Saltar al contenido

Política de Privacidad

Última actualización: 30 de mayo de 2026

Esta Política de Privacidad describe cómo ViralHighlight ("nosotros", "nuestro") recopila, usa, almacena y comparte tu información personal cuando usas nuestra plataforma. Cumplimos con el Reglamento General de Protección de Datos (RGPD/GDPR) de la UE y la California Consumer Privacy Act (CCPA).

1. Responsable del Tratamiento

El responsable del tratamiento de tus datos personales en el sentido del RGPD es ViralHighlight. Para cualquier consulta relacionada con privacidad o para ejercer tus derechos, contacta con nosotros en:

ViralHighlight
legal@viralhighlight.com

2. Datos que Recopilamos

Datos de cuenta:

  • Dirección de email
  • Nombre de usuario
  • Contraseña (almacenada como hash bcrypt — nunca en texto plano)
  • URL de avatar (solo para cuentas OAuth con Google)

Datos de facturación:

  • Identificador de cliente Stripe (Stripe Customer ID)
  • Plan de suscripción (free/pro)
  • Créditos restantes y consumidos
  • Nota: los datos de tarjeta de crédito son gestionados exclusivamente por Stripe. ViralHighlight nunca almacena datos de pago.

Datos de uso:

  • Historial de generaciones de IA (herramienta usada, inputs, outputs)
  • Valoraciones de resultados (👍/👎)
  • Contador de logins y fecha del último acceso
  • Respuestas a encuestas de satisfacción (si las completas)

Datos técnicos:

  • Dirección IP y tipo de navegador (logs de acceso)
  • Datos de sesión (token JWT httpOnly, expira en 30 días)
  • Logs de errores técnicos (via Sentry)

Datos analíticos:

  • Páginas visitadas e interacciones (Vercel Analytics — sin cookies de terceros, datos agregados y anónimos)

3. Cómo Usamos tus Datos

  • Proporcionar, operar y mantener el Servicio
  • Gestionar tu cuenta y autenticación
  • Procesar pagos y gestionar suscripciones a través de Stripe
  • Personalizar las generaciones de IA con ejemplos que tú mismo has valorado positivamente (few-shot learning)
  • Enviar emails transaccionales (bienvenida, confirmación de pago, avisos de créditos bajos, cambios de términos)
  • Detectar, prevenir e investigar fraude y usos abusivos
  • Monitorizar errores técnicos y mejorar la estabilidad de la plataforma
  • Analítica de uso agregada y anónima para mejorar el Servicio
  • Cumplir con obligaciones legales y fiscales

4. Base Legal del Tratamiento (RGPD)

  • Ejecución del contrato (Art. 6.1.b RGPD): gestión de cuenta, créditos, facturación y generaciones de IA.
  • Interés legítimo (Art. 6.1.f RGPD): seguridad de la plataforma, prevención de fraude, mejora del servicio y analítica anónima.
  • Obligación legal (Art. 6.1.c RGPD): registros contables y cumplimiento fiscal (obligación de conservación 7 años según la legislación fiscal española).

5. Compartición de Datos con Terceros

No vendemos, arrendamos ni cedemos tus datos personales a terceros con fines publicitarios. Compartimos datos únicamente con los siguientes proveedores de servicio, en la medida necesaria para que presten sus servicios:

Stripeprocesamiento de pagos. Recibe email y datos de facturación necesarios para la transacción. stripe.com/privacy
Googleautenticación OAuth (opcional). Si eliges "Sign in with Google", recibe tu nombre y email para crear la sesión. policies.google.com/privacy
OpenAI / Groqgeneración de contenido IA. Los inputs y prompts que envías son procesados por estas APIs. Según sus políticas empresariales (API), no se utilizan para entrenar modelos. openai.com/policies
Vercelhosting, CDN y analytics sin cookies. Los analytics son privacy-first, sin fingerprinting personal y con datos agregados. vercel.com/legal/privacy-policy
Sentrymonitorización de errores. Recibe stack traces y datos técnicos (sin datos personales sensibles de forma deliberada). sentry.io/privacy
Neonbase de datos PostgreSQL serverless donde se almacenan todos los datos de usuario. neon.tech/privacy-policy

También podemos divulgar datos si así lo requiere la ley, una orden judicial o una autoridad regulatoria competente.

6. Retención de Datos

  • Datos de cuenta: durante la vigencia de la cuenta + 90 días tras su eliminación.
  • Historial de generaciones: 24 meses.
  • Logs de errores (Sentry): 30 días.
  • Registros contables: 7 años (obligación fiscal española).
  • Datos de sesión (JWT): 30 días de expiración.

Tras los períodos de retención, los datos se eliminan o anonimizan de forma segura.

