Última actualización: 18 de abril de 2026
Fecha de entrada en vigor: 18 de abril de 2026
Preámbulo
AISnapEdit (en adelante, «AISnapEdit», «nosotros», «nuestro» o «la Plataforma») opera el sitio web https://aisnapedit.com, todos sus subdominios, sus interfaces API y sus clientes asociados (en conjunto, el «Servicio»). Se trata de una plataforma SaaS de IA Todo-en-Uno dirigida a usuarios de todo el mundo, que ofrece capacidades de generación de contenido mediante IA en formato de imagen, vídeo, audio y música.
La presente Política de Privacidad (en adelante, «la Política») detalla, cuando usted accede, se registra o utiliza el Servicio, qué información recopilamos, cómo la utilizamos, a quién la divulgamos, durante cuánto tiempo la conservamos, qué derechos le asisten y los canales a través de los cuales puede ejercer dichos derechos.
La Política se ha redactado con el propósito de satisfacer simultáneamente los requisitos de transparencia sobre el tratamiento de datos personales impuestos por las siguientes jurisdicciones:
- Reglamento General de Protección de Datos de la Unión Europea (RGPD, Reglamento (UE) 2016/679)
- Reglamento General de Protección de Datos del Reino Unido (UK GDPR) y Data Protection Act 2018
- Ley Federal Suiza de Protección de Datos (FADP)
- Ley de Privacidad del Consumidor de California / Ley de Derechos de Privacidad (CCPA/CPRA)
- Ley de Protección de Datos del Consumidor de Virginia (VCDPA)
- Ley de Privacidad de Colorado (CPA)
- Ley de Privacidad de Datos de Connecticut (CTDPA)
- Ley de Privacidad del Consumidor de Utah (UCPA)
- Ley de Privacidad y Seguridad de Datos de Texas (TDPSA)
- Ley «Mi Salud, Mis Datos» del Estado de Washington (MHMDA)
- SB220 de Nevada
- Ley de Protección de la Privacidad Infantil en Línea de EE. UU. (COPPA)
- Reglamento de Inteligencia Artificial de la UE (EU AI Act, Reglamento (UE) 2024/1689)
- Directiva sobre los derechos de autor en el mercado único digital de la UE (DSM, Directiva (UE) 2019/790), artículo 4, sobre minería de textos y datos (TDM)
- Otras leyes aplicables en materia de protección de datos y protección al consumidor
Relación entre los tres documentos: la presente Política, los «Términos del Servicio» (Terms of Service) y la «Política de Reembolso» (Refund Policy) conforman, en su conjunto, la relación contractual plena entre usted y AISnapEdit. Las relaciones terminológicas y las remisiones cruzadas entre los tres documentos se indican explícitamente en cada texto; si se produce una contradicción directa entre ellos, la presente Política tendrá efecto interpretativo preferente únicamente en lo referente a las cuestiones de tratamiento de datos.
El acceso o uso del Servicio implica que usted ha leído, comprendido y aceptado los términos de esta Política. Si no está de acuerdo con alguna de sus disposiciones, absténgase de utilizar el Servicio.
1. Definiciones
La presente Política utiliza los siguientes términos, que se mantienen plenamente coherentes con los empleados en los «Términos del Servicio» y en la «Política de Reembolso»:
Términos compartidos (unificados entre los tres documentos):
- Suscriptor por primera vez: usuario de pago inicial identificado como persona física única mediante la combinación de correo electrónico, método de pago, huella del dispositivo, dirección IP y otras señales; la creación de múltiples cuentas para eludir esta definición constituye una infracción.
- Entera discreción: decisión definitiva adoptada por AISnapEdit sobre la base de un juicio razonable.
- Día hábil: día hábil federal estadounidense (de lunes a viernes, excluidos los feriados federales estadounidenses), calculado en la zona horaria del Pacífico (PT) en la que se encuentra nuestra sede operativa.
- Archivo final de salida: imagen, vídeo, audio, texto o contenido similar generado con éxito por el usuario y descargado, copiado, compartido o exportado al menos una vez.
- Consumo: toda llamada a la API exitosa, consumo de créditos o actividad de generación de contenido, con independencia de que el usuario conserve o no el resultado.
- Créditos (Credits): producto virtual de consumo entregado por AISnapEdit al usuario; no constituye pago anticipado, depósito, saldo almacenado ni ningún instrumento financiero análogo.
- Indisponibilidad continuada del Servicio: indisponibilidad del Servicio superior a 24 horas consecutivas por causas técnicas imputables a nosotros.
- Contracargo (Chargeback): solicitud de reversión presentada directamente por el usuario ante su entidad emisora.
- Lista de bloqueo (Blocklist): conjunto de datos de riesgo mantenido como consecuencia de infracciones, que incluye hashes de correo electrónico, fingerprints de tarjetas, direcciones IP, huellas de dispositivo y otros identificadores.
Términos propios de la Política de Privacidad:
- Datos personales (Personal Data): información que permite identificar, directa o indirectamente, a una persona física, según el artículo 4(1) del RGPD.
- Información personal (Personal Information): información relacionada con un residente de California o razonablemente asociable a él, según §1798.140(v) de la CCPA/CPRA.
- Información personal sensible (Sensitive Personal Information): las nueve categorías de información sensible definidas en §1798.140(ae) de la CPRA.
- Tratamiento (Processing): cualquier operación automatizada o no automatizada sobre datos personales, según el artículo 4(2) del RGPD.
- Responsable del tratamiento (Controller): sujeto que determina los fines y los medios del tratamiento, según el artículo 4(7) del RGPD.
- Encargado del tratamiento (Processor): sujeto que trata los datos en nombre del responsable, según el artículo 4(8) del RGPD.
- Subencargado (Sub-Processor): sujeto al que el encargado delega el tratamiento ulterior de datos.
- SCCs: cláusulas contractuales tipo modulares aprobadas por la Comisión Europea en 2021 (Standard Contractual Clauses).
- DPF: Marco de Privacidad de Datos UE-EE. UU. (EU-US Data Privacy Framework, Decisión de Ejecución (UE) 2023/1795).
- GPC: Global Privacy Control, señal de opt-out transmitida por navegadores o extensiones a los sitios web.
- DPIA: Evaluación de Impacto relativa a la Protección de Datos (Data Protection Impact Assessment, artículo 35 del RGPD).
- ROPA: Registro de Actividades de Tratamiento (Record of Processing Activities, artículo 30 del RGPD).
- TIA: Evaluación del Impacto de la Transferencia (Transfer Impact Assessment, exigida tras la sentencia Schrems II).
- LIA: Evaluación del Balance del Interés Legítimo (Legitimate Interest Assessment, artículo 6(1)(f) del RGPD).
- ADMT: Tecnología de Decisión Automatizada (Automated Decision-Making Technology, reglas CCPA 2026).
2. Información sobre el responsable del tratamiento
2.1 Responsable del tratamiento
Aplicable al Espacio Económico Europeo (EEE), el Reino Unido, Suiza y demás jurisdicciones que requieran la identificación del responsable:
AISnapEdit
- Sitio web: https://aisnapedit.com
- Correo electrónico para asuntos de privacidad: [email protected]
- Correo electrónico para consultas generales: [email protected]
- Jurisdicción de la sede operativa: California, Estados Unidos (operamos en la zona horaria del Pacífico, PT)
AISnapEdit actúa como «responsable» del tratamiento en el sentido del RGPD respecto de las actividades de tratamiento descritas en esta Política. Únicamente recibimos notificaciones de los usuarios y solicitudes de ejercicio de derechos de los interesados a través del correo electrónico indicado arriba; la información de registro detallada de la entidad jurídica se publicará en la versión oficial en vigor de esta Política.
