Política de privacidad
Última actualización: 18 de mayo de 2026
Esta política explica cómo SocialMidea, operada por [NOMBRE COMERCIAL S.L.] ("nosotros") trata tus datos personales de acuerdo con el RGPD (Reglamento UE 2016/679) y la LOPDGDD española.
1. Responsable del tratamiento
- Razón social: [NOMBRE COMERCIAL S.L.]
- CIF: [CIF]
- Dirección: [DIRECCIÓN COMPLETA], España
- Email: privacy@[DOMINIO]
- DPO: [NOMBRE DEL DPO si aplica]
2. Datos que recopilamos
2.1 Datos de cuenta
- Nombre y email (al registrarte)
- Contraseña (almacenada con hash bcrypt)
- Avatar (opcional, vía proveedor OAuth)
2.2 Datos de uso
- Posts, marcas, agentes IA, mensajes generados
- Imágenes y videos subidos
- Métricas de cuentas sociales conectadas
- Logs de uso de IA (tokens, costo, modelo, latencia)
2.3 Datos técnicos
- Dirección IP, user agent, timestamps de sesión
- Logs de errores y telemetría operacional
2.4 Datos de facturación
- Nombre y dirección de facturación
- Datos de tarjeta: NO los almacenamos. Stripe los procesa y custodia bajo cumplimiento PCI DSS.
- Historial de transacciones
2.5 Datos sensibles
Tokens OAuth y API keys de proveedores conectados (OpenAI, Meta, etc.) se cifran con AES-256-GCM antes de almacenarse. La clave de cifrado no se expone vía API.
3. Por qué tratamos tus datos (bases legales)
| Finalidad | Base legal | Retención |
|---|---|---|
| Prestación del servicio | Ejecución del contrato | Mientras tengas cuenta activa |
| Facturación y obligaciones fiscales | Obligación legal | 6 años (Ley Mercantil) |
| Soporte al usuario | Interés legítimo | 3 años desde el último contacto |
| Mejora del producto (analytics agregado) | Interés legítimo | Anonimizado tras 12 meses |
| Comunicaciones comerciales | Consentimiento | Hasta que te des de baja |
| Prevención de fraude / abusos | Interés legítimo | 2 años |
4. Con quién compartimos datos (subprocesadores)
Compartimos datos estrictamente necesarios con los siguientes proveedores. Todos están sujetos a acuerdos DPA con nosotros:
| Proveedor | Servicio | Ubicación |
|---|---|---|
| Stripe | Procesamiento de pagos | UE / EEUU (SCCs) |
| Resend | Envío de emails transaccionales | UE / EEUU (SCCs) |
| Upstash | Cola de mensajes (QStash) | UE |
| OpenAI, Anthropic, Google, DeepSeek | Modelos de IA (solo Platform Credits) | EEUU (SCCs) |
| Meta, LinkedIn, X, TikTok, YouTube | Publicación según tu configuración | EEUU (SCCs) |
| [HOSTING PROVIDER] | Infraestructura del servidor | [UE / país] |
Modo BYOK: cuando conectas tu propia API key, tu contenido se envía directamente al proveedor IA. SocialMidea no intermedia ni almacena la respuesta más allá de lo necesario para mostrártela.
5. Tus derechos (RGPD)
Como titular de los datos, tienes derecho a:
- Acceso: solicitar una copia de tus datos.
- Rectificación: corregir datos inexactos.
- Supresión: solicitar el borrado de tus datos ("derecho al olvido").
- Limitación: restringir el tratamiento.
- Portabilidad: recibir tus datos en formato estructurado.
- Oposición: al tratamiento basado en interés legítimo.
- No ser objeto de decisiones automatizadas con efectos jurídicos.
Para ejercerlos, escribe a privacy@[DOMINIO]. Responderemos en máximo 30 días.
También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).
6. Transferencias internacionales
Algunos subprocesadores están ubicados fuera del Espacio Económico Europeo. Cuando esto ocurre, garantizamos protección equivalente mediante las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea.
7. Cookies
Usamos cookies estrictamente necesarias para:
socialmidea_session: mantener tu sesión iniciada.socialmidea_org: recordar la organización activa.
No usamos cookies de seguimiento ni publicidad de terceros. Si añadimos analítica web en el futuro, será con tu consentimiento explícito previo.
8. Seguridad
Implementamos medidas técnicas y organizativas descritas en detalle en nuestra página de Seguridad. Incluyen cifrado en reposo (AES-256-GCM), cifrado en tránsito (TLS 1.2+), control de acceso basado en roles y auditoría continua.
En caso de brecha de seguridad que afecte datos personales, notificaremos a los usuarios afectados y a la AEPD en plazo máximo de 72 horas, conforme al artículo 33 del RGPD.
9. Menores
El servicio no está dirigido a menores de 18 años. No recopilamos datos personales de menores de manera consciente. Si detectamos una cuenta de un menor, la suprimiremos inmediatamente.
10. Cambios en esta política
Notificaremos cambios materiales por email con 30 días de antelación. La versión vigente está siempre disponible en [URL]/legal/privacy.
11. Contacto
- Email general: privacy@[DOMINIO]
- Ejercicio de derechos: privacy@[DOMINIO]
- Postal: [DIRECCIÓN COMPLETA]
Esta plantilla cumple con la estructura habitual del RGPD pero no sustituye asesoría legal. Antes de publicarla, revísala con un abogado especializado y completa los placeholders entre corchetes.