Política de Privacidad
Política de Privacidad y Protección de Datos (RGPD)
Versión: 1.0
Fecha de entrada en vigor: [PLACEHOLDER: fecha de publicación]
Última actualización: [PLACEHOLDER: fecha de última actualización]
1. Responsable del tratamiento
| Campo | Dato |
|---|---|
| Nombre / Razón social | [PLACEHOLDER: nombre completo o razón social] |
| NIF / CIF | [PLACEHOLDER: NIF/CIF] |
| Dirección | [PLACEHOLDER: dirección postal completa, España] |
| Email de contacto | [PLACEHOLDER: email de privacidad, ej. [email protected]] |
| Delegado de Protección de Datos (DPO) | [PLACEHOLDER: nombre del DPO o indicar "No designado — verificar obligación según Art. 37 RGPD"] |
| Email del DPO | [PLACEHOLDER: email del DPO o N/A] |
| Representante en la UE | [PLACEHOLDER: si aplica Art. 27 RGPD — indicar nombre y contacto o "No aplica — establecimiento en España"] |
_La designación de DPO es obligatoria si el tratamiento implica operaciones de control a gran escala de datos biométricos (Art. 37.1.b RGPD). Verificar con asesor jurídico._
2. Principios del tratamiento
El Servicio aplica los principios del Art. 5 RGPD:
- Minimización: solo se recaban los datos estrictamente necesarios para prestar el Servicio.
- Limitación de la finalidad: los datos no se usan para fines distintos de los declarados.
- Exactitud: el usuario puede rectificar sus datos en cualquier momento.
- Limitación del plazo de conservación: los datos se eliminan cuando dejan de ser necesarios o conforme a los plazos establecidos en esta Política.
- Integridad y confidencialidad: los datos se protegen con medidas técnicas y organizativas adecuadas.
- Responsabilidad proactiva: el Servicio implementa medidas desde el diseño y por defecto (Art. 25 RGPD).
3. Categorías de datos tratados y plazos de retención
3.1 Datos de registro y cuenta (datos ordinarios)
| Dato | Finalidad | Base legal | Retención |
|---|---|---|---|
| Dirección de email | Autenticación, comunicaciones del Servicio | Ejecución de contrato (Art. 6.1.b) | Hasta baja de la cuenta + [PLACEHOLDER: N meses] |
| Hash de contraseña | Autenticación segura | Ejecución de contrato | Hasta baja de la cuenta |
| Plan de suscripción y créditos | Gestión del servicio contratado | Ejecución de contrato | Hasta baja de la cuenta + plazo fiscal |
| Datos de facturación (vía pasarela de pago) | Facturación y cumplimiento fiscal | Obligación legal (Art. 6.1.c) | 5 años (Art. 30 Ccom.) / 4 años (LIRPF) |
| Fecha y versión de aceptación de términos | Prueba de consentimiento informado | Obligación legal / interés legítimo | Duración de la relación + [PLACEHOLDER: N años] |
3.2 Datos de uso y moderación (datos ordinarios)
| Dato | Finalidad | Base legal | Retención |
|---|---|---|---|
| Metadatos de generación (fecha, hora, modelo, nº de caracteres/tokens, seed) | Reproducibilidad, soporte, moderación | Interés legítimo (Art. 6.1.f) — prevención de abuso | [PLACEHOLDER: N días/meses] |
| Texto de prompt de imagen | Moderación de abuso, soporte técnico | Interés legítimo (Art. 6.1.f) | [PLACEHOLDER: N días] tras la generación; borrado automático |
| Logs de intentos bloqueados (sin el contenido) | Seguridad, cumplimiento DSA, denuncia CSAM | Obligación legal (Art. 6.1.c) + interés legítimo | [PLACEHOLDER: N meses] |
| IP de acceso, user-agent | Seguridad, anti-abuso | Interés legítimo (Art. 6.1.f) | [PLACEHOLDER: N días]; anonimización posterior |
3.3 Archivos de audio generado (datos ordinarios)
| Dato | Finalidad | Base legal | Retención |
|---|---|---|---|
| Archivo de audio sintetizado | Re-descarga por el usuario durante la ventana de disponibilidad | Ejecución de contrato (Art. 6.1.b) | Máximo [PLACEHOLDER: N días, ej. 30 días] desde la generación; borrado automático al vencer el plazo |
3.4 Imágenes generadas (datos ordinarios)
| Dato | Finalidad | Base legal | Retención |
|---|---|---|---|
| Archivo de imagen generada | Re-descarga por el usuario durante la ventana de disponibilidad | Ejecución de contrato (Art. 6.1.b) | Máximo [PLACEHOLDER: N días, ej. 30 días]; borrado automático |
Excepción de seguridad CSAM: El contenido detectado como CSAM o intento de CSAM JAMÁS se almacena. Solo se conserva el hash PDQ y los metadatos mínimos necesarios para la denuncia a las autoridades, conforme a la obligación legal.
