Política de privacidad
1. Ámbito de aplicación
La presente Política de privacidad describe cómo tratamos los datos personales cuando
usted crea una cuenta, compra créditos, envía contenido para su análisis, recibe informes
generados o interactúa de cualquier otra forma con el servicio en dickpicpro.com (el «Servicio»). Se aplica
a todas nuestras variantes de producto — el Model Tool (B2C), el Agency Tool (B2B) y
la API (B2B).
La presente Política no cubre los sitios web, servicios o plataformas de terceros que enlacen con nuestro Servicio o se integren con él. Sus interacciones con dichos terceros se rigen por sus propias políticas de privacidad.
2. Jurisdicción
El Servicio se opera desde the Republic of Cyprus y la Sociedad está sujeta a la legislación de la República de Chipre y a la legislación aplicable de la Unión Europea, incluido el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, «RGPD»). En lo relativo al tratamiento de datos personales, el RGPD se aplica a todos los interesados, con independencia de su ubicación.
El uso del Servicio está sujeto a la legislación local aplicable en la jurisdicción del usuario. Los usuarios son responsables del cumplimiento de las leyes de su propio país, incluidas, cuando proceda, las restricciones sobre el tipo de contenido que puede tratarse a través del Servicio.
3. Nuestra función — reparto entre la operación del Servicio y el tratamiento del contenido
Operamos con un modelo de «función repartida» que refleja el funcionamiento real del Servicio:
3.1 Operación del Servicio — somos el responsable del tratamiento
Respecto de los datos que necesitamos para operar el propio Servicio, somos el responsable del tratamiento. Determinamos los fines y los medios del tratamiento de estos datos:
- datos de cuenta (correo electrónico, hash de la contraseña, nombre mostrado, identificadores de cuenta);
- registros de facturación y de saldo de créditos;
- datos de autenticación y seguridad (sesiones, intentos de inicio de sesión, registros de auditoría);
- registros de aceptación de las Condiciones Generales del Servicio.
3.2 Tratamiento del contenido — somos el encargado del tratamiento
Respecto del contenido que usted envía y los informes que generamos a partir de él, actuamos como encargado del tratamiento por cuenta de usted. Usted determina qué enviar, qué prompt aplicar, qué plantilla utilizar y (para los clientes de Agency / API) en nombre de quién se realiza el análisis. Tratamos este contenido estrictamente conforme a sus instrucciones, expresadas mediante su uso de la interfaz del Servicio o de la API.
Esto se aplica de manera uniforme a todos los productos:
- Model Tool — usted nos da instrucciones mediante el formulario de subida, el selector de prompt y el selector de plantilla.
- Agency Tool — la agencia nos da instrucciones mediante la misma interfaz, más la selección de model. Es la agencia, y no nosotros, quien mantiene la relación con la persona representada y es responsable de obtener el consentimiento.
- API — el cliente de la API nos da instrucciones mediante los parámetros de la API y es responsable de obtener el consentimiento de las personas representadas en su propio producto.
La aceptación de las Condiciones Generales del Servicio incorpora nuestro Acuerdo de Tratamiento de Datos, que formaliza la relación de encargo del tratamiento y sus responsabilidades como responsable del tratamiento del contenido enviado.
4. Lo que NO hacemos con su contenido
Se trata de compromisos firmes — son un elemento central de nuestro funcionamiento, no opciones de exclusión facultativas:
- No entrenamos modelos de IA con el contenido que usted envía. Nuestro flujo de análisis es una inferencia sin estado; las imágenes enviadas no se añaden a ningún conjunto de datos de entrenamiento.
- No elaboramos perfiles de usuarios. No creamos perfiles de comportamiento o de intereses a partir de su uso. No realizamos analíticas que vinculen su actividad a categorías publicitarias o de marketing.
- No vendemos información personal. No compartimos datos personales para publicidad comportamental de contexto cruzado.
- No combinamos datos entre usuarios. Su cuenta y sus análisis están aislados; no existe agregación entre inquilinos (cross-tenant) que vincule sus datos con los de otros usuarios.
- No identificamos a las personas representadas. El análisis describe el contenido visible de las imágenes enviadas; no realiza reconocimiento facial, cotejo biométrico ni ninguna otra identificación de las personas representadas. El PDF generado no contiene características biométricas ni identificadores persistentes de los sujetos.
