Índice
- Responsable del tratamiento
- Introducción
- Datos recopilados
- Cómo se utilizan los datos del usuario
- Compartición con terceros
- Conservación de los datos
- Seguridad técnica
- Plataformas y clientes
- Derechos del usuario (RGPD)
- Ajustes de privacidad en la app
- Menores
- Transferencias internacionales
- Modificaciones de la política
- Contacto
1. Responsable del tratamiento
El responsable del tratamiento de los datos personales es:
2. Introducción
Taski es una aplicación de mensajería instantánea disponible en iOS, Apple Watch, Web (web.taski.chat) y Escritorio (macOS y Windows mediante Tauri). Sitúa la privacidad y la seguridad en el centro de su arquitectura.
Taski utiliza Cifrado de extremo a extremo (E2EE) para todas las conversaciones 1-1 y de grupo, para las llamadas de voz/vídeo y para los archivos multimedia. Solo el usuario y los destinatarios pueden leer los mensajes. Ni siquiera nosotros, como desarrolladores, tenemos acceso a su contenido.
3. Datos recopilados
3.1 Datos de registro
- Número de teléfono: identificador principal, verificado por SMS (servicio Twilio).
- Código de verificación: código temporal de 6 dígitos enviado por SMS, válido durante 10 minutos.
3.2 Datos del perfil
Son datos opcionales que el usuario puede elegir proporcionar:
- Nombre visible
- Estado/Bio (breve descripción)
- Foto de perfil (almacenada en nuestros servidores, accesible según los ajustes de privacidad del usuario)
3.3 Conversaciones 1-1 (E2EE)
- Cifradas de extremo a extremo con X25519 (intercambio de claves) + AES-256-GCM (cifrado).
- Los mensajes no se almacenan permanentemente en nuestros servidores. Permanecen en cola offline durante un máximo de 7 días para garantizar la entrega.
- Para la sincronización entre los dispositivos del usuario (iPhone, Watch, Web, Escritorio), los mensajes pueden permanecer cifrados hasta 7 días después de la entrega.
- Una vez vencido el plazo, los mensajes se eliminan automáticamente.
3.4 Conversaciones de grupo (E2EE)
- Cifradas con clave simétrica AES-256 compartida entre los miembros, distribuida mediante ECDH (Curve25519).
- En el servidor se aplica una capa adicional de cifrado en reposo.
- Los metadatos del grupo (nombre, participantes, administradores) se almacenan para la gestión.
- Las claves se regeneran al cambiar los miembros.
- Se mantiene un mínimo de 200 mensajes por conversación para la continuidad del historial.
3.5 Llamadas de voz y vídeo (E2EE)
- Cada llamada deriva una clave única AES-256-GCM mediante HKDF (ECDH + salt aleatorio por llamada + ID de llamada).
- Ni siquiera el proveedor de transporte (Agora) puede acceder al contenido de audio/vídeo.
- Sin grabaciones: las llamadas nunca se almacenan.
- Metadatos conservados: quién ha llamado a quién, tipo (audio/vídeo), duración, fecha/hora — solo para el historial de llamadas en la app.
- Heartbeat: cada 15 segundos durante una llamada activa. Si faltan 3 heartbeats consecutivos (45 segundos), la llamada finaliza automáticamente.
3.6 Historias
- No están cifradas de extremo a extremo, a diferencia de los mensajes y las llamadas. Están protegidas por cifrado en tránsito (HTTPS/TLS) y en reposo en los servidores.
- Se eliminan automáticamente después de 24 horas.
- El creador puede ver quién ha visualizado su historia.
- Se puede dar "me gusta" y responder a las historias.
3.7 Datos técnicos
- Tokens push APNs/FCM: para enviar notificaciones al usuario.
- Token VoIP: para recibir llamadas cuando la app está en segundo plano (PushKit).
- Claves públicas de cifrado: para el intercambio seguro de claves E2EE. Las claves privadas permanecen siempre en el dispositivo del usuario (Keychain de iOS).
- Agenda de contactos (opcional): si el usuario concede el permiso, sincronizamos solo los hashes criptográficos (HMAC con pepper) de los números de teléfono. Los números en claro nunca se envían a nuestros servidores.
- Marcas de tiempo de acceso: para "última conexión" y entrega de mensajes (respetando los ajustes de privacidad).
- Metadatos de conversaciones: ID de conversación, marca de tiempo, estado de lectura/entrega.
- Dispositivos vinculados: plataforma, user-agent, ID de sesión, última conexión.
3.8 Multimedia
- Imágenes, vídeos, mensajes de voz, documentos, ubicaciones GPS: todo cifrado de extremo a extremo (AES-256-GCM) antes de la subida, almacenado temporalmente en Cloudflare R2.
- GIF: de Giphy a través de nuestro proxy (la consulta no se asocia a la cuenta del usuario).
- Reacciones emoji: almacenadas como metadatos.