7. Tus Derechos (RGPD)

Si resides en el Espacio Económico Europeo (EEE) o en España, tienes los siguientes derechos sobre tus datos personales:

  • Acceso (Art. 15): solicitar una copia de los datos que tenemos sobre ti.
  • Rectificación (Art. 16): corregir datos inexactos o incompletos.
  • Supresión / "Derecho al olvido" (Art. 17): eliminar tu cuenta y datos desde la configuración de perfil o solicitándolo por email.
  • Portabilidad (Art. 20): recibir tus datos en un formato estructurado y legible por máquina (JSON/CSV).
  • Limitación del tratamiento (Art. 18): solicitar la restricción del tratamiento mientras se resuelve una disputa.
  • Oposición (Art. 21): oponerte al tratamiento basado en nuestro interés legítimo.
  • Retirar el consentimiento: en cualquier momento, sin afectar a la licitud del tratamiento previo.

Para ejercer cualquiera de estos derechos, contacta con nosotros en legal@viralhighlight.com. Responderemos en un plazo máximo de 30 días.

También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): aepd.es.

8. Derechos CCPA (Residentes en California)

Si resides en California (EE.UU.), la California Consumer Privacy Act (CCPA) te otorga los siguientes derechos adicionales:

  • Derecho a saber qué datos personales se recopilan, usan, divulgan o venden.
  • Derecho a solicitar la eliminación de tus datos personales.
  • Derecho a la no discriminación por ejercer tus derechos CCPA.

ViralHighlight no vende datos personales; por lo tanto, el derecho de opt-out de venta no aplica. Para ejercer tus derechos, contacta: legal@viralhighlight.com.

9. Cookies y Tecnologías de Seguimiento

  • Cookies esenciales (sesión): Usamos una cookie httpOnly para gestionar la sesión de usuario (NextAuth.js JWT). Esta cookie es estrictamente necesaria para el funcionamiento del login y no requiere consentimiento.
  • Analytics (Vercel Web Analytics): Usamos Vercel Analytics, una solución de analytics privacy-first que no utiliza cookies de terceros ni realiza fingerprinting personal. Los datos son agregados y anónimos.
  • Google AdSense (potencial): El sitio puede cargar el script de Google AdSense, que podría colocar cookies publicitarias. Consulta la política de privacidad de Google para más información.

No utilizamos píxeles de seguimiento, tecnologías de retargeting ni cookies publicitarias de terceros propias.

10. Seguridad de los Datos

Implementamos medidas técnicas y organizativas apropiadas para proteger tus datos personales:

  • Contraseñas almacenadas con hash bcrypt (factor de coste ≥ 12)
  • Sesiones gestionadas con JWT firmados con clave secreta de servidor
  • Todas las comunicaciones cifradas con TLS/HTTPS
  • Base de datos Neon con acceso restringido por connection string cifrada
  • Revisiones periódicas de seguridad y actualización de dependencias

Ningún sistema es 100% seguro. En caso de brecha de seguridad que afecte a tus datos, te notificaremos conforme a los plazos establecidos por el RGPD (máximo 72 horas a la autoridad competente, sin demora indebida a los afectados).

11. Transferencias Internacionales de Datos

Algunos de nuestros proveedores (Stripe, Google, OpenAI, Groq, Vercel, Sentry) procesan datos en servidores ubicados en Estados Unidos u otras jurisdicciones fuera del Espacio Económico Europeo. Estas transferencias están amparadas por:

  • Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (para transferencias UE→EE.UU.)
  • El Marco UE-EE.UU. de Privacidad de Datos (EU-U.S. Data Privacy Framework), donde el proveedor esté certificado

12. Privacidad de Menores

El Servicio no está dirigido a menores de 16 años. No recopilamos intencionalmente datos personales de menores de 16 años. Si tienes conocimiento de que un menor ha creado una cuenta o proporcionado datos personales, contacta con nosotros en legal@viralhighlight.com y eliminaremos esa información de forma inmediata.

13. Cambios en esta Política

Podemos actualizar esta Política de Privacidad periódicamente. Notificaremos los cambios materiales por email antes de su entrada en vigor. La fecha "Última actualización" en la parte superior refleja la versión vigente. El uso continuado del Servicio tras la notificación de cambios constituye la aceptación de la nueva política.

14. Contacto y Delegado de Protección de Datos

Para cualquier consulta sobre esta Política de Privacidad, para ejercer tus derechos, o para reportar una incidencia de privacidad, contacta con nosotros:

ViralHighlight
Responsable del tratamiento
legal@viralhighlight.com

Nos comprometemos a responder a todas las consultas y solicitudes de derechos en un plazo máximo de 30 días naturales.