Política de Privacidad
Esta Política de Privacidad describe cómo AI POP Displays (operado por Bellot.ai, "nosotros") recopila, utiliza, almacena y comparte datos personales cuando visitas aipopdisplays.com o utilizas la aplicación.
Tratamos los datos personales en calidad de responsable del tratamiento conforme al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Aviso. Este es el borrador actual de nuestra política. Algunos detalles operativos (denominación social, NIF, domicilio social) se están finalizando antes del lanzamiento público y aparecerán aquí en su forma definitiva antes de que se abra el registro.
1. Quiénes somos
- Operador: Bellot.ai
- NIF / CIF: pendiente de confirmar antes del lanzamiento
- Domicilio social: pendiente de confirmar antes del lanzamiento
- Contacto de privacidad: privacy@aipopdisplays.com
- Autoridad de control: Agencia Española de Protección de Datos (AEPD). Los usuarios del EEE pueden dirigirse también a la autoridad de su país.
2. Qué recopilamos y por qué
Recopilamos solo lo necesario para prestar el servicio.
| Categoría | Datos | Finalidad | Base jurídica |
|---|---|---|---|
| Cuenta | Email, contraseña con hash, nombre visible, idioma | Crear y autenticar tu cuenta | Contrato (art. 6.1.b RGPD) |
| Facturación | ID de cliente Stripe, estado de suscripción, plan, créditos, últimos 4 dígitos de la tarjeta (vía Stripe), país, divisa | Procesar suscripciones y compras puntuales | Contrato |
| Inputs de generación | Briefing, selecciones de sector / tipo / material, imágenes de referencia y de producto subidas, historial de prompts | Generar los renders solicitados | Contrato |
| Outputs de generación | Imágenes generadas, metadatos, registro de débitos / reembolsos de créditos | Entregar el servicio, depurar errores, prevenir abuso | Contrato; interés legítimo (antifraude) |
| Logs operativos | IP, user agent, rutas de petición, trazas de error, marcas de tiempo | Seguridad, prevención de abuso, depuración | Interés legítimo (art. 6.1.f RGPD) |
| Analítica | Datos de visita agregados (página, referente, tipo de dispositivo, país) — solo con tu consentimiento | Medir tráfico y uso | Consentimiento (art. 6.1.a RGPD) |
| Soporte | Mensajes que nos envíes | Atender tus consultas | Interés legítimo |
No almacenamos números de tarjeta, no vendemos datos personales y no realizamos decisiones automatizadas con efectos jurídicos (art. 22 RGPD).
3. Cuánto tiempo los conservamos
| Datos | Plazo |
|---|---|
| Cuenta, generaciones, facturación | Mientras tu cuenta esté activa, más 30 días tras la solicitud de eliminación |
| Facturas y registros fiscales | 6 años (art. 30 Código de Comercio) |
| Logs operativos | 90 días |
| Copias de seguridad | Hasta 30 días, después se sobrescriben |
| Analítica | 14 meses (solo si se ha dado consentimiento) |
Puedes solicitar la eliminación en cualquier momento (ver §7). Las obligaciones legales de conservación (p. ej. fiscales) prevalecen sobre la solicitud de borrado.
4. Con quién los compartimos (encargados del tratamiento)
Utilizamos los siguientes encargados, todos vinculados por contrato conforme al art. 28 RGPD.
