Política de privacidad

Hiway2llm.com, registrada en Francia, es el responsable del tratamiento para HiWay2LLM. Contacto: [email protected]

3.1. Datos de la cuenta (base legal: ejecución del contrato)

• Dirección email
• Hash de la contraseña (PBKDF2-SHA256 - nunca almacenamos las contraseñas en claro)
• Hashes de las claves API (SHA-256 - nunca almacenamos las claves API en claro)
• Fecha de creación de la cuenta
• Idioma preferido (en / fr / es), capturado desde tu navegador en el registro para que los emails y el onboarding estén en el idioma correcto
• Código de país (ISO 2 letras) en el registro y en cada inicio de sesión, derivado de tu IP mediante una búsqueda fail-open (usado para detectar las conexiones desde un nuevo país y elegir el idioma marketing adaptado)
• Zona horaria IANA (ej. Europe/Madrid) cuando tu navegador la facilita, para mostrar las marcas temporales en tu hora local

3.2. Metadatos de uso (base legal: ejecución del contrato + interés legítimo)

• Marca temporal de la petición
• Modelo seleccionado por el router
• Recuento de tokens (entrada/salida)
• Coste en USD
• Tier de routing (light/standard/heavy)
• Latencia de routing (milisegundos)
• Score de complejidad (0,0 a 1,0)

Estos datos se usan para la facturación, la analítica y la mejora del Servicio. NO contienen NINGÚN contenido de prompt, contenido de respuesta, o información personalmente identificable más allá del email de la cuenta.

3.3. Datos de pago (base legal: ejecución del contrato)

Los pagos son tratados por Stripe, Inc. La Sociedad no almacena los números de tarjeta bancaria. Ver la Política de privacidad de Stripe.

3.4. Medición de audiencia anónima (base legal: interés legítimo, art. 6 § 1 f RGPD)

Para medir qué páginas marketing y qué canales de adquisición funcionan, registramos eventos de funnel anónimos en nuestras páginas públicas (landing, blog, comparativas, docs). Cada evento captura:

• La ruta de la página visitada (sin contenido de query string más allá de los parámetros UTM)
• El tipo de evento (pageview, signup_start, signup_complete, cta_click, etc.)
• El referer HTTP reducido a su dominio (ej. news.ycombinator.com)
• Los parámetros UTM (utm_source, utm_medium, utm_campaign) cuando están presentes en la URL
• El país aproximado (código ISO 2 letras) y tu encabezado Accept-Language
• La familia de dispositivo (desktop/mobile/tablet), la familia de OS y de navegador - derivadas de tu User-Agent
• Un identificador de sesión anónimo - UUID aleatorio almacenado en sessionStorage (borrado al cerrar la pestaña), hasheado HMAC-SHA256 en el servidor antes del almacenamiento
• Tu IP truncada a una red /24 en IPv4 o /48 en IPv6 - el truncamiento ocurre inmediatamente después de la resolución del país, la IP bruta nunca se escribe en base

No se establece ninguna cookie para la medición de audiencia. Usamos exclusivamente sessionStorage, por pestaña, que se borra solo.

Respetamos tanto DNT (navigator.doNotTrack === "1") como Sec-GPC (Global Privacy Control). Si una de estas señales es activada por tu navegador, el tracker no dispara nada - ningún evento se envía a nuestros servidores.

Los datos de medición de audiencia anónimos son almacenados en nuestra instancia ClickHouse auto-alojada en Francia (sin transferencia fuera de la UE), automáticamente purgados a los 90 días. Las estadísticas diarias agregadas sin sesión individual se conservan para el análisis de tendencia a largo plazo.

• El contenido de los prompts (mensajes enviados a los LLM)
• El contenido de las respuestas LLM
• Los prompts del sistema
• Las definiciones de herramientas o resultados de llamadas a herramientas
• Las direcciones IP brutas en la medición de audiencia - siempre truncadas a /24 (IPv4) o /48 (IPv6) antes del almacenamiento
• Las cookies de tracking para los visitantes anónimos - usamos exclusivamente sessionStorage
• Las huellas de navegador, movimientos del ratón, pulsaciones de teclado, heatmaps de scroll, o grabaciones de sesión
• La geolocalización precisa (solo el código de país de 2 letras se registra)

5.1. Proveedores LLM: Tus prompts se transmiten al proveedor LLM seleccionado por el motor de routing (Anthropic, OpenAI, Google, Mistral, DeepSeek). Cada proveedor tiene su propia política de privacidad. HiWay2LLM usa la API del proveedor - no añadimos ningún tracking ni metadato a tus prompts.

