Privacidad por arquitectura

La PII no sale del dispositivo. Por diseño, no por promesa.

Tassello captura la estructura de su app, nunca su contenido. Esta página explica exactamente qué se recopila y qué no, en cada modo.

«Data Not Collected», por defecto

En el modo balanced por defecto (y en strict), el SDK no captura ningún dato personal, así que su etiqueta de privacidad del App Store indica «Data Not Collected». La redacción automática se ejecuta antes de que nada salga del dispositivo, y el backend vuelve a escanear en busca de PII a la llegada como segunda línea de defensa: si alguna vez coincide, el evento se descarta y salta una alerta.

Qué capturamos y qué no hacemos nunca

Los wireframes son cajas, tipos y posiciones. Nunca píxeles, nunca contenido de texto, nunca usted.

Capturado

clean
  • Estructura de la pantalla: cajas del wireframe, tipos de elemento y posiciones
  • Interacciones anónimas: toques, desplazamientos y eventos personalizados
  • Migas de red: solo método y host, tras la redacción
  • ID de dispositivo anónimo: un UUID aleatorio almacenado en el Keychain
  • Informes de fallos: símbolos y marcos de pila, en todos los modos

Nunca capturado

never
  • Texto del usuario o contenido dinámico mostrado en pantalla
  • Entrada de texto o contenido de TextField / SecureField
  • Imágenes, píxeles o capturas de pantalla de cualquier tipo
  • Correo, teléfono, tarjeta de crédito o IBAN: redactados automáticamente en el dispositivo
  • IDFA, IDFV o ubicación precisa
  • Cuerpos de solicitud o respuesta de red

Tres modos, un solo control

Se configura una vez al inicio. La redacción automática se ejecuta en todos ellos, sea cual sea la elección.

.strict

Máxima privacidad

Solo eventos anónimos: sin wireframes ni texto. Sigue siendo «Data Not Collected».

.balanced

Por defecto

Se captura la estructura del wireframe, se descarta todo el texto. El punto óptimo, y sigue siendo «Data Not Collected».

.standard

Máximo insight

Añade etiquetas estáticas de la interfaz, como títulos de botones y encabezados. Declara «User Content» en su etiqueta.

Almacenamiento exclusivo en la UE, subprocesadores transparentes

Todo el almacenamiento principal —Postgres, blobs en R2 y Redis— reside en la UE (Fráncfort). La generación de insights se ejecuta en Claude de Anthropic en EE. UU. bajo Cláusulas Contractuales Tipo, y solo ve wireframes anonimizados y secuencias de eventos que no contienen PII en los modos por defecto y strict.

Subprocesadores

SubprocesadorUbicaciónFinalidad
AnthropicEE. UU.API de Claude para la generación de insights: solo datos anonimizados, bajo SCC
DigitalOceanUE (Fráncfort)Cómputo y almacenamiento gestionado de Postgres / Redis
CloudflareEdges en la UEAlmacenamiento de blobs de wireframes en R2 y CDN
PostmarkEE. UU.Correo transaccional: solo dirección y metadatos de cuenta, bajo SCC / DPA

Añadir un subprocesador requiere notificación al cliente según el DPA.

Sus datos, su decisión

La exportación y el borrado RGPD están integrados en el SDK y el panel. Insights.exportUserData() devuelve los datos de un usuario cuando lo solicita, e Insights.requestDataDeletion() los marca para eliminación de inmediato y los purga en un plazo de 30 días. Sin patrones oscuros, sin esperar al soporte.