Política de privacidad
Versión del 2 de julio de 2026 · Traducción del italiano (versión auténtica)
Traducción de servicio. En caso de disputa, prevalece la versión original italiana: privacy.html
La presente política de privacidad se proporciona conforme a los artículos 13 y 14 del Reglamento UE 2016/679 (RGPD) a todos los usuarios de la aplicación móvil Privavis para Android y del sitio privavis.com.
Privavis es una aplicación de concienciación sobre privacidad que funciona íntegramente en tu dispositivo. Nuestra promesa fundamental es simple: no recogemos datos personales en nuestros servidores, porque no tenemos servidores de aplicación. A continuación se detalla cómo esta promesa se traduce en la práctica, con la precisión que el RGPD nos exige.
1. Responsable del Tratamiento
El Responsable del Tratamiento de los Datos Personales que puedan ser recogidos a través del sitio privavis.com y de la aplicación Privavis es:
Massimo Zanirato
Ronco Briantino (MB), Italia
Correo de privacidad: privacy@privavis.com
Correo de contacto: hello@privavis.com
Sitio web: privavis.com
Massimo Zanirato gestiona el proyecto independiente Privavis como desarrollador individual, conforme al régimen fiscal aplicable. No se ha nombrado un Delegado de Protección de Datos (DPO) ya que no se cumplen las condiciones de obligatoriedad establecidas en el art. 37 del Reglamento (UE) 2016/679.
Para ejercer sus derechos RGPD o para cualquier solicitud relacionada con el Tratamiento de sus Datos Personales, escriba a privacy@privavis.com: responderemos en un plazo de 30 días, conforme al art. 12 del Reglamento.
La presente política se actualizará si cambia la naturaleza jurídica del Responsable del Tratamiento (por ejemplo, en caso de constitución como sociedad).
2. Qué datos NO recoge Privavis
Empecemos por lo más importante para entender el enfoque del producto. Privavis no recoge:
- ningún dato sobre las aplicaciones instaladas en tu teléfono
- ningún dato sobre los permisos de tus aplicaciones
- ningún dato sobre el uso que haces de la aplicación Privavis
- ninguna telemetría, ningún análisis, ningún informe de fallos con datos personales
- ningún identificador publicitario (Advertising ID), ninguna huella digital del dispositivo
- ningún dato de localización
- ninguna información de contacto, salvo aquellas que nos comuniques voluntariamente por correo electrónico
Todos los datos que la aplicación Privavis lee del sistema operativo Android (lista de aplicaciones instaladas, permisos que cada una posee, estadísticas de uso) permanecen en tu teléfono. No existe ninguna transmisión de red que envíe esta información a sistemas de Privavis o de terceros. Técnicamente: la aplicación no posee backend, no llama a APIs propias, no escribe en bases de datos remotas.
3. Datos que permanecen en el dispositivo
Para funcionar, Privavis lee y conserva localmente, en el almacenamiento de la aplicación en tu dispositivo, la siguiente información:
3.1 Diagnóstico de las aplicaciones instaladas
A través de la API pública PackageManager de Android, Privavis lee: la lista de aplicaciones instaladas, el nombre de cada una, el icono, los permisos declarados en el manifest, el estado de concesión en tiempo de ejecución de dichos permisos. Este dato se procesa para calcular el Privacy Score y se muestra en la interfaz. No abandona el dispositivo.
3.2 Estadísticas de uso (opcional, acceso especial)
Si autorizas el acceso a PACKAGE_USAGE_STATS desde la Configuración del sistema, Privavis lee la lista de las aplicaciones más utilizadas en los últimos días para ponderar mejor el cálculo del riesgo (una aplicación no utilizada es menos relevante que una usada diariamente). Este dato también permanece en el dispositivo.
