Generador de contraseñas · Comprobador de filtraciones (HIBP) · Acerca de

Política de privacidad

Bienvenido a passwords.lu. Esta política de privacidad explica qué datos personales tratamos, cómo los tratamos y las medidas que tomamos para proteger su privacidad. El servicio está diseñado con la privacidad por defecto: las herramientas principales generan contraseñas localmente en su navegador y sus secretos no salen nunca de su dispositivo.

Resumen: Minimizamos la recogida de datos, no usamos cookies de seguimiento y nunca recibimos ni almacenamos contraseñas, frases de contraseña, PINs o claves API generados.

1. Diseño centrado en la privacidad

Resumen: Toda la generación de contraseñas se realiza localmente en su navegador; no se nos envían secretos.

  • Generación local: todos los secretos se generan con la API Web Crypto directamente en su navegador.
  • Sin almacenamiento: no almacenamos ni registramos ningún valor generado.
  • Sin transmisión: las contraseñas, frases, PINs y claves API generados no salen de su dispositivo.
  • Sin cuentas: puede usar todas las herramientas de forma anónima sin registrarse.
  • Procesamiento en el cliente: la comprobación de fortaleza y las consultas de brechas se procesan en su navegador.

2. Información que no recogemos deliberadamente

Resumen: No recogemos intencionadamente datos personales al usar las herramientas principales.

Para las herramientas principales de contraseñas no recogemos ni tratamos intencionadamente:

  • contraseñas, frases de contraseña, PINs o claves API
  • datos personales (salvo que los facilite voluntariamente)
  • analíticas, datos de seguimiento o patrones de uso
  • huellas de dispositivo o del navegador
  • identificadores publicitarios o de marketing
  • datos de geolocalización
  • cookies no esenciales o píxeles de seguimiento

Sin embargo, algunos datos técnicos limitados son procesados automáticamente por nuestro proveedor de infraestructura (Cloudflare), como se describe a continuación.

3. Información que podemos tratar en situaciones limitadas

Resumen: Solo se tratan datos mínimos cuando interactúa voluntariamente con nosotros.

A. Suscripción al boletín (voluntaria)

Si se suscribe al boletín:

  • almacenamos su dirección de correo
  • la página de origen de la suscripción (si se facilita)
  • los datos se almacenan en Supabase (región UE cuando esté disponible)
  • solo para enviar actualizaciones ocasionales

Base legal (RGPD art. 6(1)(a)): consentimiento. Puede darse de baja en cualquier momento.

B. Correos de contacto

Si nos escribe por correo, tratamos:

  • su dirección de correo
  • el contenido del mensaje
  • cualquier dato que incluya en el mensaje

Base legal: ejecución de contrato / respuesta a solicitud (RGPD art. 6(1)(b)) e interés legítimo (RGPD art. 6(1)(f)).

C. Registros de infraestructura (automático)

Cloudflare Pages procesa automáticamente:

  • direcciones IP
  • cadenas de agente de usuario
  • URLs de solicitud
  • marcas de tiempo
  • ubicación agregada a nivel de país (derivada de la IP)

Estos datos se procesan para seguridad (p. ej. protección DDoS), rendimiento, depuración y prevención de abusos. Cloudflare actúa como nuestro encargado del tratamiento. No analizamos ni almacenamos estos registros fuera de los paneles de Cloudflare.

Base legal: interés legítimo (RGPD art. 6(1)(f)).

4. Proveedor de infraestructura, registros y cookies

Resumen: Cloudflare registra direcciones IP y puede establecer cookies de seguridad estrictamente necesarias.

Cloudflare puede establecer cookies estrictamente necesarias, como:

  • __cf_bm (mitigación de bots)
  • otros identificadores relacionados con la seguridad

No se usan para seguimiento, son esenciales para el funcionamiento y la protección del sitio y están sujetos a la política de privacidad de Cloudflare.

Los registros de Cloudflare se conservan automáticamente entre 30 y 90 días según el plan y las políticas de Cloudflare. No establecemos cookies propias.

5. Comprobación de brechas (Have I Been Pwned - HIBP)

Resumen: Solo se envían los 5 primeros caracteres de un hash SHA-1; la contraseña no sale de su dispositivo.

