Privacy
QEnvy Privacy Policy
Effective date: 23 November 2025 — Jurisdiction: Madrid, Spain
This Privacy Policy explains how VeGoVeVO ("QEnvy", "we", "our", or "us") processes personal data when you access the QEnvy
workspace, enable plugins, or connect third-party accounts such as Spotify or Google services. QEnvy operates from Madrid, Spain and
complies with the European Union General Data Protection Regulation (GDPR) and other applicable laws.
Summary. QEnvy processes only the minimum data necessary to deliver requested functionality. Plugin integrations remain
optional. You are solely responsible for ensuring that your use of QEnvy, including audio recording or email automation, complies with
the laws of your jurisdiction and with the policies of any third-party service you connect.
1. Data Controller & Contact
VeGoVeVO
Calle de Alcalá 123, 28009 Madrid, Spain
Email: legal@qenvy.cloud
2. Services Covered
This policy covers the core QEnvy workspace and the optional plugins we provide:
- Spotify voice control.
- Google Gmail automations (contacts, drafting, sending).
- Google Drive summarisation and file lookup.
- Weather queries, Google Search lookups, music identification (QAudiora & VibeIT).
- Audio recording plugin for on-device capture.
- Transcriber plugin for transcript storage and summaries.
3. Information We Process
We process only the data strictly required to deliver each feature:
-
Account session data: Encrypted session tokens and identifiers provided by MentraOS or Google for authentication. We do not
store your QEnvy password.
-
Plugin authorisations: OAuth tokens issued by Spotify and Google. Tokens are encrypted at rest, stored separately from content,
and refreshed only to maintain the connection you request.
-
Gmail content: When you issue commands, we fetch the minimum message metadata or drafts required to fulfil the request. Drafts,
summaries and contact entries are stored only to complete your command execution and are not repurposed for analytics or model training.
-
Google Drive content: File names, IDs and excerpts are temporarily cached to generate the requested summary. Full documents are
not stored.
-
Spotify data: Playback state, basic profile information, playlists, and device metadata necessary for voice commands.
-
Audio recordings: If you enable the recorder plugin, encrypted five-minute segments are retained for a maximum of 24 hours before
automatic deletion.
-
Transcripts: If you enable the transcriber plugin, transcripts and summaries are stored according to the retention window you
configure. You may delete entries at any time from the plugin interface.
-
Diagnostic logs: Minimal event metadata (timestamps, error codes, anonymised identifiers) used for service reliability.
4. How We Use the Data
- Authenticate you into the QEnvy workspace.
- Execute voice or manual commands you issue via the plugins you enable.
- Provide contextual displays, summaries, and draft outputs inside your session.
- Securely refresh OAuth credentials when required by Google or Spotify.
- Maintain audit logs and detect abuse or misuse.
- Comply with legal obligations and enforce our Terms of Service.
We do not sell personal data, and we never use plugin content to train foundation models or share it with advertisers.
5. Lawful Basis
We rely on the following GDPR legal bases:
- Contractual necessity for processing required to provide the services you request.
- Consent for optional plugins, recordings, and transcript storage. You may withdraw consent by disabling the relevant plugin.
- Legitimate interests for security monitoring, fraud prevention, and product maintenance.
- Legal obligations where we must retain records or respond to lawful requests.
6. User Responsibilities
- You must ensure you have the legal right to record audio, store transcripts, or automate email in every jurisdiction where you use QEnvy.
- You are solely responsible for the content of emails, files, recordings, and prompts you provide.
- You must obtain any necessary consents from participants before capturing or transcribing their communications.
- When connecting third-party accounts (Spotify, Google Drive, Gmail), you remain bound by their respective terms and policies.
QEnvy supplies tooling but does not monitor your content or verify that your use is lawful. Any misuse of the service is entirely your responsibility.
7. Sharing & Subprocessors
We share data only with essential infrastructure providers (e.g., hosting, database, logging, analytics). Each provider is bound by data processing
agreements and may process data only on our documented instructions. Where providers operate outside the European Economic Area, we rely on
Standard Contractual Clauses or equivalent safeguards.
8. Data Retention
- Session and OAuth tokens: retained until you revoke access or 90 days of inactivity.
- Gmail drafts, summaries, and contact metadata: retained only as long as required to complete the command.