2.2 Contacto de protección de datos
No alcanzamos el umbral del artículo 37 del RGPD para la designación obligatoria de un delegado de protección de datos (DPO), al no tratar a gran escala categorías especiales de datos ni realizar monitorización sistemática a gran escala, pero hemos designado un contacto específico para asuntos de privacidad (Privacy Contact), encarnado por el responsable jurídico, cuyas funciones son:
- Responder a las solicitudes de ejercicio de derechos de los interesados
- Coordinar la gestión y notificación de incidentes de violación de datos
- Cooperar con las investigaciones y consultas de las autoridades de control
- Articular la comunicación con los representantes en la UE y el Reino Unido
Contacto: [email protected]
2.3 Representante en la UE (art. 27 del RGPD)
De conformidad con el artículo 27 del RGPD, AISnapEdit ha designado a la siguiente firma profesional externa como su Representante en la Unión Europea:
- Razón social: Instant EU GDPR Representative Limited
- Domicilio registrado: Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
- Contacto: a través de [email protected] (reenviaremos las solicitudes a nuestro Representante en la UE una vez recibidas)
Los interesados residentes en la Unión Europea podrán ejercer sus derechos a través del canal indicado; las autoridades de control podrán igualmente contactar con el Representante en la UE o con AISnapEdit a través de los mismos datos de contacto.
2.4 Representante en el Reino Unido (art. 27 del RGPD del Reino Unido)
De conformidad con el artículo 27 del RGPD del Reino Unido, AISnapEdit ha designado a la misma entidad como Representante en la UE y Representante en el Reino Unido:
- Razón social: Instant EU GDPR Representative Limited
- Domicilio registrado: Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
- Contacto: a través de [email protected] (reenviaremos las solicitudes a nuestro Representante en el Reino Unido una vez recibidas)
3. Información que recopilamos
Esta sección divulga todos los datos que recopilamos, clasificados por su fuente y categoría. Para cada categoría, en §4 (bases jurídicas), §5 (finalidades), §7 (destinatarios) y §9 (plazos de conservación) se ofrecen precisiones adicionales.
3.1 Información que usted nos facilita directamente
| Categoría de datos | Campos concretos | Momento de recogida |
|---|---|---|
| Credenciales de cuenta | Dirección de correo electrónico, nombre de usuario, hash de la contraseña (almacenado cifrado), credenciales de autorización OAuth | Registro e inicio de sesión |
| Perfil personal | Avatar, nombre visible, preferencias, idioma, tema | Registro y actualización del perfil |
| Información relacionada con pagos | Nombre y dirección de facturación, BIN y últimos cuatro dígitos de la tarjeta, fingerprint de la tarjeta (devuelto por Stripe, no reversible al número completo), identificador de la transacción, estado de la suscripción | Gestión de pagos y suscripciones |
| Contenido de comunicaciones | Correos electrónicos, tickets de soporte, formularios de feedback, conversaciones de atención al cliente (si esta funcionalidad está activada) | Cuando usted inicia la comunicación |
| Contenido del usuario (entrada de IA) | Texto del prompt, imágenes, vídeos, audio u otros archivos multimedia cargados | Cuando envía una solicitud de generación |
| Salida generada por IA | Imágenes, vídeos, audio, música y demás archivos finales generados por el modelo de IA a partir de su entrada | Al finalizar la tarea de generación |
3.2 Información recopilada automáticamente
| Categoría de datos | Campos concretos | Momento de recogida |
|---|---|---|
| Información del dispositivo | Sistema operativo, tipo y versión del navegador, tipo de dispositivo, resolución de pantalla, zona horaria, idioma preferido | Al acceder al Servicio |
| Datos de uso | Rutas de las páginas visitadas, funcionalidades utilizadas, clics, duración de la sesión, marcas temporales, modelo de IA seleccionado | Durante toda la sesión |
| Datos de registro | Dirección IP (IP de registro y de accesos posteriores), hora de acceso, referente (referer), registros de errores, rutas y códigos de estado de las solicitudes API | Durante todo el funcionamiento del Servicio |
| Cookies y tecnologías similares | Cookies de sesión, cookies de preferencias, cookies analíticas, cookies de marketing (véase §10) | Al acceder al Servicio |
3.3 Información procedente de terceros
| Fuente | Campos compartidos | Finalidad |
|---|---|---|
| Proveedor OAuth (Google) | Nombre, correo electrónico, avatar e identificador único OAuth autorizados por usted | Inicio de sesión social |
| Procesador de pagos (Stripe) | Estado de la transacción, callbacks de éxito o fallo de pago, fingerprint de la tarjeta, puntuación y etiquetas de riesgo de Radar | Verificación de pagos, prevención del fraude |
| Proveedores de analítica | Estadísticas de visita agregadas, datos de reproducción de sesiones | Mejora del Servicio |
3.4 Datos antifraude y de seguridad de la cuenta [divulgación añadida]
Con el fin de prevenir el fraude en los pagos, el abuso multicuenta y el abuso de reembolsos, así como de proteger los intereses de los usuarios legítimos y la continuidad del negocio, recopilamos, tratamos y conservamos los siguientes datos relacionados con la prevención de riesgos:
| Categoría de datos | Contenido concreto | Estado actual |
|---|---|---|
| IP de registro y de acceso | Dirección IP en el registro y en sesiones posteriores | En uso actualmente |
| Identificadores de IP en lista de bloqueo | Marcas de IP añadidas tras un bloqueo | En uso actualmente |
| Señales básicas de huella del dispositivo | Tipo y versión del navegador, sistema operativo, tipo de dispositivo, combinación de UA, resolución, zona horaria | En uso actualmente (para la identificación multidimensional del §3.2.2 de los Términos del Servicio y la prevención del fraude del §4 de la Política de Reembolso) |
| Hash de huella del dispositivo de alta entropía (ampliación planificada) | Combinación de características de Canvas, WebGL, fuentes, etc., tras hash irreversible SHA-256 | Ampliación planificada — antes del despliegue efectivo actualizaremos de forma sincronizada el alcance de divulgación y la tabla de plazos de conservación |
| Fingerprint de la tarjeta | pm_* o card_fingerprint devuelto por Stripe, no reversible al número completo de tarjeta | En uso actualmente |
| Puntuación de riesgo de Stripe Radar | Puntuaciones y etiquetas de fraude devueltas por Stripe Radar en la fase de autorización | En uso actualmente |
| Patrones de comportamiento | Número e intervalos de intentos de pago fallidos, frecuencia de cambios de método de pago en plazos cortos, historial de solicitudes de reembolso, historial de chargebacks | En uso actualmente |
| Señales de asociación multicuenta | Similitud de hashes de correo electrónico, mismo método de pago o misma IP vinculados a varias cuentas | En uso actualmente |
| Identificadores de lista de bloqueo | Conjunto de hashes de correo, fingerprints de tarjeta, direcciones IP, hashes de huella de dispositivo, etc., de las cuentas bloqueadas permanentemente | En uso actualmente |
Los datos anteriores se corresponden directamente con las reglas antifraude descritas en el §4 de la «Política de Reembolso». Respecto a las tecnologías de huella del dispositivo planificadas pero aún no desplegadas, nos comprometemos a actualizar explícitamente el alcance de divulgación en esta Política antes de su despliegue efectivo, ajustando de forma sincronizada la tabla de plazos de conservación.
Base jurídica: artículo 6(1)(f) del RGPD, interés legítimo para prevenir el fraude, proteger los intereses de los usuarios legítimos y mantener la continuidad del negocio. Hemos completado y archivado la correspondiente evaluación de balance del interés legítimo (LIA) para esta actividad de tratamiento; usted puede solicitar un resumen de la misma en [email protected].
3.5 Datos inferidos y datos derivados [divulgación exigida por CCPA/CPRA]
A partir de los datos originales recogidos en los §3.1 a §3.4, generamos cierta información inferida o derivada:
- Inferencia de preferencias de uso: a partir de la frecuencia con la que selecciona modelos y de las categorías de contenido generado, inferimos sus preferencias sobre las funcionalidades para mejorar la experiencia de usuario.
