Política de Privacidad — Aviso de Privacidad
Versión 1.0 · 26 de abril de 2026
Normativas aplicables
| GDPR + ePrivacy | Unión Europea — Reglamento (UE) 2016/679 |
| LOPDGDD | España — Ley Orgánica 3/2018 de Protección de Datos |
| LFPDPPP | México — Ley Federal de Protección de Datos Personales en Posesión de Particulares (2010) + Reglamento (2011) |
| Ley 1581 / Decreto 1377 | Colombia — Estatuto de Protección de Datos Personales (2012) |
Responsable del tratamiento
| Empresa | Cerebros Esponjosos |
| Producto | Aliis (marca registrada propiedad de Oscar Trujillo Reyes) |
| Representante legal / Responsable LFPDPPP / Responsable Ley 1581 | Oscar Trujillo Reyes |
| Correo | trujilloreyesoscarmi@gmail.com |
| Domicilio legal | Alemania |
Para usuarios mexicanos: la entidad que decide sobre el tratamiento de sus datos personales (Responsable en términos del Art. 3 LFPDPPP) es Cerebros Esponjosos, representada por Oscar Trujillo Reyes. Para usuarios colombianos: el Responsable del Tratamiento (Art. 3 Ley 1581) es Cerebros Esponjosos.
Datos que recopilamos
2.1 Datos de cuenta
Dirección de correo electrónico al registrarte. Nombre o alias si lo proporcionas voluntariamente. Datos de uso: historial de packs generados, fecha de creación, configuración de tu cuenta.
2.2 Datos de salud (categoría especial)
El texto de diagnóstico que introduces para generar un pack educativo puede contener datos de salud (categoría especial bajo Art. 9 GDPR). Tratamos estos datos con las salvaguardas adicionales descritas en la sección 3. No almacenamos el texto original del diagnóstico más allá del tiempo necesario para generar el pack.
2.3 Datos de pago
Si te suscribes al plan Pro, Stripe procesa los datos de pago directamente. Aliis no almacena números de tarjeta ni información financiera. Conservamos el identificador de cliente de Stripe para gestionar la suscripción.
2.4 Datos técnicos
Dirección IP, tipo de navegador, sistema operativo, páginas visitadas y tiempos de sesión. Recopilados de forma automática para el funcionamiento del servicio y analítica (con tu consentimiento).
Tratamiento de datos de salud
3.1 GDPR Art. 9 / LOPDGDD (usuarios en la UE y España)
El diagnóstico médico introducido constituye un dato de categoría especial bajo el Art. 9 GDPR. La base legal es tu consentimiento explícito (Art. 9(2)(a) GDPR), que otorgas al aceptar este aviso y usar la funcionalidad de generación de packs. Puedes retirar este consentimiento en cualquier momento. Hemos realizado una Evaluación de Impacto (DPIA, Art. 35 GDPR) dado el carácter sensible de los datos procesados.
3.2 LFPDPPP Art. 9 (usuarios en México)
El diagnóstico médico es un dato sensible en términos del Art. 3, fracción VI de la LFPDPPP. Su tratamiento requiere consentimiento expreso y por escrito (Art. 9 LFPDPPP), que otorgas de forma electrónica al usar la funcionalidad de generación de packs tras leer este Aviso. Aplicamos las medidas de seguridad requeridas por el Art. 19. Las transferencias internacionales de datos sensibles cumplen con el Art. 37 LFPDPPP mediante cláusulas contractuales con nuestros subprocesadores.
3.3 Ley 1581 Art. 6 + Decreto 1377/2013 (usuarios en Colombia)
El diagnóstico médico es un dato sensible en términos del Art. 5 de la Ley 1581. Su tratamiento requiere autorización previa, expresa e informada del Titular (Art. 6 Ley 1581 y Art. 6 Decreto 1377/2013), que otorgas al usar la funcionalidad de generación de packs. Tienes derecho a revocar esta autorización en cualquier momento (Art. 8(h) Ley 1581). Las transferencias internacionales de datos sensibles se realizan con garantías adecuadas conforme al Art. 13 Ley 1581.
Finalidades del tratamiento
- Prestación del servicio: generar packs educativos, mantener el historial, gestionar tu cuenta.
- Pagos: procesar y gestionar suscripciones Pro a través de Stripe.
- Comunicaciones: confirmaciones de pago, avisos de cambios en el servicio, soporte.
- Analítica: mejorar la plataforma mediante datos de uso anonimizados (con tu consentimiento).
- Obligaciones legales: cumplir con requerimientos de las autoridades competentes.
