Nunca vamos a leer el contenido de tu email para entrenar AI ni servir publicidad. We will never read your email content to train AI or serve advertising. Esto es vinculante. Si en el futuro queremos cambiarlo, te avisamos antes y te damos tiempo para irte. Es una de las razones por las que Mailstorm existe — la oferta competitiva en LATAM no debe depender de que un proveedor estadounidense decida sus términos por nosotros. This is a binding promise. If we ever want to change it, we'll notify you in advance and give you time to leave. It's one of the reasons Mailstorm exists — the competitive offering in LATAM shouldn't depend on a US provider's terms.
Quién somosWho we are
Mailstorm es operado por Vortex303 OÜ, una sociedad estonia (en proceso de incorporación a través del programa de e-Residency). El responsable de tratamiento de datos en la UE es Vortex303 OÜ. Para fines de LGPD (Brasil) actuamos como operador de los datos que vos nos confiás. La operación día-a-día es gestionada desde Argentina. Mailstorm is operated by Vortex303 OÜ, an Estonian limited company (in the process of incorporation via the e-Residency program). The EU data controller is Vortex303 OÜ. For LGPD (Brazil) purposes we act as the operator of the data you entrust to us. Day-to-day operations are run from Argentina.
Qué datos recopilamosWhat we collect
CuentaAccount
- Email y contraseña (la contraseña se almacena con bcrypt)Email and password (password stored as bcrypt hash)
- Nombre opcional de la organizaciónOptional organization name
- IP del último loginIP of your last login
Email transaccional que enviásTransactional email you send
- Metadata: from, to, subject, timestamps, status (queued, sent, bounced, etc.)Metadata: from, to, subject, timestamps, status (queued, sent, bounced, etc.)
- Contenido (HTML/text): retenido 14 días para depuración y luego purgado. Antes de eso, lo usamos solo para entregar el mensaje y para que vos puedas leer logs en el dashboard.Content (HTML/text): retained for 14 days for debugging then purged. While retained, used only to deliver the message and to let you read logs in the dashboard.
- Eventos de tracking (open, click) si los activasteTracking events (open, click) if you enabled them
Email entrante (si configuraste un MX a Mailstorm)Inbound email (if you point an MX at Mailstorm)
- Mensaje completo (headers, body, adjuntos) — necesario para entregártelo vía webhook o inbox UIFull message (headers, body, attachments) — needed to deliver to your webhook or inbox UI
- Reportes DMARC agregados que recibimos en tu nombre (si configuraste el record)Aggregate DMARC reports we receive on your behalf (if you set up the record)
Logs operacionalesOperational logs
- Logs de Postfix (mail.log) en mail1.mailstorm.dev — retenidos 30 días, rotados semanalmentePostfix logs (mail.log) on mail1.mailstorm.dev — retained 30 days, rotated weekly
- Logs de aplicación en Fly.io — retenidos según política de FlyApplication logs on Fly.io — retained per Fly's policy
- Cobertura de errores (sin contenido de email)Error tracking (no email content included)
Dónde vive tu dataWhere your data lives
| ServicioService | TipoKind | UbicaciónLocation |
|---|---|---|
| Hostinger | Servidor SMTP (mail1)SMTP server (mail1) | São Paulo, BrasilSão Paulo, Brazil |
| Fly.io | App + base de datosApp + database | Ashburn (iad), USA — migrando a São Paulo (gru) en Q3Ashburn (iad), USA — migrating to São Paulo (gru) in Q3 |
| Vercel | DNS | Anycast globalGlobal anycast |
| Stripe | Procesamiento de pago (USD, global — clientes fuera de Argentina)Payment processing (USD, global — non-Argentine customers) | USA |
| Mercado Pago | Procesamiento de pago (ARS, Argentina)Payment processing (ARS, Argentina) | Argentina |
Nuestra infraestructura es fuera de la jurisdicción del CLOUD Act en su mayor parte (Vortex303 OÜ es estonia; nuestro servidor SMTP y datos primarios están en Brasil/migrarán). El componente Fly.io en USA es el caso ambiguo y por eso lo migramos a `gru` cuando esté disponible para nuestro plan.
Our infrastructure is mostly outside CLOUD Act jurisdiction (Vortex303 OÜ is Estonian; our SMTP server and primary data are in Brazil/migrating there). The Fly.io component in USA is the ambiguous one and is why we plan to migrate to gru when our plan supports it.
