Política de privacidad de Capydox
Información sobre cómo Capydox trata los datos personales de sus usuarios, clientes y visitantes, de acuerdo con el RGPD, la LOPDGDD y la normativa española.
Última actualización: 21 de mayo de 2026
Política de privacidad de Capydox
Última actualización: 21/05/2026
La presente Política de privacidad (la "Política") explica cómo Capydox trata los datos personales de las personas que navegan por la web, se registran como usuarias o utilizan el servicio de documentación y evidencias de APIs (en conjunto, el "Servicio").
Al utilizar el Servicio o al comunicarse con Capydox por los canales habilitados, aceptas que tus datos personales sean tratados de acuerdo con lo que se indica en esta Política.
1. Identificación del responsable y ámbito de aplicación
El responsable del tratamiento de los datos personales es un profesional autónomo que opera bajo el nombre comercial Capydox (en este documento, "Capydox", "nosotros" o el "Responsable"), con domicilio profesional en España. Los datos completos de identificación y contacto, incluyendo correo electrónico y dirección postal, figuran en el Aviso legal de la web.
Esta Política se aplica a:
- La navegación por la web pública de Capydox, incluidos formularios de contacto, registro y newsletter.
- El uso de la plataforma Capydox como servicio SaaS, tanto en su versión web como a través de la aplicación de escritorio conectada a la cuenta en la nube.
- La interacción con el soporte técnico y comercial a través de los canales habilitados por Capydox.
Cuando Capydox actúe como encargado del tratamiento en nombre de un cliente (por ejemplo, una empresa que utiliza workspaces de equipo y SSO corporativo), resultará de aplicación, además de esta Política, el correspondiente Acuerdo de tratamiento de datos (DPA).
2. Datos personales que tratamos
Capydox puede tratar las siguientes categorías de datos personales, dependiendo del uso que hagas del Servicio:
- Datos de cuenta y registro
- Nombre y apellidos (opcionales en algunos formularios).
- Dirección de correo electrónico.
- Contraseña cifrada o credenciales equivalentes.
- Idioma preferido.
- Organización o empresa asociada a la cuenta cuando corresponda.
- Datos de perfil y configuración de workspace
- Nombre del workspace y descripción.
- Roles de equipo (administrador, miembro, invitado, etc.).
- Invitaciones a miembros y estado de las invitaciones.
- Configuración de SSO/OIDC cuando la organización lo habilita.
- Preferencias de notificaciones y ajustes de visualización.
- Datos de uso del Servicio
- Actividad básica dentro de la aplicación (por ejemplo, creación de colecciones, generación de documentación, ejecución de evidencias).
- Registros de auditoría administrativa y logs técnicos necesarios para la seguridad y el funcionamiento del Servicio.
- Información de dispositivos y navegador (por ejemplo tipo de navegador, sistema operativo, zona horaria, idioma, dirección IP abreviada), con el fin de detectar problemas técnicos y mejorar la experiencia.
- Contenido técnico y documentación de APIs
- Contenido de colecciones importadas (URLs, cabeceras, parámetros, cuerpos de ejemplo, variables, etc.).
- Especificaciones OpenAPI importadas o generadas.
- Textos de documentación, markdown, evidencias y otros artefactos que tú o tu organización creéis dentro de los workspaces.
- Datos de facturación y pagos
- Identificadores de cliente, suscripción y plan.
- Estado de pagos, historial de facturación y metadatos asociados.
- Los datos de instrumentos de pago (por ejemplo tarjeta) se tratan principalmente a través de la pasarela de pagos (p.ej. Stripe) conforme a sus propias políticas.
- Datos de soporte y comunicación
- Mensajes enviados a través del sistema de tickets, correo de soporte u otros canales.
- Capturas de pantalla, ficheros adjuntos y metadatos asociados a las incidencias.
- Datos derivados de cookies y tecnologías similares
- Cookies técnicas necesarias para el funcionamiento del Servicio.