- Audio recordings: automatic deletion 24 hours after capture.
- Transcripts: retained for the period you configure (default 14 days) or until manual deletion.
- Diagnostic logs: retained for up to 30 days unless required for security investigations.
9. Security
We employ encryption in transit and at rest, role-based access controls, audit logging, and regular vulnerability assessments. No method of
transmission is entirely risk-free; you acknowledge this when connecting third-party accounts or enabling plugins.
10. Your Rights
Subject to local law, you may request:
- Access to personal data we process about you.
- Correction of inaccurate personal data.
- Deletion of data where we have no legal basis to retain it.
- Restriction or objection to specific processing activities.
- Data portability for information you provided to us in a structured format.
Submit requests to privacy@qenvy.cloud. We will respond within 30 days. You also have the right to lodge a
complaint with the Spanish Data Protection Agency (AEPD).
11. Children
QEnvy is not directed at children under 16. We do not knowingly process personal data of minors. If you believe we have collected such data, contact us immediately.
12. Updates
We may update this Privacy Policy to reflect operational or legal changes. We will post the revised version at /legal/privacy
and update the effective date. Continued use of QEnvy after changes become effective constitutes acceptance of the revised policy.
Privacidad
Política de Privacidad de QEnvy
Fecha de entrada en vigor: 23 de noviembre de 2025 — Jurisdicción: Madrid, España
Esta Política de Privacidad explica cómo VeGoVeVO ("QEnvy", "nosotros" o "nuestro") trata los datos personales cuando accedes al espacio de trabajo de QEnvy, habilitas complementos o conectas servicios de terceros como Spotify o Google. QEnvy opera desde Madrid, España y cumple con el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y demás normativa aplicable.
Resumen. QEnvy trata únicamente los datos imprescindibles para ofrecer la funcionalidad solicitada. La activación de complementos es opcional. Eres la única persona responsable de garantizar que tu uso de QEnvy, incluida la grabación de audio o la automatización de correo, respete las leyes de tu jurisdicción y las políticas de los servicios de terceros que conectes.
1. Responsable del tratamiento y contacto
VeGoVeVO
Calle de Alcalá 123, 28009 Madrid, España
Correo: legal@qenvy.cloud
2. Servicios incluidos
Esta política cubre el espacio de trabajo principal de QEnvy y los complementos opcionales que proporcionamos:
- Control de Spotify por voz.
- Automatizaciones de Gmail (contactos, borradores y envío).
- Resúmenes y consultas en Google Drive.
- Consultas meteorológicas, búsquedas en Google e identificación musical (QAudiora y VibeIT).
- Complemento de grabación de audio para captura en el dispositivo.
- Complemento de transcripción para almacenar y resumir transcripciones.
3. Datos que tratamos
Tratamos únicamente los datos estrictamente necesarios para prestar cada función:
-
Datos de sesión de la cuenta: Tokens de sesión cifrados e identificadores proporcionados por MentraOS o Google para la autenticación. No almacenamos tu contraseña de QEnvy.
-
Autorizaciones de complementos: Tokens OAuth emitidos por Spotify y Google. Se cifran en reposo, se almacenan de forma separada del contenido y solo se renuevan para mantener la conexión solicitada.
-
Contenido de Gmail: Cuando das instrucciones, recuperamos el mínimo de metadatos o borradores necesarios para ejecutar la solicitud. Los borradores, resúmenes y contactos solo se conservan para concluir la acción y no se reutilizan para análisis ni entrenamiento de modelos.
-
Contenido de Google Drive: Se almacenan temporalmente nombres de archivo, identificadores y extractos para generar el resumen solicitado. No conservamos los documentos completos.
-
Datos de Spotify: Estado de reproducción, información básica del perfil, listas de reproducción y metadatos del dispositivo necesarios para los comandos de voz.
-
Grabaciones de audio: Si activas el complemento de grabación, se conservan segmentos cifrados de cinco minutos durante un máximo de 24 horas antes de su eliminación automática.
-
Transcripciones: Si activas el complemento de transcripción, las transcripciones y resúmenes se almacenan según la ventana de retención que configures. Puedes eliminarlos en cualquier momento desde la interfaz del complemento.
