Commander Flow — Política de Privacidad

Versión 1.4 — 2 de mayo de 2026

Este documento describe cómo Commander Flow («el Software») y su editor tratan sus datos personales. Principio rector: su voz y su texto permanecen en su dispositivo. Todo lo que aun así sale del dispositivo se enumera a continuación en lenguaje claro, con la base jurídica del tratamiento.

Esta versión en español se proporciona por comodidad. En caso de divergencia, prevalecen las versiones inglesa y polaca.

1. Responsable del tratamiento

El responsable del tratamiento descrito en la presente Política es:

Peter's Engineering JDG (Piotr Bahdasaran, empresario individual — przedsiębiorca jednoosobowy) NIP: 9512534689 ul. KEN 19, 02-797 Varsovia, Polonia Contacto de privacidad: inbox@commander-flow.pro

El Software está por debajo del umbral en el que el artículo 37 del RGPD exige la designación de un Delegado de Protección de Datos; el responsable atiende las solicitudes de privacidad directamente a través del correo electrónico anterior.

2. Qué cubre la presente Política

La Política cubre: (a) los datos tratados localmente en su dispositivo por el Software; (b) los datos enviados por el Software a través de la red (descargas de modelos, activación de licencia, diagnóstico opcional, pago); (c) los datos que recibimos sobre usted como cliente del nivel Pro (clave de licencia, correo de facturación, metadatos de pago); y (d) los datos tratados al navegar por el sitio de marketing commander-flow.pro (cookies, analítica — véase §10).

3. Qué datos tratamos — y cuáles NO

3.1 NO tratamos

Su texto dictado
Sus grabaciones de audio
La señal de su micrófono
El contenido de su portapapeles
El contenido de archivos que abre o edita
Telemetría / análisis de uso de ningún tipo (por defecto no se envían eventos)

La canalización de voz a texto se ejecuta íntegramente en el dispositivo. El audio se captura, se procesa con modelos locales de aprendizaje automático, se convierte a texto y se descarta. Nada de esto sale de su ordenador.

3.2 Sí tratamos los datos siguientes — por finalidad

(a) Activación de licencia y servicio Pro. Al comprar o activar una licencia Pro, el Software envía a nuestro servidor de licencias (license.ptrs.ltd):

Su clave de licencia (emitida por nosotros en la compra);
Su correo electrónico (utilizado para activar la licencia);
Una huella de hardware (hash de identificadores estables del hardware de su dispositivo — utilizada para vincular la licencia a una máquina y detectar el uso compartido);
La versión del Software.

A cambio emitimos un artefacto de confianza JWT firmado, almacenado localmente en su dispositivo (cifrado con DPAPI) y revalidado periódicamente.

Base jurídica: ejecución del contrato (art. 6.1.b RGPD) — necesario para prestar el servicio Pro que ha contratado.

(b) Pagos. Las compras del nivel Pro las gestiona Stripe Payments Europe, Ltd. («Stripe»). En el momento de la compra, Stripe recoge los datos necesarios para tramitar el pago (datos de tarjeta, dirección de facturación, país de residencia para el cálculo del IVA). Conforme a los roles publicados por Stripe, Stripe actúa como responsable independiente para fines de prevención del fraude, AML y cumplimiento normativo, y como corresponsable o en modalidad de encargado respecto de las instrucciones de pago que usted nos da. El Licenciante recibe únicamente los metadatos de pago necesarios para emitir su factura y licencia: correo del cliente, país de residencia, importe pagado, ID del cliente Stripe e ID de factura. La política de privacidad de Stripe está disponible en https://stripe.com/privacy y constituye una divulgación complementaria para el tratamiento por parte de Stripe.

No recibimos ni almacenamos los números completos de las tarjetas.

Base jurídica: ejecución del contrato (art. 6.1.b RGPD) y cumplimiento de obligaciones fiscales (art. 6.1.c RGPD — VAT-OSS polaco).