3.5 Datos de voz clonada — CATEGORÍA ESPECIAL (Art. 9 RGPD)
La muestra de voz aportada por el usuario para clonar es un dato biométrico de categoría especial (Art. 9 RGPD) cuando permite identificar a una persona física. Su tratamiento exige protecciones reforzadas:
| Dato | Finalidad | Base legal | Retención |
|---|---|---|---|
| Muestra de audio de referencia | Calcular la huella vocal (embedding) para clonar la voz | Consentimiento explícito (Art. 9.2.a RGPD) + declaración de legitimidad del usuario | Eliminado tras el cálculo de la huella vocal salvo elección del usuario de conservarla |
| Huella vocal (embedding cifrado) | Clonación de voz en generaciones futuras; caché de rendimiento | Consentimiento explícito (Art. 9.2.a) | Hasta revocación del consentimiento o baja de la cuenta |
Garantías aplicadas a datos biométricos:
- Cifrado en reposo (Fernet AES-256) y en tránsito (TLS 1.2+).
- Acceso restringido al mínimo personal técnico necesario; sin acceso desde el frontend.
- Exclusividad de cuenta: la huella vocal está vinculada técnica y jurídicamente a la cuenta que la generó. Ningún otro usuario del Servicio puede acceder a ella ni utilizarla. El Servicio no la cede, vende ni explota para fines propios.
- Supresión bajo demanda: el usuario puede eliminar cualquier voz clonada en cualquier momento desde su panel de usuario. El borrado del embedding se confirma por email en un máximo de 24 horas y es permanente e irrecuperable.
- Eliminación en cascada: cuando el usuario da de baja su cuenta o ejerce el derecho de supresión (RGPD Art. 17), todas las huellas vocales asociadas se eliminan de forma automática e inmediata.
- No se comparten con terceros salvo obligación legal o requerimiento de autoridad competente.
- La revocación del consentimiento (Art. 7.3 RGPD) es efectiva de inmediato y no afecta a la licitud del tratamiento previo.