- Cookies y tecnologías de analítica o medición (por ejemplo Vercel Analytics, Google Analytics 4), únicamente cuando se cuente con la base jurídica adecuada (consentimiento, legítimo interés ponderado o equivalente) y según se detalla en la Política de cookies.
Capydox no solicita ni necesita datos de categorías especiales (por ejemplo salud, ideología, afiliación sindical) para la prestación ordinaria del Servicio. Si el Cliente decide incorporar este tipo de datos en el Contenido del Cliente, será responsable de garantizar que existe base jurídica suficiente y de aplicar medidas de minimización.
3. Finalidades y bases jurídicas del tratamiento
Capydox trata tus datos personales para las siguientes finalidades y sobre las siguientes bases jurídicas:
- Prestación del Servicio y gestión de la cuenta
- Crear y gestionar tu cuenta de usuario.
- Permitir el acceso al Servicio y a los workspaces para los que estás autorizado.
- Proporcionar funcionalidades de documentación de APIs, importación de colecciones, generación de OpenAPI, evidencias y colaboración de equipo.
Base jurídica: ejecución de un contrato o aplicación de medidas precontractuales (art. 6.1.b RGPD).
- Facturación, pagos y administración
- Gestionar las suscripciones mensuales o anuales, periodos de prueba, renovaciones y cancelaciones.
- Emitir facturas y atender obligaciones contables y fiscales.
Base jurídica: cumplimiento de obligaciones legales (art. 6.1.c RGPD) y ejecución del contrato (art. 6.1.b RGPD).
- Soporte técnico y atención al usuario
- Atender consultas enviadas a través de los canales de soporte.
- Diagnosticar problemas técnicos y solucionarlos.
Base jurídica: ejecución de un contrato (art. 6.1.b RGPD) y, en determinados casos, interés legítimo (art. 6.1.f RGPD) en mantener la calidad del Servicio.
- Seguridad de la cuenta y del Servicio
- Monitorizar accesos y actividad anómala para prevenir fraudes o accesos no autorizados.
- Aplicar medidas técnicas y organizativas de seguridad (por ejemplo, logs, controles de acceso, detección de abusos).
Base jurídica: interés legítimo del Responsable en garantizar la seguridad del Servicio y de las cuentas (art. 6.1.f RGPD).
- Analítica y mejora del producto
- Obtener métricas agregadas sobre rendimiento de la web, uso de determinadas funcionalidades y flujos de usuario.
- Mejorar el Servicio y priorizar el desarrollo de nuevas funcionalidades.
Base jurídica: interés legítimo del Responsable en mejorar el producto (art. 6.1.f RGPD) o consentimiento cuando así lo exija la normativa sobre cookies y seguimiento.
- Comunicaciones de servicio y, en su caso, comerciales
- Enviar comunicaciones estrictamente necesarias para la prestación del Servicio (por ejemplo, confirmaciones de alta, avisos de cambios relevantes, alertas de seguridad, recordatorios de facturación).
- Enviar comunicaciones comerciales relacionadas con Capydox (novedades del producto, recomendaciones de uso), siempre que exista una relación previa o hayas otorgado tu consentimiento.
Base jurídica: ejecución del contrato/interés legítimo para las comunicaciones de servicio; consentimiento o interés legítimo (art. 21 LSSI) para determinadas comunicaciones comerciales.
Puedes oponerte en cualquier momento a recibir comunicaciones comerciales siguiendo las instrucciones de cada mensaje.
4. Aplicación de escritorio y datos locales
Capydox ofrece una aplicación de escritorio que se conecta al Servicio en la nube.
- Para utilizar Capydox Desktop como parte del Servicio SaaS es necesaria una cuenta online y autenticación contra los servidores de Capydox.
- La aplicación puede analizar código localmente para generar especificaciones OpenAPI, sin subir dicho código a Capydox salvo que decidas subir voluntariamente la especificación u otros artefactos generados.