- Stickers generados por IA: generados bajo demanda mediante OpenAI gpt-image-1, la imagen de origen (en modo foto) se cifra E2EE como el resto del contenido multimedia.
3.9 Escucha musical (opcional)
- Taski puede compartir el estado de escucha musical con los contactos del usuario (Apple Music o Spotify).
- Datos compartidos: título de la canción y nombre del artista en reproducción.
- Desactivable en los ajustes de privacidad. No se guarda en los servidores.
3.10 Copia de seguridad
- Copia en iCloud: en el espacio iCloud personal del usuario.
- Cifrado AES-256 con contraseña elegida por el usuario.
- Incluye mensajes, contactos, claves E2EE y opcionalmente multimedia.
- No tenemos acceso a las copias de seguridad del usuario. Si se pierde la contraseña, los datos son irrecuperables.
4. Cómo se utilizan los datos del usuario
Utilizamos los datos recopilados exclusivamente para:
- Prestar el servicio de mensajería (entrega, sincronización, notificaciones, llamadas).
- Gestionar la cuenta del usuario (autenticación, verificación, perfil).
- Garantizar la seguridad (prevenir abusos, spam, ataques automatizados).
- Mejorar la app (análisis anónimos para identificar errores y optimizar el rendimiento).
- Cumplir obligaciones legales si lo requieren las autoridades competentes.
NO utilizamos los datos del usuario para:
- Publicidad dirigida o elaboración de perfiles
- Venta o cesión a terceros con fines comerciales
- Análisis del contenido de los mensajes E2EE del usuario (no podemos: están cifrados)
- Seguimiento del comportamiento con fines de marketing
5. Compartición de datos con terceros
5.1 Cloudflare
- Servicio: hosting backend (Workers), base de datos D1, almacenamiento R2, caché KV, WebSocket vía Durable Objects, hosting del cliente Web (Pages).
- Datos compartidos: todos los datos almacenados en nuestros servidores.
- Política de Privacidad: cloudflare.com/privacypolicy
5.2 Apple (APNs y PushKit)
- Servicio: notificaciones push y VoIP.
- Datos compartidos: token APNs/VoIP. El contenido de las notificaciones suele ser un placeholder; el descifrado se realiza localmente en la extensión de notificación con la clave privada guardada en el Keychain.
- Política de Privacidad: apple.com/legal/privacy
5.3 Twilio
- Servicio: envío de SMS para la verificación del número.
- Datos compartidos: número de teléfono, código de verificación.
- Política de Privacidad: twilio.com/legal/privacy
5.4 Agora
- Servicio: infraestructura para llamadas de voz/vídeo.
- Datos compartidos: stream de audio/vídeo cifrado E2EE (no accesible a Agora), ID de canal, ID de usuario anonimizado.
- Política de Privacidad: agora.io/en/privacy-policy
5.5 Anthropic (TaskiAI)
- Servicio: asistente de IA inline (Claude Sonnet 4.6 + Haiku 4.5).
- Datos compartidos: SOLO en el momento de la invocación explícita de
@TaskiAI— los últimos 20 mensajes de contexto, máx. 3 fotos recientes (descritas por Haiku como pie de imagen), nombre del invocador, pregunta. - Garantía contractual: Anthropic no usa los datos para entrenar modelos.
- Véase también: Política de TaskiAI
- Política de Privacidad: anthropic.com/legal/privacy
5.6 OpenAI (Stickers IA)
- Servicio: generación de stickers IA bajo demanda (gpt-image-1).
- Datos compartidos: prompt textual o foto de origen (en modo foto).
- Política de Privacidad: openai.com/policies/privacy-policy
5.7 Giphy
- Servicio: librería de GIF accesible mediante nuestro proxy.
- Datos compartidos: consulta de búsqueda (no asociada a la cuenta del usuario).
- Política de Privacidad: giphy.com/privacy
6. Conservación de los datos
| Tipo de dato | Periodo de conservación |
|---|---|
| Mensajes 1-1 (cola offline) | Máx. 7 días (eliminados tras la entrega) |
| Mensajes 1-1 (sincronización multi-dispositivo) | Máx. 7 días tras la entrega, siempre cifrados E2EE |
| Mensajes de grupo | 7 días tras la sincronización (mínimo 200 por chat) |
| Vídeos | 7 días tras el envío |
| Imágenes, documentos, mensajes de voz | 20 días tras el envío |
| Historias | 24 horas (eliminación automática) |
| Foto de perfil (avatar) | Hasta la eliminación de la cuenta |
| Historial de llamadas | Hasta la eliminación de la cuenta |
| Notificaciones push fallidas | 7 días (con reintento automático) |
| Códigos de verificación SMS | 10 minutos |
| Pies de foto TaskiAI (caché) | 14 días por conversación |
| Hashes de la agenda de contactos | Hasta la eliminación de la cuenta o desactivación del permiso |
Nota: los mensajes mantenidos para la sincronización permanecen cifrados de extremo a extremo durante todo el periodo. Ni nosotros ni terceros podemos acceder a ellos.
