Centro legal
Visitantes, usuarios, suscriptores, equipos, referidos, reclamantes y contactos comerciales.PrivacidadDatosIA

Política de privacidad

Explica qué información tratamos, por qué, con qué proveedores, durante cuánto tiempo y cómo ejercer derechos al usar Ressearch AI.

Estado del documento

Vigencia
18 de junio de 2026
Última revisión
18 de junio de 2026
Operador
Skyfall Innovations Corp S.A.C.S.
RUC
20615941108

No venta

No vendemos documentos, prompts ni datasets privados del usuario

Proveedor de IA

Inferencia 100% vía Google Cloud — Vertex AI (Gemini Enterprise Agent Platform)

Derechos

Solicitudes a [email protected]

Marco IA

Ley 31814 + DS 115-2025-PCM + NTP-ISO/IEC 42001:2025

1. Responsable y marco aplicable

Skyfall Innovations Corp S.A.C.S., operador de Ressearch AI®, actúa como responsable del tratamiento respecto de datos tratados para operar el sitio, crear cuentas, prestar el servicio, procesar pagos, responder soporte, prevenir abuso, administrar reclamaciones y cumplir obligaciones legales.

Esta política se interpreta conforme a la Ley N.° 29733, Ley de Protección de Datos Personales, y su Reglamento aprobado por Decreto Supremo N.° 016-2024-JUS, publicado el 30 de noviembre de 2024 y vigente desde el 30 de marzo de 2025. Dicho reglamento refuerza obligaciones de información, la figura del oficial de datos personales (DPO) cuando corresponde, la notificación de brechas de seguridad en un plazo de 48 horas a la Autoridad Nacional de Protección de Datos Personales (ANPDP, adscrita al MINJUSDH) y un alcance extraterritorial. Lo anterior es sin perjuicio de derechos adicionales que puedan corresponder a usuarios ubicados en otras jurisdicciones.

Empresa peruana inscrita ante SUNAT con RUC 20615941108 bajo la denominación Skyfall Innovations Corp S.A.C.S.

Referencias y fuentes

2. Marco normativo aplicable a inteligencia artificial

Ressearch AI opera como un sistema basado en inteligencia artificial sujeto al marco peruano vigente. En particular, esta política se interpreta junto con la Ley N.° 31814, Ley que promueve el uso de la inteligencia artificial en favor del desarrollo económico y social del país (publicada el 5 de julio de 2023), y su Reglamento aprobado por Decreto Supremo N.° 115-2025-PCM, publicado el 9 de septiembre de 2025 y vigente desde el 22 de enero de 2026.

Bajo la terminología del Reglamento (artículo 3), Ressearch AI actúa principalmente como «Desarrollador» de un sistema de IA (quien diseña, programa o entrena el sistema) y, cuando integra IA en sus propios procesos operativos, como «Implementador». El usuario final es el «Usuario». Esta distinción determina las obligaciones aplicables de transparencia, supervisión humana y rendición de cuentas.

Adicionalmente, se toma como referencia técnica la Norma Técnica Peruana NTP-ISO/IEC 42001:2025, sobre sistemas de gestión de inteligencia artificial, aprobada por el Instituto Nacional de Calidad (INACAL) en julio de 2025 y citada por el artículo 33 del Reglamento. Esta norma orienta el diseño de políticas, procedimientos, evaluación de impacto, supervisión humana y mejora continua del sistema.

La autoridad nacional competente en materia de inteligencia artificial es la Presidencia del Consejo de Ministros (PCM), a través de la Secretaría de Gobierno y Transformación Digital (SGTD), que supervisa por medio de la Subsecretaría de Tecnologías y Seguridad Digital. Los usuarios pueden remitir observaciones, recomendaciones o alertas éticas sobre el uso de IA al canal habilitado por el Estado peruano en gob.pe/iaperu. En materia de datos personales aplica la ANPDP (MINJUSDH) y en materia de consumo, el INDECOPI (Ley N.° 29571).

  • Principio de respeto a los derechos humanos, equidad e inclusión.
  • Principio de transparencia y explicabilidad — los outputs se entregan como asistencia probabilística, no como certificación profesional.
  • Principio de seguridad y protección de datos personales — alineado con Ley N.° 29733 y su reglamento.
  • Principio de supervisión humana y rendición de cuentas — el usuario aprueba, ejecuta y valida cada paso relevante del flujo de trabajo.
  • Principio de sostenibilidad y promoción del desarrollo científico — uso de proveedores con compromisos ambientales declarados.