Bases legales (GDPR)
| Ejecución del contrato (Art. 6(1)(b)) | Gestión de cuenta, generación de packs, pagos |
| Consentimiento (Art. 6(1)(a) y Art. 9(2)(a)) | Datos de salud, cookies de analítica, comunicaciones de marketing |
| Interés legítimo (Art. 6(1)(f)) | Seguridad de la plataforma, prevención de fraude |
| Obligación legal (Art. 6(1)(c)) | Conservación de datos fiscales y de facturación |
Subprocesadores y transferencias internacionales
Aliis utiliza los siguientes proveedores que actúan como subprocesadores:
| Supabase (EE.UU.) | Base de datos y autenticación — SCC (Cláusulas Contractuales Estándar) |
| Anthropic (EE.UU.) | Generación de contenido con IA — SCC. No usa datos de la API para entrenar modelos. |
| Stripe (EE.UU.) | Procesamiento de pagos — PCI DSS + SCC |
| Resend (EE.UU.) | Envío de correos transaccionales — SCC |
| Vercel (EE.UU.) | Hosting y edge network — SCC |
| Google Analytics (EE.UU.) | Analítica web anonimizada — SCC (solo con consentimiento) |
Todas las transferencias fuera del EEE se realizan bajo Cláusulas Contractuales Estándar (SCC) aprobadas por la Comisión Europea, lo que garantiza un nivel de protección adecuado conforme al GDPR, la LFPDPPP y la Ley 1581.
Conservación de datos
| Datos de cuenta | Mientras la cuenta esté activa + 30 días tras la eliminación |
| Historial de packs | Mientras la cuenta esté activa, o hasta que solicites su eliminación |
| Datos de pago (Stripe) | Según las obligaciones fiscales aplicables (generalmente 7 años) |
| Datos técnicos y logs | Máximo 12 meses |
| Texto del diagnóstico (input) | Solo durante el proceso de generación del pack — no se almacena |
Tus derechos
8.1 Derechos GDPR (usuarios en la UE y España)
Tienes derecho a acceder a tus datos, rectificarlos, suprimirlos, a la portabilidad, a limitar u oponerte al tratamiento, y a retirar el consentimiento en cualquier momento. Para ejercer cualquier derecho, escribe a trujilloreyesoscarmi@gmail.com. Responderemos en el plazo máximo de 30 días. Puedes presentar una reclamación ante la autoridad supervisora de tu país.
8.2 Derechos ARCO (usuarios en México)
En términos de la LFPDPPP, tienes derecho de Acceso a tus datos personales, de Rectificación si son inexactos, de Cancelación (supresión de tus datos cuando dejen de ser necesarios), y de Oposición al tratamiento para finalidades específicas. Para ejercer tus derechos ARCO, envía una solicitud a trujilloreyesoscarmi@gmail.com. Responderemos en un plazo de 20 días hábiles conforme al Art. 32 LFPDPPP.
8.3 Derechos del Titular (usuarios en Colombia)
En términos de la Ley 1581, tienes derecho a conocer, actualizar y rectificar tus datos; a solicitar prueba de la autorización otorgada; a ser informado sobre el uso de tus datos; a presentar quejas ante la SIC; a revocar la autorización y/o solicitar la supresión de tus datos; y a acceder gratuitamente a los mismos. Para ejercer estos derechos, escribe a trujilloreyesoscarmi@gmail.com. Responderemos en un plazo de 10 días hábiles (consultas) o 15 días hábiles (reclamos) conforme al Art. 14 Ley 1581.
Autoridades supervisoras
| Alemania (responsable) | BfDI — Bundesbeauftragter für den Datenschutz und die Informationsfreiheit |
| España | AEPD — Agencia Española de Protección de Datos (aepd.es) |
| México | INAI — Instituto Nacional de Transparencia (inai.org.mx) |
| Colombia | SIC — Superintendencia de Industria y Comercio (sic.gov.co) |
Seguridad
Implementamos medidas técnicas y organizativas para proteger tus datos: cifrado en tránsito (TLS), cifrado en reposo, acceso restringido por roles, autenticación segura vía Supabase Auth, y revisiones periódicas de seguridad. Sin embargo, ningún sistema es completamente infalible. Si detectamos una brecha de seguridad que afecte a tus datos, te notificaremos conforme a los plazos legales aplicables (72 horas para el GDPR).
Cookies
Usamos cookies estrictamente necesarias para el funcionamiento del servicio y cookies de analítica (Google Analytics) con tu consentimiento. Consulta nuestra Política de Cookies para más detalles.
Cambios en esta política
Podemos actualizar esta Política. Los cambios materiales se comunicarán por correo electrónico con al menos 30 días de antelación. La fecha de última actualización refleja la versión vigente.
Contacto
Correo: trujilloreyesoscarmi@gmail.com
Asunto sugerido: "Privacidad — [tu consulta o derecho]"
Tiempo de respuesta: 5–10 días hábiles (hasta 30 días para solicitudes GDPR, 20 días hábiles para ARCO México, 10–15 días hábiles para Colombia)