Lo que NO vemos (la promesa central)
- El contenido de tus documentos. Cero. El archivo se lee desde tu disco con la File API del navegador, se procesa en memoria como módulo WebAssembly, y los resultados (xlsx anonimizado + .anpx cifrado) se descargan a tu disco. No hay una sola petición HTTP saliente que contenga el archivo o sus celdas.
- Los nombres, NIFs, IBANs, fechas, importes que el motor detecta. Las entidades reconocidas viven en memoria del navegador y se sustituyen ahí mismo. Anoply ni siquiera sabe cuántos DNIs había en el documento.
- Tu passphrase. La derivación de clave (PBKDF2-SHA-256 con 600.000 iteraciones) corre en la Web Crypto API del navegador. La clave AES-256 nunca sale de tu pestaña. Si pierdes la passphrase, ni nosotros ni un juez pueden recuperar el archivo `.anpx`.
- Los archivos `.anpx` que descargas. Son tuyos. Anoply no guarda copia ni tiene forma de descifrarlos.
- Tu actividad detallada. No hay analítica conductual (no usamos Google Analytics, no usamos PostHog, no usamos Meta Pixel, no usamos Mixpanel). Solo Umami Cloud cookieless con métricas agregadas anónimas (vistas y referrers).
Lo que SÍ vemos (para que la cuenta funcione)
- Tu email al crear cuenta. Lo necesita Clerk (proveedor de autenticación) para el login y para mandarte el email de bienvenida y los recibos de pago. Detalles en /privacy § 02.
- Tu plan y método de pago tokenizado a través de Stripe. Nosotros vemos el estado de la suscripción (activa, en periodo de prueba, cancelada). El número de tarjeta solo lo ve Stripe — Anoply nunca lo toca.
- Un contador agregado de documentos procesados por tu cuenta (no qué documentos, no el contenido, no las detecciones — solo el número). Necesario para aplicar el límite del periodo gratis (3 días) y para detectar abuso (10.000 documentos en una hora desde la misma IP).
- Datos técnicos mínimosen logs: timestamp de inicio/fin de proceso, tamaño aproximado del archivo (categorías: < 1 MB, 1-10 MB, > 10 MB), tipo (xlsx/csv/txt). Sin el contenido, sin las celdas. Útil para soporte («tarda mucho») y para mejorar performance.
Cómo verificarlo tú mismo en 30 segundos
- Abre anoply.eu/anonymize en tu navegador.
- Pulsa F12 (o clic derecho → Inspeccionar) y ve a la pestaña Network / Red.
- Filtra por Fetch/XHR y limpia los logs.
- Arrastra un documento de prueba. Anoply lo procesa, te muestra detecciones, lo anonimiza y te lo descarga.
- Verifica la pestaña Network: verás peticiones a Clerk (auth), Stripe (estado de suscripción), Vercel (la app misma), y quizá Umami (métricas agregadas). No verás ninguna petición POST/PUT con el contenido de tu archivo. Cero. Si la ves, dínoslo en hola@anoply.eu y te abrimos incidente público.
Este principio es el corazón del producto. Está implementado en lib/parsers/xlsx.worker.ts y lib/anonymizers/xlsx.ts — el motor entero corre en un Web Worker del propio navegador. Más detalle en /security.
Los seis principios que nos atan
- Privacidad por diseño, no por configuración. No hay un ajuste que cambie qué vemos. La arquitectura nos impide ver tu contenido por construcción.
- Reversibilidad bajo tu control. El mapa para revertir va cifrado con tu passphrase. Sin esa passphrase, nadie revierte — ni nosotros, ni la AEPD, ni tu propio yo dentro de seis meses si la has perdido. Eso es una propiedad de seguridad deliberada.
- Transparencia técnica radical. La arquitectura está documentada (/security), el formato del .anpx es público, y la spec permite revertir desde Python si Anoply desaparece (spec aquí).
- Cero telemetría conductual. No usamos Google Analytics, Meta Pixel, PostHog Cloud, Mixpanel, ni similares. Solo Umami Cloud cookieless con métricas agregadas anónimas. Detalle en /cookies.
- Jurisdicción europea. Sociedad española (Sinnvoll Analítica Empresarial S.L.U., Zaragoza), datos de cuenta en proveedores con sede o residencia UE (Supabase eu-west-1, Vercel fra1, Stripe Ireland, Clerk con DPF), y las excepciones (un proveedor de email transaccional con servidores en EEUU) están explícitas en el DPA Anexo II con SCCs firmadas.
- Sostenibilidad económica honesta. 4,95 €/mes por usuario, documentos ilimitados, sin upsell empresarial, sin descuentos anuales con permanencia oculta. Si el negocio no sale a este precio, lo cerramos — no lo enchufamos a venture capital para regalar privacidad y luego cobrársela cuando estés enganchado.
Anoply vs un encargado del tratamiento clásico
La mayoría de SaaS de anonimización funcionan como encargados del tratamiento (Art. 28 RGPD): tu archivo sube a sus servidores, ellos lo procesan, y firmáis un contrato que delimita su responsabilidad. Esto es perfectamente válido en RGPD — pero la documentación y el riesgo legal son mayores que con Anoply.
| Aspecto | SaaS encargado de tratamiento | Anoply (sin tratamiento) |
|---|---|---|
| Marco legal | Art. 28 RGPD (encargado) | Art. 4.5 RGPD (pseudonimización local) |
| Contrato necesario | DPA con el SaaS + DPA con cada subencargado + cláusulas tipo si hay transferencia internacional | DPA con Anoply solo para la cuenta (email, pago) |
| Brecha en el SaaS | Comunicación 72h AEPD obligatoria si afecta datos de tus clientes | No aplica — Anoply nunca tuvo los datos |
| Auditoría AEPD | Aportas DPA, RAT con el SaaS añadido, base legitimadora del tratamiento, SCCs si EEUU | Aportas DPA solo de la cuenta. El tratamiento del contenido del documento ocurre en tu equipo bajo tus medidas |
| Transferencia internacional | Depende del SaaS | Cero — el contenido nunca sale del navegador |
¿Tienes una pregunta concreta sobre confianza?
Escríbenos a hola@anoply.eu con tu caso (gestoría con N empleados, despacho con tipo de cliente Y, DPO preguntando Z). Contesta una persona real — sin tickets, sin bots, sin formularios. Si la pregunta es interesante, la añadimos a la FAQ.