- La app puede almacenar en el dispositivo información como artefactos temporales de escaneo, preferencias de ventana, sesión web embebida y configuración local.
El tratamiento de datos personales asociado al uso de la aplicación de escritorio se realiza en los mismos términos que esta Política y se complementa con el documento específico sobre tratamiento de colecciones importadas y cifrado, disponible en la sección legal.
5. Colecciones importadas y contenido técnico de workspaces
Las colecciones importadas (por ejemplo desde Postman, Insomnia o ApiDog), las especificaciones OpenAPI y la documentación de APIs pueden contener datos personales o información sensible, dependiendo de cómo el Cliente configure y exporte sus proyectos.
Capydox tratará este contenido como información confidencial del Cliente y solo lo utilizará para:
- Prestar el Servicio (importar, generar y mantener documentación y evidencias).
- Ofrecer soporte técnico cuando sea estrictamente necesario y autorizado.
En los entornos de producción, el contenido sensible de workspaces (incluyendo colecciones importadas y artefactos derivados) se almacena empleando cifrado fuerte a nivel de aplicación, además de las medidas de seguridad estándar de la infraestructura.
Los detalles técnicos y obligaciones del usuario respecto a este punto se desarrollan en el documento "Tratamiento de colecciones importadas y cifrado".
6. Destinatarios y encargados del tratamiento (subprocesadores)
Capydox puede comunicar o permitir el acceso a datos personales a los siguientes tipos de destinatarios:
- Encargados del tratamiento / subprocesadores
Proveedores que prestan servicios necesarios para el funcionamiento del Servicio, por ejemplo:
- Proveedor de pagos (por ejemplo Stripe).
- Proveedor de correo transaccional (por ejemplo Resend).
- Proveedor de base de datos y backend (por ejemplo Supabase y Railway).
- Proveedor de hosting de frontend y distribución de contenido (por ejemplo Vercel y Cloudflare R2, GitHub Releases como opción de respaldo).
- Proveedores de analítica y medición (por ejemplo Vercel Analytics, Google Tag Manager, Google Analytics 4, cuando estén activados).
- Proveedores de login social y SSO (Google, GitHub, Microsoft, IdPs empresariales configurados por cada cliente).
Estos proveedores solo acceden a los datos en la medida necesaria para prestar sus servicios a Capydox y siempre bajo contratos de encargo de tratamiento conformes al RGPD.
- Obligaciones legales y protección de derechos
Capydox podrá comunicar datos a autoridades administrativas, órganos judiciales u otros terceros cuando sea necesario para:
- Cumplir obligaciones legales.
- Responder a requerimientos oficiales.
- Proteger los derechos, la seguridad o la propiedad de Capydox, de sus usuarios o de terceros.
Capydox no vende datos personales a terceros.
7. Transferencias internacionales de datos
Algunos de los proveedores indicados pueden estar ubicados fuera del Espacio Económico Europeo (EEE) o pueden realizar transferencias internacionales de datos.
En esos casos, Capydox se asegurará de que existan garantías adecuadas, por ejemplo:
- Decisiones de adecuación de la Comisión Europea respecto al país de destino.
- Cláusulas contractuales tipo (SCC) aprobadas por la Comisión Europea.
- Otros mecanismos reconocidos por la normativa de protección de datos.
Puedes solicitar más información sobre transferencias internacionales y garantías aplicadas contactando con Capydox a través de los datos facilitados en esta Política.
8. Plazos de conservación
Capydox conservará los datos personales durante el tiempo estrictamente necesario para cumplir las finalidades para las que se recabaron y, posteriormente, durante los plazos adicionales exigidos por la normativa aplicable o para la prescripción de posibles responsabilidades.
A modo orientativo:
- Los datos de cuenta y uso del Servicio se conservan mientras tu cuenta o el contrato de tu organización permanezcan activos, y se eliminan o anonimizan en un plazo razonable tras la baja.