Según el cronograma sectorial del Reglamento (Primera Disposición Complementaria Final), las obligaciones de transparencia para usos del sector educación, salud, justicia, seguridad y economía/finanzas son exigibles desde el 10 de septiembre de 2026. Para el detalle operativo del sistema (modelos, datos, lógica, impactos, supervisión, limitaciones, clasificación de riesgo) consulta la Tarjeta de Sistema de IA del Centro legal.

Referencias y fuentes

3. Información que proporcionas directamente

  • Datos de cuenta: nombre, correo, avatar, proveedor de autenticación, identificadores de usuario, preferencias, idioma y configuración.
  • Datos de identidad y facturación: nombre, apellidos, teléfono, dirección y, de forma específica, el tipo y número de documento de identidad o tributario (DNI, carné de extranjería, RUC o pasaporte) que recopilamos en el checkout y conservamos para emitir comprobantes electrónicos (boletas) conforme a la normativa de SUNAT. Este dato lo almacena directamente Ressearch AI, ya que la pasarela de pago no lo retiene.
  • Credenciales de integraciones: cuando conectas GitHub o Zotero, almacenamos el token o clave de API necesarios para operar la integración que tú habilitas; puedes desconectarlos en cualquier momento.
  • Datos de equipo: organización, rol, invitaciones, miembros, asientos, actividad de administración y métricas de uso.
  • Datos de pago: plan, intervalo, cargos, estado de suscripción, recargas, auto-recargas e identificadores de Culqi (cliente, tarjeta tokenizada, suscripción). No almacenamos el número completo de tarjeta ni el CVV; estos se tokenizan en Culqi.
  • Contenido de investigación: prompts, mensajes, papers, PDFs, datasets, documentos, tablas, figuras, código, notebooks, resultados, comentarios, citas, archivos, metadatos, artefactos y repositorios conectados.
  • Datos de soporte y reclamaciones: comunicaciones, evidencia, capturas, descripción del problema, datos de contacto y solicitudes de privacidad o consumo.
  • Datos de referidos o campañas: código de referido, relación entre cuentas, beneficios acreditados, estado de validación y controles antifraude.

4. Información recopilada automáticamente

  • Datos técnicos de sesión, dispositivo, navegador, IP, idioma, ruta visitada, timestamps, errores, performance, eventos de navegación y telemetría de estabilidad.
  • Datos de uso del producto: acciones ejecutadas, herramientas activadas, consumo de créditos, jobs, sandboxes, exportaciones, conectores habilitados, fallas y logs necesarios para soporte.
  • Metadatos derivados de archivos o ejecuciones: nombres, tipos, tamaños, checksums, columnas, previews, embeddings, summaries, relaciones de Project Objects, lineage y registros de auditoría, incluyendo registros de egreso de red de los sandboxes (host y volumen, sin el cuerpo de la petición).
  • Datos de visitantes de contenido público: cuando alguien abre un enlace público compartido (/s/[id]), registramos analítica de visita (un hash derivado de IP, agente de usuario, referente y país) para métricas y seguridad. Esto se describe en la sección «Publicación y enlaces públicos».

Estos datos se usan para seguridad, continuidad, diagnóstico, facturación, prevención de fraude, mejora operativa y trazabilidad del producto.

5. Finalidades del tratamiento

  • Crear, autenticar y administrar cuentas, sesiones, equipos, roles y preferencias.
  • Prestar funciones de chat, memoria, búsqueda, papers, knowledge, escritura, citas, ejecución de código, limpieza de datasets, visualizaciones, exportaciones y conectores científicos.
  • Procesar pagos, emitir comprobantes (boletas), renovar suscripciones, otorgar créditos, ejecutar recargas, gestionar cancelaciones, prevenir fraude y conciliar eventos financieros.
  • Enviar contexto a proveedores de IA, embeddings, ejecución, almacenamiento y orquestación para completar las acciones solicitadas por el usuario.
  • Mantener seguridad, disponibilidad, observabilidad, control de costos, soporte técnico, depuración de errores y defensa ante abuso.
  • Atender solicitudes de privacidad, reclamos, quejas, soporte, cambios de cuenta, baja o portabilidad razonable de información.
  • Cumplir requerimientos legales, regulatorios, tributarios, contables, judiciales o administrativos válidos.