3.3 Preferencias del usuario
Privavis conserva en el almacenamiento local de la aplicación (AsyncStorage):
- el idioma de la interfaz elegido
- el estado del proceso de onboarding
- nombre y correo electrónico que eventualmente introduzcas en la Configuración para firmar las solicitudes RGPD (cumplimentación facultativa)
- archivo de las solicitudes RGPD que has creado, con su estado, las fechas y las notas personales que decidas añadir
- lista de las «aplicaciones de confianza» que declaras que no penalicen el Privacy Score
Estos datos son accesibles únicamente para la aplicación Privavis en tu dispositivo. Pueden eliminarse en cualquier momento desinstalando la aplicación o a través de la Configuración del sistema operativo (Configuración de Android → Aplicaciones → Privavis → Almacenamiento → Borrar datos).
3.4 Funcionalidades Premium: historial, snapshots y monitorización
Si activas las funcionalidades Premium, Privavis guarda localmente en tu dispositivo también:
- el historial de tu Privacy Score a lo largo del tiempo (línea temporal numérica con un límite de 120 puntos más recientes);
- los snapshots del estado de los permisos que guardas manualmente (hasta 20), para comparar el estado actual con momentos anteriores;
- la lista de cambios detectados por la monitorización continua (nuevas aplicaciones instaladas con accesos sensibles, aplicaciones existentes que han obtenido un nuevo acceso), conservada hasta que las marques como vistas;
- la configuración de los perfiles Premium activos (Casa, Viaje, Trabajo, Anónima, Personalizado);
- el resultado de la puntuación de anomalía IA on-device que combina accesos sensibles, inactividad de la aplicación y regresiones recientes para resaltar las aplicaciones más «extrañas». El procesamiento se realiza exclusivamente mediante modelos integrados en el bundle de la aplicación: ningún dato de análisis se transmite jamás a APIs de IA en la nube (OpenAI, Anthropic u otros).
Estos datos también permanecen íntegramente en el dispositivo y nunca se transmiten a servidores de aplicación de Privavis (que no existen) ni a terceros.
3.5 Copia de seguridad opcional en Google Drive (Premium, opt-in)
Las funcionalidades Premium incluyen una función opcional de copia de seguridad en Google Drive para preservar tus documentos entre dispositivos diferentes o en caso de desinstalación de la aplicación. Esta función está desactivada por defecto y se activa únicamente si el usuario pulsa explícitamente sobre «Conectar Google Drive» y completa el flujo de consentimiento OAuth en la pantalla Configuración → Copia de seguridad en Drive.
Qué guardamos en Drive (si activas la copia de seguridad):
- el archivo completo de tus solicitudes RGPD (borradores, enviadas, completadas, con notas personales y marcas temporales);
- tus informes PDF de auditoría de la privacidad, generados con la función «Exportar informe»;
- tus datos personales para las solicitudes RGPD (nombre y correo electrónico para las firmas — solo si los has introducido voluntariamente);
- tus preferencias de usuario (idioma, aplicaciones declaradas de confianza, perfiles Premium personalizados).
Qué NO guardamos en Drive: Privacy Score actual, lista de aplicaciones instaladas, historial del Privacy Score de este dispositivo específico, snapshots de los permisos, resultado del anomaly score. Estos datos son específicos del dispositivo y se regeneran automáticamente en el primer arranque de la aplicación en un nuevo dispositivo. No tiene sentido (y sería potencialmente engañoso) transferirlos.
Ámbito OAuth requerido: el scope es https://www.googleapis.com/auth/drive.file. Significa que Privavis puede ver, crear, modificar y eliminar exclusivamente los archivos que ella misma ha creado. Todos los demás archivos presentes en tu Google Drive (documentos, fotos, trabajo, cualquier cosa) son invisibles para Privavis. Esta es una limitación impuesta por el propio Google: no es una promesa basada en la confianza, es una limitación técnica del token OAuth.
Los archivos de copia de seguridad se guardan en una carpeta llamada «Privavis Backups» en tu «My Drive» personal, visible en cualquier momento desde drive.google.com. Se mantienen las últimas 10 versiones de las copias de seguridad JSON; las anteriores se trasladan a la papelera de Drive (recuperables durante 30 días). Los PDF de auditoría se conservan en cambio todos, ya que son documentos históricos personales.
