Privacy Policy / Política de Privacidad

Last updated: April 21, 2026

Última actualización: 21 de abril de 2026

Your data, your rights. Alice & Bob S.L. is committed to protecting your privacy in compliance with the EU General Data Protection Regulation (GDPR) and Spain's Organic Law 3/2018 (LOPDGDD).

1. Data Controller

Alice & Bob S.L.
Calle Marie Curie, 7 Edif. Beta Pl. 7 Ático
Parque Empresarial Rivas Futura
28521 Rivas-Vaciamadrid, Madrid, Spain
CIF: B67932186
Email: privacy@mcp-hub.info

2. Data We Collect

Category Data Purpose Legal Basis
Account data Email address, password hash, registration date Account management, authentication Contract performance (Art. 6.1.b GDPR)
Scan data URLs/repositories submitted for scanning Service delivery (running security scans) Contract performance (Art. 6.1.b GDPR)
Usage data Scan history, credit usage, timestamps Billing, abuse prevention, service improvement Legitimate interest (Art. 6.1.f GDPR)
Technical data IP address, browser type, session identifiers Security, fraud prevention, debugging Legitimate interest (Art. 6.1.f GDPR)
Payment data Billing address, payment method token (via Stripe) Processing purchases Contract performance (Art. 6.1.b GDPR)
Communications Email correspondence, support requests Customer support, legal compliance Legitimate interest / Legal obligation

3. How We Use Your Data

  • Provide and improve the Service: running security scans, delivering reports, and enhancing detection accuracy.
  • Account management: authentication, credit balance, subscription management.
  • Communications: transactional emails (scan results, billing receipts) and, with your consent, service updates.
  • Security and abuse prevention: detecting unauthorized use, protecting our systems and third parties.
  • Legal compliance: retaining records as required by Spanish tax and commercial law.

4. AI/LLM Processing

Some scan features use large language models (LLMs) to analyze code and configurations. When AI-assisted analysis is used:

  • Snippets of submitted code or configuration may be sent to third-party AI providers (Anthropic, OpenAI) as part of the analysis.
  • We minimize data shared with these providers to what is strictly necessary.
  • These providers process data under their own privacy policies and data processing agreements.

5. Data Sharing

We do not sell your personal data. We share data only with:

  • Infrastructure providers: cloud hosting and database services for service operation.
  • Payment processor: Stripe, Inc. (payment data only, under a Data Processing Agreement).
  • AI providers: Anthropic PBC / OpenAI LLC (scan content only, under DPAs), when AI features are used.
  • Legal authorities: when required by law, court order, or to protect rights and safety.

All processors are bound by GDPR-compliant Data Processing Agreements.

6. International Transfers

Some of our service providers are located outside the European Economic Area (EEA). Where data is transferred internationally, we ensure adequate protection through Standard Contractual Clauses (SCCs) approved by the European Commission or equivalent mechanisms.

7. Data Retention

  • Account data: retained for the duration of the account and for 5 years after closure (Spanish commercial law requirements).
  • Scan data: raw scan submissions are deleted after 30 days; summarized results may be retained for up to 12 months.
  • Billing records: retained for 10 years (Spanish tax law).
  • Log data: retained for up to 12 months for security purposes.

8. Your Rights

Under the GDPR and LOPDGDD, you have the right to:

  • Access your personal data (Art. 15 GDPR).
  • Rectification of inaccurate data (Art. 16 GDPR).
  • Erasure ("right to be forgotten") where applicable (Art. 17 GDPR).
  • Restriction of processing in certain circumstances (Art. 18 GDPR).
  • Data portability in a machine-readable format (Art. 20 GDPR).
  • Object to processing based on legitimate interest (Art. 21 GDPR).
  • Withdraw consent at any time for consent-based processing.

To exercise any right, email us at privacy@mcp-hub.info. We will respond within 30 days. You also have the right to lodge a complaint with the Spanish Data Protection Authority (Agencia Española de Protección de Datos — aepd.es).

9. Additional Rights by Jurisdiction

Depending on where you are located, you may have additional privacy rights under local law. We honor these rights regardless of your location:

  • California (USA) — CCPA/CPRA: right to know what personal information is collected and sold, right to opt out of sale (we do not sell data), right to non-discrimination, right to correct and delete personal information. To submit a California-specific request, contact privacy@mcp-hub.info with the subject "California Privacy Request".
  • Brazil — LGPD (Lei Geral de Proteção de Dados): rights of access, correction, deletion, portability, information about sharing, and right to object to processing. These rights are exercised through the same contact address.
  • United Kingdom — UK GDPR: equivalent rights to EU GDPR apply. You may lodge a complaint with the Information Commissioner's Office (ico.org.uk).
  • Other jurisdictions: if local law grants you additional privacy rights not listed above, contact us and we will make reasonable efforts to accommodate your request.