6. Bases jurídicas

Tratamos datos para ejecutar la relación contractual o precontractual con el usuario, cumplir obligaciones legales (incluidas las tributarias), atender intereses legítimos de seguridad y operación, responder solicitudes, prevenir fraude y, cuando corresponda, con base en consentimiento o instrucción expresa del usuario.

Cuando decides cargar archivos, conectar integraciones, enviar prompts, activar herramientas o ejecutar análisis, esa acción funciona como instrucción operativa para procesar la información necesaria dentro del flujo solicitado.

7. Uso de IA y contenido privado

Ressearch AI no vende documentos, prompts, outputs ni datasets privados de usuarios, no los usa para publicidad comportamental y no entrena modelos fundacionales propios con contenido privado del usuario.

Toda la inferencia generativa, los embeddings y el procesamiento multimodal se ejecutan a través de un único proveedor de modelos: Google Cloud — Gemini Enterprise Agent Platform (anteriormente Vertex AI). Los modelos Gemini se invocan de forma nativa sobre Vertex AI; cuando se habilita la familia Claude, esta se sirve igualmente a través de Vertex AI (Model Garden), por lo que el destinatario de los datos es Google, no Anthropic. Al momento de esta revisión la familia Claude se encuentra en pausa y el 100% del tráfico se procesa con Gemini sobre Vertex AI.

Cuando usas funciones de IA, podemos enviar al proveedor de modelos el prompt, selección, archivo, fragmento de documento, memoria de proyecto, metadatos, instrucciones y contexto razonablemente necesario para producir la respuesta o completar la herramienta. El alcance depende de la función activada. Bajo los términos empresariales de Google Cloud aplicables a Vertex AI / Gemini Enterprise, el contenido enviado no se utiliza para entrenar los modelos fundacionales de Google ni se comparte con otros clientes, sin perjuicio de retenciones técnicas limitadas, registros de seguridad y prevención de abuso del proveedor. El cliente controla la región de residencia de los datos en reposo.

Las métricas agregadas, logs de errores, costos, rendimiento, uso de herramientas y señales técnicas pueden utilizarse para mejorar seguridad, estabilidad, experiencia y economía del producto sin buscar identificar el contenido sustantivo del usuario. El uso de texto bruto del proyecto para diagnóstico interno de producto está restringido a proyectos con autorización expresa (lista de consentimiento por proyecto).

Referencias y fuentes

8. Memoria de proyecto, perfilado y aprendizaje automático

Para mantener continuidad metodológica, Ressearch AI deriva y conserva resúmenes generados por IA sobre tu trabajo: memoria de proyecto, memoria de usuario, contexto aprendido y un grafo de conocimiento. Procesos periódicos en segundo plano (consolidación tipo «sleep-time» o dream) deduplican, depuran y promueven memorias a nivel de usuario, incluyendo preferencias, metodologías que funcionaron, modos de falla y estilo de trabajo.

Este perfilado se realiza de forma automatizada a partir de tu propio contenido, está aislado por usuario o por proyecto mediante políticas de acceso, y es visible y editable por ti desde el panel de memoria. Puedes revisar, corregir o eliminar estas memorias en cualquier momento.

Igualmente, cuando ejecutas análisis sobre datasets, el sistema extrae y conserva metadatos de esquema y perfilado a nivel de columna (World Model) para fundamentar el código que genera. Son metadatos derivados de tus datos, no copias completas del dataset.

9. Proveedores y destinatarios (subencargados)

Para operar Ressearch AI usamos proveedores que pueden actuar como encargados, subencargados o responsables independientes según el caso. La página de Seguridad y subencargados contiene el inventario operativo con su rol y región. Distinguimos por sensibilidad de los datos que reciben:

  • Contenido completo del usuario: Supabase (autenticación, base de datos, storage, pgvector y recuperación contextual); Google Cloud — Vertex AI / Gemini (inferencia, embeddings y multimodal); E2B y Modal (ejecución aislada de código, sandboxes, jobs largos y GPU, a los que se copian datasets y código del usuario).
  • Datos acotados: Culqi (pagos y tokenización de tarjetas); GitHub y Zotero (integraciones que tú habilitas; responsables independientes para sus propios fines); Resend (envío de correos transaccionales, p. ej. invitaciones); Inngest (orquestación de trabajos en cola, que recibe identificadores de proyecto y job).
  • Solo términos de consulta: APIs científicas externas a las que enviamos únicamente términos de búsqueda, DOIs o identificadores —nunca tus datasets ni documentos— como PubMed/NCBI, Crossref, OpenAlex, Semantic Scholar, Europe PMC, DOAJ, arXiv, ClinicalTrials, Unpaywall, SciELO (ArticleMeta), PubChem, GBIF, RCSB PDB, AlphaFold, UniProt, Ensembl y ChEMBL, bajo las licencias de cada fuente.
  • Analítica de cliente: Google Analytics (solo en rutas públicas de marketing, supeditado al consentimiento de cookies) y señales de Cloudflare. No utilizamos SDK de terceros (Sentry, PostHog, etc.) dentro del producto; la observabilidad interna se almacena en Supabase.
  • Infraestructura: hosting (Railway), CDN/seguridad de borde (Cloudflare) y monitoreo de disponibilidad que solo consulta endpoints de salud.

Mantener el inventario de subencargados nombrados es una obligación de transparencia. La lista puede evolucionar a medida que el producto cambia; los cambios materiales se publican en la página de Seguridad y subencargados.

Referencias y fuentes

10. Publicación y enlaces públicos (/s/[id])

Ressearch AI te permite publicar contenido de un proyecto mediante un enlace público (/s/[id]). Tú decides qué incluir: brief, lista de papers, chats específicos, objetos de proyecto (figuras, tablas, código, estructuras, datasets) y un documento de redacción. Al publicar, generamos una copia inmutable (snapshot) y copiamos los archivos de imagen o estructura a un bucket de almacenamiento de lectura pública.

Cualquier persona con el enlace puede ver el contenido publicado, sin iniciar sesión. La vista previa social (imagen Open Graph) puede ser almacenada en caché por terceros (redes sociales, buscadores). Sanitizamos el snapshot para retirar directivas internas, rutas de sandbox, nombres de herramientas y el brief de investigación; las tarjetas de ejecución muestran estado, duración, créditos y artefactos, pero nunca stdout, stderr ni trazas de error.

Por defecto, la identidad de los colaboradores se anonimiza. Si tú, como propietario, desactivas la anonimización, se publicarán los nombres reales del propietario y de los miembros del proyecto: es una decisión que tomas sobre datos de terceros y debes contar con su autorización.

Registramos analítica de los visitantes del enlace (hash derivado de IP, agente de usuario, referente y país) y, si se habilitara la captura de leads, el correo del visitante. Puedes revocar un enlace o este puede expirar (por defecto a los 30 días): al revocarlo eliminamos el registro y los archivos públicos asociados, pero las copias que terceros ya hayan descargado o indexado no pueden recuperarse.

11. Imágenes efímeras y visión

Cuando pegas o arrastras una imagen al chat, esta se sube temporalmente, se envía al proveedor de IA (Vertex AI / Gemini) para su análisis visual y se elimina al finalizar el turno (con un recolector de respaldo que purga remanentes). No se conserva como objeto de proyecto y se factura como una acción separada. Si una imagen contiene datos personales o sensibles, aplican las mismas reglas de minimización que para cualquier otra carga.

12. Cookies y tecnologías similares

Usamos cookies, almacenamiento local, tokens de sesión, parámetros OAuth, identificadores técnicos y herramientas equivalentes para autenticación, seguridad, continuidad de sesión, preferencias, pagos, observabilidad y diagnóstico. La analítica de marketing en rutas públicas (Google Analytics) está supeditada a tu consentimiento mediante el banner de cookies. La Política de cookies explica estas categorías con más detalle.

Referencias y fuentes

13. Datos sensibles y contenido regulado

Ressearch AI no está diseñado como repositorio especializado para datos de salud identificables, información genética atribuible a personas, expedientes clínicos, datos de menores, bases biométricas, secretos empresariales críticos o material cubierto por regulaciones sectoriales estrictas sin evaluación previa. El servicio no está destinado, en su configuración estándar, al almacenamiento o procesamiento de PHI (información de salud protegida bajo HIPAA).

Si una institución decide procesar información sensible o regulada, debe contar con base jurídica suficiente, minimización, controles internos, autorización del titular, revisión de seguridad y, cuando corresponda, un acuerdo escrito específico con Ressearch AI. Para flujos que requieran PHI bajo un BAA enterprise, consulta el Centro de Confianza.