(c) Informes de diagnóstico (con consentimiento). Si surge un problema, puede optar por enviar un informe de diagnóstico desde el diálogo «Informar de un problema» de la aplicación. No se envía nada hasta que pulsa «Enviar». El informe contiene: un identificador de informe generado, la versión de la app, la versión del runtime .NET, la versión de Windows, el modelo de CPU/GPU, los ajustes activos, las últimas ~200 líneas del registro de eventos con rutas saneadas y su comentario opcional. El informe no incluye texto dictado, audio, comandos de voz, texto seleccionado, contenido del portapapeles, contenido de archivos, correo, login, clave de licencia ni ninguna otra credencial.

Base jurídica: su consentimiento expreso (art. 6.1.a RGPD), prestado al pulsar «Enviar». Puede retirar el consentimiento en cualquier momento simplemente no enviando más informes.

(d) Descargas de modelos. En el primer arranque, los archivos de modelos ML se descargan por HTTPS desde commander-flow.pro (punto público de tipo CDN). A nivel de servidor solo se registra la propia solicitud (dirección IP, marca de tiempo, URL); ninguna información de cuenta se asocia a estas solicitudes.

Base jurídica: interés legítimo (art. 6.1.f RGPD) — entrega del Software que ha instalado.

4. Datos locales en su dispositivo

El Software almacena en su dispositivo, en %LOCALAPPDATA%\CommanderFlowApp\ (y el subdirectorio de datos de usuario %LOCALAPPDATA%\CommanderFlow\):

settings.json — sus preferencias (idioma de la interfaz, atajo de teclado, dispositivo de audio, etc.);
models/ — modelos de IA descargados (~2 GB);
logs/ — archivos de registro Serilog con rotación (retención de 7 días; no contienen contenido de usuario — solo eventos de diagnóstico y errores);
license.dat — artefacto de confianza de licencia cifrado por DPAPI (solo si dispone de licencia Pro).

Desinstalar Commander Flow elimina los binarios; también puede eliminar las carpetas de datos anteriores para borrar ajustes, modelos y artefacto de licencia.

5. Subencargados y destinatarios

Las siguientes partes tratan datos personales por nuestra cuenta o en relación con el Software y el sitio de marketing:

Subencargado	Función	País	Datos
Stripe Payments Europe, Ltd.	Procesamiento de pagos e impuestos (Stripe + Stripe Tax)	Irlanda (UE)	Datos de tarjeta, dirección de facturación, país de residencia — solo en compras
Time4VPS	Hosting VPS (`license.ptrs.ltd`, CDN de modelos `commander-flow.pro`, servidor de correo)	Lituania (UE)	Clave de licencia, correo, huella de hardware, registros de descargas de modelos, tráfico de correo
Google Ireland Ltd. (Google Analytics 4)	Analítica anónima del tráfico web, solo con consentimiento de cookies	Irlanda (UE) con posible transferencia ulterior a EE. UU. al amparo de la decisión de adecuación «EU-US Data Privacy Framework»	Identificador de cliente seudónimo, URL de la página, referente, geolocalización aproximada, metadatos del navegador
Google Ireland Ltd. (Google Fonts)	Suministro de fuentes web para el sitio de marketing	Irlanda (UE) con posible transferencia a EE. UU.	Dirección IP suministrada por el navegador (no se almacena ni se vincula a cuenta alguna)

Los correos de activación y otros correos transaccionales se envían desde un servidor de correo autohospedado en el dominio commander-flow.pro, operado en el mismo VPS que el backend de licencias. No se utiliza ningún proveedor externo de email marketing; ningún tercero recibe de nosotros su dirección de correo con tal fin.

6. Plazos de conservación

Datos de licencia (clave, correo, huella, metadatos de compra): conservados durante la vigencia de su licencia más 24 meses tras su finalización, después de los cuales se suprimen, salvo cuando la conservación sea exigida por la legislación fiscal (la legislación polaca suele exigir conservar las facturas durante 5 años).
Registros de acceso del servidor (CDN de modelos, servidor de licencias): conservados 30 días por seguridad y depuración, después suprimidos.
Informes de diagnóstico enviados por usted: conservados 180 días para depuración, después suprimidos.
Registros de la aplicación en su dispositivo: rotación de 7 días, totalmente bajo su control.

