Política de privacidad

Mytm-Group SAS, registrada en Francia, es el responsable del tratamiento para HiWay2LLM. Contacto: privacy@hiway2llm.com

3.1. Datos de la cuenta (base legal: ejecución del contrato)

• Dirección email
• Hash de la contraseña (PBKDF2-SHA256 — nunca almacenamos las contraseñas en claro)
• Hashes de las claves API (SHA-256 — nunca almacenamos las claves API en claro)
• Fecha de creación de la cuenta
• Idioma preferido (en / fr / es), capturado desde tu navegador en el registro para que los emails y el onboarding estén en el idioma correcto
• Código de país (ISO 2 letras) en el registro y en cada inicio de sesión, derivado de tu IP mediante una búsqueda fail-open (usado para detectar las conexiones desde un nuevo país y elegir el idioma marketing adaptado)
• Zona horaria IANA (ej. Europe/Madrid) cuando tu navegador la facilita, para mostrar las marcas temporales en tu hora local

3.2. Metadatos de uso (base legal: ejecución del contrato + interés legítimo)

• Marca temporal de la petición
• Modelo seleccionado por el router
• Recuento de tokens (entrada/salida)
• Coste en USD
• Tier de routing (light/standard/heavy)
• Latencia de routing (milisegundos)
• Score de complejidad (0,0 a 1,0)

Estos datos se usan para la facturación, la analítica y la mejora del Servicio. NO contienen NINGÚN contenido de prompt, contenido de respuesta, o información personalmente identificable más allá del email de la cuenta.

3.3. Datos de pago (base legal: ejecución del contrato)

Los pagos son tratados por Stripe, Inc. La Sociedad no almacena los números de tarjeta bancaria. Ver la Política de privacidad de Stripe.

3.4. Medición de audiencia anónima (base legal: interés legítimo, art. 6 § 1 f RGPD)

Para medir qué páginas marketing y qué canales de adquisición funcionan, registramos eventos de funnel anónimos en nuestras páginas públicas (landing, blog, comparativas, docs). Cada evento captura:

• La ruta de la página visitada (sin contenido de query string más allá de los parámetros UTM)
• El tipo de evento (pageview, signup_start, signup_complete, cta_click, etc.)
• El referer HTTP reducido a su dominio (ej. news.ycombinator.com)
• Los parámetros UTM (utm_source, utm_medium, utm_campaign) cuando están presentes en la URL
• El país aproximado (código ISO 2 letras) y tu encabezado Accept-Language
• La familia de dispositivo (desktop/mobile/tablet), la familia de OS y de navegador — derivadas de tu User-Agent
• Un identificador de sesión anónimo — UUID aleatorio almacenado en sessionStorage (borrado al cerrar la pestaña), hasheado HMAC-SHA256 en el servidor antes del almacenamiento
• Tu IP truncada a una red /24 en IPv4 o /48 en IPv6 — el truncamiento ocurre inmediatamente después de la resolución del país, la IP bruta nunca se escribe en base

No se establece ninguna cookie para la medición de audiencia. Usamos exclusivamente sessionStorage, por pestaña, que se borra solo.

Respetamos tanto DNT (navigator.doNotTrack === "1") como Sec-GPC (Global Privacy Control). Si una de estas señales es activada por tu navegador, el tracker no dispara nada — ningún evento se envía a nuestros servidores.

Los datos de medición de audiencia anónimos son almacenados en nuestra instancia ClickHouse auto-alojada en Francia (sin transferencia fuera de la UE), automáticamente purgados a los 90 días. Las estadísticas diarias agregadas sin sesión individual se conservan para el análisis de tendencia a largo plazo.

• El contenido de los prompts (mensajes enviados a los LLM)
• El contenido de las respuestas LLM
• Los prompts del sistema
• Las definiciones de herramientas o resultados de llamadas a herramientas
• Las direcciones IP brutas en la medición de audiencia — siempre truncadas a /24 (IPv4) o /48 (IPv6) antes del almacenamiento
• Las cookies de tracking para los visitantes anónimos — usamos exclusivamente sessionStorage
• Las huellas de navegador, movimientos del ratón, pulsaciones de teclado, heatmaps de scroll, o grabaciones de sesión
• La geolocalización precisa (solo el código de país de 2 letras se registra)

5.1. Proveedores LLM: Tus prompts se transmiten al proveedor LLM seleccionado por el motor de routing (Anthropic, OpenAI, Google, Mistral, DeepSeek). Cada proveedor tiene su propia política de privacidad. HiWay2LLM usa la API del proveedor — no añadimos ningún tracking ni metadato a tus prompts.

5.2. Stripe: Los datos de pago son tratados por Stripe. Ningún dato de tarjeta bancaria transita por los servidores HiWay2LLM.

5.3. NO vendemos, NO alquilamos y NO compartimos NINGÚN dato personal con otros terceros.

• Datos de la cuenta: conservados hasta la eliminación de la cuenta
• Metadatos de uso: conservados 24 meses para la facturación y la analítica
• Registros de pago: conservados 10 años (ley contable francesa)
• Contenido de los prompts/respuestas: NO conservado (cero segundos)
• Eventos de medición de audiencia anónimos: 90 días y luego purga automática
• Estadísticas diarias agregadas (sin sesión individual): conservadas sin límite para el análisis de tendencia a largo plazo
• Eventos de inicio de sesión con código de país: 12 meses (auditoría de seguridad, challenge nuevo país)

En virtud del Reglamento General de Protección de Datos (UE) 2016/679, tienes derecho a:

• El acceso — solicitar una copia de tus datos
• La rectificación — corregir datos inexactos
• El borrado — solicitar la eliminación de tu cuenta y de tus datos
• La portabilidad — recibir tus datos de uso en formato JSON
• La oposición — oponerte al tratamiento basado en el interés legítimo
• La limitación — solicitar la limitación del tratamiento

Para ejercer estos derechos, contacta con privacy@hiway2llm.com. Respondemos en un plazo de 30 días.

8.1. HiWay2LLM es un proxy de routing, no un sistema de IA tal como lo define la AI Act europea (Reglamento 2024/1689). No entrenamos, no fine-tuneamos ni desplegamos modelos de IA.

8.2. El motor de scoring de routing usa heurísticas deterministas (pattern matching CPU), no machine learning. No toma decisiones que afecten a personas físicas.

8.3. Proporcionamos transparencia total sobre las decisiones de routing: cada respuesta incluye encabezados que indican qué modelo fue seleccionado, el score de complejidad y la latencia de routing.

8.4. Los Clientes que usen HiWay2LLM para desplegar sistemas de IA siguen siendo responsables de sus propias obligaciones de cumplimiento AI Act.

• Todas las conexiones usan TLS 1.3 (HTTPS impuesto por Caddy)
• Contraseñas hasheadas con PBKDF2-SHA256 (100 000 iteraciones)
• Claves API hasheadas con SHA-256
• Datos Redis cifrados en reposo (con Redis gestionado)
• Servidor alojado en un datacenter OVH (Francia, UE)
• Ningún dato de prompt toca el almacenamiento persistente

Los clientes empresa pueden solicitar un Acuerdo de Tratamiento de Datos (DPA) que cumpla con el artículo 28 del RGPD. Contacto: legal@hiway2llm.com.

Puedes presentar una reclamación ante la autoridad francesa de protección de datos (CNIL): www.cnil.fr. Si resides en España, también puedes contactar con la Agencia Española de Protección de Datos (AEPD).