Datos de cuenta: nombre, dirección de correo electrónico, preferencia de idioma, hash de la contraseña (cuando se utiliza el registro con correo y contraseña), identificador del proveedor de autenticación (por ejemplo, Google, Apple, GitHub), nivel de suscripción, código de referido y eventos de seguridad como la hora de inicio de sesión, la dirección IP, el navegador, el sistema operativo y la región geográfica aproximada deducida de la IP.

Datos del espacio de trabajo: mensajes de chat e instrucciones, archivos subidos (PDF, imagen, Excel, texto plano), bocetos de moléculas, estructuras dibujadas (SMILES/InChI), borradores de informes guardados, sesiones de estudio, tarjetas de memoria (flashcards), intentos de cuestionarios, historial de errores, referencias obtenidas de API académicas abiertas y las exportaciones que decida generar.

Archivos y embeddings: cuando sube un archivo, el binario se almacena en nuestro bucket privado de objetos y se procesa en fragmentos de texto e imagen. Calculamos embeddings vectoriales (1024 dimensiones, BGE-M3, generados en nuestro propio servidor en Alemania) para que el archivo sea consultable en sus preguntas futuras. Las imágenes químicas también pueden procesarse mediante un modelo DECIMER alojado en nuestras instalaciones para extraer SMILES.

Uso y telemetría: créditos consumidos por modelo, latencia de cola, identificadores de modelo, códigos de error, interacciones con funciones, vistas de página, web vitals y señales de prevención de abusos. Parte de la telemetría se recopila mediante Vercel Analytics, Firebase Analytics y un monitor de errores autoalojado cuando está habilitado.

Metadatos de pago: estado de la suscripción, plan, facturas, región fiscal, el identificador de cliente emitido por Stripe y metadatos limitados de la tarjeta, como la marca y los últimos cuatro dígitos, que Stripe nos devuelve. Nunca almacenamos números de tarjeta completos, CVC ni credenciales bancarias.

Comunicaciones: tickets de soporte y respuestas, preferencias de marketing con opt-in y preferencia de idioma para el correo transaccional.

Ejecución de un contrato (art. 6.1.b) — para operar el espacio de trabajo, ejecutar instrucciones, generar informes, almacenar sus proyectos, procesar pagos y proporcionar funciones de pago.

Interés legítimo (art. 6.1.f) — para supervisar la fiabilidad del servicio, prevenir abusos, proteger la infraestructura, obtener estadísticas de uso agregadas y mejorar el producto sin prevalecer sobre sus derechos.

Consentimiento (art. 6.1.a) — para cookies no esenciales, correo de marketing y analítica opcional cuando la ley local exija consentimiento. Puede retirar el consentimiento en cualquier momento.

Obligación legal (art. 6.1.c) — registros fiscales, requerimientos regulatorios y solicitudes válidas de fuerzas y cuerpos de seguridad.

Conforme a la KVKK, los motivos equivalentes son el art. 5.2.c (necesario para un contrato), el art. 5.2.f (interés legítimo), el art. 5.1 (consentimiento explícito) y el art. 5.2.a (obligación legal).

Prestación del servicio: almacenar y reanudar proyectos, representar estructuras moleculares con RDKit, ejecutar el orquestador multiagente, obtener artículos de API académicas abiertas, generar informes, entregarlos a través de la aplicación web y mantener el conocimiento de Moll sobre el espacio de trabajo actual.

Operación de la suscripción: medir el uso frente a su asignación semanal de créditos, mostrar el medidor, emitir facturas, procesar renovaciones y cancelaciones a través de Stripe, aplicar descuentos educativos cuando proceda y prevenir comportamientos fraudulentos de pago.

Seguridad y prevención de abusos: detectar credential stuffing, limitar la frecuencia de clientes agresivos, rechazar instrucciones que infrinjan la política de uso aceptable, investigar actividad sospechosa de la cuenta y atender requerimientos legales válidos.

Mejora del producto: depurar fallos, reducir la latencia, supervisar trabajos fallidos, priorizar correcciones y analizar patrones de uso agregados y no identificativos.

Comunicaciones: responder al soporte, enviar correo transaccional sobre facturación y seguridad y, únicamente con su opt-in, compartir novedades del producto.

No vendemos las instrucciones de las personas usuarias, los archivos subidos, los proyectos guardados, los bocetos moleculares, los informes, los embeddings ni ningún conjunto de datos derivado a anunciantes, intermediarios, mercados de datos o scrapers.

Por defecto, el contenido de su espacio de trabajo se utiliza únicamente para prestar y mejorar su propia experiencia con Cheemly. No publicamos instrucciones ni moléculas de clientes en conjuntos de datos públicos.