- No mostramos publicidad. El Servicio no integra ninguna red publicitaria.
5. Datos que tratamos y durante cuánto tiempo los conservamos
5.1 Datos de cuenta — ámbito del responsable del tratamiento
- Dirección de correo electrónico (necesaria para el inicio de sesión)
- Contraseña — almacenada únicamente como hash bcrypt con sal; nunca almacenamos texto sin cifrar
- Nombre mostrado (opcional, elegido por el usuario)
- Identificadores de cuenta, indicadores de estado, marcas de tiempo
- Registros de aceptación de las Condiciones Generales del Servicio (marca de tiempo, versión, IP)
- Instantánea de adquisición de marketing (opcional) — si llegó a través de un enlace de marketing con parámetros UTM, o desde un sitio web externo, capturamos las etiquetas de campaña y el sitio web de referencia en la primera visita. Esta instantánea se congela en el registro y se utiliza únicamente para medir qué canales de marketing atraen usuarios al servicio. Véase el § 5.1.1 más abajo.
Se conservan durante toda la vida de su cuenta; se marcan para eliminación (soft-delete) al cerrar la cuenta, con un periodo de gracia de 30 días durante el cual la eliminación puede revocarse; después se eliminan de forma definitiva, conservándose los registros de facturación según exige la ley (véase el § 5.4).
5.1.1 Instantánea de adquisición de marketing
Cuando llega por primera vez al servicio, podemos capturar un pequeño conjunto de señales técnicas relacionadas con su procedencia:
-
Parámetros UTM de la cadena de consulta de la URL
(
utm_source,utm_medium,utm_campaign,utm_term,utm_content) — son etiquetas que añadimos a nuestros propios enlaces de marketing para medir el rendimiento de las campañas. - Cabecera HTTP Referer enviada por su navegador, pero solo si apunta a un sitio web externo (la navegación interna dentro de nuestro propio servicio no se almacena).
- La página en la que llegó primero dentro de nuestro servicio (solo la ruta, sin cadena de consulta).
- La marca de tiempo de la primera captura.
If you register an account, this snapshot is attached to your account as a single, frozen record — it is never updated by subsequent visits or actions. If you do not register, the snapshot lives only in your browser session and is discarded automatically when the session expires (after 7 days).
Finalidad: analítica de atribución — comprender qué canales de marketing conducen a registros. No utilizamos estos datos para publicidad dirigida, elaboración de perfiles ni ninguna decisión que le afecte como usuario.
Conservación: durante toda la vida de la cuenta; se elimina junto con la cuenta en la purga definitiva.
Exclusión: no capturamos esto si no hay parámetros UTM
presentes y el sitio web de referencia está vacío o coincide con nuestro propio
dominio. También puede impedir por completo la captura configurando su navegador
para que no envíe la cabecera Referer, o visitando el servicio
directamente sin pasar por un enlace de marketing.
5.2 Contenido enviado (imágenes) — ámbito del encargado del tratamiento
Las imágenes que sube para su análisis se tratan de forma transitoria:
- se remiten a nuestro servicio de análisis para su procesamiento por IA
- se analizan y el resultado se devuelve al flujo de generación
- se eliminan del flujo de procesamiento inmediatamente tras el análisis — no conservamos en reposo las imágenes originales subidas
5.3 Contenido generado (informes PDF) — ámbito del encargado del tratamiento
El informe PDF que generamos a partir de su análisis se almacena en un almacenamiento de objetos en la nube durante un periodo de conservación que depende de su paquete activo:
| Producto / paquete | Conservación del PDF |
|---|---|
| Model Tool — paquete One-time | 7 días |
| Model Tool — Starter Branding Pack | 14 días |
| Agency Tool (todos los paquetes) | 30 días |
| API | Según el contrato del cliente de la API; mínima por defecto |
Tras la expiración, el PDF se elimina automáticamente del almacenamiento y la fila de metadatos de análisis correspondiente se elimina de nuestra base de datos. También puede eliminar un análisis concreto en cualquier momento antes de la expiración mediante la vista «Recent Analyses» de su panel (se eliminan el PDF, la miniatura de vista previa y todos los datos operativos relacionados; los registros financieros se conservan según se describe en la sección 5.4).