-
Registros de diagnóstico: Metadatos mínimos de eventos (marcas de tiempo, códigos de error, identificadores seudonimizados) utilizados para la fiabilidad del servicio.
4. Cómo utilizamos los datos
- Autenticar tu acceso al espacio de trabajo de QEnvy.
- Ejecutar los comandos de voz o manuales que emites mediante los complementos que habilitas.
- Proporcionar paneles contextuales, resúmenes y borradores dentro de tu sesión.
- Actualizar de forma segura las credenciales OAuth cuando Google o Spotify lo solicitan.
- Mantener registros de auditoría y detectar abusos o usos indebidos.
- Cumplir obligaciones legales y hacer valer nuestros Términos de Servicio.
No vendemos datos personales ni utilizamos el contenido de los complementos para entrenar modelos base ni compartirlo con anunciantes.
5. Bases jurídicas
Nos basamos en las siguientes bases jurídicas del RGPD:
- Ejecución de un contrato para el tratamiento necesario a fin de prestar los servicios que solicitas.
- Consentimiento para los complementos opcionales, grabaciones y almacenamiento de transcripciones. Puedes retirar el consentimiento desactivando el complemento correspondiente.
- Interés legítimo para la seguridad, la prevención del fraude y el mantenimiento del producto.
- Obligación legal cuando debamos conservar registros o responder a solicitudes válidas.
6. Obligaciones de la persona usuaria
- Debes asegurarte de tener derecho legal a grabar audio, almacenar transcripciones o automatizar correos en cada jurisdicción donde utilices QEnvy.
- Eres responsable del contenido de los correos, archivos, grabaciones y prompts que proporciones.
- Debes obtener los consentimientos necesarios de las personas participantes antes de capturar o transcribir sus comunicaciones.
- Al conectar cuentas de terceros (Spotify, Google Drive, Gmail), sigues sujeto/a a sus condiciones y políticas.
QEnvy proporciona las herramientas pero no supervisa tu contenido ni verifica que tu uso sea lícito. Cualquier uso indebido es responsabilidad exclusiva tuya.
7. Cesiones y encargados del tratamiento
Compartimos datos únicamente con proveedores de infraestructura esenciales (por ejemplo, alojamiento, base de datos, registro de eventos, analítica). Cada proveedor está sujeto a un contrato de encargo de tratamiento y solo puede tratar los datos siguiendo nuestras instrucciones documentadas. Cuando colaboran fuera del Espacio Económico Europeo, aplicamos Cláusulas Contractuales Tipo u otras garantías equivalentes.
8. Plazos de conservación
- Tokens de sesión y OAuth: hasta que revocas el acceso o tras 90 días de inactividad.
- Metadatos de Gmail, resúmenes y borradores: solo durante el tiempo necesario para completar la acción.
- Grabaciones de audio: eliminación automática 24 horas después de la captura.
- Transcripciones: durante el periodo que definas (por defecto 14 días) o hasta su eliminación manual.
- Registros de diagnóstico: hasta 30 días salvo que sea necesario para investigaciones de seguridad.
9. Seguridad
Aplicamos cifrado en tránsito y en reposo, controles de acceso basados en roles, registros de auditoría y evaluaciones periódicas de vulnerabilidades. Ningún método de transmisión es totalmente libre de riesgos; lo aceptas al conectar cuentas de terceros o habilitar complementos.
10. Tus derechos
De conformidad con la legislación aplicable, puedes solicitar:
- Acceso a los datos personales que tratamos sobre ti.
- Rectificación de datos personales inexactos.
- Supresión de datos cuando no tengamos base jurídica para conservarlos.
- Limitación u oposición a determinados tratamientos.
- Portabilidad de los datos que nos hayas proporcionado en formato estructurado.
Envía tus solicitudes a privacy@qenvy.cloud. Responderemos en un plazo de 30 días. También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).
11. Menores
QEnvy no está dirigido a menores de 16 años. No tratamos conscientemente datos personales de menores. Si crees que los hemos recopilado, contáctanos de inmediato.
12. Actualizaciones
Podemos actualizar esta Política de Privacidad para reflejar cambios operativos o legales. Publicaremos la versión revisada en /legal/privacy y actualizaremos la fecha de vigencia. Si continúas utilizando QEnvy tras la fecha efectiva, aceptarás la versión actualizada.