Nuestra comprobación de brechas usa el modelo de k-anonimidad:

  • Su contraseña se hashea con SHA-1 localmente.
  • Solo los 5 primeros caracteres del hash se envían a HIBP.
  • HIBP devuelve sufijos de hash coincidentes.
  • La coincidencia se realiza por completo en su navegador.

SHA-1 se usa solo por compatibilidad con la base de datos de HIBP. No afecta a la seguridad de la generación de contraseñas. La política de privacidad de HIBP se aplica a su API.

6. Almacenamiento local del navegador

Resumen: Las preferencias se almacenan solo en su dispositivo y no se nos envían.

Podemos almacenar en localStorage o sessionStorage:

  • preferencia de idioma
  • tema (claro/oscuro)
  • configuración del generador
  • preferencia de borrado del portapapeles (si se activa en futuras actualizaciones)

Estos datos no salen de su dispositivo y pueden borrarse en cualquier momento desde la configuración del navegador.

7. Proveedores de servicios terceros

Resumen: Cloudflare, Supabase y HIBP tratan datos según sus propias políticas.

Utilizamos:

  • Cloudflare Pages (alojamiento) - procesa IPs y metadatos de solicitudes
  • Supabase (boletín) - almacena direcciones de correo
  • Have I Been Pwned (HIBP) - recibe hashes parciales de contraseñas

Cada proveedor es responsable de su propio tratamiento según su política de privacidad. No vendemos ni compartimos sus datos con empresas publicitarias o de seguimiento.

8. Cumplimiento del RGPD y base legal

Resumen: Operamos en Luxemburgo y seguimos los principios del RGPD.

Solo tratamos datos cuando es necesario y para fines claros.

Bases legales utilizadas:

  • Consentimiento: suscripciones al boletín
  • Ejecución del servicio: respuesta a consultas
  • Interés legítimo: seguridad, prevención de fraude, registros de infraestructura

Sus derechos bajo el RGPD

  • Derecho de acceso
  • Derecho de rectificación
  • Derecho de supresión
  • Derecho a limitar el tratamiento
  • Derecho de oposición
  • Derecho a la portabilidad

Contáctenos en contact@passwords.lu. Respondemos en un mes según el RGPD.

Sin decisiones automatizadas: no realizamos perfiles ni decisiones automatizadas.

9. Seguridad de los datos

Resumen: Aplicamos medidas estándar del sector, pero ningún sistema es totalmente seguro.

Las medidas de seguridad incluyen:

  • cifrado TLS
  • superficie de backend mínima
  • protección DDoS de Cloudflare
  • actualizaciones frecuentes del software
  • ningún manejo de secretos generados en el servidor

Aunque nos tomamos la seguridad en serio, ningún método es 100 % seguro. La generación de contraseñas en el cliente reduce mucho el riesgo.

10. Conservación de datos

Resumen: Conservamos los datos solo el tiempo necesario.

  • Correos del boletín: hasta que se dé de baja
  • Consultas de contacto: un tiempo razonable
  • Registros de Cloudflare: según políticas de Cloudflare (aprox. 30-90 días)

Cuando los datos ya no sean necesarios, los eliminamos o anonimizamos.

11. Privacidad de menores

Resumen: No destinado a menores de 13 años.

No recogemos a sabiendas datos personales de menores de 13 años. Si cree que un menor ha facilitado datos, contáctenos y los eliminaremos.

12. Transferencias internacionales de datos

Resumen: Usamos garantías para datos tratados fuera de la UE.

Cloudflare y Supabase pueden tratar datos en la UE, EE. UU. u otras regiones. Las transferencias siguen las garantías exigidas por el RGPD (p. ej. cláusulas tipo o decisiones de adecuación).

13. Sus derechos y opciones

Resumen: Usted controla sus datos y puede dejar de usar nuestras herramientas en cualquier momento.

Puede:

  • darse de baja del boletín
  • solicitar la eliminación de su correo
  • borrar el localStorage
  • dejar de usar el sitio sin restricción

Siempre puede contactarnos para ejercer sus derechos.

14. Actualizaciones de esta política

Resumen: Los cambios se reflejarán en la fecha de la parte superior.

Si actualizamos esta política, cambiará la fecha de «Última actualización». El uso continuado del sitio implica aceptación.

15. Contacto

Resumen: Contáctenos para consultas de privacidad o solicitudes RGPD.

Correo: contact@passwords.lu
Sitio web: passwords.lu

Respondemos a las solicitudes relacionadas con el RGPD en un mes.