CUMPLIMIENTO DE LA POLÍTICA DE DATOS DE USUARIO DE LOS SERVICIOS DE API DE MICROSOFT

Cumplimiento de la Política de Datos de Usuario de los Servicios de API de Microsoft
REMBRR INC. – Port Charlotte, Florida, EE. UU.
Oficina de Privacidad y Cumplimiento – privacy@rembrr.com

1. Declaración General
   Esta política describe cómo REMBRR INC. accede, utiliza, almacena y protege los datos de usuario obtenidos mediante Microsoft APIs, incluyendo Microsoft Graph, a través de integraciones basadas en OAuth 2.0.

   El texto publicado en el portal web y la tienda de REMBRR es consistente con la información presentada durante los flujos de consentimiento OAuth y los procesos de revisión de aplicaciones exigidos por Microsoft.

   REMBRR cumple íntegramente con las Microsoft API Terms, la Microsoft Graph Data Protection Policy, las políticas de privacidad de Microsoft Entra ID y los requisitos aplicables a aplicaciones que acceden a datos de Microsoft 365.

2. Datos Accedidos
   Con el consentimiento explícito del usuario, REMBRR INC. puede solicitar únicamente los scopes mínimos necesarios de Microsoft OAuth 2.0 para proveer funciones de productividad, automatización y sincronización entre la cuenta Microsoft del usuario y la plataforma REMBRR.

   Las categorías de datos a las que se puede acceder están estrictamente limitadas a:

   Perfil básico: nombre, dirección de correo electrónico y foto de perfil, utilizados exclusivamente para autenticación y gestión de identidad.

   Microsoft OneDrive: ver, crear y actualizar archivos y metadatos únicamente dentro del espacio de trabajo que el usuario decida vincular.

   Microsoft Outlook / Calendar: leer y crear eventos de calendario para sincronización de agenda.

   Outlook Mail (solo metadatos): asunto, remitente, destinatario y marcas de tiempo, utilizados exclusivamente para notificaciones o automatizaciones solicitadas por el usuario.

   REMBRR nunca lee, almacena ni analiza el contenido de los mensajes.

   Microsoft To Do / Planner (solo metadatos): títulos y marcas de tiempo de tareas si el usuario las conecta voluntariamente.

   No se accede, almacena ni analiza ningún otro dato de usuario de Microsoft, incluyendo contenido de correos, archivos adjuntos o contactos, salvo autorización explícita y específica del usuario conforme a las políticas de Microsoft.

3. Uso de Datos
   Los datos obtenidos mediante Microsoft APIs se utilizan exclusivamente para:

   Autenticar al usuario y gestionar sesiones seguras.

   Sincronizar archivos, eventos, tareas y recordatorios dentro del entorno del usuario.

   Brindar las funciones solicitadas y mantener la confiabilidad y seguridad del servicio.

   Los datos de Microsoft APIs nunca se utilizan para:

   – Publicidad.
   – Perfilamiento conductual o comercial.
   – Reventa o transferencia con fines distintos a los autorizados.

4. Compartición de Datos
   REMBRR no comparte datos de usuario de Microsoft con terceros, salvo en los siguientes casos:

   Proveedores de infraestructura, autenticación o seguridad que respaldan la operación del sistema y están sujetos a acuerdos estrictos de confidencialidad y protección de datos.

   Cuando una obligación legal, regulación aplicable u orden judicial lo exija.

   Todo el tratamiento se realiza en cumplimiento estricto con las políticas de protección de datos de Microsoft y los principios de uso limitado.

5. Almacenamiento y Protección
   Los datos obtenidos mediante Microsoft APIs son:

   – Cifrados en tránsito mediante TLS 1.3.
   – Cifrados en reposo mediante AES-256.
   – Almacenados exclusivamente en servidores seguros ubicados en los Estados Unidos.

   REMBRR aplica controles de seguridad multinivel, incluyendo:

   – Control de acceso basado en roles (RBAC).
   – Autenticación multifactor (MFA).
   – Registros de auditoría.
   – Aislamiento lógico por cuenta.

   REMBRR no exporta datos de Microsoft a sistemas externos de analítica ni de publicidad.

6. Retención y Eliminación
   Los datos provenientes de integraciones con Microsoft se conservan únicamente mientras el usuario mantenga activa la conexión.

   Cuando el usuario desconecta la integración o solicita la eliminación de sus datos:

   – Los tokens OAuth y toda la información asociada se revocan y eliminan permanentemente en un plazo máximo de 30 días.

   – Las copias de respaldo con datos residuales se eliminan automáticamente en el siguiente ciclo de mantenimiento, no mayor a 45 días.

   El usuario puede verificar la eliminación escribiendo a support@rembrr.com o mediante /delete-data-request.

7. Control del Usuario
   El usuario puede revocar en cualquier momento el acceso de REMBRR a sus datos de Microsoft visitando los permisos de su cuenta Microsoft: https://account.microsoft.com/privacy

   También puede solicitar acceso, portabilidad o eliminación de datos escribiendo a info@rembrr.com o a través de /user-data-rights.

8. Transparencia en el Flujo de Conexión
   Durante el inicio de sesión con Microsoft o al conectar servicios como OneDrive, Outlook, Calendar o To Do, el usuario visualiza el siguiente aviso:

   “Al iniciar sesión con Microsoft o conectar un servicio de Microsoft, aceptas la Política de Privacidad y los Términos de Uso de REMBRR.”

   Este mensaje incluye enlaces directos a politica-de-privacidad /terminos/ user-data-rights.

9. Compromisos de Cumplimiento
   REMBRR INC. certifica que:

   Esta política se revisa anualmente o cada vez que Microsoft actualiza sus políticas de APIs.

   Los controles de seguridad siguen los marcos NIST SP 800-53 e ISO/IEC 27001.

   Todo el personal con acceso a datos OAuth recibe capacitación en privacidad y firma acuerdos de confidencialidad.

   Se mantiene una Evaluación de Impacto en la Protección de Datos (DPIA) para los scopes utilizados de Microsoft Graph.

   Los usuarios son notificados de cualquier cambio sustancial al menos 7 días antes de su entrada en vigor.

10. Contacto para Asuntos de Datos de Microsoft
    Oficina de Privacidad y Cumplimiento – privacy@rembrr.com
    REMBRR INC. 23087 Langdon Avenue
    Port Charlotte, FL 33954 – Estados Unidos
11. Última actualización: 14 de octubre de 2025.
    Esta versión sustituye a todas las anteriores y es coherente con el texto presentado durante los procesos de consentimiento OAuth y revisión de aplicaciones de Microsoft.