| Encargado | Finalidad | Ubicación |
|---|---|---|
| Vercel Inc. | Hosting de la aplicación, edge functions | UE (Frankfurt) + edge global |
| Supabase Inc. | Base de datos, autenticación, almacenamiento | UE (Frankfurt) |
| Stripe Payments Europe Ltd. | Facturación de suscripciones, procesamiento de tarjetas | UE + EE. UU. (cláusulas tipo) |
| Google Ireland Ltd. (Gemini API) | Generación de imágenes IA a partir de tu briefing y subidas | UE + EE. UU. (cláusulas tipo) |
| Google Ireland Ltd. (Google Fonts) | Entrega de tipografías | Edge global |
| Google Ireland Ltd. (Analytics 4) | Medición de tráfico — solo con consentimiento | UE + EE. UU. (cláusulas tipo) |
| Resend, Inc. (si se usa) | Email transaccional | UE + EE. UU. (cláusulas tipo) |
Las transferencias fuera del EEE se amparan en las Cláusulas Contractuales Tipo de la Comisión (Decisión 2021/914) y, cuando procede, en medidas técnicas suplementarias (cifrado en tránsito y en reposo).
Cuando envías un brief, el texto y las imágenes se transmiten a la Gemini API de Google para generar el render. Google declara que no utiliza el contenido de la API para entrenar sus modelos. Las imágenes generadas se almacenan en nuestro proyecto Supabase y solo son visibles para ti.
5. Transferencias internacionales
Nuestra región principal de tratamiento es la Unión Europea. Cuando un encargado realiza tratamiento adicional en EE. UU. u otros terceros países (Google para generación IA, Stripe para redes de tarjetas), la transferencia se cubre con cláusulas tipo y, cuando aplica, con el Marco de Privacidad de Datos UE-EE. UU.
6. Seguridad
- TLS 1.2+ en tránsito; AES-256 en reposo (cifrado gestionado de Supabase).
- Row-level security en todas las tablas — el servidor deriva el ID de usuario de la sesión autenticada de Supabase, nunca del cliente.
- Los buckets de almacenamiento son privados; las descargas usan URLs firmadas de corta duración.
- Los datos de tarjeta nunca llegan a nuestros servidores — los recoge directamente Stripe Checkout.
- Las claves de API de generación IA son únicamente de servidor.
- Rate limiting y contabilidad atómica de créditos previenen replay y dobles cargos.
Ningún sistema es totalmente seguro. Si descubres una vulnerabilidad, escribe a abuse@aipopdisplays.com dándonos un plazo razonable para resolverla antes de divulgarla públicamente.
7. Tus derechos
Conforme al RGPD tienes derecho a:
- Acceso — obtener copia de tus datos.
- Rectificación — corregir datos inexactos.
- Supresión — solicitar la eliminación de tu cuenta y datos asociados, salvo obligaciones legales de conservación.
- Limitación — pedir que limitemos el tratamiento.
- Portabilidad — recibir tus datos en formato estructurado y de uso común.
- Oposición — oponerte a tratamientos basados en interés legítimo.
- Retirar el consentimiento — para analítica, en cualquier momento mediante el enlace de preferencias de cookies del pie de página.
- Reclamación ante la AEPD o tu autoridad local.
Para ejercer estos derechos, escribe a privacy@aipopdisplays.com desde el email de tu cuenta. Respondemos en 30 días (prorrogables 60 días para solicitudes complejas, art. 12.3 RGPD).
8. Cookies y tecnologías similares
Usamos un mínimo de cookies estrictamente necesarias (autenticación, CSRF, idioma, estado de consentimiento) y un conjunto opcional de cookies de analítica (Google Analytics 4) que solo se carga tras tu consentimiento. El detalle completo está en la Política de Cookies.
No usamos cookies publicitarias, rastreo entre sitios ni fingerprinting.
9. Menores
El servicio no está dirigido a menores de 16 años y no recopilamos datos suyos a sabiendas. Si crees que un menor ha creado una cuenta, escríbenos a privacy@aipopdisplays.com y la eliminaremos.
10. Cambios
Cuando modifiquemos materialmente esta política actualizaremos la fecha al inicio de la página y, en cambios significativos, enviaremos un aviso al email de tu cuenta. El uso continuado del servicio implica la aceptación de la versión actualizada.
11. Contacto
- Privacidad: privacy@aipopdisplays.com
- Abuso / seguridad: abuse@aipopdisplays.com
- General: hello@aipopdisplays.com