Privacy Policy
Last updated: 6 July 2026
Habeas is a free, open-source (AGPL-3.0) browser extension that helps you extract your own personal data — receipts, invoices, card and investment records — from services that offer no API or export, entirely inside your own, already-authenticated browser session. Habeas is not a company and runs no servers that see your documents. This policy explains, plainly, what the extension touches and where anything goes.
1. What data Habeas accesses
- Your own account data on services you are logged into (e.g. a store's receipts), read through the service's own web API using the session you already established in your browser.
- Session tokens/headers needed to make those requests. These live only in memory
(
storage.session), are never written to disk, and are cleared when the browser closes. - Extension settings you create (which sources/destinations are enabled), a delivery
ledger (to avoid re-downloading), and a local activity log — stored on your device
(
storage.local) and never sent anywhere by Habeas.
Habeas never reads, stores, transmits, or autofills your credentials. You log in yourself, including any MFA. There is no background scraping while you are away.
2. Where your data goes (destinations)
Nothing leaves your browser unless you select a destination for a document. The destinations are:
- Download — a file saved by your browser to your computer.
- Local folder — written to a folder you pick on your device.
- Google Drive — see section 3.
- HTTP endpoint — a URL you configure (e.g. a personal-finance app you use).
3. Google user data (Google Drive)
If, and only if, you connect Google Drive as a destination, Habeas requests the
https://www.googleapis.com/auth/drive.file scope.
- This scope grants access only to files Habeas itself creates in your Drive (your exported documents and a manifest). Habeas cannot see, read, or modify any of your other Drive files.
- The Google OAuth access token is stored only in memory (
storage.session) and used solely to upload the documents you asked Habeas to export to your Drive. - Google user data is not sold, shared, transferred to third parties, used for advertising, or used to train any model.
4. Community sources catalog
The extension can browse a public catalog of community-contributed "source" definitions
(habeas-dev.github.io/sources). These are static JSON files describing how to read a given
service. Browsing or installing them sends no personal data.
5. Ratings & comments (optional)
If you rate or comment on a source, that text and star rating are sent to api.habeas.dev and
stored so others can see them. To limit abuse we store a salted hash of your IP address
(never the raw IP) for rate-limiting. No account, name, or email is required or collected. Don't submit
personal information in a comment.
6. Site integrations (external hooks)
A website you use may ask Habeas to set up a data flow or to collect on your behalf. This never happens silently: a site can only route data back to its own origin, and nothing is registered or run until you explicitly approve it in Habeas. You can revoke any such integration at any time in Settings.
7. Analytics & tracking
The extension contains no analytics, telemetry, or third-party trackers, and self-hosts its fonts (no third-party font requests).
8. Data retention & your control
Everything Habeas keeps lives on your own device. Remove documents from a destination as you would any file; clear the extension's settings, ledger, and activity log at any time from its options or by removing the extension. Session data is memory-only and gone when you close the browser.
9. Legal basis
Habeas operates on your own data, in your own session, via software you run (GDPR Art. 20 data portability / habeas data). Each service's Terms of Service may restrict automated access; complying with them is your responsibility.
10. Children
Habeas is not directed to children under 13 (or the equivalent minimum age in your jurisdiction).
11. Changes
We may update this policy; the "Last updated" date will change and material changes will be noted in the GitHub repository.
12. Contact
Questions or requests: open an issue at github.com/habeas-dev/habeas.
Política de Privacidad
Última actualización: 6 de julio de 2026
Habeas es una extensión de navegador libre y de código abierto (AGPL-3.0) que te ayuda a extraer tus propios datos —tickets, facturas, movimientos de tarjeta e inversiones— de servicios sin API ni exportación, íntegramente dentro de tu propia sesión ya autenticada. Habeas no es una empresa y no tiene servidores que vean tus documentos.
1. Qué datos usa
- Los datos de tu cuenta en servicios donde ya has iniciado sesión, leídos por la API web del propio servicio con tu sesión.
- Tokens/cabeceras de sesión para esas peticiones: viven solo en memoria, nunca en disco, y se borran al cerrar el navegador.
- Ajustes, registro de entregas y log de actividad, guardados en tu dispositivo y que Habeas no envía a ningún sitio.
Habeas nunca lee, guarda, transmite ni autocompleta tus credenciales. Inicias sesión tú mismo (MFA incluido). No hay scraping en segundo plano mientras no estás.
2. A dónde van tus datos
Nada sale del navegador salvo que elijas un destino: Descarga, Carpeta local, Google Drive (sección 3), o un endpoint HTTP que tú configuras.
3. Datos de usuario de Google (Google Drive)
Si —y solo si— conectas Google Drive como destino, Habeas solicita el permiso
drive.file, que da acceso únicamente a los ficheros que la propia extensión crea
en tu Drive. Habeas no puede ver ni tocar tus demás ficheros. El token OAuth se guarda solo
en memoria y se usa exclusivamente para subir a tu Drive los documentos que pediste exportar. Los datos de
usuario de Google no se venden, comparten, ni se usan para publicidad o para entrenar
modelos.
4. Catálogo comunitario
La extensión puede consultar un catálogo público de "sources" comunitarios (JSON estático). Explorar o instalar no envía datos personales.
5. Valoraciones y comentarios (opcional)
Si valoras o comentas una fuente, ese texto se envía a api.habeas.dev y se guarda. Para
limitar el abuso guardamos un hash con sal de tu IP (nunca la IP en claro). No se requiere
ni recoge cuenta, nombre o email. No incluyas datos personales en un comentario.
6. Integraciones de sitios
Una web puede pedir a Habeas crear un flujo de datos o recolectar por ti. Nunca ocurre en silencio: un sitio solo puede enviar datos a su propio dominio, y nada se registra ni ejecuta hasta que lo apruebas explícitamente. Puedes revocarlo cuando quieras en Ajustes.
7. Analítica y rastreo
La extensión no tiene analítica, telemetría ni rastreadores de terceros, y aloja sus propias fuentes tipográficas.
8. Conservación y control
Todo lo que Habeas guarda vive en tu dispositivo. Puedes borrar ajustes, registro y log cuando quieras, o eliminar la extensión. Los datos de sesión son solo de memoria.
9. Base legal
Habeas opera sobre tus datos, en tu sesión, con software que tú ejecutas (GDPR Art. 20 / habeas data). Cumplir los Términos de cada servicio es tu responsabilidad.
10. Menores
Habeas no está dirigido a menores de 13 años (o la edad mínima equivalente en tu jurisdicción).
11. Cambios
Podemos actualizar esta política; cambiará la fecha de "Última actualización" y los cambios materiales se anotarán en el repositorio de GitHub.
12. Contacto
Dudas o solicitudes: abre una incidencia en github.com/habeas-dev/habeas.