Para desactivar la copia de seguridad: pulsa sobre «Desconectar» en la pantalla Configuración → Copia de seguridad en Drive. Privavis revoca su propio token OAuth y deja de acceder a tu Drive. Los archivos de copia de seguridad existentes permanecen en tu Drive — puedes eliminarlos manualmente desde la carpeta «Privavis Backups», o dejarlos para una eventual restauración futura.
Responsable del tratamiento para el Drive: en los límites de la copia de seguridad descrita, el responsable sigue siendo Privavis como servicio. Google LLC actúa como encargado del tratamiento (data processor) para el servicio de almacenamiento Drive subyacente, conforme a su propio Data Processing Addendum disponible en cloud.google.com/terms/data-processing-addendum.
4. Permisos de Android solicitados por la aplicación
La aplicación Privavis declara en su propio manifest los siguientes permisos del sistema operativo Android:
4.1 QUERY_ALL_PACKAGES
Permiso necesario para leer la lista completa de las aplicaciones instaladas en el dispositivo. Sin este permiso no es posible proporcionar la función principal del producto — el diagnóstico de privacidad de tus aplicaciones. Google Play exige una justificación específica para la concesión de este permiso, que está declarada en nuestra consola de desarrollador.
4.2 PACKAGE_USAGE_STATS
Permiso «especial» que requiere una autorización manual a través de la página del sistema «Acceso a datos de uso». Privavis lo utiliza exclusivamente para ponderar el cálculo del Privacy Score con tus patrones de uso reales. Puedes denegar o revocar este permiso en cualquier momento desde la Configuración de Android, sin comprometer el funcionamiento básico de la aplicación.
4.3 POST_NOTIFICATIONS
Permiso para generar notificaciones locales. Privavis lo usa para la siguiente función:
- Monitorización continua (Premium): cuando se detecta una nueva aplicación instalada con accesos sensibles o una aplicación existente obtiene un nuevo acceso, la aplicación puede notificártelo a través de la barra de estado de Android.
Todas las notificaciones se generan localmente en tu dispositivo, sin ningún push de servidor, sin seguimiento de apertura, sin datos transmitidos a terceros. Puedes desactivar las notificaciones en cualquier momento desde la Configuración de Android.
4.4 Google Sign-In y acceso a Drive (opt-in, Premium)
Solo si activas la función de copia de seguridad en Google Drive (Premium, descrita en la sección 3.5), la aplicación utiliza la biblioteca Google Play Services para Android para gestionar el flujo de autenticación OAuth hacia tu cuenta de Google. Privavis declara en el manifest la dependencia de com.google.android.gms:play-services-auth.
El flujo de sign-in abre un diálogo del sistema controlado por los Google Play Services de tu dispositivo, donde confirmas la cuenta de Google que se utilizará y lees la lista de scopes solicitados (drive.file, email, profile, openid para identificar la cuenta). Privavis nunca ve tus credenciales de Google (contraseña, códigos 2FA): la autenticación se produce directamente entre tu Android y los servidores de Google Auth.
Una vez completado el sign-in, la aplicación conserva localmente en el almacenamiento del dispositivo el token de acceso (access token) y el refresh token emitidos por Google, necesarios para llamar a la API de Drive. Estos tokens se revocan automáticamente cuando pulsas sobre «Desconectar» o cuando desinstalas la aplicación. Pueden además revocarse en cualquier momento desde el panel de seguridad de tu cuenta de Google (myaccount.google.com → Seguridad → Aplicaciones de terceros con acceso a tu cuenta).
4.5 Identificador Publicitario de Google (AD_ID) — solo para detección del estado
A partir de la versión 1.0.1, Privavis declara en el manifest el permiso com.google.android.gms.permission.AD_ID e incluye la biblioteca com.google.android.gms:play-services-ads-identifier con un único propósito: leer el estado global del Identificador Publicitario de Google (AD_ID) en tu dispositivo y mostrarte, en la pantalla de detalle de cada aplicación, si ya has eliminado el ID publicitario a nivel sistema (Configuración → Google → Anuncios → Eliminar ID publicitario).