7. Seguridad técnica
- E2EE: X25519 + AES-256-GCM para chats 1-1 y grupos.
- Llamadas E2EE: HKDF (ECDH + salt aleatorio) + AES-256-GCM.
- AKD (Auditable Key Directory): hash chain en key_events para detectar manipulaciones de las claves públicas (MITM).
- Rotación de claves: regeneración periódica de las claves E2EE.
- Cifrado en tránsito: TLS 1.3 + WebSocket seguros.
- Cifrado en reposo: base de datos y almacenamiento protegidos con AES-256 (doble nivel para los grupos).
- Sin fallback en claro: en caso de error de cifrado, el mensaje no se envía.
- Autenticación: SMS OTP + Passkey nativas de iOS (post-onboarding) + Face ID/Touch ID para el bloqueo de la app.
- Anti-SIM-swap: bloqueo de la verificación SMS en web si el usuario tiene un dispositivo iOS activo en los últimos 30 días.
- Limitación de tasa en todos los endpoints sensibles.
- Gestión de dispositivos: el usuario puede visualizar y revocar las sesiones desde los ajustes.
8. Plataformas y clientes
- iOS (iPhone): app nativa con todas las funcionalidades, requiere iOS 17.6 o posterior.
- Apple Watch: companion para visualizar y responder a los mensajes (incluidos mensajes de voz E2EE).
- Web: cliente accesible desde web.taski.chat, vinculado mediante código QR. Soporta chat, llamadas, multimedia, todas las funcionalidades E2EE.
- Escritorio: macOS y Windows (build Tauri), actualizaciones automáticas firmadas.
Las sesiones web/escritorio son visibles y revocables en cualquier momento desde Ajustes → Dispositivos vinculados.
9. Derechos del usuario (RGPD)
De conformidad con el Reglamento UE 2016/679 (RGPD) el usuario tiene derecho a:
- Acceso: obtener una copia de los datos (función Copia de seguridad).
- Rectificación: corregir datos inexactos desde la app (Ajustes del perfil).
- Supresión: eliminar la cuenta y todos los datos asociados (Ajustes → Eliminar cuenta).
- Portabilidad: recibir los datos en formato legible (exportar copia de seguridad).
- Oposición: oponerse al tratamiento para finalidades específicas.
- Limitación: solicitar la limitación del tratamiento.
- Reclamación: presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es) o, si el usuario reside en otro país de la UE, ante la autoridad de control nacional correspondiente (edpb.europa.eu). Para usuarios italianos: Garante per la protezione dei dati personali (garanteprivacy.it).
Para instrucciones detalladas, véase: Derechos del interesado.
10. Ajustes de privacidad en la app
- Última conexión: todos / solo contactos / nadie.
- Foto de perfil: todos / solo contactos / nadie.
- Estado/Bio: todos / solo contactos / nadie.
- Confirmaciones de lectura: activables/desactivables.
- Escucha musical: compartición activable/desactivable.
- Notificaciones con Web activo: recibir o no las notificaciones en el iPhone cuando la Web está conectada.
- Bloqueo de usuarios: permite bloquear sin notificación.
- TaskiAI: opt-out completo (véase Política de TaskiAI).
- Sistema antiabuso: transparencia sobre las moderaciones (véase Política de uso aceptable).
- Dispositivos vinculados: permite visualizar y revocar las sesiones Web/Escritorio.
Reciprocidad: si el usuario oculta su última conexión, no podrá ver la de los demás. Lo mismo aplica a las confirmaciones de lectura y a la foto de perfil.
11. Menores
Taski está destinada a usuarios de edad igual o superior a 16 años. No recopilamos conscientemente datos de menores de 16 años. Si se tiene conocimiento de que un menor ha proporcionado datos, se ruega contactar con nosotros inmediatamente para su eliminación.
Para la protección de los menores, Taski adopta tolerancia cero ante contenidos pedopornográficos (CSAM): véase Política de uso aceptable.
12. Transferencias internacionales
Los datos del usuario están alojados en Cloudflare, que opera una red global. Los datos pueden procesarse edge-side en el centro de datos geográficamente más cercano. Cloudflare está certificada en el EU-U.S. Data Privacy Framework para las transferencias UE → EE. UU. Las transferencias hacia otros proveedores (Apple, Twilio, Agora, Anthropic, OpenAI, Giphy) se realizan según las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
13. Modificaciones de la política
Podemos actualizar esta política para reflejar cambios en el servicio o en las obligaciones legales. Las modificaciones sustanciales se comunicarán mediante:
- Notificación en la app
- Actualización de la fecha "Última actualización" en la parte superior de este documento
El uso continuado de Taski tras los cambios constituye aceptación de la nueva política.
14. Contacto
Email Privacidad: privacy@taski.chat
Sitio Web: taski.chat
Tiempo de respuesta: en un plazo de 48 horas (días laborables)