Privacy Policy
1. Quién es el responsable
Forma ("Forma", "nosotros", "el Servicio") es una plataforma para crear aplicaciones web y móviles (Flutter) mediante inteligencia artificial y herramientas visuales. Operamos en forma.app. El responsable del tratamiento de datos es Ricardo Aguirre de la Fuente.
Este aviso cumple con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México y está diseñado para ser compatible con el GDPR (UE), la CCPA/CPRA (California) y la LGPD (Brasil). Para utilizar Forma, debes tener al menos 18 años. Contacto de privacidad: privacy@forma.app.
2. Qué datos recopilamos
Datos que nos proporcionas
Nombre y correo electrónico (al registrarte con email o login social); contraseña (almacenada con hash); identificador único de usuario; el código, AST, textos, imágenes y assets de tus proyectos; tus conversaciones con el copilot; datos de onboarding; y los mensajes que nos envías a soporte.
Credenciales de terceros que conectas
Cuando conectas servicios externos (Stripe, MercadoPago, PayPal, GitHub, Firebase, Vercel, Supabase, Cloudflare, Neon, Sentry, Codemagic, etc.) almacenamos los tokens OAuth o claves de API necesarios para operarlos en tu nombre. Estos tokens se cifran en reposo con AES-256-GCM y nunca se exponen en el frontend ni en logs.
Datos que recopilamos automáticamente
Dirección IP, user-agent y sistema operativo; eventos de uso (proyecto creado, prompt enviado, exportación); un registro de auditoría de acciones sensibles; diagnóstico de errores; y cookies (ver Política de Cookies).
Lo que NO recopilamos
No almacenamos números completos de tarjeta ni CVV. No recopilamos datos sensibles. No rastreamos tu actividad fuera de Forma. No vendemos tus datos ni los cedemos a brokers o redes publicitarias. Forma no está dirigido a menores de 18 años.
3. Para qué usamos tus datos
Finalidades primarias (necesarias para el Servicio): crear y administrar tu cuenta, operar el editor, generar código, ejecutar el copilot, operar tus integraciones, cobrar tu suscripción, darte soporte, enviarte avisos transaccionales y garantizar la seguridad.
Finalidades secundarias (requieren tu consentimiento y puedes oponerte): analítica de producto, comunicaciones de marketing e invitaciones a encuestas. Puedes negarte sin afectar el uso del Servicio, en Configuración → Privacidad o con el enlace de baja de cualquier correo.
4. Base legal del tratamiento (usuarios en la UE)
| Finalidad | Base legal (GDPR) |
|---|---|
| Crear cuenta, operar el editor, generar código, soporte | Ejecución de un contrato |
| Procesar pagos de suscripción | Ejecución de un contrato |
| Seguridad, prevención de fraude, auditoría | Interés legítimo |
| Analítica de producto | Consentimiento |
| Comunicaciones de marketing | Consentimiento |
| Conservación fiscal/contable | Obligación legal |
5. Inteligencia artificial — transparencia total
Forma integra múltiples proveedores de IA. Siempre te mostramos en la interfaz qué proveedor procesará tu prompt y puedes elegirlo en la configuración del proyecto. Tu prompt y el contexto del proyecto viajan al proveedor seleccionado, sujetos a su política.
Google Gemini
Predeterminado para generación de UI
OpenAI (GPT)
Cuando lo seleccionas
Anthropic (Claude)
Cuando lo seleccionas
DeepSeek
Cuando lo seleccionas
Forma no entrena modelos propios con tu contenido. Si usas la opción "trae tu propia llave" (BYO API Key), el tráfico va directamente al proveedor bajo tu cuenta. El contenido generado por IA puede ser inexacto; revísalo antes de publicarlo.