- Puntuación de riesgo agregada: evaluación del nivel de riesgo global de la cuenta por parte del sistema antifraude.
- Perfil de suscripción y uso de créditos: cálculo de estado para los recordatorios de vencimiento de suscripción, saldo de créditos y funcionalidades similares.
Declaramos expresamente que no inferimos las siguientes categorías:
- Origen racial o étnico
- Opiniones políticas, convicciones religiosas o filosóficas
- Afiliación sindical
- Estado de salud o datos médicos
- Orientación sexual o vida sexual
- Datos genéticos o plantillas biométricas
4. Bases jurídicas del tratamiento
Conforme a los artículos 6 y 9 del RGPD y a sus disposiciones equivalentes en otras jurisdicciones, la base jurídica para cada categoría de datos y cada finalidad es la siguiente:
4.1 Matriz de bases jurídicas
| Categoría de datos | Finalidad del tratamiento | Base jurídica |
|---|---|---|
| Credenciales de cuenta, perfil personal | Creación de la cuenta, verificación de identidad, personalización del Servicio | Artículo 6(1)(b) RGPD, ejecución del contrato |
| Contenido del usuario (prompts, medios cargados) | Prestación del servicio de generación por IA, presentación del archivo final de salida | Artículo 6(1)(b) RGPD, ejecución del contrato |
| Información de pago | Procesamiento de pagos, gestión de suscripciones, registros fiscales y financieros | 6(1)(b) ejecución del contrato + 6(1)(c) obligación legal (cumplimiento fiscal) |
| Datos de uso, datos de registro | Optimización del Servicio, resolución de incidencias, supervisión de la seguridad | 6(1)(f) interés legítimo (evaluación de balance archivada) |
| Cookies analíticas y de marketing | Análisis de rendimiento, análisis de comportamiento de uso, acciones de marketing | 6(1)(a) consentimiento |
| Datos antifraude (§3.4) | Prevención del fraude en los pagos, abuso multicuenta y abuso de reembolsos | 6(1)(f) interés legítimo |
| Datos de la lista de bloqueo | Evitar la reinscripción de usuarios bloqueados | 6(1)(f) interés legítimo + 17(3)(e) excepción por ejercicio de acciones legales |
| Suscripción a marketing por correo electrónico | Comunicaciones de marketing directo | 6(1)(a) consentimiento (revocable en cualquier momento) |
| Conservación fiscal y transaccional | Cumplimiento de la obligación legal de conservación (véase §9) | 6(1)(c) obligación legal |
| Cumplimiento normativo y respuesta a autoridades | Respuesta a citaciones, asistencia a investigaciones, cumplimiento de órdenes judiciales | 6(1)(c) obligación legal |
| Registros relacionados con contenido generado por IA | Detección de abusos, revisión de conformidad, depuración | 6(1)(f) interés legítimo |
4.2 Declaración sobre categorías especiales de datos (artículo 9 del RGPD)
No recogemos activamente las siguientes categorías especiales de datos:
- Datos que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical
- Datos biométricos (plantillas biométricas utilizadas para identificar de forma unívoca a una persona física)
- Datos genéticos
- Datos relativos a la salud
- Datos sobre la vida sexual o la orientación sexual
Respecto a los rostros que puedan aparecer en las imágenes que usted carga en el Servicio, no realizamos reconocimiento facial, identificación biométrica ni extracción de plantillas biométricas, ni construimos base de datos biométrica alguna. Para conocer los límites de este producto en relación con capacidades sensibles como deepfakes, face-swap o clonación de voz de personas reales, consulte §6.5.
4.3 Derecho a retirar el consentimiento
Respecto de los tratamientos cuya base jurídica sea su consentimiento (como los correos electrónicos de marketing o determinadas cookies opcionales), usted podrá retirarlo en cualquier momento; la retirada no afectará a la licitud del tratamiento efectuado con anterioridad. Los mecanismos para la retirada se describen en §10 (gestión de preferencias de cookies) y §11 (ejercicio de derechos).
5. Cómo utilizamos su información
Esta sección desarrolla la columna «Finalidad del tratamiento» de la matriz de bases jurídicas del §4.
5.1 Cuenta y prestación del Servicio
- Crear y gestionar su cuenta, verificar su identidad
- Prestar los servicios de generación por IA (véase §6)
- Presentar los archivos finales de salida y facilitar su descarga, compartición y exportación
- Gestionar el saldo de créditos, el estado de suscripción y el historial
- Enviar notificaciones transaccionales relacionadas con la cuenta (confirmación de pedido, recordatorio de renovación, restablecimiento de contraseña)
5.2 Pagos y prevención del fraude
- Tramitar pagos, renovaciones de suscripción y reembolsos
- Ejecutar las reglas antifraude descritas en el §4 de la «Política de Reembolso»
- Operar la evaluación de riesgos automatizada (véase §14.2)
- Mantener la lista de bloqueo para impedir la reinscripción de usuarios ya bloqueados
5.3 Mejora y análisis del Servicio
- Analizar el comportamiento de uso para mejorar funcionalidades y experiencia
- Depurar incidencias a partir de los registros de errores
- Realizar pruebas A/B e investigaciones de usabilidad (con datos anonimizados o seudonimizados)
- Elaborar estadísticas agregadas sobre el rendimiento global del Servicio
5.4 Cumplimiento y seguridad
- Cumplir con las leyes, reglamentos y órdenes gubernamentales aplicables
- Atender requerimientos legítimos de autoridades policiales, citaciones u órdenes judiciales
- Proteger los derechos, la propiedad y la seguridad de AISnapEdit y del resto de usuarios
- Prevenir, detectar y responder al fraude, al abuso y a otras conductas ilícitas
5.5 Comunicaciones y marketing
- Enviar correos transaccionales relacionados con la cuenta y con actualizaciones del Servicio (base contractual)
- Enviar correos de marketing (con su consentimiento expreso, revocable en cualquier momento mediante el enlace de baja incluido al pie del correo o escribiendo a [email protected])
- Comunicar, mediante notificaciones dentro del Servicio, cambios relevantes de políticas o incidentes de seguridad
6. Generación por IA y sus datos
6.1 Arquitectura del servicio de IA
AISnapEdit actúa como responsable del tratamiento en los servicios de generación por IA. Cuando usted activa una tarea de generación, enviamos su prompt y los archivos cargados al proveedor de modelos de IA correspondiente (que actúa como encargado) para su inferencia; finalizado el proceso, los resultados se devuelven y se almacenan en nuestros servicios de almacenamiento.
No entrenamos modelos de IA por nuestra cuenta ni ejecutamos flujos propios de ajuste fino en nuestros servidores. El modelo concreto utilizado depende de la selección que usted realice en la interfaz.
6.2 Datos compartidos con proveedores de modelos de IA
Con el fin de ofrecer capacidades de generación diversas (imagen, vídeo, audio, música), en función del modelo que seleccione dirigimos sus datos de entrada a las siguientes categorías de proveedores:
| Categoría del proveedor | Capacidad de generación | Datos compartidos | Principales regiones de recepción |
|---|---|---|---|
| Proveedores de generación de imagen IA | Text-to-image, image-to-image, edición de imagen | Prompt, medios cargados | Estados Unidos, UE, Singapur, Hong Kong |
| Proveedores de generación de vídeo IA | Text-to-video, image-to-video, edición de vídeo | Prompt, medios cargados, vídeos de referencia | Estados Unidos, UE, Singapur, Hong Kong |
| Proveedores de generación de audio IA | Síntesis de voz, procesamiento de audio | Prompt, audio cargado | Estados Unidos, UE, Singapur, Hong Kong |
| Proveedores de generación de música IA | Text-to-music, edición musical | Prompt, parámetros de estilo | Estados Unidos, UE |
Los proveedores de modelos de IA actualmente en uso incluyen (clasificados por capacidad y sin listado nominal exhaustivo, dada la rápida evolución del ecosistema de IA): Google (familia Gemini), Replicate, Kie, Fal, Tuzi y otros servicios de generación de contenido por IA. La lista completa y actualizada en tiempo real puede consultarse en la página de selección de modelos del Servicio; tenemos previsto publicar una página independiente en /legal/ai-providers que se anunciará simultáneamente aquí cuando esté disponible.
