Política de Privacidad

Última actualización: 7 de mayo de 2026

Lo que necesitas saber

Cuando analizas un SMS o URL, el texto se envía cifrado a nuestro sistema de análisis (SmishGuard). Se procesa automáticamente y no se almacena de forma permanente.
Tu historial de análisis se guarda en tu propio dispositivo, cifrado. No en nuestros servidores.
No vendemos tus datos. Sin anuncios. Nuestro único ingreso es la suscripción.
Puedes pedirnos que borremos cualquier dato: [email protected]

Resumen rápido: Scam Slayer analiza los SMS que contienen enlaces para detectar fraudes. Enviamos el texto de esos SMS a nuestro servidor de análisis, guardamos el resultado en tu dispositivo (cifrado), y nunca vendemos tus datos a terceros.

1. Responsable del tratamiento

Scam Slayer
Sitio web: https://scam-slayer.com
Contacto de privacidad: [email protected]

2. Datos que tratamos

2.1 Datos que SÍ recogemos

Dato	Descripción	Destino
Texto del SMS	Contenido completo del mensaje SMS que contiene un enlace. Los SMS sin enlace son descartados en tu dispositivo antes de cualquier procesamiento.	SmishGuard API (servidor de análisis propio) + historial local cifrado
ID de remitente alfanumérico	Identificadores como "BANKIA" o "CORREOS". Nunca se recogen números de teléfono.	SmishGuard API
Dirección SMSC	Centro de servicio del operador de telefonía. Dato técnico que ayuda a contextualizar el análisis.	SmishGuard API
Resultado del análisis	Puntuación de riesgo, veredicto (Seguro / Sospechoso / Estafa) y señales detectadas.	Historial local cifrado en tu dispositivo
Identificador anónimo de dispositivo	ID generado aleatoriamente, sin relación con tu identidad, usado para gestionar la cuota de análisis gratuita.	SmishGuard API
Datos de suscripción	Estado de tu suscripción Pro (activa/inactiva). No incluye información de pago.	RevenueCat (Google Play / App Store) — ver su política de privacidad

2.2 Datos que NO recogemos

Números de teléfono de remitentes o contactos
SMS que no contienen ningún enlace
Contenido de mensajes de otras apps de mensajería (WhatsApp, Telegram, etc.)
Datos bancarios, contraseñas ni credenciales de ningún tipo
Ubicación geográfica
Lista de contactos

3. Finalidad y base jurídica

Finalidad	Base jurídica (RGPD)
Detectar smishing y phishing en mensajes SMS en tiempo real	Consentimiento explícito del interesado (Art. 6.1.a RGPD), prestado en la pantalla de privacidad al inicio de la aplicación.
Guardar el historial local de análisis	Consentimiento explícito (Art. 6.1.a RGPD) e interés legítimo del usuario para consultar resultados pasados (Art. 6.1.f RGPD).
Gestión de cuota y suscripción	Ejecución de contrato (Art. 6.1.b RGPD).

4. Destinatarios

SmishGuard API — Servicio de análisis de amenazas operado por el mismo responsable del tratamiento (Scam Slayer). Los datos se envían exclusivamente para la prestación del servicio de detección de fraude y no se comparten con terceros con fines comerciales.

RevenueCat, Inc. — Procesador de pagos y gestor de suscripciones in-app. Actúa como encargado del tratamiento conforme al RGPD. Consulta su política de privacidad.

Sentry — Servicio de monitorización de errores técnicos. Los informes de error tienen scrubbing activo: no incluyen el cuerpo de los SMS ni la API key del usuario. Actúa como encargado del tratamiento.

No cedemos datos a terceros con fines publicitarios, de marketing o de elaboración de perfiles.

5. Transferencias internacionales

Las peticiones de análisis a SmishGuard API se enrutan a través de Cloudflare, Inc. (sede en EE. UU.), que actúa como proxy inverso y proveedor de CDN. Cloudflare procesa metadatos de la conexión (IP de origen, cabeceras HTTP) como encargado del tratamiento, acogido a las Cláusulas Contractuales Estándar (CCE). El contenido del SMS viaja cifrado mediante TLS y Cloudflare no descifra el payload de las peticiones en condiciones normales.

El servidor de origen de SmishGuard API se alojará en un proveedor cloud cuya región se publicará en esta sección antes del lanzamiento público de la app. Si los servidores de origen están fuera del EEE, se indicará expresamente junto con las garantías aplicables (CCE u otras). Esta política se actualizará antes de que la app esté disponible en las tiendas.