5.2. Stripe: Los datos de pago son tratados por Stripe. Ningún dato de tarjeta bancaria transita por los servidores HiWay2LLM.

5.3. NO vendemos, NO alquilamos y NO compartimos NINGÚN dato personal con otros terceros.

5bis.1. Qué se carga solo después del consentimiento de cookies

Cuando aceptas las cookies a través de nuestro banner, cargamos dos scripts de terceros con el único propósito de medir la efectividad de nuestras campañas de marketing:

• Pixel de Reddit Ads (Reddit, Inc., EE. UU.), dispara PageVisit al cargar la página y Lead en los clics de CTA. El Auto-Advanced Matching de Reddit puede recopilar correos electrónicos y números de teléfono visibles en la página o introducidos en formularios, cifrados con hash del lado del cliente (SHA-256) antes de la transmisión. Política de privacidad de Reddit
• Google Analytics 4 (Google LLC, EE. UU.), vistas de página y eventos, IP anonimizada. Política de privacidad de Google

5bis.2. Tu control

Estos scripts NO se cargan si rechazas las cookies o ignoras el banner. Puedes retirar tu consentimiento en cualquier momento eliminando hw_cookie_consent del almacenamiento local de tu navegador. Ambos proveedores aplican las Cláusulas Contractuales Tipo (CCT) para transferencias UE→EE. UU. conforme al RGPD.

5bis.3. Lo que NO hacemos

• NO cargamos estos rastreadores dentro de la aplicación autenticada, solo se disparan en páginas de marketing públicas
• NO combinamos los datos del pixel con los datos de uso de tus prompts
• NO vendemos los datos de los rastreadores, solo se utilizan para la medición publicitaria de Reddit/Google

• Datos de la cuenta: conservados hasta la eliminación de la cuenta
• Metadatos de uso: conservados 24 meses para la facturación y la analítica
• Registros de pago: conservados 10 años (ley contable francesa)
• Contenido de los prompts/respuestas: NO conservado (cero segundos)
• Eventos de medición de audiencia anónimos: 90 días y luego purga automática
• Estadísticas diarias agregadas (sin sesión individual): conservadas sin límite para el análisis de tendencia a largo plazo
• Eventos de inicio de sesión con código de país: 12 meses (auditoría de seguridad, challenge nuevo país)

En virtud del Reglamento General de Protección de Datos (UE) 2016/679, tienes derecho a:

• El acceso - solicitar una copia de tus datos
• La rectificación - corregir datos inexactos
• El borrado - solicitar la eliminación de tu cuenta y de tus datos
• La portabilidad - recibir tus datos de uso en formato JSON
• La oposición - oponerte al tratamiento basado en el interés legítimo
• La limitación - solicitar la limitación del tratamiento

Para ejercer estos derechos, contacta con [email protected]. Respondemos en un plazo de 30 días.

8.1. HiWay2LLM es un proxy de routing, no un sistema de IA tal como lo define la AI Act europea (Reglamento 2024/1689). No entrenamos, no fine-tuneamos ni desplegamos modelos de IA.

8.2. El motor de scoring de routing usa heurísticas deterministas (pattern matching CPU), no machine learning. No toma decisiones que afecten a personas físicas.

8.3. Proporcionamos transparencia total sobre las decisiones de routing: cada respuesta incluye encabezados que indican qué modelo fue seleccionado, el score de complejidad y la latencia de routing.

8.4. Los Clientes que usen HiWay2LLM para desplegar sistemas de IA siguen siendo responsables de sus propias obligaciones de cumplimiento AI Act.

• Todas las conexiones usan TLS 1.3 (HTTPS impuesto por Caddy)
• Contraseñas hasheadas con PBKDF2-SHA256 (100 000 iteraciones)
• Claves API hasheadas con SHA-256
• Datos Redis cifrados en reposo (con Redis gestionado)
• Servidor alojado en un datacenter OVH (Francia, UE)
• Ningún dato de prompt toca el almacenamiento persistente

Los clientes empresa pueden solicitar un Acuerdo de Tratamiento de Datos (DPA) que cumpla con el artículo 28 del RGPD. Contacto: [email protected].

Puedes presentar una reclamación ante la autoridad francesa de protección de datos (CNIL): www.cnil.fr. Si resides en España, también puedes contactar con la Agencia Española de Protección de Datos (AEPD).