10. Cookies and Tracking

We use only strictly necessary session cookies for authentication and CSRF protection. We do not use third-party tracking cookies, advertising cookies, or fingerprinting technologies. No consent banner is required for strictly necessary cookies under ePrivacy Directive recital 66.

11. Security

We implement industry-standard security measures including encryption in transit (TLS 1.2+), encryption at rest, access controls, and regular security reviews. However, no system is completely secure. If you discover a vulnerability, please report it responsibly to security@mcp-hub.info.

12. Children's Privacy

The Service is not directed at individuals under 18 years of age. We do not knowingly collect personal data from minors.

13. Changes to this Policy

We may update this Privacy Policy to reflect changes in our practices or legal requirements. Material changes will be communicated by email or in-service notice at least 30 days before taking effect.

14. Contact

For privacy-related inquiries:
privacy@mcp-hub.info
Alice & Bob S.L. · Calle Marie Curie, 7 · 28521 Rivas-Vaciamadrid, Madrid, Spain

Alice & Bob S.L. · CIF B67932186 · Rivas-Vaciamadrid, Madrid, Spain

Tus datos, tus derechos. Alice & Bob S.L. se compromete a proteger tu privacidad de conformidad con el Reglamento General de Protección de Datos (RGPD) de la UE y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

1. Responsable del Tratamiento

Alice & Bob S.L.
Calle Marie Curie, 7 Edif. Beta Pl. 7 Ático
Parque Empresarial Rivas Futura
28521 Rivas-Vaciamadrid, Madrid, España
CIF: B67932186
Email: privacy@mcp-hub.info

2. Datos que Recopilamos

Categoría Datos Finalidad Base jurídica
Datos de cuenta Dirección de correo, hash de contraseña, fecha de registro Gestión de cuenta, autenticación Ejecución de contrato (Art. 6.1.b RGPD)
Datos de análisis URLs/repositorios enviados para análisis Prestación del servicio (ejecución de análisis) Ejecución de contrato (Art. 6.1.b RGPD)
Datos de uso Historial de análisis, uso de créditos, marcas de tiempo Facturación, prevención de abuso, mejora del servicio Interés legítimo (Art. 6.1.f RGPD)
Datos técnicos Dirección IP, tipo de navegador, identificadores de sesión Seguridad, prevención de fraude, diagnóstico Interés legítimo (Art. 6.1.f RGPD)
Datos de pago Dirección de facturación, token de método de pago (vía Stripe) Procesamiento de compras Ejecución de contrato (Art. 6.1.b RGPD)
Comunicaciones Correspondencia por correo, solicitudes de soporte Atención al cliente, cumplimiento legal Interés legítimo / Obligación legal

3. Cómo Usamos tus Datos

  • Prestación y mejora del Servicio: ejecución de análisis de seguridad, entrega de informes y mejora de la precisión de detección.
  • Gestión de cuenta: autenticación, saldo de créditos y gestión de suscripciones.
  • Comunicaciones: correos transaccionales (resultados de análisis, recibos de facturación) y, con tu consentimiento, actualizaciones del servicio.
  • Seguridad y prevención de abuso: detección de usos no autorizados, protección de nuestros sistemas y de terceros.
  • Cumplimiento legal: conservación de registros según la legislación tributaria y mercantil española.

4. Procesamiento con IA/LLM

Algunas funcionalidades de análisis utilizan modelos de lenguaje de gran tamaño (LLM) para analizar código y configuraciones. Cuando se usa análisis asistido por IA:

  • Fragmentos del código o configuración enviados pueden transmitirse a proveedores de IA de terceros (Anthropic, OpenAI) como parte del análisis.
  • Minimizamos los datos compartidos con estos proveedores a lo estrictamente necesario.
  • Estos proveedores tratan los datos bajo sus propias políticas de privacidad y acuerdos de tratamiento de datos.

