Declaración GDPR
Fecha de vigencia: 29 de junio de 2026 · Última actualización: 30 de junio de 2026
Zeptun Intelligence Limited (Hong Kong SAR) ("nosotros," "nos" o "nuestro") opera la plataforma de correo Unbox en unbox.im y se compromete a proteger los datos personales de acuerdo con el Reglamento General de Protección de Datos (GDPR) de la UE y leyes similares. Esta página resume cómo manejamos los datos de los clientes en el Espacio Económico Europeo (EEE), Reino Unido y Suiza. Complementa nuestra Política de Privacidad y Términos de Servicio.
Quiénes somos
Zeptun Intelligence Limited (Hong Kong SAR) es el controlador de datos de los datos personales procesados a través de Unbox en unbox.im. Para consultas de protección de datos, contacte a privacy@unbox.im.
Qué es Unbox (y qué no es)
Unbox es una plataforma de correo transaccional y buzón de dominio. Te ayudamos a enviar y gestionar correos importantes: códigos de verificación, restablecimientos de contraseña, actualizaciones de pedidos y notificaciones de equipo en tus propios dominios.
No ofrecemos publicidad ni envío de boletines. Nuestra API HTTP y las rutas de envío SMTP se limitan únicamente a correo transaccional. Esta elección de producto reduce la complejidad del consentimiento de marketing según el RGPD: no enviamos campañas promocionales en tu nombre y no requerimos procesos de suscripción ni cancelación para el correo de la plataforma.
API de salida y SMTP — solo transaccional
The Unbox HTTP API (POST /v1/email) and optional SMTP submission must be used for transactional messages only — for example password resets, receipts, security alerts, and team notifications tied to a specific event. Marketing newsletters, promotional bulk sends, and cold outreach are prohibited.
Ejemplos permitidos
- Verificación de cuenta, restablecimiento de contraseñas y alertas de seguridad
- Confirmaciones de pedido, recibos, actualizaciones de envío y avisos de pago
- Notificaciones activadas por un usuario o evento del sistema específico
- Mensajes de equipo y espacio de trabajo (invitaciones, asignaciones, alertas internas)
Ejemplos prohibidos
- Boletines, campañas promocionales o marketing por difusión
- Contacto en frío o correo a listas compradas, extraídas o sin consentimiento
- Spam de afiliados, phishing o contenido engañoso
- Cualquier intento de eludir los límites de destinatarios, tasas o cuotas del plan
Límites de tasa y destinatarios (política)
Para evitar el marketing masivo de facto mientras se permiten notificaciones normales de equipo, el tráfico de API de salida y SMTP está sujeto a los límites a continuación, además de las cuotas del plan. Los límites se aplican automáticamente y se aplican por espacio de trabajo (el propietario y los miembros del equipo comparten un único grupo diario de destinatarios únicos, se restablece a la medianoche UTC):
- Destinatarios por mensaje: Hasta 50 en total (Para + Cc + Cco combinados)
- Destinatarios únicos por día: Hasta 1,000 por espacio de trabajo
- Tasa de solicitudes de envío: Hasta 10 envíos de API o SMTP por minuto por dominio
- Cupo saliente del plan: Los límites mensuales de envío de tu suscripción siguen vigentes
Estas reglas son parte de nuestra Política de Uso Aceptable. La aplicación automática está activa en el compositor web, la API HTTP y el envío SMTP. Las cuentas que envíen correos de marketing o masivos, o que abusen de la infraestructura de envío, pueden ser limitadas, suspendidas o canceladas.
Monitoreamos las señales de capacidad de entrega. Las tasas de rebote sostenidas superiores al 3 % o las tasas de queja superiores al 0.1 % pueden provocar una pausa temporal de envío o una revisión manual.
Estas reglas también se indican en nuestros Términos de servicio.
Bases legales para el procesamiento
- Contrato — para proporcionar el alojamiento, DNS, buzón, envío de API, facturación y soporte que solicitaste.
- Intereses legítimos — seguridad, prevención de abusos, monitoreo de entregabilidad y mejora del producto, equilibrados con tus derechos.
- Consentimiento — cuando sea necesario, como funciones opcionales de IA que envían contenido a proveedores de modelos en la nube, o la conexión de cuentas de correo de terceros.
- Obligación legal — impuestos, facturación y solicitudes legales de autoridades.
Lo que ya hacemos
- Registro verificado — las cuentas nuevas deben confirmar el correo electrónico (código único o enlace mágico) antes de iniciar sesión.
