Compromiso de no venta
TL;DR: CookieVault nunca venderá, alquilará, arrendará, compartirá para publicidad contextual cruzada ni monetizará de otro modo tus datos. Este es un compromiso permanente y exigible que cubre a cada usuario y cada categoría de datos — no una línea de marketing temporal — y vincula a cualquier futuro adquirente.
El compromiso de no venta es la promesa pública permanente de CookieVault de nunca vender, alquilar, arrendar, compartir para publicidad contextual cruzada ni monetizar de otro modo los datos de usuario a cambio de valor. Existe porque el espacio de las extensiones de navegador y las herramientas de cookies tiene una larga historia de productos que fueron adquiridos y silenciosamente convertidos en vehículos de recopilación de datos — así que un producto privacidad-primero necesita decir, llana y duraderamente, que no hará eso.
Alcance del compromiso
En resumen: El compromiso cubre a cada usuario (Gratis, Pro, Team) y cada categoría de datos que tocamos — los IDs de email y facturación que sí podemos leer y los blobs cifrados que no. No hay excepciones para datos “anonimizados”, “agregados” o “desidentificados”.
Todo lo que cubre el compromiso:
- Contenido de las cookies — ya está cifrado de extremo a extremo y nunca se vende ni se comparte, en cualquier caso
- Email de cuenta — nunca se vende, alquila ni comparte para publicidad
- Identificadores de facturación — el ID de cliente de Paddle y los metadatos relacionados
- Correspondencia de soporte — nunca se minan ni se monetizan
- Analítica agregada — sin cookies y solo agregada, y nunca se vende ni siquiera en forma de resumen
- Cualquier derivado “desidentificado” — explícitamente dentro del alcance, porque la desidentificación es el resquicio habitual
No hay asterisco para los datos “anonimizados”, porque la reidentificación de conjuntos de datos supuestamente anónimos está bien documentada y no nos apoyaremos en esa ficción.
Qué significa “venta”
En resumen: Adoptamos la definición amplia de la CCPA — cualquier divulgación de datos personales a un tercero por contraprestación monetaria o de otro valor — e incluimos explícitamente los arreglos indirectos (licencias, audiencias similares, puja de anuncios, ventas de cohortes) que las empresas usan para monetizar datos sin llamarlo venta.
| Práctica | ¿Cuenta como “venta/intercambio” bajo nuestro compromiso? |
|---|---|
| Vender datos a un intermediario de datos | Sí — prohibido |
| Licenciar datos por una tarifa | Sí — prohibido |
| Exportar audiencias similares a anuncios | Sí — prohibido |
| Puja programática de anuncios con datos | Sí — prohibido |
| Venta de cohortes “anonimizadas” | Sí — prohibido |
| Compartir para anuncios contextuales cruzados | Sí — prohibido |
Usamos el encuadre deliberadamente amplio de la CCPA, que define “venta” para incluir la liberación, divulgación o comunicación de otro modo de información personal a cambio de “contraprestación monetaria u otra de valor”.1 La enmienda CPRA añadió por separado el “intercambio” para publicidad conductual contextual cruzada, y nuestro compromiso lo cubre también.2
Divulgaciones permitidas
En resumen: Exactamente tres, y ninguna es una venta: Paddle para facturación, Cloudflare para alojamiento y tránsito, y compulsión legal por una orden judicial válida. Nunca recibimos valor por ninguna de ellas y resistimos demandas excesivamente amplias.
La lista completa de divulgaciones que sí hacemos:
- Paddle — para procesar pagos e impuestos como nuestro Merchant of Record
- Cloudflare — para alojar el servicio y transitar tus datos cifrados
- Compulsión legal — solo bajo citación u orden judicial válida, y solo el mínimo necesario
Ninguna de estas es una venta: no recibimos contraprestación, los destinatarios son proveedores de servicio vinculados por contrato o por un tribunal, y los blobs cifrados permanecen ilegibles en tránsito y en reposo. Nos comprometemos a un informe de transparencia que resuma cualquier divulgación forzada.
Cómo se hace exigible esto
En resumen: Una promesa declarada de no venta es exigible bajo la CCPA por los reguladores y tergiversarla es una práctica comercial desleal. Lo reforzamos con una declaración firmada con PGP en Git, su integración en los términos vinculantes del servicio y una cláusula de cambio de control que vincula a cualquier adquirente.
El stack de exigibilidad, de la capa legal más fuerte hacia abajo:
- Estatutaria — bajo la CCPA/CPRA una representación de no venta es exigible por la California Privacy Protection Agency y el Fiscal General, y declararla falsamente es una práctica comercial desleal1
- Contractual — el compromiso queda integrado en los términos del servicio vinculantes, formando parte de tu acuerdo con nosotros
- Vinculante para sucesores — una cláusula de cambio de control traslada el compromiso a cualquier adquirente, así que la venta de la empresa no puede habilitar silenciosamente la venta de tus datos
- Procedencia criptográfica — una copia firmada con PGP del compromiso se archiva en el historial público de Git, con sello temporal y resistente a manipulación
Véase también
- Política de privacidad — qué recopilamos y qué nunca recopilamos
- Seguridad — el cifrado de extremo a extremo tras estas promesas
- Términos del servicio — donde el compromiso pasa a ser contractualmente vinculante
- Acerca de — por qué nos financiamos con suscripciones, no con datos
Footnotes
-
La definición de “venta” de la CCPA y su exigibilidad están resumidas por el Fiscal General de California: https://oag.ca.gov/privacy/ccpa. ↩ ↩2
-
La CPRA añadió el concepto de “intercambio” para la publicidad conductual contextual cruzada; para el código de privacidad consolidado de California véase el portal oficial del texto legislativo: https://leginfo.legislature.ca.gov. ↩