← Norix

Política de privacidad

Actualizado 17 de abril de 2026

Esta política explica qué datos guardamos cuando usás Norix, para qué los usamos y qué derechos tenés sobre ellos. Cumple con GDPR (Unión Europea) y la Ley 7593 de Protección de Datos Personales de la República del Paraguay.

1. Quién es el responsable del tratamiento

El responsable del tratamiento es Norix, operado desde Paraguay. Contacto: hola@norix.app.

2. Qué datos recolectamos

Datos que vos nos das

  • Datos de cuenta: correo electrónico y nombre. Usamos magic links (Supabase Auth) — no guardamos contraseñas.
  • Datos de marca: nombre, slug, logo, descripción, huso horario, voz, pilares, manifiesto, palabras prohibidas, glosario.
  • Credenciales de integración: tokens de Meta/Instagram, IDs de cuenta publicitaria, IDs de página de Facebook. Se almacenan cifrados en Supabase Vault.
  • Contenido que gestionás: captions, borradores, media que subís para publicar, comentarios que respondés, bio de perfil.

Datos que traemos de plataformas conectadas

  • Instagram / Meta Ads: posts, reels, stories, insights, campañas, demografía agregada
  • Información del perfil público de competidores que vos agregás (Business Discovery)

Datos que generamos nosotros

  • Logs técnicos (errores, tiempos de respuesta) para operar el servicio
  • Registros de uso de IA (tokens consumidos, costo, latencia) para facturación
  • Audit log de mutaciones sensibles (quién cambió qué, cuándo)

Datos que NO recolectamos

  • No usamos tu contenido para entrenar nuestros propios modelos de IA
  • No tenemos acceso directo a tus cuentas — sólo los tokens revocables que nos diste
  • No vendemos datos a terceros
  • No hacemos perfilamiento publicitario ni tracking cross-site

3. Para qué usamos tus datos

  • Prestar el servicio (sincronizar métricas, publicar contenido, generar sugerencias)
  • Facturación y gestión de suscripciones
  • Soporte cuando escribís con una consulta
  • Comunicaciones esenciales (avisos de servicio, cambios en términos)
  • Mejorar el producto de forma agregada y anónima — nunca compartimos información identificable

Base legal: ejecución del contrato (prestarte el servicio), interés legítimo (seguridad, mejora del producto), consentimiento (comunicaciones no esenciales).

4. Con quién lo compartimos

Usamos subprocesadores que cumplen estándares de seguridad equivalentes:

  • Supabase — base de datos, auth, storage y vault (cifrado en reposo + TLS en tránsito)
  • Vercel — hosting del frontend y de las funciones serverless
  • Inngest — cola de trabajos en segundo plano (sync, publicación programada, agentes)
  • Anthropic (vía Vercel AI Gateway) — inferencia de modelos Claude. Zero data retention: los prompts no se usan para entrenar modelos.
  • Sentry — monitoreo de errores (capturamos stack traces, no contenido de usuario)
  • PostHog — analytics de producto (eventos agregados, sin PII)
  • Meta / TikTok / YouTube — sólo cuando vos iniciás una acción que requiere tocar la API
  • Stripe — procesamiento de pagos (nunca vemos tu tarjeta)

5. Dónde viven los datos

El storage y la base están hosteados en infraestructura de Supabase (us-east-1 por defecto) y el compute corre en Vercel. Cuando vos o tu audiencia están en la UE, se aplican las protecciones estándar GDPR (SCCs con los subprocesadores que correspondan).

6. Cuánto tiempo los guardamos

  • Cuenta activa: mientras tengas la suscripción vigente
  • Cuenta cancelada: hasta noventa días, luego se borra salvo obligación legal
  • Logs técnicos: noventa días
  • Registros contables: el plazo que exija la legislación fiscal de Paraguay

7. Tus derechos

Bajo la Ley 7593 de Paraguay y el GDPR (si aplicás) tenés derecho a:

  • Acceder a los datos que tenemos sobre vos
  • Rectificarlos si son inexactos
  • Pedir que los borremos (derecho al olvido), con los límites que la ley permita
  • Oponerte al tratamiento o limitarlo
  • Portabilidad: recibir una copia estructurada para llevártela a otro servicio
  • Revocar el consentimiento que nos diste

Para ejercer cualquiera de estos derechos escribinos a hola@norix.app. Respondemos en un plazo máximo de treinta días.

8. Seguridad

  • Credenciales de plataforma cifradas con pgsodium (Supabase Vault). Ni ingenieros de Norix ni subprocesadores pueden leerlas en plano.
  • Transport encryption TLS 1.3 en toda la red
  • Row Level Security (RLS) en todas las tablas con datos de usuario
  • Magic link auth con tokens de corta duración
  • Rotación regular de secretos y auditoría de dependencias

Si detectás una vulnerabilidad, escribinos a security@norix.app. Respondemos en veinticuatro horas hábiles.

9. Cookies

Usamos cookies técnicas para mantener tu sesión (Supabase Auth) y preferencias de UI (rango de fechas seleccionado, etc.). No usamos cookies de marketing ni pixeles de terceros. Si agregamos analytics lo vas a ver reflejado en esta política antes de activarse.

10. Menores de edad

Norix no está dirigido a menores de dieciséis años. Si creemos que una cuenta fue creada por un menor la cerramos y borramos los datos asociados.

11. Cambios en esta política

Si hacemos cambios materiales te avisamos por correo con al menos treinta días de anticipación. La fecha de última actualización aparece arriba.

12. Contacto y autoridad de control

Contacto del responsable: hola@norix.app. En Paraguay la autoridad de control es el Ministerio de Tecnologías de la Información y Comunicación (MITIC). En la UE, cada autoridad nacional de protección de datos. Antes de ir ahí te pedimos que nos escribas — tratamos de resolver cualquier problema directamente.