Aviso: el Servicio no ofrece actualmente funcionalidad de chat por IA; los puntos de entrada y los servicios de enrutamiento a modelos de chat como OpenRouter han sido retirados del producto y ya no se recopilan ni se comparten mensajes de conversación.
Cada proveedor de modelos de IA tratará sus datos con arreglo a su propia política de privacidad. Imponemos restricciones contractuales a estos tratamientos mediante un acuerdo de tratamiento de datos (DPA) con cada proveedor y desplegamos los mejores esfuerzos comerciales para remitir aguas abajo únicamente los datos estrictamente necesarios para prestar el servicio de generación.
6.3 Política sobre datos de entrenamiento
AISnapEdit no utiliza sus prompts ni sus salidas generadas para entrenar nuestros modelos de IA (no entrenamos modelos propios).
En lo que respecta a los proveedores de modelos de IA aguas abajo:
- Política por defecto (mecanismo opt-out): salvo que usted ajuste expresamente sus preferencias, su entrada podrá ser utilizada por los proveedores aguas abajo con fines de mejora de la calidad del modelo (conforme a las cláusulas estándar de sus contratos). En cualquier momento puede activar, desde la configuración de su cuenta, la opción de exclusión («no utilizar para la mejora de modelos»); una vez activa, al enviar la solicitud a los proveedores incluiremos el indicador correspondiente de «no utilizar para entrenamiento».
- Categorías de datos cuyo entrenamiento está prohibido: independientemente de si activa el opt-out, prohibimos la transmisión a cualquier modelo aguas abajo, con fines de entrenamiento o mejora, de contenidos relativos a información de pago, credenciales de cuenta y datos antifraude.
Artículo 4 de la Directiva DSM de la UE (TDM Opt-Out):
En virtud del artículo 4 de la Directiva de la UE sobre los derechos de autor en el mercado único digital, usted tiene derecho a reservarse el uso de sus obras frente a la minería de textos y datos. Respecto del Servicio:
- Hemos desplegado en el directorio raíz del sitio declaraciones
robots.txtyai.txtcon la preferencia explícita de opt-out para TDM, aplicable a todos los rastreadores externos y sistemas de entrenamiento de IA. - Para los contenidos que usted publique de forma abierta en Gallery o páginas de exhibición, podrá solicitar por escrito, en [email protected], que apliquemos marcas de opt-out adicionales a piezas concretas.
6.4 Conservación de datos en el procesamiento de IA
| Categoría de datos | Plazo de conservación |
|---|---|
| Medios de entrada cargados | Transmitidos en tiempo real al proveedor aguas abajo, sin almacenamiento prolongado (salvo que usted los guarde activamente en su cuenta); las copias temporales se eliminan en un plazo de 7 días |
| Archivos de salida generados | Hasta que usted los elimine o cierre la cuenta |
| Registros de procesamiento (ruta de la solicitud, código de estado, modelo seleccionado, mensajes de error) | 90 días |
| Muestras para detección de abusos | Si activan una marca de infracción, se conservan hasta la resolución del caso más 2 años adicionales |
6.5 Declaración de límites sobre biometría, rostros y deepfakes
- No realizamos reconocimiento facial, identificación biométrica, inferencia de edad, reconocimiento emocional ni ninguna extracción de plantillas biométricas.
- Las imágenes que usted carga con rostros se transmiten al proveedor aguas abajo únicamente como datos de píxeles para su generación, y tras el procesamiento no se emplean para construir ninguna base de datos de identificación.
- El producto no admite face-swap de personas reales, clonación de voz de personas reales ni la generación de deepfakes dirigidos a personas físicas concretas, ni ninguna otra capacidad que pueda causar una inducción a error grave o daños reputacionales a terceros.
- Si en el futuro el Servicio incorpora funcionalidades que impliquen identificación biométrica, obtendremos su consentimiento expreso por separado (artículo 9(2)(a) del RGPD, §15(b) de la BIPA, §1798.121 de la CPRA) y le informaremos de forma destacada, antes de la activación, del alcance concreto del tratamiento y de los mecanismos de exclusión.
7. Cómo divulgamos su información
Fuera de las situaciones expresamente indicadas a continuación, no divulgamos su información personal a terceros.
7.1 Proveedores de servicios (lista de subencargados)
Para proporcionar, mantener y mejorar el Servicio, recurrimos a los siguientes proveedores de servicios cuidadosamente seleccionados. Todos los proveedores están sujetos a un acuerdo de tratamiento de datos (DPA) por escrito y el alcance del tratamiento se limita al mínimo necesario para la prestación del servicio correspondiente.
| Categoría | Servicio prestado | Proveedor en uso | Datos compartidos |
|---|---|---|---|
| Procesamiento de pagos | Cargos de suscripción, pagos únicos, facturas, reembolsos | Stripe (Stripe Payments Europe Ltd. / Stripe, Inc.) | Datos de facturación, importes, fingerprint de tarjeta, estado de transacción |
| Prevención del fraude en pagos (subencargado de Stripe) | Puntuación y bloqueo de riesgo de fraude en la fase de autorización | Stripe Radar (subencargado de Stripe, activado automáticamente) | IP, señales de huella del dispositivo, fingerprint de tarjeta, historial de transacciones, dominio del correo electrónico |
| Inferencia de modelos de IA | Generación de imagen / vídeo / audio / música | Proveedores clasificados por categoría (véase §6.2) | Prompt, medios cargados |
| Almacenamiento y CDN | Archivos cargados por el usuario, archivos de salida, caché CDN | Amazon Web Services (AWS S3), Cloudflare R2 | Archivos cargados, archivos de salida, solicitudes de acceso |
| Analítica web | Estadísticas de visita, análisis de comportamiento | Google Analytics 4 | Ruta de la página, eventos, ID de dispositivo (seudoanonimizado), IP (parcialmente seudoanonimizada) |
| Análisis de experiencia de sesión | Reproducción de sesiones, mapas de calor, clickstream (las áreas de entrada sensibles no se graban por defecto) | Microsoft Clarity | Movimientos del ratón, clics, interacciones con la página; los campos sensibles (contraseñas, tarjetas) quedan excluidos mediante marcadores de enmascaramiento |
| Envío de correos transaccionales | Verificación de registro, confirmación de pedido, notificaciones | Resend | Correo del destinatario, cuerpo del mensaje |
| Infraestructura (CDN / edge / caché) | Protección DDoS, aceleración, enrutamiento edge | Cloudflare | Metadatos de tráfico, IP |
| Autenticación y OAuth | Inicio de sesión social | Google OAuth | Información básica del perfil dentro del alcance autorizado |
| Atención al cliente (si está activada) | Atención en línea, tickets | El proveedor concreto se publicará cuando se active | Contenido de la conversación, correo electrónico |
Consideraciones importantes:
- Esta tabla solo divulga los proveedores realmente en uso en este momento. Nuestro código puede incluir integraciones alternativas (procesadores de pago o herramientas de atención al cliente de reserva), pero solo constituyen una divulgación efectiva cuando dicha integración se activa en el entorno de producción.
- Actualizaremos dinámicamente los cambios de subencargados mediante revisiones de esta Política; tenemos previsto publicar una página independiente
/legal/sub-processorsque se anunciará aquí cuando esté disponible.