Referencias y fuentes

14. Transferencias internacionales

El servicio puede involucrar almacenamiento, acceso o procesamiento fuera del Perú por proveedores de infraestructura, IA, ejecución, pagos, soporte u observabilidad ubicados principalmente en Estados Unidos y, según el servicio, en la Unión Europea u otras regiones. Adoptaremos medidas razonables y proveedores con estándares contractuales y técnicos compatibles con la naturaleza del servicio.

El usuario reconoce que ciertas funciones no pueden operar sin proveedores externos ubicados en otras jurisdicciones.

15. Conservación y eliminación

Conservamos información mientras sea necesaria para prestar el servicio, mantener la cuenta, ejecutar proyectos, procesar pagos, cumplir obligaciones legales y tributarias, atender reclamos, prevenir fraude, preservar seguridad y resolver disputas.

Cuando eliminas un proyecto o tu cuenta, la eliminación se propaga en cascada sobre los registros y artefactos asociados (sesiones, mensajes, archivos, embeddings y memorias derivadas, todos aislados por propietario). Algunos elementos requieren limpieza explícita adicional —como snapshots y leads de enlaces públicos— y ciertos registros de facturación, comprobantes, logs de seguridad o trazas antifraude pueden mantenerse por los periodos razonables o legalmente exigidos.

16. Seguridad

Aplicamos medidas técnicas, organizativas y contractuales razonables para reducir riesgos de acceso no autorizado, pérdida, alteración o exposición indebida, incluyendo aislamiento por usuario/proyecto/organización, ejecución de código en sandboxes y monitoreo de egreso de red. Sin embargo, ningún sistema conectado a internet, proveedor de IA, sandbox o integración externa puede garantizar seguridad absoluta.

  • El usuario debe proteger sus credenciales, dispositivos, tokens, repositorios, enlaces compartidos y permisos de terceros.
  • No debes cargar secretos, llaves API, datos sensibles o credenciales si no son estrictamente necesarias para una función y si no tienes autorización.
  • Los artefactos exportados o compartidos pueden contener metadatos o datos sensibles si el usuario los incluyó en el proyecto.

17. Derechos de los titulares

Puedes solicitar acceso, información, rectificación, actualización, cancelación, oposición, revocación de consentimiento, portabilidad razonable o derechos equivalentes reconocidos por la normativa aplicable escribiendo a [email protected].

Para proteger la privacidad, podremos solicitar verificación de identidad, datos de cuenta, proyecto o información adicional razonable antes de responder. Si actúas por cuenta de una organización o de un titular tercero, podremos requerir acreditación suficiente. Si no quedas conforme con la respuesta, puedes acudir a la Autoridad Nacional de Protección de Datos Personales (ANPDP, MINJUSDH).

18. Menores de edad

El servicio no está dirigido a menores de 13 años. Si detectamos que hemos recopilado información de un menor sin autorización suficiente, adoptaremos medidas razonables para eliminarla o restringirla. Las instituciones y adultos responsables deben supervisar cualquier uso educativo o académico por menores.

El uso de IA para evaluar a menores en contextos educativos (admisión, evaluación de aprendizajes, monitoreo de exámenes) se clasifica como de «riesgo alto» bajo el artículo 24 del Reglamento DS 115-2025-PCM y solo es admisible si complementa —y no reemplaza— la evaluación pedagógica humana, con las garantías correspondientes. Ressearch AI no está destinado a tomar ese tipo de decisiones de forma autónoma.

19. Reclamaciones y autoridad

Si consideras que una solicitud de privacidad no fue atendida correctamente, puedes insistir por el canal [email protected] o acudir a las vías que la normativa peruana habilite ante la Autoridad Nacional de Protección de Datos Personales (ANPDP) del MINJUSDH.

Para observaciones, recomendaciones o alertas éticas sobre el uso de inteligencia artificial bajo la Ley N.° 31814 y el Reglamento DS 115-2025-PCM, la autoridad nacional es la SGTD de la PCM, con canal habilitado en gob.pe/iaperu. Para asuntos de consumo aplica el INDECOPI.

20. Cambios a esta política

Publicaremos las actualizaciones en esta sección con nueva fecha de vigencia. Si el cambio afecta materialmente el tratamiento de datos o requiere consentimiento adicional, usaremos un mecanismo razonable de aviso o aceptación según la naturaleza del cambio y la ley aplicable.