- Cifrado — TLS para datos en tránsito; credenciales y tokens sensibles cifrados en reposo; claves API almacenadas con hash.
- Minimización de datos — los registros de entrega de salida almacenan solo metadatos (sin cuerpos de mensajes). Las vistas previas de cuentas externas caducan después de siete días. Los registros de entrega se eliminan con un breve período de retención (14 días por defecto).
- Retención controlada por el usuario — papelera de reciclaje, cuarentena de spam y eliminación permanente; decides cuánto tiempo se conserva el correo eliminado antes de purgarlo.
- Autenticación DNS — te guiamos en la configuración de SPF, DKIM y DMARC y bloqueamos el envío hasta que tu dominio esté verificado.
- Responsabilidad del operador — las acciones del personal de la plataforma en nuestra consola de administración se registran en auditoría; los cambios de membresía del equipo se registran en el feed de actividad de tu espacio de trabajo.
- Sin venta de datos personales — no vendemos tu información a anunciantes ni intermediarios de datos.
Subencargados
Utilizamos socios de infraestructura confiables para operar Unbox. Procesan datos solo bajo nuestras instrucciones y garantías contractuales:
- Vercel — alojamiento de aplicaciones web y funciones serverless
- Neon — base de datos PostgreSQL
- Upstash — Redis (colas y limitación de tasa)
- Vercel Blob — almacenamiento de blobs de archivos adjuntos y mensajes
- Amazon Web Services (SES) — entrega de correo electrónico entrante y saliente
- Stripe — facturación de suscripciones y facturas
- OpenRouter — inferencia de IA en la nube cuando usas funciones de IA que requieren modelos remotos
Una lista actualizada se mantiene en nuestra Política de Privacidad. Los clientes comerciales que necesiten un Acuerdo de Procesamiento de Datos (DPA) firmado pueden solicitarlo en privacy@unbox.im.
Transferencias internacionales
Unbox se opera principalmente desde Singapur, con infraestructura en AWS ap-southeast-1 y ubicaciones perimetrales globales utilizadas por nuestros proveedores de alojamiento. Cuando los datos personales se transfieren fuera del EEE, confiamos en salvaguardas apropiadas como las Cláusulas Contractuales Estándar y los DPA de los proveedores. Estamos planificando opciones de almacenamiento en la región de la UE para clientes que requieran residencia de datos en la UE.
Tus derechos según el RGPD
Si el RGPD te aplica, puedes tener derecho a:
- Acceder a los datos personales que tenemos sobre ti
- Corregir datos inexactos
- Exportar tus datos en un formato portátil
- Eliminar tus datos ("derecho al olvido")
- Restringir u oponerte a cierto procesamiento
- Retirar el consentimiento cuando el procesamiento se base en el consentimiento
- Presentar una queja ante tu autoridad de supervisión local
Cómo ejercer tus derechos hoy: envía un correo a privacy@unbox.im desde tu dirección registrada. Respondemos en un mes. La exportación autogestionada y la eliminación de cuenta en Ajustes están en nuestro plan de desarrollo — ver más abajo.
IA y tu correo
Cuando usas funciones de IA, el contenido relevante del mensaje puede enviarse a proveedores de IA para resumir, clasificar o redactar. Minimizamos lo que se envía y no usamos tu correo para entrenar modelos públicos. Los clientes comerciales podrán restringir el procesamiento de IA en la nube en la configuración de la cuenta; hasta que esa opción esté disponible, contáctanos para optar por no participar en la inferencia en la nube.
Seguridad y violaciones
Mantenemos medidas técnicas y organizativas que incluyen controles de acceso, cifrado, soporte para MFA/clave de acceso y procedimientos de respuesta a incidentes. Si una violación de datos personales representa un riesgo para tus derechos, notificaremos a los usuarios afectados y a los reguladores según lo exige la ley.
Mejoras planificadas
Estamos trabajando activamente para fortalecer la preparación para el RGPD, incluyendo:
- Exportación de datos autogestionada y eliminación de cuenta en Ajustes
- Registros de consentimiento almacenados al registrarse con seguimiento de versión de política
- Límites de envío saliente que evitan el abuso de marketing masivo mientras permiten notificaciones normales del equipo (ver arriba)
- Transparencia ampliada de subprocesadores y plantillas de DPA para clientes
- Residencia de datos opcional en la UE
Contacto
Consultas de protección de datos: privacy@unbox.im
Soporte general: hello@unbox.im