7.2 Cumplimiento legal y requerimientos de autoridades
En los siguientes supuestos, podremos divulgar su información en la medida exigida por la ley y de forma razonable:
- Cumplir la legislación aplicable, reglamentos, órdenes judiciales o citaciones legítimas de autoridades
- Colaborar con investigaciones o procedimientos judiciales en curso
- Proteger los derechos, la propiedad y la seguridad de AISnapEdit, de sus usuarios o del público
- Investigar, prevenir o responder a posibles conductas ilícitas o incumplimientos de los Términos del Servicio
7.3 Transferencias empresariales
En caso de fusión, adquisición, reorganización, venta de activos o transacciones similares, su información podrá transferirse como parte de los activos cedidos a la nueva entidad. Le informaremos por medios razonables antes de la transferencia y garantizaremos que el adquirente continúe tratando su información con un nivel de protección no inferior al de esta Política.
7.4 Divulgación basada en su consentimiento
Previa autorización expresa por su parte, podremos divulgar su información a terceros con fines no cubiertos por esta Política. Dicha autorización podrá revocarse en cualquier momento.
7.5 Divulgación sobre publicidad contextual cruzada y «sharing» [específico CPRA]
Con arreglo a la definición ampliada de «sharing» de la CPRA de California, determinadas cookies de terceros (especialmente las relacionadas con analítica y publicidad), aunque no constituyan una «venta» en sentido tradicional, pueden constituir «sharing» con fines de publicidad contextual cruzada.
- No vendemos su información personal a cambio de contraprestación económica.
- No obstante, en las páginas en las que estén activos Google Analytics y Microsoft Clarity, las transferencias de datos podrían constituir «sharing» según la CPRA.
- Los residentes de California y los usuarios que ejerzan derechos análogos pueden excluirse mediante los siguientes medios:
- Haciendo clic en el enlace «Do Not Sell or Share My Personal Information» situado en el pie del sitio web.
- Activando la señal GPC (Global Privacy Control) mediante el navegador o una extensión; la reconocemos automáticamente y la tratamos como una instrucción de opt-out.
- Enviando un correo electrónico a [email protected].
7.6 Enlaces a terceros
El Servicio puede contener enlaces a sitios web, plugins o aplicaciones de terceros. No controlamos a dichos terceros ni somos responsables de sus prácticas de privacidad. Le recomendamos leer la política de privacidad de cualquier servicio externo antes de acceder a él.
8. Transferencias internacionales de datos
Debido a la arquitectura multirregional del Servicio, sus datos personales podrán transferirse y tratarse en países distintos al de su residencia.
8.1 Mecanismos de transferencia
Para las transferencias desde el Espacio Económico Europeo, el Reino Unido o Suiza a países sin decisión de adecuación, adoptamos uno de los siguientes mecanismos según las cualificaciones del destinatario:
- Marco de Privacidad de Datos UE-EE. UU. (EU-US DPF): cuando el destinatario está autocertificado bajo el DPF (Decisión de Ejecución (UE) 2023/1795), nos apoyamos en el DPF como garantía de adecuación — por ejemplo, Stripe, Google, Cloudflare, AWS, Microsoft y Resend forman parte del DPF.
- Extensión del DPF para el Reino Unido (UK Extension): para transferencias del Reino Unido a Estados Unidos.
- Swiss-US DPF: para transferencias de Suiza a Estados Unidos.
- Cláusulas Contractuales Tipo (SCCs) de la UE (versión modular de 2021): para destinatarios no adheridos al DPF.
- International Data Transfer Agreement (IDTA) del Reino Unido o Adenda SCC del Reino Unido: para transferencias que afecten al Reino Unido.
- Decisiones de adecuación: para transferencias a países considerados de protección adecuada por la Comisión Europea (por ejemplo, Japón, Corea del Sur y Canadá para el sector comercial).
8.2 Principales regiones de recepción de datos
Sobre la base de los proveedores enumerados en el §7, sus datos podrán transferirse a:
- Estados Unidos: Stripe, Google, AWS, Cloudflare, Resend, Microsoft Clarity, entre otros.
- Unión Europea: Stripe Europe, determinados nodos de AWS / Cloudflare.
- Singapur y Hong Kong: determinados nodos de inferencia de proveedores de modelos de IA.
- Reino Unido: determinados nodos edge de Cloudflare.
8.3 Sus derechos en relación con las transferencias
Usted tiene derecho a:
- Conocer los países a los que se transfieren sus datos
- Solicitar acceso a la documentación de las salvaguardas aplicadas a transferencias concretas (por ejemplo, partes no sensibles comercialmente de las copias de las SCCs)
- Oponerse a transferencias específicas
8.4 Evaluación del impacto de la transferencia (TIA)
Con arreglo a la sentencia Schrems II del Tribunal de Justicia de la Unión Europea (asunto C-311/18), hemos realizado o estamos realizando una evaluación del impacto de la transferencia (TIA) para cada destinatario estadounidense fuera del DPF y para otros destinos de alto riesgo, a fin de valorar si el entorno legal y las salvaguardas del país receptor son suficientes para proteger los derechos fundamentales de los interesados. Puede solicitar un resumen de la TIA en [email protected].
9. Conservación de datos
Conservamos sus datos personales durante el tiempo necesario para cumplir las finalidades descritas en esta Política, satisfacer obligaciones legales, resolver controversias y ejecutar los acuerdos. Los plazos concretos son los siguientes:
| Categoría de datos | Plazo de conservación | Base jurídica |
|---|---|---|
| Datos de cuenta (perfil básico) | Durante la vigencia de la cuenta + 30 días tras su cierre | 6(1)(b) ejecución del contrato |
| Registros transaccionales (facturas, comprobantes de pago) | EE. UU. 7 años / UE 10 años / Reino Unido 6 años (prevalecerá el plazo más extenso exigido por la ley de su residencia) | 6(1)(c) obligación legal fiscal y financiera |
| Analítica de uso (nivel agregado) | 26 meses | 6(1)(f) interés legítimo |
| Comunicaciones de soporte (tickets, conversaciones) | 3 años tras la resolución del asunto | 6(1)(f) interés legítimo |
| Registros de procesamiento de IA | 90 días | 6(1)(f) resolución de incidencias |
| Copias temporales de medios de entrada | Eliminación en un plazo de 7 días | 6(1)(b) ejecución del contrato |
| Contenido generado | Hasta su eliminación por usted o hasta el cierre de la cuenta | 6(1)(b) ejecución del contrato |
| Suscripción a marketing | Hasta la retirada del consentimiento | 6(1)(a) consentimiento |
| Datos antifraude (puntuaciones de Stripe Radar, patrones de comportamiento, puntuación de riesgo) | 5 años | 6(1)(f) interés legítimo |
| Hash de fingerprint de la tarjeta | 7 años (alineado con los registros transaccionales) | 6(1)(c) + 6(1)(f) |
| Identificadores de la lista de bloqueo (hash de correo, fingerprint de tarjeta, IP, huella de dispositivo) | Indefinido | 17(3)(e) excepción por defensa de pretensiones legales + 6(1)(f) interés legítimo |
| Documentación de DPIA y cumplimiento | Según la normativa legal y las recomendaciones del sector | 6(1)(c) obligación legal |
Nota sobre la conservación indefinida de la lista de bloqueo: según el artículo 17(3)(e) del RGPD, cuando el tratamiento sea necesario para la «formulación, ejercicio o defensa de reclamaciones», el derecho de supresión del interesado no resulta aplicable. Los datos antifraude de la lista de bloqueo resultan necesarios para: (a) defender reclamaciones presentadas posteriormente por usuarios bloqueados bajo otra identidad; (b) evitar que dichos usuarios eludan las restricciones de los Términos del Servicio y causen nuevos perjuicios; (c) contribuir al reconocimiento sectorial de patrones de fraude conocidos. Por ello, no fijamos un plazo de supresión y revisamos anualmente la necesidad de la lista.