Cuando proveedores externos de modelos tratan sus instrucciones (véase Subencargados del tratamiento), configuramos sus ajustes para excluir el entrenamiento con entradas de API de clientes cuando el proveedor ofrece ese control (Google AI Studio API: el entrenamiento está deshabilitado para el tráfico de API de pago; Anthropic API: el entrenamiento está deshabilitado por defecto; OpenAI API: el entrenamiento está deshabilitado por defecto). Los clientes empresariales pueden solicitar una confirmación escrita en el pedido.

Hetzner Online GmbH (Falkenstein, Alemania) — infraestructura principal: máquinas virtuales que alojan la base de datos (PostgreSQL con pgvector), el bucket de almacenamiento de objetos (Supabase Storage en nuestra propia VM), el modelo de embeddings (BGE-M3, TEI), el OCSR químico (DECIMER), el servicio de API y el proxy inverso. Todo el contenido del espacio de trabajo reside aquí.

Vercel Inc. (Delaware, EE. UU.; centros de datos en varias regiones) — alojamiento y CDN global del sitio de marketing y de la aplicación Next.js; Vercel Analytics si está habilitado.

Cloudflare, Inc. (San Francisco, EE. UU.) — DNS autoritativo, protección DDoS, TLS en el edge, gestión de bots y proxy para api.cheemly.com / auth.cheemly.com. Cloudflare puede tratar brevemente metadatos de la solicitud (IP, cabeceras, user-agent) para prestar estos servicios.

OpenRouter, Inc. (EE. UU.) — pasarela de LLM que enruta las instrucciones a los proveedores subyacentes seleccionados. Los proveedores subyacentes actualmente utilizados incluyen Google (familia Gemini), Anthropic (familia Claude), OpenAI y Meta (Llama, vía niveles gratuitos). La lista puede cambiar a medida que añadimos o retiramos modelos; la lista actualizada se refleja en el selector de modelo dentro del producto.

Stripe, Inc. (EE. UU.) y Stripe Payments Europe Ltd. (Irlanda, para clientes de la UE/Reino Unido) — procesamiento de pagos, facturación de suscripciones, emisión de facturas y señales de detección de fraude. Stripe está certificado PCI-DSS de nivel 1.

Resend, Inc. (EE. UU.) — entrega de correo transaccional (verificación de registro, restablecimiento de contraseña, recibos de facturación).

Google LLC (Firebase Analytics, Google Sign-In) — eventos de analítica y autenticación OAuth de Google cuando la persona usuaria la elige.

PostHog Inc. (región UE) — analítica de producto (a nivel de evento) cuando está habilitada; puede desactivarla desde los ajustes de su cuenta.

Sentry — monitorización de errores cuando está habilitada.

API académicas abiertas que consultamos en su nombre, únicamente con consultas bibliográficas públicas (no se envían datos personales): Semantic Scholar (Allen Institute for AI), OpenAlex (OurResearch), Crossref, Europe PMC, arXiv, Unpaywall, PubChem (NIH/NLM), ChEMBL.

Apple Inc. solo se contacta cuando la persona usuaria elige explícitamente Iniciar sesión con Apple.

Los avisos sobre subencargados nuevos o sustitutos se reflejarán en esta página; los cambios materiales se comunicarán mediante notificación dentro del producto o por correo electrónico. Los clientes empresariales pueden optar por recibir un aviso previo por escrito en el pedido.

Los datos del espacio de trabajo (cuenta, chats, archivos, embeddings, referencias, informes, metadatos de facturación, registro de actividad) se alojan en Alemania en la infraestructura de Hetzner Online GmbH (regiones de Falkenstein/Helsinki), situada dentro del Espacio Económico Europeo (EEE). La base de datos principal es PostgreSQL 16 con pgvector.

El tráfico web se sirve a través de la CDN global de Vercel; las regiones estáticas y de edge están distribuidas por todo el mundo para mejorar el rendimiento. Cloudflare actúa como proxy de las solicitudes de API y autenticación a través de su edge global.

La inferencia de los LLM se realiza en los centros de datos del proveedor subyacente, que actualmente incluyen ubicaciones en los Estados Unidos y la Unión Europea, según el modelo. No controlamos el enrutamiento exacto a centros de datos de los proveedores aguas arriba.

Cuando las transferencias salen del EEE (por ejemplo, Stripe, OpenRouter, Resend, Vercel, Cloudflare, Sentry y los proveedores de LLM subyacentes), se basan en las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión de Ejecución 2021/914) y, cuando proceda, en la decisión de adecuación del Marco de Privacidad de Datos UE-EE. UU. Realizamos una evaluación básica del impacto de la transferencia y aplicamos garantías adicionales (cifrado en tránsito y alcances restringidos).

Registros de cuenta: se conservan mientras la cuenta esté activa. Tras el cierre de la cuenta, eliminamos la cuenta, los proyectos, los archivos, los embeddings, las referencias y los informes guardados en un plazo de 30 días, salvo cuando la ley exija un período de conservación más largo (por ejemplo, las facturas fiscales que deban conservarse durante diez años).

Registros operativos: los registros de errores, acceso y seguridad se conservan hasta 90 días para depuración y prevención de abusos, y después se eliminan o se agregan.