6. Con quién compartimos tus datos
No vendemos tus datos. Los compartimos solo con subprocesadores que nos ayudan a operar la plataforma, con autoridades cuando hay obligación legal, y —en caso de fusión o adquisición— con el sucesor. La lista completa está en Subprocesadores.
| Categoría | Ejemplos | Datos que reciben |
|---|---|---|
| Infraestructura y BD | Supabase, Vercel, Fly.io | Datos de cuenta, proyectos, logs |
| Proveedores de IA | Google, OpenAI, Anthropic, DeepSeek | Prompts y contexto del proyecto |
| Analítica de producto | PostHog | Eventos de uso (seudonimizados) |
| Diagnóstico de errores | Sentry | Errores y stack traces |
| Correo transaccional | Resend | Correo electrónico, nombre |
| SMS / WhatsApp / Push | Twilio, OneSignal | Solo si activas esas funciones |
| Cobro de tu suscripción | Stripe | Datos de facturación |
| Builds móviles | Codemagic | Código del proyecto a compilar |
7. Transferencias internacionales
Forma opera con proveedores ubicados principalmente en Estados Unidos y la Unión Europea, por lo que tus datos pueden procesarse fuera de tu país. Para estas transferencias nos apoyamos en las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea, el EU-US Data Privacy Framework cuando aplica, y el consentimiento informado conforme a la LFPDPPP.
8. Cuánto tiempo conservamos tus datos
| Dato | Período de conservación |
|---|---|
| Cuenta de usuario | Mientras la cuenta esté activa |
| Proyectos y conversaciones con el copilot | Tras eliminar, se borran en máximo 30 días |
| Tokens de integraciones | Hasta que desconectes la integración o elimines la cuenta |
| Registros de acceso y de auditoría | 12 meses |
| Diagnóstico de errores | 90 días |
| Eventos de analítica | 14 meses |
| Datos de facturación | El plazo exigido por la ley fiscal (típicamente 5–10 años) |
| Copias de seguridad | Rotación continua, máximo 30 días |
Al eliminar tu cuenta borramos o anonimizamos tus datos, salvo lo que debamos conservar por obligación legal o para resolver disputas.
9. Tus derechos
Según tu jurisdicción, tienes derecho a:
- Acceder a los datos que tenemos sobre ti y obtener una copia.
- Rectificar datos inexactos o incompletos.
- Cancelar / suprimir tu cuenta y tus datos ("derecho al olvido").
- Oponerte a tratamientos concretos como analítica o marketing.
- Portar tus datos en un formato estructurado y de uso común.
- Limitar el tratamiento y retirar tu consentimiento cuando quieras.
- Presentar una queja ante la autoridad de protección de datos competente.
Cómo ejercerlos: en la app, ve a Configuración → Cuenta (exportar / eliminar) y Configuración → Privacidad (analítica y marketing); o escríbenos a privacy@forma.app. Respondemos en máximo 20 días hábiles (LFPDPPP) o 30 días (GDPR). Para consumidores de California: Forma no vende ni "comparte" tus datos personales para publicidad.
10. Seguridad
- Row Level Security (RLS) en la base de datos: solo tú puedes leer y modificar tus proyectos.
- Cifrado en reposo de tokens y secretos (AES-256-GCM) con clave de servidor separada.
- Cifrado en tránsito mediante HTTPS / TLS 1.2+.
- Contraseñas con hash, control de acceso, registro de auditoría y limitación de tasa.
Si ocurre una vulneración que afecte tus datos personales, te notificaremos a ti y a las autoridades competentes dentro de los plazos legales aplicables.
11. Datos de los usuarios finales de tu app
Cuando construyes una app con Forma y esa app recopila datos de tus propios usuarios finales, tú eres el responsable de esos datos y Forma actúa como encargado, tratándolos solo según tus instrucciones. Debes publicar tu propio aviso de privacidad y obtener los consentimientos necesarios. Aplica el Adendum de Tratamiento de Datos (DPA).
13. Cambios a este aviso
Si un cambio es material, te lo notificaremos por correo y/o con un aviso visible en la plataforma con al menos 14 días de anticipación. La fecha del encabezado refleja siempre la versión vigente.
14. Contacto
Privacidad y ejercicio de derechos: privacy@forma.app. Asuntos legales: legal@forma.app.