Política de privacidad

1. Información que recopilamos

Recopilamos la información mínima necesaria para proveer el servicio:

• Datos de cuenta: dirección de email y contraseña cifrada (hash bcrypt con salt único) al registrarte.
• Datos de canal: nombre del canal de YouTube y ruta de carpeta local configurada para la gestión de videos.
• Tokens OAuth de Google: tokens de acceso y actualización obtenidos mediante Google OAuth 2.0, limitados exclusivamente a los scopes de YouTube Data API v3 necesarios para subir videos y gestionar canales. Se almacenan cifrados con AES-256-GCM en el servidor.
• Historial de actividad: registros de subidas realizadas y descargas de contenido autorizado por el usuario ejecutadas dentro de la plataforma.
• Datos de pago: procesados por Paddle (Merchant of Record). Paddle recopila y procesa los datos de pago según su propia política de privacidad. No almacenamos números de tarjeta ni datos financieros sensibles en nuestros servidores.
• Logs de acceso: dirección IP, user-agent y timestamps para seguridad y detección de fraude. Se eliminan automáticamente a los 90 días.

2. Cómo usamos tu información

Usamos tus datos exclusivamente para los siguientes fines:

• Email y contraseña: para autenticar tu identidad, gestionar el acceso a tu cuenta y enviarte notificaciones esenciales del servicio (confirmaciones de subida, alertas de seguridad, cambios de plan).
• Nombre de canal y carpeta local: para identificar tus canales de YouTube dentro de la plataforma y gestionar la cola de subidas desde la carpeta configurada.
• Tokens OAuth de Google: exclusivamente para ejecutar las operaciones de subida de videos y gestión de canales que vos autorizaste. Los tokens se usan únicamente para comunicarse con la YouTube Data API v3 en tu nombre.
• Historial de subidas y descargas: para mostrarte el registro de tu actividad (subidas a YouTube y descargas de contenido sobre el cual tenés los derechos correspondientes), calcular cuotas diarias según tu plan y proveer estadísticas de uso.
• Logs de acceso: para detectar y prevenir fraude, abuso, ataques de fuerza bruta y violaciones de los términos de servicio.

No vendemos, alquilamos ni compartimos tu información personal con terceros para fines publicitarios o de marketing.

3. Uso de datos de Google API

El uso de la información obtenida de las APIs de Google por parte de Orbitube cumple con la Política de Datos de Usuario de los Servicios de API de Google, incluidos los Requisitos de Uso Limitado (Limited Use Requirements). Específicamente:

• Los datos obtenidos a través de la YouTube Data API v3 se utilizan exclusivamente para subir videos a YouTube y gestionar los canales que el usuario ha autorizado explícitamente mediante el flujo de consentimiento de Google OAuth 2.0. No descargamos contenido de YouTube mediante las APIs de Google.
• No compartimos datos obtenidos de las APIs de Google con terceros, excepto según sea necesario para proveer el servicio (por ejemplo, enviar el video a los servidores de YouTube para su publicación).
• No usamos datos obtenidos de las APIs de Google para publicidad, marketing, perfilado de usuarios ni para ningún fin ajeno a la funcionalidad directa del servicio.
• No transferimos datos de Google a otras aplicaciones, servicios o plataformas.
• Los tokens OAuth de Google se almacenan cifrados con AES-256-GCM y se eliminan inmediatamente cuando el usuario desconecta un canal o elimina su cuenta.
• El usuario puede revocar el acceso de Orbitube a sus datos de Google en cualquier momento desde la configuración de permisos de su cuenta de Google o desde la sección de canales dentro de Orbitube.

4. Almacenamiento y seguridad

Implementamos múltiples medidas de seguridad para proteger tus datos:

• Contraseñas cifradas con bcrypt (con salt único por usuario). Nunca se almacenan en texto plano.
• Tokens OAuth y secretos de configuración cifrados con AES-256-GCM en disco.
• Comunicaciones protegidas con HTTPS/TLS en producción.
• Protección contra fuerza bruta con rate limiting por dirección IP.
• Sesiones con tokens criptográficamente seguros (40 bytes urlsafe) y expiración automática.
• Headers de seguridad aplicados a toda respuesta HTTP (CSP, HSTS, X-Frame-Options, X-Content-Type-Options).
• Backups automáticos de la base de datos con retención de los últimos 30 respaldos.
• Los servidores de producción están alojados en Railway con infraestructura protegida y acceso restringido.