Eventos de autenticación (IP de inicio de sesión, user-agent, marca de tiempo): se conservan hasta 180 días para revisión de seguridad.

Facturación y facturas: se conservan durante el período exigido por la legislación fiscal aplicable (normalmente de 5 a 10 años).

Copias de seguridad cifradas: se conservan en una rotación de 30 días. El contenido de usuario eliminado puede persistir en una copia de seguridad hasta que la rotación lo elimine; no restauramos contenido eliminado en producción, salvo cuando sea necesario por motivos de seguridad o por imperativo legal.

Registros de opt-in de marketing por correo: se conservan mientras el opt-in esté activo y durante 12 meses tras su retirada como prueba del consentimiento.

Cookies y almacenamiento local estrictamente necesarios: token de sesión, estado de autenticación (cookie SSR de Supabase), preferencia de idioma (NEXT_LOCALE), preferencia de tema y protección CSRF. No pueden desactivarse sin romper el sitio.

Almacenamiento funcional: borrador del espacio de trabajo (estado local de zustand), referencias ancladas y progreso de las sesiones de estudio — se almacenan en el almacenamiento local o de sesión del navegador para mantener el espacio de trabajo ágil entre cargas de página.

Analítica: Vercel Analytics y Firebase Analytics pueden establecer cookies propias para la medición agregada de vistas de página. La analítica de eventos de PostHog solo se habilita con consentimiento cuando la ley local lo exige.

Las cookies de terceros solo se establecen cuando utiliza Iniciar sesión con Google o Apple, y se limitan al flujo de autenticación del proveedor.

Puede controlar las cookies en su navegador. Desactivar las cookies necesarias impedirá el inicio de sesión.

Conforme al RGPD / UK GDPR (arts. 15-22), usted tiene derecho de acceso, rectificación, supresión (derecho al olvido), limitación del tratamiento, portabilidad de los datos (exportación legible por máquina de su cuenta y espacio de trabajo), oposición al tratamiento basado en intereses legítimos y a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos o significativos similares. Cheemly no adopta decisiones basadas únicamente en el tratamiento automatizado en ese sentido.

Conforme a la KVKK (Turquía, art. 11), puede solicitar información sobre si se tratan sus datos, los fines, los destinatarios y la fuente, así como su corrección, eliminación o anonimización, y puede oponerse a los resultados que se deriven exclusivamente de un análisis automatizado.

Conforme a la CCPA/CPRA (California), tiene derecho a saber, a suprimir, a corregir, a oponerse a la venta o intercambio (no vendemos ni compartimos datos personales en el sentido de la CCPA) y a limitar el uso de información personal sensible.

Para ejercer cualquier derecho, escriba a privacy@cheemly.com desde el correo de la cuenta. Verificaremos su identidad, responderemos en un plazo de 30 días y le informaremos si necesitamos una prórroga. La primera solicitud en un período de 12 meses es gratuita. También tiene derecho a presentar una reclamación ante su autoridad de control — por ejemplo, la Kişisel Verileri Koruma Kurumu (KVKK Kurumu) en Turquía, o la autoridad de protección de datos de su Estado miembro de la UE.

Cheemly no está dirigido a menores de 13 años (o menores de 16 años en el EEE cuando la implementación local del artículo 8 del RGPD así lo establezca). Las personas usuarias por debajo de esa edad solo pueden utilizar Cheemly con el consentimiento verificable de una persona progenitora, tutora o de una institución educativa que actúe con la autoridad adecuada.

El personal docente que utilice Cheemly en el aula debe evitar subir datos personales del alumnado salvo que disponga de base legal y una necesidad pedagógica clara. Cheemly no asume el papel de school official conforme a FERPA sin un acuerdo adicional por escrito.

Si tenemos conocimiento de que un menor ha facilitado datos personales sin el consentimiento adecuado, eliminaremos la cuenta y el contenido asociado.

Si tenemos conocimiento de una violación de datos personales que pueda suponer un riesgo para los derechos y libertades de las personas usuarias, la notificaremos a la autoridad de control competente en un plazo de 72 horas (art. 33 RGPD) y, cuando el riesgo sea alto, lo comunicaremos a las personas afectadas sin dilación indebida (art. 34 RGPD).

El art. 12.5 de la KVKK exige asimismo la notificación a la Kurum y a la persona interesada lo antes posible — tratamos el mismo plazo de 72 horas como objetivo firme.

Las notificaciones incluirán qué ha ocurrido, qué datos se han visto afectados, qué hemos hecho, qué deben hacer las personas usuarias y cómo contactar con nosotros.

Privacidad / solicitudes de protección de datos: privacy@cheemly.com

Notificaciones legales, incluidas las relativas a infracciones de propiedad intelectual: legal@cheemly.com

Divulgaciones de seguridad: security@cheemly.com (véase también /.well-known/security.txt)

Soporte general: support@cheemly.com