- Los datos de facturación y pagos se conservan durante los plazos establecidos por la normativa fiscal y contable.
- Determinados registros técnicos y de seguridad pueden conservarse por periodos superiores cuando sea necesario para la prevención del fraude, el análisis de incidentes o la protección de los sistemas.
Cuando ya no sea necesario conservar los datos, Capydox procederá a su supresión o anonimización siguiendo políticas internas de retención.
9. Derechos de las personas usuarias
Puedes ejercer los derechos que te reconoce la normativa de protección de datos:
- Derecho de acceso: saber qué datos personales tuyos trata Capydox.
- Derecho de rectificación: solicitar la corrección de datos inexactos o incompletos.
- Derecho de supresión: solicitar el borrado de tus datos cuando ya no sean necesarios o cuando retires tu consentimiento en determinados casos.
- Derecho de limitación: solicitar que se limite el tratamiento de tus datos en ciertas circunstancias.
- Derecho de oposición: oponerte a determinados tratamientos basados en el interés legítimo.
- Derecho a la portabilidad de los datos: recibir tus datos en un formato estructurado y de uso común, o pedir que se transmitan a otro responsable cuando sea legalmente posible.
Para ejercer estos derechos, puedes contactar con Capydox a través de las direcciones indicadas en el Aviso legal o en la propia web, indicando claramente el derecho que deseas ejercer y aportando la información necesaria para verificar tu identidad.
Tienes igualmente derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) u otra autoridad de control competente si consideras que el tratamiento de tus datos vulnera la normativa.
10. Cookies y tecnologías similares
Capydox utiliza cookies y tecnologías similares para:
- Garantizar el funcionamiento técnico del sitio y del Servicio (cookies necesarias).
- Recordar preferencias de usuario y gestionar sesiones.
- Obtener estadísticas agregadas de uso y rendimiento, cuando se cuente con la base jurídica adecuada.
La información detallada sobre el uso de cookies, su finalidad y cómo configurar tus preferencias se encuentra en la Política de cookies, accesible desde el pie de página de la web y desde los cuadros de configuración de privacidad.
11. Seguridad de la información
Capydox aplica medidas técnicas y organizativas apropiadas para proteger los datos personales frente a la destrucción, pérdida o alteración accidentales, y frente al acceso, comunicación o tratamiento no autorizados.
Entre otras medidas, Capydox utiliza:
- Comunicaciones cifradas mediante HTTPS/TLS.
- Controles de acceso basados en roles y autenticación robusta.
- Cifrado a nivel de aplicación de determinados campos sensibles en bases de datos.
- Copias de seguridad periódicas y procedimientos de recuperación ante desastres.
- Procesos internos de gestión de incidentes de seguridad.
Aunque Capydox se esfuerza por proteger los datos personales, ningún sistema es completamente infalible. En caso de producirse una brecha de seguridad relevante, Capydox notificará a las personas afectadas y, en su caso, a las autoridades competentes, conforme a la normativa aplicable.
12. Cambios en esta Política de privacidad
Capydox podrá actualizar esta Política cuando sea necesario para reflejar cambios en el Servicio, en los tratamientos de datos o en la normativa aplicable.
Cuando las modificaciones sean significativas, Capydox informará a las personas usuarias registradas por los canales habituales (por ejemplo, aviso en la aplicación o correo electrónico) y, si la normativa lo exige, recabará de nuevo el consentimiento en aquellos casos en que sea necesario.
La versión vigente de la Política estará siempre disponible en la web de Capydox, indicando la fecha de la última actualización.
13. Contacto en materia de protección de datos
Si tienes dudas sobre esta Política o sobre cómo tratamos tus datos personales, puedes ponerte en contacto con Capydox a través de los canales indicados en el Aviso legal y en la sección de contacto de la web.
Cuando en el futuro se designe una persona o figura específica responsable de privacidad o protección de datos, se indicará aquí su información de contacto actualizada.