En esta categoría en Google Play Console hemos declarado el uso del AD_ID con propósito «Funcionalidad de la aplicación», no para publicidad ni para análisis.
Qué NO hace Privavis con el AD_ID:
- No lo envía a ningún servidor, ni nuestro ni de terceros.
- No lo utiliza para perfilado, seguimiento, fingerprinting o personalización.
- No lo conserva. La llamada
AdvertisingIdClient.getAdvertisingIdInfo()se ejecuta exclusivamente en el dispositivo, en memoria, y el valor se descarta inmediatamente después de leer si es «all zeros» (es decir, si el usuario lo ha eliminado globalmente). - No lo asocia a tu perfil ni al de otras aplicaciones instaladas.
- No lo comparte con anunciantes, ad networks, partners publicitarios o servicios de analytics.
La única información que Privavis obtiene de esa lectura es una simple etiqueta interna de tres estados: «AD_ID activo», «AD_ID eliminado globalmente», o «no disponible» (p. ej. dispositivos sin Google Play Services). Esta etiqueta sirve únicamente para colorear en verde el badge «Desactivado a nivel sistema» en la pantalla de detalle de una aplicación, cuando corresponde, para evitar hacerte creer que la aplicación sigue recibiendo tu identificador único cuando en realidad ya no lo recibe.
Puedes deshabilitar completamente esta lectura desinstalando la aplicación o desactivando manualmente el permiso «Anuncios» desde la Configuración de Android si tu versión de Android lo permite.
Verificación externa. Lo descrito en esta sección se declara también en la ficha «Seguridad de los datos» de Privavis en Google Play Store, visible para cualquiera que visite la página de la aplicación antes de instalarla. En esa ficha declaramos que el Identificador Publicitario no se comparte con terceros y no se transmite fuera de tu dispositivo, con el propósito declarado de «Funcionalidad de la aplicación». Las declaraciones de Seguridad de los datos están sujetas al proceso de revisión de Google Play: su coherencia con el comportamiento efectivo de la aplicación es verificable tanto técnicamente (análisis del código y del tráfico de red de la aplicación) como formalmente (la declaración en Play Console es una atestación realizada ante la tienda, con consecuencias en caso de discrepancia). En otras palabras: no te pedimos que confíes en lo que aquí se escribe solo por nuestra palabra — te pedimos que compares esta página con la ficha pública de Privavis en Google Play.
4.6 Bloqueo de Trackers mediante Private DNS (ningún permiso requerido)
La función Bloqueo de Trackers de Privavis es una guía que acompaña al usuario en la configuración del Private DNS nativo de Android (desde la Configuración del sistema). Privavis no intercepta el tráfico de red, no requiere permisos especiales (en particular NO utiliza VpnService), no ve las consultas DNS. La activación se realiza enteramente en la Configuración de Android; una vez configurado AdGuard DNS a nivel sistema, todas las aplicaciones instaladas resuelven los dominios a través de AdGuard, que bloquea los conocidos como publicitarios o rastreadores.
Privavis incluye un test funcional para verificar que el bloqueo funcione: intenta alcanzar un dominio públicamente conocido como tracker (p. ej. google-analytics.com) y observa si la petición tiene éxito o falla. Si falla, el bloqueo está probablemente activo. Este test es local, en tiempo real, y no registra ningún dato.
Ningún dato sobre la activación, el uso o el resultado de los tests se envía a servidores Privavis o a terceros. AdGuard, como proveedor DNS, recibe las consultas DNS del dispositivo para responder; para las políticas sobre los datos recogidos por AdGuard consulta su política de privacidad: adguard-dns.io/en/privacy.html.
5. Sitio privavis.com
El sitio institucional privavis.com es una página informativa estática. No utiliza cookies de perfilado ni cookies técnicas de terceros. Los únicos tratamientos que pueden producirse son:
- Suscripción a la waitlist: si introduces tu correo electrónico en el formulario de la página principal, recibiremos tu dirección. La utilizaremos exclusivamente para enviarte actualizaciones sobre el desarrollo del producto y anuncios de lanzamiento. Puedes darte de baja en cualquier momento escribiendo a privacy@privavis.com. El servicio de gestión de mailing que utilizaremos se comunicará aquí antes de la activación.