5. Retención y eliminación de datos

Conservamos tus datos según los siguientes criterios:

• Datos de cuenta: mientras tu cuenta esté activa.
• Tokens OAuth de Google: se eliminan inmediatamente al desconectar un canal o al eliminar tu cuenta.
• Logs de actividad (user_log): se eliminan automáticamente a los 90 días (cumplimiento GDPR).
• Historial de subidas y descargas: mientras tu cuenta esté activa. Podés limpiar tu historial manualmente en cualquier momento.

Eliminación de cuenta: podés eliminar tu cuenta en cualquier momento desde la sección "Mi cuenta" en la plataforma. Al eliminar tu cuenta:

• Todos tus datos personales se anonimizan de forma irreversible.
• Todos los tokens OAuth de Google asociados a tus canales se eliminan del servidor.
• Los archivos de configuración y logos de canales se borran del servidor.
• La suscripción activa (si existe) se cancela automáticamente.
• Este proceso es irreversible y no puede deshacerse.

6. Compartir información con terceros

No compartimos tu información personal con terceros, excepto en los siguientes casos estrictamente necesarios para el funcionamiento del servicio:

• Google YouTube Data API v3: para ejecutar las operaciones de subida y gestión de canales que autorizaste. Sujeto a la Política de Privacidad de Google.
• Paddle: para el procesamiento de pagos de suscripciones. Paddle actúa como Merchant of Record y recibe tu email para gestionar facturación e impuestos. No almacenamos datos de tarjeta. Sujeto a la Política de Privacidad de Paddle.
• Requerimiento legal: si fuera necesario para cumplir con una obligación legal, orden judicial o solicitud de autoridad competente.

No vendemos, alquilamos ni cedemos datos personales a terceros para publicidad, marketing ni ningún otro fin comercial.

7. Cookies y tecnologías similares

Usamos exclusivamente cookies funcionales necesarias para el funcionamiento del servicio:

• session (cookie): identifica tu sesión de usuario. Se genera al iniciar sesión y expira al cerrar sesión o tras el período de inactividad configurado. Es HttpOnly y Secure en producción.
• admin_session (cookie): identifica sesiones del panel de administración. Separada de la sesión de usuario. HttpOnly y Secure en producción.
• localStorage (navegador): se usa únicamente para guardar preferencias de interfaz (tema, estado de paneles). No contiene datos personales.

No usamos cookies de tracking, analytics, publicidad ni de terceros. No participamos en redes de publicidad ni en programas de seguimiento entre sitios.

8. Tus derechos

Tenés derecho a:

• Acceso: solicitar una copia de todos tus datos personales.
• Rectificación: corregir datos inexactos (por ejemplo, cambiar tu email desde la sección Mi cuenta).
• Eliminación: eliminar tu cuenta y todos los datos asociados desde la sección Mi cuenta.
• Portabilidad: solicitar la exportación de tus datos en un formato estándar.
• Revocación de acceso a Google: desconectar el acceso OAuth a Google en cualquier momento desde Orbitube o desde tu cuenta de Google.

Esta política se rige por la Ley de Protección de Datos Personales N.° 25.326 de la República Argentina. Tenés derecho a ejercer tus derechos ante la Agencia de Acceso a la Información Pública (AAIP), órgano de control de la ley mencionada.

9. Cambios a esta política

Podemos actualizar esta política periódicamente. Los cambios significativos se notificarán por email con al menos 7 días de anticipación. La fecha de última actualización siempre se muestra al inicio de este documento. El uso continuado del servicio después de la fecha efectiva constituye aceptación de la política actualizada.

10. Contacto

Para consultas sobre privacidad, ejercer tus derechos, reportar incidentes de seguridad o solicitar la eliminación de tus datos, contactanos en soporte@orbitube.app.