Política de privacidad — Pitch Score by byTHELAB
Última actualización: 2026-05-26
Versión en inglés: <code>PRIVACY_EN.md</code>
Resumen en 30 segundos
- No usamos cookies de tracking, ni Google Analytics, ni Meta Pixel. Nada de eso.
- Cuando auditas una landing, scrapeamos solo HTML público de la URL que tú nos diste.
- Si nos dejas tu email, lo guardamos en Supabase y te mandamos un email de confirmación con Resend.
- Guardamos tu IP y user agent por 30 días para evitar abuso y spam. No los usamos para perfilarte.
- No vendemos tus datos. No los compartimos con nadie excepto los procesadores listados abajo (Vercel, Supabase, Resend, Google, Upstash).
- Puedes pedirnos borrar tu email cuando quieras escribiendo a hola@bythelab.xyz.
- Somos un studio pequeño en CDMX, no una Fortune 500. Hacemos las cosas bien pero con honestidad: no tenemos SOC2 ni cifrado end-to-end.
Quién somos
byTHELAB Studio — Estudio creativo de AI dirigido por humanos, basado en Ciudad de México, México.
- Responsable: Wen Lopez (founder)
- Sitio: bythelab.xyz
- Producto cubierto por esta política: Pitch Score (pitch.bythelab.xyz)
- Contacto: hola@bythelab.xyz
Esta política aplica solo a Pitch Score. Otros productos del studio tienen sus propias políticas.
Qué datos colectamos
Te lo explicamos por tipo, con el propósito al lado:
| Dato | Cuándo lo colectamos | Para qué |
|---|---|---|
| Cuando llenas el formulario de waitlist / lead | Mandarte tu reporte y mantenerte al tanto del producto | |
| URL que auditas | Cada vez que corres un audit | Scrapear ese HTML público y correr el análisis |
| Resultado del audit | Generado por el sistema | Mostrártelo, guardarlo para que puedas volver a verlo |
| Idioma preferido | Detectado del browser o de tu selección | Mostrarte la UI y el reporte en español o inglés |
| IP y user agent | Automáticamente, cuando haces una request | Rate limit (evitar abuso) + logs de servidor estándar |
Lo que NO colectamos:
- No usamos login, no tienes cuenta, no hay password.
- No usamos cookies de tracking de terceros (Google Analytics, Meta Pixel, etc.).
- No te seguimos por la web.
- No leemos contenido privado — solo el HTML que ya es público en la URL que nos diste.
Para qué los usamos
- Correr el audit que pediste (procesamos la URL con un modelo de lenguaje y te devolvemos el score).
- Mandarte el resultado por email si lo dejaste.
- Prevenir abuso del servicio (rate limits por IP).
- Mejorar el producto (revisamos qué URLs se auditan más para entender qué tipo de startups usan la herramienta — siempre en agregado, no individualmente).
- Avisarte de novedades del producto, si te suscribes a la waitlist. Puedes salirte cuando quieras.
No usamos tus datos para publicidad. No los vendemos. No los rentamos.
Con quién los compartimos (subprocesadores)
Pitch Score corre sobre infraestructura de terceros. Cada uno ve solo lo que necesita:
| Procesador | Qué hace | Dónde están los datos | Política |
|---|---|---|---|
| Vercel | Hosting del sitio y de las API routes | EE.UU. | vercel.com/legal/privacy-policy |
| Supabase | Base de datos (Postgres) donde guardamos emails + resultados de audit | Multi-región (definida al crear el proyecto) | supabase.com/privacy |
| Resend | Envío de emails transaccionales (confirmaciones, reportes) | EE.UU. | resend.com/legal/privacy-policy |
| Google Generative AI | Procesa el HTML scrapeado y genera el análisis (Gemini 2.5 Pro) | EE.UU. | policies.google.com/privacy |
| Upstash Redis | Contadores para rate limit por IP | Multi-región | upstash.com/trust/privacy.pdf |
Futuro / V2 (todavía no activo):
| Procesador | Qué haría | Dónde |
|---|---|---|
| ClickUp | Recibir emails de leads para el pipeline interno del studio | EE.UU. — clickup.com/terms/privacy-policy |
Cuando activemos ClickUp, actualizamos esta política y te avisamos.
Transferencias internacionales: Como ves, varios procesadores están en EE.UU. Si estás en México, la UE u otro país, tus datos viajan a EE.UU. Esto está cubierto por las cláusulas contractuales de cada proveedor (Standard Contractual Clauses para GDPR; consentimiento informado para LFPDPPP). [REVISAR LEGAL: confirmar si necesitamos un DPA firmado con cada uno antes de prod.]