Transcurrido el plazo de conservación, los datos se eliminarán de forma segura o se someterán a una anonimización irreversible.
10. Cookies y tecnologías de seguimiento
10.1 Tipos de cookies que utilizamos
| Tipo de cookie | Finalidad | ¿Activa por defecto? | Base jurídica |
|---|---|---|---|
| Cookies esenciales | Sesión, protección CSRF, seguridad básica | Sí (no requieren consentimiento) | 6(1)(f) interés legítimo |
| Cookies de preferencias | Idioma, tema, ajustes de visualización | Sí | 6(1)(f) interés legítimo |
| Cookies analíticas | Estadísticas y reproducción de sesiones (Google Analytics, Clarity) | Requieren su consentimiento | 6(1)(a) consentimiento |
| Cookies de marketing | Atribución de campañas (si está activada) | Requieren su consentimiento | 6(1)(a) consentimiento |
10.2 Cookies de terceros y exclusión
| Proveedor | Finalidad | Mecanismo de exclusión |
|---|---|---|
| Google Analytics | Analítica web | Google Analytics Opt-Out o preferencias de cookies del sitio |
| Microsoft Clarity | Reproducción de sesiones, mapas de calor | Privacidad de Microsoft o preferencias de cookies del sitio |
10.3 Gestión de cookies
Puede gestionar las cookies de las siguientes formas:
- Ajustes del navegador (bloquear o borrar cookies).
- Banner de consentimiento de cookies del Servicio (despliegue progresivo planificado): en EEE, Reino Unido y Suiza se aplicará opt-in por defecto en la primera visita; para usuarios estadounidenses, opt-out por defecto con reconocimiento automático de la señal GPC.
- Enlaces de exclusión proporcionados por cada proveedor.
Advertencia: desactivar las cookies esenciales puede impedir el inicio de sesión o el funcionamiento de funcionalidades centrales.
10.4 Señal Do Not Track (DNT)
Debido a la falta de un estándar sectorial unificado, no respondemos a la señal DNT enviada por el navegador, pero sí respondemos a la señal GPC, más reciente (véase §10.5).
10.5 Global Privacy Control (GPC) [incorporado — exigido por CPRA]
Con arreglo a la CPRA de California y a las leyes de Colorado, Connecticut y otros estados, reconocemos y respondemos automáticamente a la señal GPC (Global Privacy Control). Cuando detectamos una señal GPC emitida por su navegador o extensión, la consideramos una instrucción válida de «exclusión de venta/sharing de información personal» en el marco de la CCPA/CPRA, y ajustamos en consecuencia la carga de cookies analíticas y publicitarias y la compartición de datos.
11. Sus derechos de privacidad
11.1 Derechos en virtud del RGPD (EEE, Reino Unido, Suiza)
Si se encuentra en el EEE, el Reino Unido o Suiza, le asisten los siguientes derechos:
| Derecho | Contenido |
|---|---|
| Acceso (art. 15) | Solicitar una copia de sus datos personales e información sobre su tratamiento |
| Rectificación (art. 16) | Solicitar la rectificación de datos inexactos o incompletos |
| Supresión (art. 17) | Solicitar la supresión («derecho al olvido») en los supuestos previstos por la ley |
| Limitación (art. 18) | Solicitar la limitación de actividades concretas de tratamiento |
| Portabilidad (art. 20) | Recibir sus datos en un formato estructurado y legible por máquina o solicitar su transmisión a otro responsable |
| Oposición (art. 21) | Oponerse al tratamiento basado en interés legítimo (incluido el antifraude, si bien podremos invocar la excepción del art. 21(1)) |
| Retirada del consentimiento (art. 7(3)) | Revocar en cualquier momento los tratamientos basados en consentimiento |
| No ser objeto de decisiones automatizadas (art. 22) | Véase §14 |
Excepciones al derecho de supresión: según el artículo 17(3) del RGPD, la solicitud podrá denegarse en los siguientes casos:
- Existencia de una obligación legal de conservación (por ejemplo, datos transaccionales dentro del periodo fiscal)
- Necesidad para la formulación, ejercicio o defensa de reclamaciones (los datos antifraude de la lista de bloqueo)
- Necesidad por razones de interés público o investigación científica
Plazos de respuesta: respondemos a las solicitudes en un plazo de 30 días desde su recepción; si la solicitud es compleja o numerosa, podrá prorrogarse 60 días adicionales, notificándoselo dentro de los primeros 30 días.
11.2 Derechos en virtud de la CCPA/CPRA (residentes de California)
Si es residente de California, le asisten los siguientes derechos:
| Derecho | Contenido |
|---|---|
| Derecho a estar informado (§1798.100/110/115) | Solicitar la divulgación de las categorías y el contenido concreto de la información personal que recopilamos, usamos y compartimos |
| Supresión (§1798.105) | Solicitar la supresión de su información personal (salvo excepciones legales) |
| Rectificación (§1798.106) | Solicitar la rectificación de información inexacta |
| Exclusión de la venta (§1798.120) | Excluirse de la venta de información personal (no vendemos) |
| Exclusión del sharing (§1798.120) | Excluirse del sharing asociado a publicidad contextual cruzada |
| Limitación del uso de información sensible (§1798.121) | Limitar el uso de información personal sensible |
| No discriminación (§1798.125) | El ejercicio de derechos no afectará a la calidad del servicio ni al precio |
Categorías de información personal sensible que recopilamos (CPRA §1798.140(ae)):
- Credenciales de acceso a la cuenta (correo + contraseña / token OAuth)
- Ubicación geográfica precisa (solo si concede el permiso de geolocalización al navegador)
- Contenido sensible que pudiera aparecer en el material que usted carga (a su discreción)
No utilizamos la información personal sensible con el fin de inferir atributos sensibles; la empleamos únicamente con los fines comerciales permitidos por la CPRA (verificación de identidad, prevención del fraude, ejecución del contrato). No es necesario que ejerza un derecho adicional de «limitación de uso» para disfrutar de esta garantía por defecto.
Plazos de respuesta: 45 días, prorrogables otros 45 días en casos complejos.
Agente autorizado: podrá designar un agente autorizado para presentar solicitudes en su nombre, previa verificación razonable de identidad.
Shine the Light Act de California (§1798.83): véase §17.
11.3 Derechos bajo otras leyes estatales de EE. UU.
| Ley | Estado | Derechos principales |
|---|---|---|
| VCDPA | Virginia | Acceso, supresión, rectificación, portabilidad, exclusión de venta + publicidad dirigida |
| CPA | Colorado | Ídem + respuesta al Universal Opt-Out Mechanism (respondemos mediante GPC) |
| CTDPA | Connecticut | Ídem |
| UCPA | Utah | Acceso, supresión, portabilidad (alcance más limitado) |
| TDPSA | Texas | Acceso, supresión, rectificación, portabilidad, exclusión de venta + publicidad dirigida + elaboración de perfiles |
| Nevada SB220 | Nevada | Mecanismo de solicitud de exclusión de venta (véase §18) |
Recurso: si su solicitud es denegada, tendrá derecho a presentar recurso en los 45 días siguientes; el recurso será revisado por un responsable específico.
11.4 Ley «Mi Salud, Mis Datos» del Estado de Washington (MHMDA)
El Servicio no trata datos de «salud del consumidor» (Consumer Health Data) según los define la MHMDA y no realiza inferencias sanitarias, diagnósticos ni asistencia médica. Si, durante el uso del Servicio, usted carga por iniciativa propia contenido personal con información de salud, no lo utilizaremos ni divulgaremos con fines comerciales ni lo venderemos a terceros como corredores de datos.