4. Finalidades del tratamiento y bases legales
| Finalidad | Base legal (Art. 6 RGPD) |
|---|---|
| Prestación del Servicio contratado (generación de audio e imágenes) | Ejecución de contrato (Art. 6.1.b) |
| Gestión de suscripciones y facturación | Ejecución de contrato + obligación legal (Art. 6.1.b y 6.1.c) |
| Moderación de contenido y prevención de abuso | Interés legítimo (Art. 6.1.f) — prevenir daños a terceros, cumplir obligaciones DSA/AI Act; y obligación legal (Art. 6.1.c) para CSAM |
| Seguridad del sistema y anti-fraude | Interés legítimo (Art. 6.1.f) |
| Comunicaciones relacionadas con el Servicio | Ejecución de contrato (Art. 6.1.b) |
| Marketing y comunicaciones comerciales (si aplica) | Consentimiento (Art. 6.1.a) [PLACEHOLDER: verificar si se envía newsletter] |
| Cumplimiento de obligaciones legales (fiscales, DSA, CSAM) | Obligación legal (Art. 6.1.c) |
5. Destinatarios y transferencias internacionales
Los datos personales no se venden ni se ceden a terceros con fines comerciales. Se comparten con:
| Destinatario | Finalidad | Ubicación |
|---|---|---|
| [PLACEHOLDER: nombre del procesador de pagos, ej. Stripe Inc.] | Procesamiento de pagos | [PLACEHOLDER: UE / EE.UU. con cláusulas SCC] |
| [PLACEHOLDER: proveedor de object storage, ej. Backblaze B2 / AWS S3] | Almacenamiento temporal de audios e imágenes | [PLACEHOLDER: ubicación de los servidores] |
| [PLACEHOLDER: proveedor de CSAM hash-matching, ej. Hive AI / Thorn] | Moderación de contenido (solo hashes; en fase pública) | [PLACEHOLDER: EE.UU. — DPA/SCC aplicables] |
| Autoridades competentes (INCIBE, Policía Nacional, Guardia Civil, Ministerio Fiscal) | Denuncia de contenido ilegal (CSAM u otros delitos) | España / UE |
Las transferencias internacionales fuera del Espacio Económico Europeo (EEE) se amparan en las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea o en una decisión de adecuación, según el destinatario.
6. Derechos del usuario
El usuario puede ejercer los siguientes derechos enviando un email a [PLACEHOLDER: email de privacidad] con identificación suficiente:
| Derecho | Descripción | Plazo de respuesta |
|---|---|---|
| Acceso (Art. 15) | Obtener confirmación del tratamiento y copia de los datos | 1 mes (prorrogable 2 meses más) |
| Rectificación (Art. 16) | Corregir datos inexactos o incompletos | 1 mes |
| Supresión / "derecho al olvido" (Art. 17) | Eliminar los datos cuando ya no sean necesarios | 1 mes |
| Limitación del tratamiento (Art. 18) | Restringir el tratamiento en determinadas circunstancias | 1 mes |
| Portabilidad (Art. 20) | Recibir los datos en formato estructurado y de uso común | 1 mes |
| Oposición (Art. 21) | Oponerse al tratamiento basado en interés legítimo | Inmediato salvo motivos legítimos imperiosos |
| Retirada del consentimiento | Retirar el consentimiento para datos biométricos (voz) en cualquier momento, sin retroactividad | Inmediato |
El usuario también tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) (www.aepd.es).
7. Seguridad técnica y organizativa
El Servicio aplica las siguientes medidas (Art. 32 RGPD):
- Cifrado de datos en reposo y en tránsito (TLS 1.2+).
- Datos biométricos (huellas vocales) cifrados con clave específica.
- Acceso restringido por roles; principio de mínimo privilegio.
- Base de datos no accesible desde internet.
- Copias de seguridad cifradas y probadas periódicamente.
- Borrado automático de archivos generados al vencer el plazo de retención.
- Registro de accesos a datos sensibles (logs de auditoría).
- Exposición al exterior exclusivamente mediante túnel seguro (Cloudflare Tunnel o equivalente), sin exposición de IP doméstica.
8. Cookies y tecnologías de rastreo
[PLACEHOLDER: describir qué cookies se usan — sesión, preferencias, analytics — y si hay consentimiento de cookies o no. Considerar la Ley 34/2002 (LSSI) y las directrices de la AEPD sobre cookies. Si no hay cookies de terceros ni analytics, indicarlo expresamente.]
9. Modificaciones de la Política
Esta Política puede actualizarse. Los cambios significativos se comunicarán por email o mediante aviso en la plataforma. La versión vigente está siempre disponible en [PLACEHOLDER: URL de la política de privacidad].
10. Contacto y reclamaciones
- Email de privacidad: [PLACEHOLDER: email de privacidad]
- DPO: [PLACEHOLDER: email del DPO o "No designado"]
- AEPD: www.aepd.es — C/ Jorge Juan, 6, 28001 Madrid