clave de cifrado se guarda en una instancia separada de Supabase Vault y nunca se ubica junto a los datos cifrados.
- Las claves de API se procesan con hash SHA-256 antes de almacenarse. La clave en bruto no puede recuperarse a partir del hash.
- El acceso a la base de datos está protegido por políticas de Seguridad a Nivel de Fila (RLS) que impiden que un espacio de trabajo acceda a los datos de otro, incluso en caso de un error de lógica de consulta.
- El acceso administrativo a la infraestructura de producción requiere autenticación multifactor y queda registrado.
A pesar de estas medidas, ningún sistema es perfectamente seguro. Si descubres una vulnerabilidad de seguridad, repórtala de forma responsable a security@mcpemails.com. Procuramos acusar recibo de los informes en un plazo de 24 horas y resolver las vulnerabilidades confirmadas en 72 horas para los problemas críticos.
En caso de una violación de datos personales que probablemente entrañe un riesgo para tus derechos y libertades, notificaremos a los usuarios afectados y a la autoridad de control pertinente en un plazo de 72 horas desde que tengamos conocimiento de la violación, conforme al Artículo 33 del RGPD.
9. Privacidad de los menores
MCPEmails no está dirigido a menores de 16 años. No recopilamos conscientemente datos personales de nadie menor de 16 años. Si crees que hemos recopilado inadvertidamente datos de un menor, contáctanos en privacy@mcpemails.com y los eliminaremos sin demora.
10. Cambios en esta política
Podemos actualizar esta Política de privacidad de vez en cuando. Cuando hagamos cambios materiales (como recopilar nuevas categorías de datos o compartir datos con nuevos terceros):
- Actualizaremos la fecha de «Última actualización» en la parte superior de esta página.
- Enviaremos una notificación por correo a la dirección registrada en tu cuenta al menos 14 días antes de que los cambios entren en vigor.
- Mostraremos un aviso destacado en el panel durante 14 días después de que el cambio entre en vigor.
Tu uso continuado del servicio después de que un cambio entre en vigor constituye la aceptación de la política actualizada. Si no estás de acuerdo con un cambio material, puedes eliminar tu cuenta antes de la fecha de entrada en vigor.
11. Contáctanos
Si tienes preguntas sobre esta Política de privacidad, deseas ejercer un derecho como interesado o quieres reportar una preocupación de privacidad, contáctanos:
¿Preguntas sobre tus datos?
Nuestro equipo de privacidad está aquí para ayudar. Escríbenos y responderemos en un plazo de 30 días.