7. Sus derechos

Si es interesado en la UE/EEE, dispone de los siguientes derechos al amparo del RGPD:

Derecho de acceso (art. 15) — obtener una copia de los datos personales que tratamos sobre usted;
Derecho de rectificación (art. 16) — corregir datos inexactos;
Derecho de supresión (art. 17) — «derecho al olvido»;
Derecho de limitación del tratamiento (art. 18);
Derecho de portabilidad (art. 20) — recibir sus datos en un formato estructurado y legible por máquina;
Derecho de oposición (art. 21) — incluida la oposición al tratamiento basado en interés legítimo;
Derecho a retirar el consentimiento (art. 7) — para los informes de diagnóstico opcionales;
Derecho a no ser objeto de decisiones automatizadas (art. 22) — no realizamos tal tratamiento.

Para ejercer cualquiera de estos derechos, escriba a inbox@commander-flow.pro. Responderemos en un plazo de 30 días.

También tiene derecho a presentar reclamación ante la autoridad polaca de control:

Prezes Urzędu Ochrony Danych Osobowych (UODO) ul. Stawki 2, 00-193 Varsovia, Polonia https://uodo.gov.pl +48 22 531 03 00

Si reside en otro país de la UE/EEE, también puede dirigirse a su autoridad de control local.

8. Transferencias internacionales

Todo el tratamiento relacionado con licencias se realiza dentro de la Unión Europea (VPS en Lituania, Stripe en Irlanda). El sitio de marketing integra Google Analytics 4 y Google Fonts; cuando consiente las cookies de analítica, sus datos seudónimos de interacción pueden ser transferidos por Google de Irlanda a los Estados Unidos. Esta transferencia se ampara en el EU-US Data Privacy Framework — decisión de adecuación adoptada por la Comisión Europea el 10 de julio de 2023, en la que Google LLC está certificada. No se realizan otras transferencias fuera del EEE.

9. Seguridad

El tráfico al servidor de licencias va cifrado con TLS;
Los artefactos de confianza de licencia en su dispositivo están protegidos por Windows DPAPI vinculado a su cuenta de usuario;
El servidor de licencias funciona en un VPS endurecido con acceso SSH restringido;
Stripe es PCI-DSS para todo el tratamiento de datos de tarjeta;
Los informes de diagnóstico se firman con HMAC antes del envío para evitar manipulaciones en tránsito.

10. Cookies y analítica del sitio

El sitio de marketing commander-flow.pro utiliza cookies y localStorage del navegador del siguiente modo:

Estrictamente necesarias (siempre activas, sin necesidad de consentimiento, exención «strictly necessary» del art. 5(3) de la Directiva ePrivacy): recordar el idioma elegido, almacenar su decisión de consentimiento de cookies, ocultar el aviso del banner. Ningún tercero las lee.
Analítica — Google Analytics 4 (solo con su consentimiento): estadísticas seudónimas de tráfico. Estado por defecto «denied» vía Google Consent Mode v2; hasta su consentimiento, GA recibe únicamente pings anónimos sin cookies.
Marketing (solo con su consentimiento): actualmente no se usa activamente; la categoría existe en el banner para que cualquier futuro píxel publicitario quede condicionado al opt-in expreso.

Puede revisar y modificar estas elecciones en cualquier momento desde el enlace «Configuración de cookies» del pie del sitio, que vuelve a abrir el banner de consentimiento. Retirar el consentimiento es tan sencillo como darlo.

11. Niños

Commander Flow es una herramienta de productividad para adultos en activo y no está dirigida a niños. No recogemos conscientemente datos personales de menores por debajo de la edad de consentimiento digital aplicable en su jurisdicción (16 años en la base del RGPD; algunos Estados miembros de la UE/EEE la han reducido a 13). Si cree que un menor por debajo de esa edad nos ha facilitado datos personales, contacte con inbox@commander-flow.pro y suprimiremos los datos sin demora indebida.

12. Cambios en la presente Política

Si la presente Política cambia sustancialmente, la siguiente versión del Software mostrará el texto actualizado y exigirá su aceptación antes de ejecutarse. Indicaremos la versión y fecha en la cabecera del documento en cada actualización.

13. Contacto

Correo electrónico: inbox@commander-flow.pro
Dirección postal: Peter's Engineering JDG, ul. KEN 19, 02-797 Varsovia, Polonia
Sitio web: https://commander-flow.pro