5.4 Registros de facturación y operativos — ámbito del responsable del tratamiento
| Categoría | Finalidad | Conservación |
|---|---|---|
| Libro de saldo de créditos y registros de transacciones | Cumplimiento fiscal y contable | Hasta 7 años; no identificativos tras la eliminación definitiva de la cuenta |
| Registros de auditoría (eventos de cuenta, aceptación de las CGU) | Seguridad, prevención del fraude, acreditación del consentimiento y la aceptación | Hasta 12 meses |
| Registros de llamadas a la API (para clientes de la API) | Operar la API; facturación según el uso; solución de problemas de integración | Vinculado al derecho del cliente (expiración del lote de Simple Pack o fin del contrato de Production) más 30 días de gracia |
| Registros de entrega de webhooks | Diagnosticar fallos de entrega; lógica de reintento | 30 días |
| Metadatos de análisis fallidos | Permitir al usuario ver y reintentar el análisis fallido | 24 horas |
| Datos de orquestación operativa (emparejamiento de reserva) | Control de calidad interno; analítica de rendimiento de modelos | Fila completa 7 días; después solo recuentos agregados (sin datos personales) |
| Alertas operativas | Supervisión interna | 90 días |
| Claves API (cuando no se usan) | Seguridad de la cuenta — eliminación automática de credenciales inactivas | Se eliminan automáticamente tras 90 días de inactividad (véanse las Condiciones Generales § 10) |
6. Comunicación de datos y subencargados del tratamiento
No vendemos información personal. No compartimos sus datos personales para publicidad comportamental de contexto cruzado. Solo compartimos datos personales en los siguientes casos limitados:
- Subencargados del tratamiento que proporcionan infraestructura (almacenamiento de objetos, procesamiento de pagos, correo electrónico transaccional, firma electrónica) y están vinculados por condiciones adecuadas de confidencialidad y protección de datos. Nuestra lista actual y prevista de subencargados del tratamiento se publica en /legal/subprocessors.
- Cumplimiento legal — cuando estemos obligados por un proceso legal válido a revelar datos, o cuando creamos de buena fe que la revelación es necesaria para proteger derechos, la seguridad, o para cumplir leyes de comunicación obligatoria. Esto incluye la cooperación voluntaria en la detección y comunicación de material aparente de abuso sexual infantil en el marco del Reglamento (UE) 2021/1232, incluidas las comunicaciones a organismos designados como el National Center for Missing & Exploited Children (NCMEC) y los miembros de la red INHOPE.
- Transmisión empresarial — en caso de fusión, adquisición o venta de activos, los datos personales podrán transferirse a la entidad sucesora, que quedará vinculada por condiciones sustancialmente equivalentes a la presente Política.
7. Transferencias internacionales de datos
Tratamos los datos personales principalmente dentro de la Unión Europea. Nuestra infraestructura se opera desde the Republic of Cyprus, y nuestro subencargado del tratamiento de almacenamiento de objetos está configurado para almacenar datos en regiones de la UE. Algunos servicios operativos pueden ser prestados por subencargados del tratamiento situados fuera del Espacio Económico Europeo (EEE); las regiones se enumeran en /legal/subprocessors.
Cuando se transfieren datos personales a subencargados del tratamiento fuera del EEE, dichas transferencias se rigen por las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión (UE) 2021/914) u otro mecanismo de transferencia lícito con arreglo al capítulo V del RGPD. En nuestro Acuerdo de Tratamiento de Datos se recoge información adicional para los Clientes que actúan como responsables del tratamiento.
Si accede al Servicio desde fuera de la Unión Europea, sus datos personales se transferirán a la UE y se tratarán en ella. Al utilizar el Servicio desde fuera de la UE, usted reconoce que las leyes de protección de datos de la Unión Europea pueden diferir de las de su jurisdicción.
8. Sus derechos
Con sujeción a la verificación de la identidad y a las excepciones aplicables en virtud del RGPD, usted dispone de los siguientes derechos en relación con sus datos personales:
- Acceso — solicitar una copia de los datos personales que tratamos sobre usted (art. 15).
- Rectificación — solicitar la corrección de datos inexactos o incompletos (art. 16).