Quién puede ver tu dataWho can see your data
- Vos — siempre, vía dashboard y API.You — always, via dashboard and API.
- Nosotros — solo para depuración, soporte que vos pediste, o investigación de abuso documentada. Cualquier acceso queda registrado.Us — only for debugging, support you requested, or documented abuse investigation. Every access is logged.
- Tribunales / autoridad competente — solo bajo orden judicial válida en la jurisdicción donde vive tu data. La estructura corporativa estonia + servidor brasileño está diseñada para minimizar la exposición a jurisdicciones donde no tenés conexión.Courts / competent authority — only under valid order in the jurisdiction where your data lives. The Estonian corporate structure + Brazilian server is designed to minimize exposure to jurisdictions you have no connection with.
Lo que no hacemosWhat we don't do
- No leemos tu contenido para entrenar modelos de AI propios o de terceros.We don't read your content to train AI models — ours or third parties'.
- No vendemos tu data a brokers de marketing.We don't sell your data to marketing brokers.
- No mostramos publicidad basada en lo que enviás.We don't show ads based on what you send.
- No usamos tu lista de contactos para enriquecer perfiles de terceros.We don't use your contact list to enrich third-party profiles.
- No transferimos tu data fuera de las regiones declaradas sin avisarte primero.We don't transfer your data outside the declared regions without notifying you first.
Tus derechosYour rights
Bajo GDPR, LGPD, y el sentido común básico: Under GDPR, LGPD, and basic common sense:
- Acceso: exportá tu data desde el dashboard, o pedinos un dump completo (te respondemos en 7 días).Access: export your data from the dashboard, or ask us for a full dump (we respond in 7 days).
- Eliminación: borrá tu cuenta desde el dashboard. Después de la confirmación, purgamos todo en 30 días (excepto datos legales o de facturación que estamos obligados a retener).Deletion: delete your account from the dashboard. After confirmation, we purge everything within 30 days (except legal or billing records we're required to keep).
- Rectificación: editá la info de la cuenta cuando quieras.Rectification: edit your account info anytime.
- Portabilidad: el export es JSON estándar; podés llevarlo a cualquier proveedor compatible.Portability: exports are standard JSON; take them to any compatible provider.
- Oposición: escribinos. Sin formularios largos.Objection: email us. No long forms.
CookiesCookies
Usamos solo cookies funcionales: una para mantener tu sesión iniciada (JWT en cookie HttpOnly) y otra para recordar tu preferencia de idioma (ES/EN) y plan de moneda (USD/ARS/etc.). No usamos cookies de tracking, ni Google Analytics, ni Facebook Pixel. We only use functional cookies: one to keep you signed in (JWT in HttpOnly cookie) and one to remember your language (ES/EN) and currency (USD/ARS/etc.) preferences. No tracking cookies, no Google Analytics, no Facebook Pixel.
SubprocesadoresSubprocessors
Lista actualizada de quién más toca tu data: Up-to-date list of everyone else who touches your data:
| ServicioService | Para quéPurpose |
|---|---|
| Hostinger | Hosting del servidor SMTPSMTP server hosting |
| Fly.io | Hosting de la app + base de datos PostgresApp + Postgres database hosting |
| Vercel | DNS |
| Stripe | Procesamiento de pago (USD, global)Payment processing (USD, global) |
| Mercado Pago | Procesamiento de pago (ARS, Argentina)Payment processing (ARS, Argentina) |
Si agregamos un subprocesador nuevo te avisamos por email 30 días antes. If we add a new subprocessor we'll email you 30 days in advance.
Cambios a esta políticaChanges to this policy
Si cambiamos algo materialmente, te avisamos por email con al menos 30 días de aviso. Cambios menores (typos, links rotos) los hacemos sin aviso pero quedan en el historial git público del repositorio. If we change something materially, we'll email you at least 30 days in advance. Minor changes (typos, broken links) we make without notice but they're tracked in the public git history of the repo.
ContactoContact
Cualquier pregunta sobre privacidad — incluyendo pedidos GDPR/LGPD, ejercicios de derechos, o reportes de abuso — escribinos a privacy@mailstorm.dev. Respondemos en 7 días hábiles. Para cuestiones legales urgentes: legal@mailstorm.dev. Any privacy question — including GDPR/LGPD requests, rights exercises, or abuse reports — email privacy@mailstorm.dev. We respond within 7 business days. For urgent legal matters: legal@mailstorm.dev.