- Tipografías: el sitio carga las tipografías Cormorant Garamond e Inter desde el servicio Google Fonts. El sistema Google Fonts puede detectar tu dirección IP para servir las propias tipografías. Estamos evaluando el self-hosting de las tipografías para eliminar también esta llamada.
- Hosting: el sitio está alojado en infraestructuras en Europa. Los logs de acceso del servidor pueden contener la dirección IP del visitante y la hora de la visita con fines técnicos (seguridad, depuración, diagnóstico de errores). Dichos logs se rotan y eliminan en un plazo de 14 días.
6. Funcionalidades IA Premium (futuras)
En una versión futura, el plan Premium de Privavis incluirá funcionalidades de asistente inteligente basadas en la API de Anthropic. Estas funcionalidades serán explícitamente opt-in, con un sistema de consentimiento de tres niveles:
- un master toggle general para habilitar la IA;
- un toggle separado para funciones que requieren una llamada en la nube, frente a las que operan on-device;
- una confirmación en cada primer uso que indica exactamente qué datos se enviarán a Anthropic.
Cuando actives una de estas funcionalidades, recibirás una información adicional específica con el detalle de los tratamientos IA. Los datos enviados serán estrictamente los necesarios para la solicitud del usuario, en forma anónima cuando sea posible, y no se conservarán en los servidores de Anthropic tras el procesamiento.
7. Pagos (Google Play) y validación mediante RevenueCat
El plan Premium de Privavis se vende a través del sistema de pago de Google Play (Google Play Billing). El tratamiento de los datos de pago (número de tarjeta, dirección de facturación, etc.) es de responsabilidad exclusiva de Google conforme a su propia política: policies.google.com/privacy.
Para gestionar la validación del lado servidor de las compras de Google Play y la activación del entitlement Premium en tu dispositivo, Privavis utiliza el servicio RevenueCat (RevenueCat, Inc., 410 Townsend St, San Francisco, CA, USA), que actúa como encargado del tratamiento (data processor) por cuenta nuestra conforme a su propio Data Processing Addendum: revenuecat.com/dpa. RevenueCat está certificada conforme al RGPD y está inscrita en el Data Privacy Framework UE-USA.
Cuando compras, renuevas o restauras una suscripción, Privavis transmite a RevenueCat:
- el purchase token recibido de Google Play para la transacción (es un identificador opaco de la compra, no contiene datos financieros);
- un identificador anónimo del dispositivo (UUID generado por el SDK de RevenueCat en el primer arranque, no vinculado a tu cuenta de Google ni a una identidad real).
Privavis recibe a cambio de RevenueCat exclusivamente el estado de tu entitlement Premium (activo / caducado / cancelado / en periodo de gracia), sin ningún dato financiero. RevenueCat conserva el historial de las compras mientras la suscripción exista, para gestionar renovaciones, restore purchases y reembolsos.
Esta es la única comunicación de red que Privavis realiza hacia servidores de terceros durante el uso ordinario de la aplicación. La promesa «todo on-device» se aplica al tratamiento de los datos de privacidad de tus aplicaciones; no se aplica (y no podría aplicarse) al mecanismo de validación de las compras, que por definición requiere comunicarse con un servidor.
8. Tus derechos
Conforme a los artículos 15-22 del RGPD, tienes derecho a:
- acceder a tus datos personales eventualmente tratados por Privavis (Art. 15);
- solicitar su rectificación si son inexactos (Art. 16);
- solicitar su supresión (Art. 17, «derecho al olvido»);
- solicitar la limitación del tratamiento (Art. 18);
- recibir tus datos en un formato estructurado y legible por dispositivo automático (Art. 20, portabilidad);
- oponerte al tratamiento (Art. 21);
- no ser sometido a decisiones automatizadas (Art. 22).