- Supresión — solicitar la eliminación de su cuenta o de análisis concretos (art. 17). Eliminación de la cuenta: periodo de gracia de 30 días seguido de la eliminación definitiva de los campos de cuenta identificativos. Análisis concretos: eliminables a demanda desde la vista «Recent Analyses» de su panel. Los registros de facturación no identificativos se conservan según exige la ley.
- Limitación del tratamiento (art. 18).
- Portabilidad — solicitar una copia de sus datos en un formato portátil, cuando proceda (art. 20).
- Oposición — oponerse al tratamiento basado en intereses legítimos (art. 21).
- Retirada del consentimiento — cuando el tratamiento se base en el consentimiento, puede retirarlo en cualquier momento (art. 7.3).
- Derecho a no ser objeto de decisiones automatizadas que produzcan efectos jurídicos o significativos de modo similar (art. 22) — actualmente no realizamos ese tipo de toma de decisiones.
- Cuando actuamos como encargado del tratamiento (para el tratamiento del contenido), las solicitudes de derechos deben dirigirse principalmente a su responsable del tratamiento (para los usuarios de Agency — su agencia; para los usuarios de un integrador de API — dicho integrador); les prestaremos asistencia para responder. Véase /legal/gdpr para el marco completo del RGPD.
Para ejercer estos derechos, póngase en contacto con nosotros a través del canal indicado en la sección 12. Es posible que necesitemos verificar su identidad antes de responder. Responderemos en un plazo de 30 días desde una solicitud verificable, con una prórroga de hasta dos meses adicionales para solicitudes complejas cuando lo permita el art. 12.3 del RGPD (con notificación dentro del primer mes).
9. Seguridad
Aplicamos medidas organizativas y técnicas diseñadas para proteger sus datos, incluido el cifrado TLS en tránsito, el hasheo de contraseñas, controles de acceso, infraestructura segura y la minimización de los datos almacenados mediante el tratamiento transitorio de imágenes. Todos los detalles figuran en /legal/security.
Ningún sistema puede garantizar una seguridad absoluta. En caso de incidente de seguridad que afecte a sus datos personales, responderemos con prontitud y notificaremos a la autoridad de control competente y a los usuarios afectados cuando lo exijan los art. 33 y 34 del RGPD.
10. Privacidad de los menores
El Servicio se ofrece exclusivamente a personas adultas de 18 años o más. No permitimos a sabiendas que menores utilicen el Servicio ni que aparezcan como sujetos del contenido en el material subido. Al crear una cuenta, usted declara que tiene al menos 18 años. Si tenemos conocimiento de que una cuenta ha sido creada por un menor o de que el contenido subido representa a un menor, suspenderemos la cuenta, eliminaremos el contenido, cooperaremos con las fuerzas del orden chipriotas y las autoridades competentes, y comunicaremos el material aparente de abuso sexual infantil a organismos designados (como el NCMEC y los miembros de la red INHOPE) de forma voluntaria en el marco del Reglamento (UE) 2021/1232.
Cualquier preocupación relativa a la presunta implicación de un menor debe comunicarse de inmediato a través del canal de contacto de la sección 12.
11. Cambios en la presente Política
Podemos actualizar la presente Política de vez en cuando. Los cambios sustanciales se comunicarán a través del Servicio (aviso en banner o correo electrónico a los usuarios registrados) y se revisará la fecha de «Última actualización» de la parte superior. El uso continuado del Servicio tras la fecha de entrada en vigor de una Política actualizada constituye la aceptación de la Política actualizada.
12. Contacto
Para consultas sobre privacidad o para ejercer sus derechos, póngase en contacto con nosotros a través de:
- Formulario web: /contact
- Correo electrónico: privacy@dickpicpro.com
- Correo postal: [YOUR CYPRUS LTD LEGAL NAME], A la atención de: Privacidad, [YOUR MAILING ADDRESS LINE 1], [POSTAL CODE] [CITY], Cyprus.
También tiene derecho a presentar una reclamación ante su autoridad nacional de control en materia de protección de datos. La autoridad de control competente respecto de la Sociedad es Cyprus Data Protection Commissioner (https://www.dataprotection.gov.cy). Véase /legal/gdpr § 8 para más detalles.