11.5 Cómo ejercer sus derechos
- Envío por correo electrónico: envíe un correo a [email protected] con el asunto «Privacy Rights Request - [tipo de derecho]».
- Formulario web: a través de /privacy/rights-request (despliegue progresivo).
- Verificación de identidad: para prevenir solicitudes fraudulentas, podremos solicitarle que se autentique mediante el correo de registro o el método de pago vinculado, únicamente para la verificación.
- Plazos de respuesta: según los plazos aplicables a su jurisdicción (RGPD 30 días + prórroga de 60; CCPA/CPRA 45 días + prórroga de 45).
- Denegaciones y recurso: en caso de denegación, facilitaremos los motivos por escrito; podrá recurrir en [email protected]; el recurso será objeto de revisión manual y respondido en 5 días hábiles.
11.6 Reclamación ante las autoridades de control
Si considera que nuestro tratamiento vulnera la legislación aplicable, tiene derecho a presentar una reclamación:
- Residentes del EEE: autoridad de protección de datos de su Estado miembro; lista completa en el sitio del EDPB.
- Residentes del Reino Unido: Information Commissioner's Office (ICO), https://ico.org.uk.
- Residentes de Suiza: Preposto Federal para la Protección de Datos y la Transparencia (FDPIC).
- Residentes de EE. UU.: Federal Trade Commission (FTC), https://ftc.gov o las fiscalías generales estatales.
12. Seguridad de los datos
Implementamos medidas técnicas y organizativas proporcionales al riesgo de las actividades de tratamiento para proteger sus datos personales frente al acceso no autorizado, la divulgación, la alteración o la destrucción.
12.1 Medidas técnicas
- Cifrado en tránsito: cifrado TLS 1.3 en todo el sitio.
- Cifrado en reposo: base de datos y almacenamiento de objetos cifrados con AES-256.
- Control de acceso: control de acceso basado en roles (RBAC), principio de mínimo privilegio y autenticación multifactor (MFA) obligatoria para operaciones clave.
- Seguridad de las sesiones: gestión de sesiones basada en Better-Auth, con vigencia corta y mecanismo de refresco.
- Monitorización y alertas: supervisión 24/7 de tráfico y accesos anómalos.
- Auditorías periódicas: auditorías de seguridad internas y externas, escaneos de vulnerabilidades.
12.2 Medidas organizativas
- Minimización de datos: recogemos y conservamos solo los datos necesarios para las finalidades.
- Formación del personal: formación periódica de todo el personal en cumplimiento y seguridad.
- Evaluación de proveedores: due diligence sobre todos los encargados y subencargados y firma de DPA estandarizados.
- Respuesta a incidentes: procedimientos documentados de respuesta a incidentes y registros de simulacros.
- Ciclo de vida de los datos: clasificación, conservación y supresión definidas.
12.3 Notificación de violaciones de datos
Cuando confirmemos un incidente que pueda afectar a sus datos personales:
- Notificación a las autoridades: notificaremos a la autoridad de protección de datos correspondiente en las 72 horas siguientes a la detección inicial (artículo 33 del RGPD).
- Notificación al interesado: si la violación puede suponer un alto riesgo para sus derechos y libertades, le notificaremos en un plazo no superior a 72 horas desde la confirmación del alcance (artículo 34 del RGPD). La notificación incluirá: naturaleza del incidente, categorías de datos aproximadamente afectadas, posibles consecuencias, medidas adoptadas y recomendadas y contacto de privacidad.
- Obligaciones estatales en EE. UU.: se aplicarán los plazos propios de cada ley estatal (por ejemplo, §1798.82 de California o las 30–45 días de la SHIELD Act de Nueva York).
13. Privacidad de los menores
El Servicio está dirigido a usuarios de 18 años o más.
- Umbral de edad unificado: en coherencia con los Términos del Servicio, establecemos un umbral mínimo global de 18 años, superior al de COPPA (13 años en EE. UU.), al del artículo 8 del RGPD (16 años por defecto en la UE) y al del UK GDPR (13 años), entre otros.
- No recopilación deliberada: no recopilamos deliberadamente información personal de menores de 18 años.
- Verificación de edad: en el registro se declara la edad mediante una casilla de confirmación; reforzaremos la verificación de edad en el futuro combinándola con avisos por región.
- Canal para tutores: si un progenitor o tutor detecta que un menor ha facilitado información personal sin su consentimiento, podrá solicitar su supresión en [email protected]; procesaremos la solicitud tras la correspondiente verificación.
14. Decisiones automatizadas y elaboración de perfiles
14.1 Generación de contenido por IA
Nuestra generación de contenido por IA se basa íntegramente en las entradas explícitas del usuario (modelo seleccionado, prompt, medios cargados). Este tratamiento:
- No constituye, por su naturaleza, una «decisión basada únicamente en el tratamiento automatizado que produce efectos jurídicos o análogos significativos» del artículo 22(1) del RGPD.
- La base jurídica es el artículo 6(1)(b), ejecución del contrato, y el artículo 22(2)(a), necesidad contractual.
- Puede dejar de usar la funcionalidad de generación en cualquier momento.
14.2 Decisiones automatizadas antifraude [divulgación clave — cumplimiento del artículo 22 del RGPD]
Le informamos expresamente: para prevenir el fraude en los pagos y el abuso de cuenta, operamos un sistema automatizado de control de riesgos (que incluye Stripe Radar y nuestro motor interno de reglas); en determinadas circunstancias, dicho sistema puede, de forma automática:
- Denegar solicitudes de reembolso
- Suspender o bloquear permanentemente la cuenta
- Invalidar inmediatamente los créditos de la cuenta
- Incorporar a la lista de bloqueo el hash del correo electrónico, el fingerprint de la tarjeta, la IP y la huella del dispositivo relacionados
Estas decisiones constituyen decisiones automatizadas que, a los efectos del artículo 22 del RGPD, pueden producirle efectos jurídicos o análogos significativos.
Lógica de la decisión (divulgación general):
Para evitar desvelar detalles sensibles de la estrategia antifraude y permitir así su elusión malintencionada, solo divulgamos las categorías y dimensiones generales:
- Dimensión de riesgo de pago: múltiples pagos fallidos, cambios frecuentes de método de pago en un plazo corto, puntuación de fraude de Stripe Radar por encima de un umbral interno.
- Dimensión de asociación de cuentas: señales de coincidencia multidimensional entre hash de correo, fingerprint de tarjeta, huella de dispositivo e IP.
- Dimensión de anomalía de reembolsos: solicitudes en plazos extremadamente cortos tras la compra (horas), varios reembolsos en 6 meses, historial previo de chargebacks.
- Dimensión de conducta de la cuenta: uso de bots / crawlers / scripts automatizados, venta o uso compartido de la cuenta y los créditos, creación de múltiples cuentas para eludir esta Política.
Sus derechos con arreglo al artículo 22(3) del RGPD:
- Derecho a intervención humana: solicitar la revisión manual de la decisión.
- Derecho a expresar su punto de vista: aportar pruebas (registros de uso, comprobantes de pago, historial de comunicación, explicación de la razonabilidad de su ubicación, etc.) para refutar la decisión.
- Derecho a recurrir: según el procedimiento descrito en el §10 de la «Política de Reembolso», podrá recurrir en los 14 días siguientes a la recepción de la decisión escribiendo a [email protected]; el recurso será objeto de revisión manual y se responderá en 5 días hábiles.
- Derecho a explicación: puede obtener una explicación general de la lógica de la decisión (como la recogida en este apartado); por razones de eficacia antifraude, no divulgamos umbrales, pesos ni parámetros específicos.
- Derecho a reclamar: puede presentar reclamación ante la autoridad de protección de datos competente (véase §11.6).
