Política de Eliminación de Datos
Fecha de vigencia: 24 de marzo de 2026 — Versión 1.0
1. Alcance
Esta política describe cómo VEKKA gestiona la eliminación de datos de usuarios y organizaciones, incluyendo los datos obtenidos a través de las APIs de Google Workspace, Microsoft 365 y otros proveedores de identidad.
Datos que VEKKA almacena
Cuando una empresa conecta VEKKA a Google Workspace o Microsoft 365, los siguientes datos pueden ser almacenados:
| Tipo de dato | Cifrado | Finalidad |
|---|---|---|
| Tokens de acceso OAuth | Sí (AES-256-GCM) | Acceso a las APIs |
| Tokens de actualización OAuth | Sí (AES-256-GCM) | Renovación de tokens |
| Directorio de usuarios (nombre, email, rol) | No (identificadores) | Gestión de usuarios |
| Contenido de emails (RAG) | Sí (AES-256) | Indexación RAG — el usuario selecciona el rango de fechas y puede revocar en cualquier momento |
| Datos de calendario (RAG) | Sí (AES-256) | Indexación RAG — el usuario autoriza explícitamente |
| Contenido de archivos Drive (RAG) | Sí (AES-256) | Indexación RAG — el usuario selecciona archivos/carpetas específicos |
| Información de dominios de la empresa | No | Verificación de dominio |
Importante: VEKKA almacena vectores de embeddings (representaciones numéricas) y fragmentos de texto derivados de emails, eventos de calendario y archivos. Estos datos son:
- Cifrados en reposo (AES-256).
- Aislados por empresa.
- Controlados por el usuario — solo se indexa el contenido que el usuario selecciona explícitamente.
- Eliminables — los usuarios pueden eliminar contenido indexado en cualquier momento desde su configuración, y todos los embeddings se eliminan cuando se suprime una empresa o un usuario.
2. Eliminación iniciada por el usuario
Cómo solicitar la eliminación
Los usuarios pueden solicitar la eliminación de sus datos personales por:
- Email: Enviar una solicitud a [email protected] con el asunto «Solicitud de eliminación de datos», indicando su nombre, dirección de email y la organización a la que pertenece.
- En la aplicación: (Próximamente) Un botón «Eliminar mis datos» estará disponible en la configuración del perfil.
Datos eliminados (nivel usuario)
Cuando un usuario solicita la eliminación:
- Registro de usuario y datos del perfil.
- Membresías a equipos.
- Tokens de acceso específicos del usuario.
- Historial de conversaciones con la IA asociado al usuario.
Plazo de tratamiento
Las solicitudes de eliminación se procesan en un plazo máximo de 30 días naturales. Se envía un email de confirmación al usuario una vez completado el proceso.
3. Eliminación iniciada por el administrador
Cómo eliminar los datos de una organización
Los administradores de empresa pueden solicitar la eliminación completa de los datos de la organización por:
- Interfaz de administración: Desde la configuración de la empresa, utilizar la función «Eliminar empresa» (requiere confirmar escribiendo el nombre de la empresa).
- Email: Enviar una solicitud a [email protected] desde el email del administrador registrado, con el asunto «Solicitud de eliminación de datos de la organización».
Datos eliminados (nivel organización)
Cuando se elimina una organización, se suprimen todos los datos asociados, incluyendo:
- Configuración de autenticación y tokens OAuth cifrados.
- Configuración de servicios y contextos de IA.
- Registros de dominio.
- Todos los registros de usuarios.
- Invitaciones pendientes.
- Departamentos, equipos y membresías.
- Todos los embeddings e indexaciones RAG.
Pasos previos a la eliminación
Antes de eliminar los datos de una empresa, VEKKA:
- Revoca los tokens OAuth con el proveedor de identidad (Google, Microsoft) para invalidar todos los accesos activos.
- Notifica al administrador con un email de confirmación detallando lo que fue eliminado.
- Registra el evento de eliminación en el registro de auditoría.
4. Eliminación automática
Cuando se elimina una empresa
Todos los datos asociados a la empresa se eliminan inmediatamente. Los tokens OAuth se revocan con el proveedor de identidad. No quedan datos residuales.
Expiración de tokens
Los tokens de acceso OAuth expiran de forma natural (típicamente 1 hora). Si una empresa queda inactiva, los tokens no se renuevan y expiran automáticamente.
Cuentas inactivas
Las empresas inactivas durante 12 meses (sin renovación de token ni actividad de usuario) serán marcadas para revisión. Se enviará una notificación al administrador antes de cualquier acción. Si no se recibe respuesta en 30 días, los datos de la organización podrán ser eliminados.
5. Períodos de retención
| Tipo de dato | Período | Justificación |
|---|---|---|
| Tokens OAuth (cifrados) | Hasta revocación, expiración o eliminación de la empresa | Necesarios para el acceso a las APIs |
| Registros de usuarios | Hasta eliminación del usuario o de la empresa | Necesarios para el servicio |
| Configuración de la empresa | Hasta eliminación de la empresa | Necesaria para el servicio |
| Registros de auditoría | 12 meses | Monitoreo de seguridad |
| Registros de solicitudes de eliminación | 36 meses | Cumplimiento legal |
| Copias de seguridad | 30 días (rotativas) | Recuperación ante desastres |
Retención de copias de seguridad
Las copias de seguridad se conservan durante 30 días de forma rotativa. Tras procesar una solicitud de eliminación, los datos eliminados desaparecerán naturalmente de las copias dentro de ese plazo. En caso de restauración de una copia de seguridad, cualquier dato previamente eliminado que reaparezca será eliminado nuevamente.
