1. Responsable del tratamiento
El responsable del tratamiento de los datos personales recogidos a través del sitio web iafive.com es:
Denominación
Creamos IA
Domicilio
Bilbao, País Vasco, España
Correo electrónico
soporte@iafive.com
Sitio web
iafive.com
2. Datos personales que recopilamos
En función de la interacción del Usuario con la plataforma, podemos recopilar las siguientes categorías de datos personales:
2.1. Datos de registro y cuenta
- Nombre completo del Usuario.
- Dirección de correo electrónico, utilizada como identificador de cuenta y medio de comunicación.
- Contraseña (almacenada de forma cifrada mediante hash seguro).
2.2. Datos de Google Business Profile
- Tokens de acceso OAuth de Google (almacenados de forma cifrada).
- Información del perfil de negocio: nombre del negocio, dirección, categoría, identificador de cuenta y de ubicación.
- Reseñas: nombre del autor, puntuación, texto de la reseña, fecha y respuestas existentes.
2.3. Datos de pago
- Datos de la transacción: procesados de forma segura a través de Redsys. Creamos IA NO almacena números completos de tarjetas de crédito o débito. Solo se conservan los datos de referencia de la transacción necesarios para la gestión de la suscripción.
2.4. Datos de uso y técnicos
- Dirección IP y datos de conexión.
- Datos de sesión (cookies de NextAuth para autenticación).
- Registros de actividad en la plataforma (configuraciones, acciones realizadas).
3. Finalidad del tratamiento
Los datos personales del Usuario son tratados con las siguientes finalidades:
| Finalidad | Descripción |
|---|---|
| Prestación del servicio | Gestión de la cuenta, conexión con Google Business Profile, generación automática de respuestas mediante IA y publicación de las mismas. |
| Gestión de la suscripción | Procesamiento de pagos, facturación, renovaciones y cancelaciones a través de Redsys. |
| Comunicaciones del servicio | Envío de notificaciones transaccionales: confirmación de registro, alertas de reseñas pendientes, recordatorios de suscripción y avisos técnicos. |
| Soporte técnico | Atención de consultas, incidencias y solicitudes del Usuario. |
| Cumplimiento legal | Cumplimiento de obligaciones legales, fiscales y contables aplicables. |
| Mejora del servicio | Análisis de uso de la plataforma para mejorar funcionalidades y experiencia de usuario. |
4. Base legal del tratamiento
El tratamiento de los datos personales del Usuario se fundamenta en las siguientes bases legales, de conformidad con el artículo 6 del RGPD:
Art. 6.1.b) RGPD
Ejecución de un contrato: el tratamiento es necesario para la prestación del servicio contratado por el Usuario (gestión de cuenta, conexión con Google, generación de respuestas, facturación).
Art. 6.1.a) RGPD
Consentimiento: para el envío de comunicaciones comerciales o de marketing, en caso de que el Usuario lo autorice expresamente.
Art. 6.1.c) RGPD
Obligación legal: cumplimiento de obligaciones fiscales, contables y de conservación de datos exigidas por la normativa vigente.
Art. 6.1.f) RGPD
Interés legítimo: mejora del servicio, prevención de fraude y garantía de la seguridad de la plataforma.
5. Destinatarios de los datos
Los datos personales del Usuario podrán ser comunicados a los siguientes destinatarios, en la medida estrictamente necesaria para la prestación del servicio:
| Destinatario | Finalidad | Ubicación |
|---|---|---|
| OpenAI, LLC | Procesamiento del texto de las reseñas para generar respuestas automáticas mediante el modelo GPT-4o. | EE.UU. |
| Google LLC | Acceso a la API de Google Business Profile para la lectura de reseñas y publicación de respuestas. | EE.UU. |
| Redsys Servicios de Procesamiento, S.L. | Procesamiento seguro de pagos con tarjeta de crédito/débito. | España (UE) |
| Resend, Inc. | Envío de correos electrónicos transaccionales (confirmaciones, notificaciones, alertas). | EE.UU. |
| Hostinger International Ltd. | Alojamiento de la plataforma en servidores VPS ubicados en Europa. | UE (Europa) |
No se realizarán cesiones de datos a terceros distintos de los indicados, salvo obligación legal.
6. Transferencias internacionales de datos
6.1. Algunos de los proveedores indicados en el apartado anterior tienen su sede en Estados Unidos. Las transferencias internacionales de datos a estos proveedores se realizan con las garantías adecuadas exigidas por el RGPD:
- OpenAI, LLC: Data Processing Addendum (DPA) con cláusulas contractuales tipo aprobadas por la Comisión Europea. Los datos enviados a la API se utilizan exclusivamente para generar la respuesta y no se emplean para entrenar modelos.
- Google LLC: Adherida al EU-US Data Privacy Framework (DPF), con cláusulas contractuales tipo como garantía adicional.