5. Compartición de Datos

No vendemos tus datos personales. Solo los compartimos con:

  • Proveedores de infraestructura: servicios de alojamiento en nube y bases de datos para la operación del servicio.
  • Procesador de pagos: Stripe, Inc. (solo datos de pago, bajo Acuerdo de Tratamiento de Datos).
  • Proveedores de IA: Anthropic PBC / OpenAI LLC (solo contenido de análisis, bajo ATD), cuando se usen funcionalidades de IA.
  • Autoridades legales: cuando sea requerido por ley, orden judicial o para proteger derechos y seguridad.

Todos los encargados del tratamiento están vinculados por Acuerdos de Tratamiento de Datos conformes al RGPD.

6. Transferencias Internacionales

Algunos de nuestros proveedores de servicios se encuentran fuera del Espacio Económico Europeo (EEE). Cuando se transfieren datos internacionalmente, garantizamos una protección adecuada mediante Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea u otros mecanismos equivalentes.

7. Conservación de Datos

  • Datos de cuenta: conservados durante la vigencia de la cuenta y durante 5 años tras su cierre (normativa mercantil española).
  • Datos de análisis: los envíos en bruto se eliminan a los 30 días; los resultados resumidos pueden conservarse hasta 12 meses.
  • Registros de facturación: conservados durante 10 años (normativa fiscal española).
  • Datos de registro (logs): conservados hasta 12 meses con fines de seguridad.

8. Tus Derechos

En virtud del RGPD y la LOPDGDD, tienes derecho a:

  • Acceder a tus datos personales (Art. 15 RGPD).
  • Rectificar datos inexactos (Art. 16 RGPD).
  • Suprimir tus datos ("derecho al olvido") cuando proceda (Art. 17 RGPD).
  • Limitar el tratamiento en determinadas circunstancias (Art. 18 RGPD).
  • Portabilidad de tus datos en formato legible por máquina (Art. 20 RGPD).
  • Oponerte al tratamiento basado en interés legítimo (Art. 21 RGPD).
  • Retirar el consentimiento en cualquier momento para tratamientos basados en él.

Para ejercer cualquier derecho, escríbenos a privacy@mcp-hub.info. Responderemos en un plazo de 30 días. También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es).

9. Derechos Adicionales por Jurisdicción

Dependiendo de tu ubicación, es posible que tengas derechos de privacidad adicionales bajo la legislación local. Respetamos estos derechos con independencia de donde te encuentres:

  • California (EE.UU.) — CCPA/CPRA: derecho a conocer qué información personal se recopila y vende, derecho a oponerse a su venta (no vendemos datos), derecho a la no discriminación, y derecho a corregir y eliminar datos. Para enviar una solicitud específica de California, contáctanos en privacy@mcp-hub.info con el asunto "California Privacy Request".
  • Brasil — LGPD (Lei Geral de Proteção de Dados): derechos de acceso, corrección, eliminación, portabilidad, información sobre compartición y derecho a oponerse al tratamiento. Estos derechos se ejercen a través de la misma dirección de contacto.
  • Reino Unido — UK GDPR: derechos equivalentes al RGPD de la UE. Puedes presentar una reclamación ante la Information Commissioner's Office (ico.org.uk).
  • Otras jurisdicciones: si la legislación local te otorga derechos de privacidad adicionales no contemplados aquí, contáctanos e intentaremos atender tu solicitud de forma razonable.

10. Cookies y Seguimiento

Solo utilizamos cookies de sesión estrictamente necesarias para la autenticación y la protección CSRF. No usamos cookies de terceros para seguimiento, publicidad ni tecnologías de huella digital. No se requiere banner de consentimiento para cookies estrictamente necesarias según el considerando 66 de la Directiva ePrivacy.

11. Seguridad

Implementamos medidas de seguridad estándar del sector que incluyen cifrado en tránsito (TLS 1.2+), cifrado en reposo, controles de acceso y revisiones de seguridad periódicas. Sin embargo, ningún sistema es completamente seguro. Si descubres una vulnerabilidad, comunícanoslo de forma responsable en security@mcp-hub.info.

12. Privacidad de Menores

El Servicio no está dirigido a personas menores de 18 años. No recopilamos conscientemente datos personales de menores de edad.

13. Cambios en esta Política

Podemos actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas o en los requisitos legales. Los cambios materiales se comunicarán por correo electrónico o mediante aviso en el Servicio con al menos 30 días de antelación a su entrada en vigor.

14. Contacto

Para consultas sobre privacidad:
privacy@mcp-hub.info
Alice & Bob S.L. · Calle Marie Curie, 7 · 28521 Rivas-Vaciamadrid, Madrid, España

Alice & Bob S.L. · CIF B67932186 · Rivas-Vaciamadrid, Madrid, España