Última actualización: Marzo 2026 · Conforme a GDPR (UE 2016/679) y CCPA (California Civil Code §1798.100)
La declaración más importante que puede hacer una empresa de privacidad:
No podemos vender tus datos de bóveda porque técnicamente no podemos leerlos. El cifrado Zero-Knowledge significa que el contenido de tu bóveda es matemáticamente ilegible para nosotros. No es una promesa — es una imposibilidad técnica verificable.
ARKA ("nosotros") es el responsable del tratamiento de los datos personales descritos en esta política. Contacto: privacy@arka.app
— Dirección de email (para autenticación y comunicaciones)
— Nombre para mostrar (opcional, proporcionado por el usuario)
— Fecha de registro y últimos accesos
— Plan de suscripción activo
— Configuración de Heartbeat (intervalo de días, modo de detección)
El contenido cifrado de la bóveda (contraseñas, documentos, mensajes, activos financieros) está protegido por cifrado AES-256-GCM de extremo a extremo. ARKA almacena únicamente el texto cifrado, el vector de inicialización y el salt criptográfico — ninguno de estos elementos tiene valor sin la clave de descifrado del usuario.
Base legal (GDPR Art. 6): Dado que no podemos acceder al contenido, no aplica el concepto de "tratamiento de datos personales" sobre los datos de bóveda. Son blobs criptográficos opacos.
— Logs de acceso (IP, timestamp, user agent) conservados máximo 90 días
— Registros de auditoría de operaciones (creación/modificación/eliminación de elementos) conservados 1 año
— Datos de pago: gestionados exclusivamente por Stripe. ARKA no almacena datos de tarjeta.
Utilizamos sus datos únicamente para: (a) proveer el servicio contratado, (b) enviar comunicaciones operativas (alertas de Heartbeat, invitaciones a Guardianes), (c) procesar pagos, (d) cumplir obligaciones legales, (e) detectar y prevenir fraude y abusos.
No utilizamos sus datos para: publicidad, perfilado comercial, venta a terceros, ni ninguna finalidad no especificada en esta política.
— Ejecución de contrato (Art. 6.1.b): Datos necesarios para prestar el servicio
— Cumplimiento de obligación legal (Art. 6.1.c): Datos fiscales y de facturación
— Interés legítimo (Art. 6.1.f): Seguridad y prevención de fraude
Tiene derecho a: acceso a sus datos personales, rectificación de datos incorrectos, supresión ("derecho al olvido"), portabilidad de datos, oposición al tratamiento, limitación del tratamiento, y presentar reclamación ante la autoridad supervisora de su país.
Los residentes de California tienen derecho a: conocer qué datos personales recopilamos y con qué finalidad, solicitar la eliminación de sus datos, no ser discriminados por ejercer sus derechos, y optar por no participar en la "venta" de datos (ARKA no vende datos de ningún tipo).
Nota sobre la supresión: Ante una solicitud de supresión, eliminaremos su cuenta y todos los textos cifrados asociados. El contenido cifrado no puede ser recuperado ni por ARKA ni por el usuario tras esta eliminación.
Sus datos se almacenan en infraestructura de Google Cloud (Firestore) y Vercel, con servidores principalmente en la Unión Europea. Para transferencias fuera del EEE, nos basamos en las cláusulas contractuales tipo aprobadas por la Comisión Europea (GDPR Art. 46.2.c).
— Datos de cuenta: hasta la eliminación de la cuenta o 3 años de inactividad total
— Logs de acceso: 90 días
— Registros de auditoría: 1 año
— Datos de facturación: 7 años (obligación fiscal)
— Datos de bóveda cifrados: hasta la eliminación de la cuenta
ARKA utiliza exclusivamente cookies técnicas necesarias para la autenticación y el funcionamiento del servicio. No utilizamos cookies de rastreo, publicidad ni análisis de terceros. No hay píxeles de seguimiento ni scripts de terceros en el dashboard autenticado.
ARKA no está dirigido a menores de 16 años. No recopilamos conscientemente datos de menores. Si detectamos que un usuario es menor de 16 años, eliminaremos su cuenta de inmediato.
Le notificaremos cambios materiales en esta política por email con al menos 30 días de antelación. Para cambios menores, actualizaremos la fecha de "última modificación" en esta página.
Para ejercer sus derechos o realizar consultas: privacy@arka.app
Si reside en la UE y considera que el tratamiento de sus datos no es conforme al GDPR, puede presentar una reclamación ante la autoridad de protección de datos de su país (en España: la Agencia Española de Protección de Datos — aepd.es).