- Resend, Inc.: Cláusulas contractuales tipo aprobadas por la Comisión Europea.
6.2. El alojamiento de la plataforma y la base de datos se encuentra en servidores VPS de Hostinger ubicados en la Unión Europea, por lo que el almacenamiento principal de datos no implica transferencia internacional.
6.3. El procesamiento de pagos mediante Redsys se realiza íntegramente dentro de la Unión Europea.
7. Conservación de datos
Los datos personales serán conservados durante el tiempo estrictamente necesario para cumplir con la finalidad para la que fueron recogidos:
| Categoría de datos | Plazo de conservación |
|---|---|
| Datos de cuenta | Durante la vigencia de la relación contractual y hasta 12 meses después de la cancelación, para permitir la reactivación. |
| Tokens de Google | Eliminados inmediatamente tras la cancelación de la suscripción o la desvinculación del perfil. |
| Datos de facturación | Conservados durante los plazos legales exigidos por la normativa fiscal y contable (mínimo 4 años, conforme a la Ley General Tributaria). |
| Reseñas y respuestas | Durante la vigencia de la suscripción. Eliminadas 90 días después de la cancelación. |
| Registros de consentimiento | Conservados durante 5 años como prueba del consentimiento otorgado. |
Transcurridos los plazos indicados, los datos serán eliminados de forma segura o anonimizados de manera irreversible.
8. Derechos del interesado (ARCO-POL)
De conformidad con el RGPD y la LOPDGDD, el Usuario tiene derecho a ejercer los siguientes derechos en relación con sus datos personales:
Acceso
Obtener confirmación de si sus datos están siendo tratados y, en caso afirmativo, acceder a los mismos.
Rectificación
Solicitar la corrección de datos inexactos o completar los que sean incompletos.
Supresión
Solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad para la que fueron recogidos.
Oposición
Oponerse al tratamiento de sus datos por motivos relacionados con su situación particular.
Portabilidad
Recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.
Limitación
Solicitar la limitación del tratamiento de sus datos en los supuestos previstos por la normativa.
Cómo ejercer tus derechos
El Usuario podrá ejercer cualquiera de los derechos mencionados dirigiendo una solicitud por correo electrónico a soporte@iafive.com, indicando:
- Nombre completo del solicitante.
- Dirección de correo electrónico asociada a la cuenta.
- Derecho que desea ejercer.
- Copia de documento identificativo (DNI, NIE o pasaporte), en caso de que sea necesario verificar la identidad.
Creamos IA responderá a la solicitud en un plazo máximo de 30 días naturales desde su recepción.
Derecho a reclamar ante la autoridad de control
Si el Usuario considera que el tratamiento de sus datos no se ajusta a la normativa vigente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.
9. Medidas de seguridad
Creamos IA aplica medidas técnicas y organizativas adecuadas para proteger los datos personales frente a accesos no autorizados, alteración, divulgación o destrucción, incluyendo:
- Cifrado en tránsito: todas las comunicaciones se realizan mediante HTTPS/TLS.
- Cifrado en reposo: los tokens de Google OAuth se almacenan cifrados con AES-256.
- Contraseñas: almacenadas mediante funciones de hash seguro (bcrypt).
- Acceso restringido: solo el personal autorizado tiene acceso a los sistemas y datos.
- Copias de seguridad: se realizan copias de seguridad periódicas de la base de datos.
- Alojamiento seguro: servidores VPS en centros de datos europeos con medidas de seguridad física y lógica.
10. Datos de menores
La plataforma IA Five no está dirigida a menores de 18 años. No recopilamos de forma intencionada datos personales de menores. Si Creamos IA tiene conocimiento de que se han recopilado datos de un menor sin el consentimiento de su representante legal, procederá a eliminarlos de inmediato.
11. Modificación de la Política de Privacidad
Creamos IA se reserva el derecho a modificar la presente Política de Privacidad en cualquier momento, con el fin de adaptarla a novedades legislativas, criterios jurisprudenciales, prácticas del sector o cambios en el servicio. Cualquier modificación sustancial será comunicada al Usuario por correo electrónico o mediante aviso destacado en la plataforma.
Se recomienda al Usuario revisar periódicamente esta Política de Privacidad.
12. Contacto del Delegado de Protección de Datos
Para cualquier cuestión relativa al tratamiento de datos personales o al ejercicio de los derechos reconocidos en esta Política de Privacidad, el Usuario puede dirigirse a:
Contacto de privacidad
Creamos IA — Departamento de Protección de Datos
Correo electrónico: soporte@iafive.com
Dirección: Bilbao, País Vasco, España
Si tienes alguna duda sobre el tratamiento de tus datos,
no dudes en contactarnos en soporte@iafive.com.
Creamos IA — iafive.com