6. Verificación
Cómo confirmar que los datos fueron eliminados
Tras procesar una solicitud de eliminación:
- Email de confirmación: El usuario o administrador solicitante recibe un email indicando qué datos fueron eliminados, la fecha y hora, y un número de referencia.
- Verificación de tokens: Los tokens previamente almacenados son revocados y dejan de funcionar con las APIs de Google/Microsoft.
- Registro de auditoría: El evento de eliminación queda registrado con fecha, hora y responsable, y se conserva durante 36 meses por requisitos de cumplimiento.
7. Contacto
Para solicitudes de eliminación de datos o consultas sobre esta política:
- Email: [email protected]
Tiempo de respuesta: Acusamos recibo de las solicitudes de eliminación en un plazo de 2 días hábiles y las completamos en un máximo de 30 días naturales.
8. Modificaciones
Esta política puede ser actualizada periódicamente. Los cambios sustanciales serán comunicados por email a los administradores registrados, mediante aviso en la aplicación VEKKA y actualizando la fecha de «última actualización» en la parte superior de este documento.
Data Deletion Policy
Effective date: March 24, 2026 — Version 1.0
1. Scope
This policy describes how Vekka handles the deletion of user and organization data, including data obtained through Google Workspace APIs, Microsoft 365 and other identity providers.
Data Vekka stores
When a company connects Vekka to Google Workspace or Microsoft 365, the following data may be stored:
| Data type | Encrypted | Purpose |
|---|---|---|
| OAuth access tokens | Yes (AES-256-GCM) | API access |
| OAuth refresh tokens | Yes (AES-256-GCM) | Token renewal |
| User directory info (name, email, role) | No (identifiers) | User management |
| Email content (RAG) | Yes (AES-256) | RAG indexing — user selects date range, can revoke anytime |
| Calendar event data (RAG) | Yes (AES-256) | RAG indexing — user explicitly authorizes |
| Drive file content (RAG) | Yes (AES-256) | RAG indexing — user selects specific files/folders |
| Company domain information | No | Domain verification |
Important: Vekka stores vector embeddings (numerical representations) and text chunks derived from emails, calendar events, and files. This data is:
- Encrypted at rest (AES-256).
- Isolated per company.
- User-controlled — only content the user explicitly selects is indexed.
- Deletable — users can remove indexed content at any time from their settings, and all embeddings are deleted when a company or user is removed.
2. User-initiated deletion
How to request deletion
Individual users can request deletion of their personal data by:
- Email: Send a request to [email protected] with the subject “Data Deletion Request”, including your name, email address, and the organization you belong to.
- In-app: (Coming soon) A “Delete my data” button will be available in the user profile settings.
Data deleted (user level)
When an individual user requests deletion:
- User record and profile data.
- Team memberships.
- User-specific access tokens.
- AI conversation history associated with the user.
Processing time
User deletion requests are processed within 30 calendar days. A confirmation email is sent to the user upon completion.
3. Admin-initiated deletion
How to delete organization data
Company administrators can request full organization data deletion by:
- Admin interface: Navigate to Company Settings and use the “Delete Company” function (requires typing the company name as confirmation).
- Email: Send a request to [email protected] from the registered admin email with the subject “Organization Data Deletion Request”.
Data deleted (organization level)
When an organization is deleted, all associated data is removed, including:
- Authentication configuration and encrypted OAuth tokens.
- Service configurations and AI contexts.
- Domain records.
- All user records.
- Pending invitations.
- Departments, teams, and memberships.
- All RAG embeddings and indexations.
Pre-deletion steps
Before deleting company data, Vekka will:
- Revoke OAuth tokens with the identity provider (Google, Microsoft) to invalidate all active access.
- Notify the admin with a confirmation email detailing what was deleted.
- Log the deletion event in the audit log.
4. Automatic deletion
When a company is removed
All data associated with the company is immediately deleted. OAuth tokens are revoked with the identity provider. No residual data remains.
Token expiration
OAuth access tokens expire naturally (typically 1 hour). If a company becomes inactive, tokens are not refreshed and expire automatically.
Inactive accounts
Companies that have been inactive for 12 months (no token refresh, no user activity) will be flagged for review. An admin notification will be sent before any action. If no response is received within 30 days, the organization data may be deleted.
5. Retention periods
| Data type | Period | Justification |
|---|---|---|
| OAuth tokens (encrypted) | Until revoked, expired, or company deleted | Required for API access |
| User records | Until user or company deletion | Required for service |
| Company configuration | Until company deletion | Required for service |
| Audit logs | 12 months | Security monitoring |
| Deletion request records | 36 months | Legal compliance |
| Backup data | 30 days (rolling) | Disaster recovery |
Backup retention
Database backups are retained for 30 days on a rolling basis. After a deletion request is processed, the deleted data will naturally age out of backups within that window. In the event of a backup restoration, any previously deleted data that reappears will be re-deleted.
6. Verification
How to confirm data was deleted
After a deletion request is processed:
- Confirmation email: The requesting user or admin receives an email confirming what data was deleted, the timestamp, and a reference number.
- Token verification: Previously stored tokens are revoked and will no longer work with Google/Microsoft APIs.
- Audit trail: The deletion event is recorded with timestamp and actor, and retained for 36 months per compliance requirements.
7. Contact
For data deletion requests or questions about this policy:
- Email: [email protected]
Response time: We acknowledge deletion requests within 2 business days and complete them within 30 calendar days.
8. Changes to this policy
This policy may be updated from time to time. Material changes will be communicated via email to registered company administrators, notice in the Vekka application, and an updated “Last updated” date at the top of this document.