1. Resumen ejecutivo
Nexus Legal (operado por Daniel Jiménez) solicita un permiso muy específico de Google: crear eventos en tu Google Calendar (scope https://www.googleapis.com/auth/calendar.events) y conocer tu dirección de correo electrónico (scope https://www.googleapis.com/auth/userinfo.email).
Estos datos se utilizan únicamente para sincronizar los vencimientos de plazos procesales calculados en nuestra calculadora /plazos con tu calendario personal, y para mostrarte qué cuenta de Google has conectado a Nexus Legal.
Cumplimos la política de "Limited Use" de Google: no leemos tus eventos existentes, no accedemos a Gmail, Drive, Contactos ni a ningún otro servicio de Google; no usamos los datos para anuncios; no los vendemos; no los compartimos con terceros con fines no operativos; no los usamos para entrenar modelos de IA.
2. Permisos OAuth solicitados
1) https://www.googleapis.com/auth/calendar.events — Ver, crear, modificar y eliminar eventos en tu calendario. Lo necesitamos para que, cuando calcules un plazo procesal en /plazos (por ejemplo, "20 días hábiles desde la notificación"), puedas pulsar un botón que crea automáticamente un evento all-day en tu calendario con recordatorios 24h y 1h antes del vencimiento. En la práctica solo creamos eventos nuevos; nunca leemos, modificamos ni eliminamos eventos que no haya creado nuestra app.
2) https://www.googleapis.com/auth/userinfo.email — Obtener tu dirección de correo electrónico. Lo necesitamos para mostrarte en la página de configuración (/integrations/google-calendar) qué cuenta de Google has conectado, para que puedas distinguir entre cuentas si tienes varias o desconectar la equivocada.
No solicitamos NINGÚN otro permiso. Esta es la lista completa: dos scopes, ambos no-sensitive según la clasificación de Google.
3. Qué datos almacenamos en Nexus Legal
Tokens de acceso y refresh tokens: cifrados con AES-256-GCM antes de ser almacenados en nuestra base de datos (Supabase, servidores en la Unión Europea). La clave de cifrado se gestiona como secret de aplicación y nunca se incluye en código fuente ni en logs.
Tu dirección de correo electrónico de Google: en texto plano (no es información sensible) para mostrártela en la UI. Se almacena en la tabla gcal_connections, vinculada a tu cuenta Nexus Legal.
NO almacenamos: contenido de eventos existentes en tu calendario, datos de otros calendarios, tus contactos, correos de Gmail, archivos de Drive, ni ningún otro dato de tu cuenta Google más allá de tu email.
Eventos que creamos: el google_event_id de cada evento que creamos se guarda en nuestra base de datos solo para evitar duplicados si el usuario pulsa "Añadir a Calendar" dos veces sobre el mismo plazo. No guardamos el contenido del evento (ya está en tu calendario).
4. Política de "Limited Use" — compromisos explícitos
En cumplimiento del Google API Services User Data Policy, declaramos formalmente:
1) El uso de la información obtenida a través de Google APIs se limita a las funcionalidades del producto descritas en esta página y en /integrations/google-calendar, dentro de la experiencia de usuario de Nexus Legal.
2) El uso de la información obtenida a través de Google APIs cumple con la Limited Use Policy.
3) No transferimos información obtenida a través de Google APIs a terceros, salvo cuando sea necesario para proporcionar o mejorar funcionalidades visibles para el usuario, cumplir con la ley aplicable, o como parte de una fusión, adquisición o venta de activos con notificación adecuada a los usuarios.
4) No utilizamos información obtenida a través de Google APIs para servir publicidad, incluyendo publicidad reorientada, personalizada o basada en intereses.
5) No permitimos a humanos leer dicha información, salvo (a) con tu consentimiento explícito y específico, (b) cuando sea necesario por motivos de seguridad (p. ej. investigar abuso), (c) cuando sea necesario para cumplir con la ley aplicable, o (d) cuando la información esté agregada y se use con fines internos de operaciones.
6) No utilizamos información obtenida a través de Google APIs para entrenar modelos de inteligencia artificial generalistas ni de terceros.
5. Retención y eliminación de datos
Mientras la conexión esté activa: conservamos los tokens cifrados y tu email de Google asociado a tu cuenta Nexus.
Al pulsar "Desconectar" en /integrations/google-calendar: eliminamos inmediatamente y de forma irreversible la fila de la tabla gcal_connections que contiene tus tokens y tu email. Los eventos que hubiéramos creado en tu calendario permanecen en él (son tuyos); puedes borrarlos manualmente desde Google Calendar si así lo decides.
Al eliminar tu cuenta Nexus Legal completa: tras la confirmación del flujo de borrado RGPD Art. 17.2 (token enviado por email), eliminamos todos tus datos de nuestra infraestructura incluyendo cualquier conexión a Google Calendar.
Revocación desde Google: independientemente, puedes revocar el acceso a Nexus Legal en cualquier momento desde myaccount.google.com/permissions. Al hacerlo, nuestros tokens dejan de funcionar instantáneamente; nuestra aplicación detectará el fallo al siguiente intento y solicitará reconexión.
6. Seguridad de los datos de Google
Cifrado en reposo: tokens almacenados con AES-256-GCM. Clave de cifrado fuera de código fuente, gestionada como secret de plataforma con rotación documentada.
Cifrado en tránsito: todas las comunicaciones con Google APIs y con tu navegador van por HTTPS (TLS 1.2+).
Control de acceso: a nivel de aplicación, solo el propio usuario puede acceder a sus tokens vía sesión autenticada; a nivel de base de datos, RLS (Row Level Security) y service-role-only para tablas sensibles.
Auditoría: registro de eventos de conexión, desconexión y creación de eventos con timestamp y user_id, conservados según nuestra política general de retención (ver /privacy).
Reporte de vulnerabilidades: si descubres una vulnerabilidad relacionada con esta integración, escríbenos a quantumnexusventures@protonmail.com. Ver también nuestro programa de /security.
7. Cómo eliminar todos tus datos de Google de nuestra app
Método 1 — desde Nexus Legal (recomendado): ve a /integrations/google-calendar, pulsa Desconectar, confirma. Borrado inmediato e irreversible de tus tokens y email.
Método 2 — desde Google: ve a myaccount.google.com/permissions, busca "Nexus Legal", pulsa "Quitar acceso". Esto invalida nuestros tokens. Adicionalmente, contáctanos a quantumnexusventures@protonmail.com si quieres que también borremos tu email de nuestra tabla.
Método 3 — borrado total RGPD: desde la sección Cuenta de Nexus Legal, solicita el borrado total. Recibirás un email con token de confirmación (RGPD Art. 17.2). Tras confirmar, todos tus datos —incluyendo la conexión Google Calendar— se eliminan de nuestra infraestructura en menos de 30 días.
8. Contacto y responsable
Responsable: Daniel Jiménez (Individual / sole proprietor). Domicilio: Dubai, United Arab Emirates.
Aplicación: Nexus Legal — sitio web: https://legal.nexusquantum.legal.
Correo para cuestiones relacionadas con esta integración o con datos de Google: quantumnexusventures@protonmail.com.
Política general de privacidad: /privacy (esta página es complemento específico para Google APIs; la política general prevalece para todos los demás aspectos).
Términos generales: /terms.