Sentry (monitorización de errores) procesa datos en su centro de datos europeo (Alemania). RevenueCat tiene sede en EE. UU. y se acoge a las CCE.

6. Plazos de conservación

Dato	Plan Free	Plan Pro
Historial local de análisis	7 días (borrado automático)	365 días (o hasta que el usuario lo borre manualmente)
Datos en SmishGuard API	Procesados para el análisis. No se retienen más allá de lo necesario para la prestación del servicio.
Identificador anónimo de dispositivo	Mientras la app esté instalada y el usuario no lo restablezca desde Ajustes.

7. Tus derechos

En virtud del RGPD, tienes los siguientes derechos respecto a tus datos personales:

Acceso (Art. 15): Puedes solicitar qué datos tenemos sobre ti.
Rectificación (Art. 16): Puedes solicitar la corrección de datos inexactos.
Supresión (Art. 17): Puedes solicitar el borrado de tus datos ("derecho al olvido"). Desde la app, ve a Ajustes → Mis datos (RGPD) → Eliminar mis datos para borrarlos al instante. También puedes solicitarlo por correo a [email protected].
Limitación (Art. 18): Puedes solicitar que restrinjamos el tratamiento de tus datos.
Portabilidad (Art. 20): Puedes solicitar tus datos en formato estructurado y legible por máquina.
Oposición (Art. 21): Puedes oponerte al tratamiento basado en interés legítimo.
Retirada del consentimiento: Puedes retirar tu consentimiento en cualquier momento desde Ajustes de la app o revocando el permiso SMS en tu sistema operativo, sin que ello afecte a la licitud del tratamiento anterior.

Para ejercer cualquiera de estos derechos, escríbenos a [email protected]. Responderemos en el plazo máximo de 30 días.

También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.

Desde la propia app puedes borrar tu historial en cualquier momento desde la pantalla Historial.

8. Seguridad

El historial de análisis se almacena localmente en tu dispositivo con cifrado a nivel de base de datos (Hive cifrado).
La API key se almacena en el Keystore del sistema operativo (Android Keystore / iOS Secure Enclave). Nunca se registra en logs ni se transmite salvo en las cabeceras cifradas de las peticiones al servidor.
Todas las comunicaciones entre la app y SmishGuard API se realizan mediante HTTPS/TLS.
Los informes de error enviados a Sentry tienen scrubbing activo: no incluyen cabeceras HTTP, cuerpo de SMS ni API key.

9. Menores de edad

Scam Slayer no está dirigida a menores de 14 años en España ni a menores de 16 años en otros países de la Unión Europea donde aplique ese umbral. No recogemos conscientemente datos de menores. Si detectas que un menor ha proporcionado datos sin el consentimiento parental, contáctanos en [email protected] para proceder a su eliminación.

10. Actualizaciones de esta política

Podemos actualizar esta política para reflejar cambios en la app, en la legislación aplicable o en nuestras prácticas de privacidad. Cuando los cambios sean relevantes, te lo notificaremos mediante un aviso en la app o por email si lo tenemos disponible. La fecha de "Última actualización" al inicio de la página indica cuándo se realizó la modificación más reciente.

Privacy Policy

Last updated: May 7, 2026

What you need to know at a glance

When you analyse an SMS or URL, the text is sent encrypted to our analysis system (SmishGuard). It is processed automatically and not stored permanently.
Your scan history is saved on your own device, encrypted. Not on our servers.
We do not sell your data. No ads. Our only revenue is subscription.
You can ask us to delete any data linked to your account: [email protected]

Quick summary: Scam Slayer analyses SMS messages that contain links to detect fraud. We send the text of those messages to our analysis server, store the result on your device (encrypted), and never sell your data to third parties.