Base jurídica: artículo 22(2)(a) del RGPD, necesidad contractual (cumplimiento de las obligaciones antifraude de los Términos del Servicio y la Política de Reembolso) y artículo 6(1)(f), interés legítimo (prevención del fraude y protección de los usuarios legítimos). Hemos completado una evaluación del balance del interés legítimo (LIA) y una evaluación de impacto relativa a la protección de datos (DPIA) para este tratamiento (véase §15).
14.3 Elaboración de perfiles para la mejora del Servicio
La inferencia de preferencias de funcionalidad a partir de los datos de uso (véase §3.5) no afecta al estado de la cuenta y se emplea solo para la mejora del producto y las recomendaciones personalizadas; puede desactivar las recomendaciones personalizadas desde la configuración de su cuenta.
15. Evaluación de impacto relativa a la protección de datos (DPIA)
Conforme al artículo 35 del RGPD, hemos realizado o estamos realizando una DPIA respecto de las actividades de tratamiento que pueden generar un alto riesgo para los derechos y libertades de los interesados:
- DPIA sobre decisiones automatizadas antifraude: completada (cubre las categorías de datos del §3.4 y los procesos de decisión del §14.2).
- DPIA sobre detección de abusos en generación por IA: en evaluación.
- DPIA sobre la tecnología de huella del dispositivo planificada: se completará antes del despliegue.
Las DPIA anteriores han identificado medidas de mitigación (minimización de datos, hash irreversible, plazos de conservación limitados, canal de recurso humano, etc.). Puede solicitar un resumen de la DPIA (excluidas partes sensibles desde el punto de vista comercial o de seguridad) en [email protected].
16. Cumplimiento del Reglamento de Inteligencia Artificial de la UE
Las disposiciones de transparencia del Reglamento de IA de la UE (EU AI Act, Reglamento (UE) 2024/1689) se aplicarán de forma escalonada a partir del 2 de agosto de 2026. Respecto al Servicio:
16.1 Clasificación de riesgo del sistema de IA
Actuamos como implementador aguas abajo de sistemas de IA; los servicios ofrecidos son de IA generativa y, en términos generales, pertenecen a la categoría de riesgo limitado (limited risk) definida por el Reglamento. No operamos:
- Los sistemas de IA prohibidos del artículo 5 (puntuación social, manipulación subliminal, etc.).
- Los sistemas de IA de alto riesgo del anexo III (selección de personal, evaluación de crédito, decisiones policiales, etc.).
16.2 Transparencia sobre datos de entrenamiento
No entrenamos modelos de IA por nuestra cuenta; los modelos utilizados son operados por proveedores aguas abajo que ya cumplen sus obligaciones de transparencia. Los enlaces a las divulgaciones de datos de entrenamiento de cada proveedor se publicarán de forma unificada en la futura página /legal/ai-providers; hasta entonces, para consultar datos de un proveedor concreto, escríbanos a [email protected].
16.3 Marcado de contenido generado por IA (artículo 50(2))
Para imágenes, vídeos, audio y demás contenido sintético generado por IA:
- Incorporamos marcas legibles por máquina (como C2PA Content Credentials) en la medida que los proveedores aguas abajo lo admiten.
- Determinadas salidas pueden llevar simultáneamente una marca de agua visible.
- Queda prohibido eliminar, alterar o eludir dichas marcas (véase §5.4 de los Términos del Servicio).
16.4 Divulgación de interacción con IA (artículo 50(1)(a))
Cuando usted interactúe con las funcionalidades de generación por IA del Servicio (edición de imagen, generación de vídeo, etc.), la interfaz de usuario indicará claramente que está interactuando con un sistema de inteligencia artificial y no con un humano.
16.5 Obligación de divulgación de deepfakes (artículo 50(4))
Aunque este producto no admite la generación de deepfakes que puedan confundirse con personas, eventos o lugares reales (véase la declaración de límites del §6.5), si emplea contenido generado por IA en asuntos de interés público (noticias, política, salud, etc.), deberá divulgar en la publicación que es contenido generado o asistido por IA. Las obligaciones contractuales correspondientes se recogen en el §5.4 de los Términos del Servicio.
17. Shine the Light Act de California
Con arreglo al §1798.83 del California Civil Code («Shine the Light Act»), los residentes de California pueden solicitar información sobre los terceros a los que hayamos divulgado su información personal con fines de marketing directo por parte de dichos terceros. No compartimos su información personal con terceros con esa finalidad; las consultas o el ejercicio de derechos al respecto pueden canalizarse a través de [email protected].
18. Derechos de privacidad de Nevada
Conforme a la SB220 de Nevada, los residentes de Nevada pueden optar por excluirse de la venta de su información personal. No vendemos su información personal a cambio de contraprestación económica; no obstante, podrá presentar una solicitud confirmatoria de exclusión en [email protected], que responderemos en un plazo de 60 días.
19. Modificaciones de esta Política
19.1 Mecanismo de modificación
Podemos revisar periódicamente esta Política. Todas las revisiones se publicarán en esta página, con la actualización simultánea de la fecha de «Última actualización» y la «Fecha de entrada en vigor».
19.2 Notificación de modificaciones sustanciales
Para las modificaciones que afecten materialmente a sus derechos (nueva finalidad de tratamiento, cambios en las transferencias internacionales, nuevas categorías de subencargados), le notificaremos con al menos 30 días de antelación por los siguientes medios:
- Envío de un correo electrónico a su dirección registrada.
- Publicación de un aviso en un lugar destacado del sitio web.
- Notificación dentro del Servicio en su próximo inicio de sesión.
19.3 Versiones históricas
Las versiones históricas se archivarán en la futura página /privacy-policy/history; hasta entonces, puede solicitarlas en [email protected].
19.4 El uso continuado implica aceptación
Si continúa usando el Servicio tras la entrada en vigor de la revisión, se considerará que acepta la Política revisada. Si no está de acuerdo, interrumpa el uso y ejerza, en su caso, el derecho de supresión conforme al §11.
20. Contáctenos
20.1 Correos electrónicos específicos
| Uso | Correo electrónico |
|---|---|
| Asuntos de privacidad, protección de datos, derechos del interesado | [email protected] |
| Recursos (decisiones antifraude, denegación de derechos) | [email protected] |
| Notificaciones DMCA, denuncias de abuso | [email protected] |
| Consultas generales y solicitudes de reembolso | [email protected] |
20.2 Vías de comunicación
AISnapEdit
- Sitio web: https://aisnapedit.com
- Jurisdicción de la sede operativa: California, Estados Unidos (operamos en la zona horaria del Pacífico, PT).
- Solo recibimos notificaciones de usuarios, solicitudes de derechos y comunicaciones legales por correo electrónico; utilice las direcciones específicas indicadas en §20.1.
- La información detallada de la entidad jurídica se publicará en la versión oficial en vigor.
20.3 Representante en la UE / Representante en el Reino Unido
Nuestro Representante en la UE (art. 27 del RGPD) y nuestro Representante en el Reino Unido (art. 27 del RGPD del Reino Unido) son la misma entidad:
- Razón social: Instant EU GDPR Representative Limited
- Domicilio registrado: Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
- Contacto: a través de [email protected] (reenviaremos las solicitudes al Representante en la UE / Reino Unido)
Véanse §2.3 y §2.4 para más detalles.
20.4 Plazos de respuesta
| Jurisdicción | Plazo de respuesta |
|---|---|
| RGPD (EEE, Reino Unido, Suiza) | 30 días (prorrogables 60 en casos complejos) |
| CCPA/CPRA (California) | 45 días (prorrogables 45 en casos complejos) |
| Otras leyes estatales de EE. UU. | 45 días (60 en algunos estados) |
| Otras jurisdicciones | Según la ley aplicable |
El uso de AISnapEdit implica que usted confirma haber leído, comprendido y aceptado la presente Política de Privacidad.
© 2026 AISnapEdit. Todos los derechos reservados.