Para ejercer cualquiera de estos derechos, escríbenos a privacy@privavis.com. Te responderemos en un plazo de 30 días conforme a lo previsto en el art. 12 del Reglamento. Ten en cuenta que, dado el modelo on-device de Privavis, el único dato que podríamos tener sobre ti es tu dirección de correo electrónico si te has suscrito a la waitlist.
Tienes además derecho a presentar una reclamación ante el Garante per la Protezione dei Dati Personali italiano (gpdp.it) o ante la autoridad de control del Estado miembro de la UE en el que residas.
9. Conservación de los datos
Los datos que permanecen en tu teléfono (véase sección 3) se conservan hasta que desinstales la aplicación o los elimines manualmente. La dirección de correo electrónico de la waitlist, si se proporciona, se conserva hasta el momento en que nos pidas que la eliminemos o hasta el lanzamiento del producto + 24 meses posteriores, tras lo cual se eliminará automáticamente salvo solicitud expresa por tu parte de mantenerla.
10. Transferencias fuera de la UE
Los datos que permanecen en tu teléfono no se transfieren a ningún país, dado que no salen del dispositivo. La dirección de correo electrónico de la waitlist y los logs de hosting permanecen en el Espacio Económico Europeo.
Para los tratamientos que se apoyan en proveedores estadounidenses (RevenueCat para la validación de las compras de Google Play, Google Drive para la copia de seguridad opcional), la transferencia de datos personales hacia los Estados Unidos se realiza sobre la base del Data Privacy Framework UE-USA y, subsidiariamente, sobre las cláusulas contractuales estándar (SCC) adoptadas por los respectivos proveedores. RevenueCat está certificada DPF (véase dataprivacyframework.gov). Google LLC está certificada DPF para los servicios Google Workspace y Google Cloud, incluida la API Drive utilizada por Privavis.
En cualquier caso, los datos transferidos son mínimos: para RevenueCat un UUID anónimo + un purchase token de Google; para Drive, solo los contenidos que tú decides guardar activando la copia de seguridad (solicitudes RGPD, PDF de auditoría, preferencias), permaneciendo los archivos en tu cuenta Drive personal.
11. Modificaciones de la política
Esta política puede actualizarse con el tiempo, en particular cuando Privavis introduzca nuevas funcionalidades o nuevos proveedores. Las modificaciones significativas se te comunicarán a través de la siguiente versión de la aplicación y a través del sitio. La versión actual de este documento siempre se indica en la cabecera de la página.
Las modificaciones introducidas con respecto a la versión anterior de este documento se refieren principalmente a: (i) sección 3.4 ampliada con el detalle sobre el anomaly score IA on-device; (ii) sección 3.5 de nueva introducción, dedicada a la copia de seguridad opcional en Google Drive (scope drive.file, opt-in del usuario, qué se guarda y qué no); (iii) sección 4.4 de nueva introducción, sobre el flujo Google Sign-In utilizado exclusivamente para la copia de seguridad Drive opcional; (iv) sección 7 ampliada con el detalle sobre la integración de RevenueCat como encargado del tratamiento para la validación de las compras de Google Play; (v) sección 10 actualizada con los fundamentos jurídicos de las transferencias hacia los EE. UU. (Data Privacy Framework + SCC); (vi) en la versión v1.0.3 (30 de junio de 2026) se eliminó la función Bloqueo de trackers mediante VPN local (junto con los permisos FOREGROUND_SERVICE / FOREGROUND_SERVICE_SPECIAL_USE y las notificaciones persistentes asociadas) por conformidad con la política de Google Play sobre el uso de VpnService; las secciones del §4 se han renumerado en consecuencia; (vii) sección 4.6 de nueva introducción, sobre el Bloqueo de Trackers mediante Private DNS (enfoque guía-a-los-Ajustes, sin VpnService, conforme a las políticas de Google Play).
12. Contactos
Para cualquier pregunta, solicitud o notificación relativa a la presente política:
- Email DPO / privacidad: privacy@privavis.com
- Email general: hello@privavis.com
- Sitio web: privavis.com