Cuánto tiempo los guardamos
| Dato | Retención |
|---|---|
| Email + resultados de audit | Indefinido, hasta que nos pidas borrarlo |
| Logs de IP en Vercel | 30 días (retención estándar de Vercel) |
| Contadores de rate limit en Upstash | 24 horas (se sobrescriben) |
| Logs de email en Resend | Según retención de Resend (típicamente 30 días) |
Si quieres que borremos tu email + tus audits antes, escríbenos a hola@bythelab.xyz y lo hacemos en máximo 15 días hábiles.
Tus derechos (ARCO + GDPR)
Como aplicamos la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) de México y el GDPR para usuarios europeos, tienes derechos sobre tus datos. Lo importante no es la sigla, es que puedes:
- Acceder — Pedirnos qué datos tuyos tenemos.
- Rectificar — Pedirnos corregir datos incorrectos.
- Cancelar / Borrar — Pedirnos eliminar tus datos.
- Oponerte — Pedirnos parar de usarlos para un propósito específico (ej. dejar de mandarte emails).
- Portabilidad (GDPR) — Pedirnos una copia de tus datos en formato legible.
- Revocar consentimiento — Cambiar de opinión sobre algo que ya nos diste permiso.
No te vamos a pedir trámites raros. Un email es suficiente.
Cómo ejercer tus derechos
Mándanos un email a hola@bythelab.xyz con:
- Qué quieres hacer (acceso / rectificación / borrado / etc.).
- El email con el que te registraste (para identificarte).
- Si es borrado, confirmación de que entiendes que perderás el historial de audits.
Te respondemos en máximo 15 días hábiles. Si necesitamos más tiempo (caso complejo), te avisamos por qué.
Si no estás conforme con cómo manejamos tu caso, puedes contactar a la autoridad de protección de datos:
- En México: INAI (inai.org.mx)
- En la UE: la autoridad de tu país (lista en edpb.europa.eu)
Cookies y tracking
Lo mantenemos simple:
- No usamos cookies de tracking. Ni propias ni de terceros.
- No usamos Google Analytics, Meta Pixel, Hotjar, ni nada parecido.
- Es posible que tengamos cookies estrictamente funcionales (ej. para guardar tu preferencia de idioma). Estas no requieren consentimiento bajo GDPR ni LFPDPPP.
Si esto cambia, lo decimos aquí primero.
Seguridad
Hacemos lo que un studio pequeño puede hacer bien:
- HTTPS en todo el sitio (TLS terminado en Vercel).
- API keys y secretos guardados en variables de entorno, no en el repo.
- Acceso a Supabase restringido por roles y RLS donde aplica.
- Backups gestionados por Supabase.
Lo que NO somos:
- No tenemos certificación SOC 2, ISO 27001, ni HIPAA.
- No hacemos cifrado end-to-end de los datos en reposo (Supabase los cifra at rest con su gestión estándar).
- No tenemos un equipo de seguridad dedicado. Somos un equipo de 3 humanos + agentes.
Si manejas datos altamente sensibles (salud, financieros regulados, etc.), Pitch Score no es la herramienta. Úsalo para auditar landings públicas, que es para lo que está hecho.
Menores de edad
Pitch Score es para mayores de 13 años. Si tienes menos, no uses el producto y no nos dejes tu email. Si descubrimos que un menor nos dejó datos, los borramos.
Cambios a esta política
Si cambiamos algo material (nuevos procesadores, nuevos tipos de datos, cambios en derechos), actualizamos la fecha arriba y:
- Si tienes un email registrado con nosotros, te mandamos un aviso.
- Publicamos un changelog en el repo público.
Cambios menores (typos, links rotos) los hacemos sin notificación.
Contacto
Para todo lo relacionado con privacidad:
- Email: hola@bythelab.xyz
- Responsable: Wen Lopez, byTHELAB Studio
- Dirección: Ciudad de México, México [REVISAR LEGAL: agregar dirección formal si la requiere INAI para aviso de privacidad integral]
Si tienes una duda, escríbenos. Respondemos como humanos, no con bots.
[REVISAR LEGAL — pendientes para abogado antes de prod oficial:]
- Confirmar si necesitamos DPA firmado con cada subprocesador.
- Confirmar si el aviso de privacidad integral bajo LFPDPPP requiere dirección física registrada.
- Confirmar lenguaje específico para transferencias internacionales bajo LFPDPPP (México → EE.UU.).
- Revisar si necesitamos designar un DPO formal bajo GDPR (probablemente no por tamaño, pero confirmar).