1. Data Controller

Scam Slayer
Website: https://scam-slayer.com
Privacy contact: [email protected]

2. Data We Process

2.1 Data we DO collect

Data	Description	Destination
SMS body text	Full content of the SMS message containing a link. Messages without links are discarded on-device before any processing.	SmishGuard API (our own analysis server) + local encrypted history
Alphanumeric sender ID	Identifiers like "BANKIA" or "FEDEX". Phone numbers are never collected.	SmishGuard API
SMSC address	Carrier service centre address. Technical metadata that helps contextualise the analysis.	SmishGuard API
Analysis result	Risk score, verdict (Safe / Suspicious / Scam) and detected signals.	Local encrypted storage on your device
Anonymous device identifier	Randomly generated ID, unlinked to your identity, used to manage the free analysis quota.	SmishGuard API
Subscription status	Whether your Pro subscription is active or not. Does not include payment details.	RevenueCat (Google Play / App Store) — see their privacy policy

2.2 Data we do NOT collect

Phone numbers of senders or contacts
SMS messages that do not contain a link
Content from other messaging apps (WhatsApp, Telegram, etc.)
Banking credentials, passwords or any kind of secrets
Location data
Contact list

3. Purpose and Legal Basis

Purpose	Legal basis (GDPR)
Real-time smishing and phishing detection in SMS messages	Explicit consent of the data subject (Art. 6(1)(a) GDPR), given on the privacy screen at first app launch.
Local analysis history storage	Explicit consent (Art. 6(1)(a)) and legitimate interest of the user to review past results (Art. 6(1)(f)).
Quota and subscription management	Performance of a contract (Art. 6(1)(b) GDPR).

4. Recipients

SmishGuard API — Threat analysis service operated by the same data controller (Scam Slayer). Data is sent solely for fraud detection and is not shared with third parties for commercial purposes.

RevenueCat, Inc. — In-app subscription and payment processor. Acts as a data processor under GDPR. See their privacy policy.

Sentry — Technical error monitoring. Error reports have active scrubbing: they do not include SMS body content or user API keys. Acts as a data processor.

We do not sell or share data with third parties for advertising, marketing or profiling purposes.

5. International Transfers

Requests to the SmishGuard API are routed through Cloudflare, Inc. (based in the United States), which acts as a reverse proxy and CDN provider. Cloudflare processes connection metadata (origin IP, HTTP headers) as a data processor under Standard Contractual Clauses (SCCs). SMS content travels encrypted via TLS; Cloudflare does not decrypt the request payload under normal operating conditions.

The SmishGuard API origin server will be hosted on a cloud provider whose region will be published in this section before the app's public launch. If origin servers are located outside the EEA, this will be stated explicitly along with the applicable safeguards. This policy will be updated before the app becomes available in the app stores.

Sentry (error monitoring) processes data in its European data centre (Germany). RevenueCat is based in the United States and relies on SCCs.

6. Retention Periods

Data	Free plan	Pro plan
Local analysis history	7 days (automatic deletion)	365 days (or until deleted manually by user)
Data on SmishGuard API	Processed for analysis. Not retained beyond what is necessary to deliver the service.
Anonymous device identifier	While the app is installed and until the user resets it from Settings.

7. Your Rights

Under the GDPR you have the following rights regarding your personal data:

Access (Art. 15): Request a copy of data we hold about you.
Rectification (Art. 16): Request correction of inaccurate data.
Erasure (Art. 17): Request deletion of your data ("right to be forgotten"). From the app, go to Settings → My data (GDPR) → Delete my data to erase it instantly. You can also request it by email at [email protected].
Restriction (Art. 18): Request that we restrict processing of your data.
Portability (Art. 20): Receive your data in a structured, machine-readable format.
Objection (Art. 21): Object to processing based on legitimate interests.
Withdraw consent: Withdraw your consent at any time from the app Settings or by revoking the SMS permission in your OS settings, without affecting the lawfulness of prior processing.

To exercise any of these rights, email us at [email protected]. We will respond within 30 days.

You also have the right to lodge a complaint with your local supervisory authority. For Spain: AEPD (www.aepd.es). For the UK: ICO (ico.org.uk).

8. Security

Analysis history is stored locally on your device with database-level encryption (encrypted Hive).
Your API key is stored in the OS Keystore (Android Keystore / iOS Secure Enclave). It is never logged or transmitted except in encrypted request headers to the server.
All communications between the app and SmishGuard API use HTTPS/TLS.
Sentry error reports have active scrubbing: no HTTP headers, SMS body or API key are included.

9. Children

Scam Slayer is not directed at children under 14 (Spain) or under 16 (EU, where applicable). We do not knowingly collect data from minors. If you believe a minor has provided data without parental consent, contact us at [email protected] and we will delete it promptly.

10. Changes to This Policy

We may update this policy to reflect changes to the app, applicable law or our privacy practices. For significant changes we will notify you via an in-app notice or by email where available. The "Last updated" date at the top of this page indicates when the most recent change was made.