Política de Privacidad

1. Responsable del Tratamiento

De conformidad con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales (LOPDGDD), le informamos que los datos personales recogidos a través de este sitio web serán tratados por:

• Titular: Pablo Belmonte Hernández
• Dirección: Calle Arganda 30, 28005 Madrid
• Email: [email protected]

2. Datos que Recopilamos

Recopilamos los siguientes tipos de datos personales:

• <strong>Datos de identificación:</strong> nombre, email, contraseña (cifrada)
• <strong>Datos de uso:</strong> sesiones realizadas, preferencias de configuración
• <strong>Contenido de sesiones:</strong> conversaciones con la IA, resúmenes y cartas privadas, cifradas con XChaCha20-Poly1305 en la base de datos
• <strong>Datos de pago:</strong> gestionados por Stripe. No almacenamos datos de tarjeta.

3. Finalidad del Tratamiento

Sus datos personales serán tratados para las siguientes finalidades:

• Prestación del servicio de mejora de relaciones con IA
• Gestión de su cuenta de usuario
• Facturación y cobro de los servicios contratados
• Comunicaciones relacionadas con el servicio
• Cumplimiento de obligaciones legales

4. Base Legal del Tratamiento

El tratamiento de sus datos se fundamenta en:

• <strong>Ejecución de contrato:</strong> la prestación del servicio contratado
• <strong>Consentimiento:</strong> para el envío de comunicaciones comerciales
• <strong>Interés legítimo:</strong> para la mejora de nuestros servicios
• <strong>Obligación legal:</strong> cumplimiento de normativa fiscal y contable

5. Conservación de los Datos

Los datos personales se conservarán mientras se mantenga la relación contractual. Una vez finalizada, se conservarán durante los plazos legalmente establecidos (5 años para datos fiscales). Las conversaciones con la IA, resúmenes y cartas privadas se almacenan cifradas mediante XChaCha20-Poly1305 (cifrado autenticado AEAD) mientras su cuenta esté activa. La clave de cifrado vive fuera de la base de datos. Al eliminar su cuenta, los datos cifrados se borran de forma irreversible.

6. Destinatarios de los Datos

Sus datos podrán ser comunicados a:

• <strong>Proveedores de servicios:</strong> hosting (DigitalOcean, UE), procesamiento de pagos (Stripe), servicios de IA (Google Gemini)
• <strong>Administraciones públicas:</strong> cuando sea requerido por ley
• Todos nuestros proveedores cumplen con las garantías adecuadas de protección de datos (RGPD o Cláusulas Contractuales Tipo)

7. Derechos del Usuario

Tiene derecho a:

• <strong>Acceso:</strong> conocer qué datos tenemos sobre usted
• <strong>Rectificación:</strong> corregir datos inexactos
• <strong>Supresión:</strong> solicitar la eliminación de sus datos
• <strong>Oposición:</strong> oponerse al tratamiento de sus datos
• <strong>Limitación:</strong> solicitar la limitación del tratamiento
• <strong>Portabilidad:</strong> recibir sus datos en formato estructurado

Para ejercer estos derechos, puede contactar con nosotros en [email protected].

8. Seguridad de los Datos

Implementamos medidas técnicas y organizativas apropiadas para garantizar la seguridad de sus datos, incluyendo:

• Cifrado at-rest de conversaciones, resúmenes y cartas privadas con XChaCha20-Poly1305 (AEAD)
• Cifrado SSL/TLS en todas las comunicaciones
• Cifrado de contraseñas con algoritmos seguros (bcrypt)
• Acceso restringido a datos personales
• Servidores ubicados en la Unión Europea

9. Reclamaciones

Si considera que el tratamiento de sus datos no se ajusta a la normativa, puede presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

10. Modificaciones

Nos reservamos el derecho de modificar esta política de privacidad para adaptarla a novedades legislativas. Le notificaremos cualquier cambio significativo a través de la plataforma o por email.

11. Integración con Meta (Facebook e Instagram)

Brillemos opera un programa de creadores de contenido que utiliza la Meta Graph API para detectar publicaciones públicas de creadores asociados. Cuando un creador acepta participar en nuestro programa de afiliación y publica contenido mencionándonos junto con su código, nuestro sistema consulta automáticamente la API de Meta para verificar esa publicación. En ningún caso accedemos a contenido privado, mensajes directos, ni datos personales de la audiencia del creador. Solo leemos publicaciones que el creador emite públicamente.

Los permisos que usamos son instagram_basic, instagram_manage_insights, pages_read_engagement, pages_manage_posts y pages_manage_metadata, exclusivamente sobre la Página de Facebook e Instagram Business de %site_name%.

12. Eliminar tus datos

Puedes solicitar la eliminación completa de tus datos en cualquier momento. Para ello:

• Desde la web: Mi cuenta → Eliminar cuenta. El proceso es inmediato.
• Por email: [email protected]. Respondemos en menos de 72h.

Qué eliminamos: tu perfil, mensajes, cuestionarios, respuestas, resúmenes de conversación, progreso, cualquier contenido personal.

Qué anonimizamos (por obligación legal de conservar registros fiscales): facturas y registros de pago. Se conservan desvinculados de tu identidad, sin nombre, email, ni perfil asociado.

Si tienes Facebook o Instagram vinculado a Brillemos, también puedes solicitar la eliminación desde los ajustes de Meta. Nuestro endpoint POST /meta/data-deletion procesa la petición automáticamente. Podrás ver el estado de tu solicitud en la URL que Meta te proporcionará.