1. Alcance
Esta Política explica cómo tratamos los datos personales de: (a) visitantes de paidio.app; (b) titulares de cuenta y administradores de inquilinos (nuestros clientes). Cuando un cliente usa Paidio para tratar datos de sus usuarios finales, el cliente es el responsable y Paidio actúa como encargado; ese tratamiento se rige por el DPA.
2. Qué datos tratamos
- Datos de cuenta: nombre, correo electrónico, organización/inquilino, credenciales (almacenadas cifradas/hash).
- Datos de uso y facturación: plan contratado, historial de mensajes/tokens y coste asociado, identificadores de suscripción de Stripe. No almacenamos los datos de tu tarjeta (los gestiona Stripe).
- Datos fiscales de facturación: nombre fiscal, dirección y número de IVA (VAT ID).
- Contenido que subes: documentos y textos para tus asistentes (pueden contener datos personales de los que tú eres responsable — ver DPA).
- Datos técnicos: dirección IP, datos de seguridad y antifraude (límites de tasa, verificación CAPTCHA), registros de acceso.
3. Finalidades y bases jurídicas (RGPD)
| Finalidad | Base jurídica |
|---|---|
| Prestarte el servicio y gestionar tu cuenta | Ejecución del contrato (art. 6.1.b) |
| Facturación y cumplimiento fiscal | Obligación legal / contrato (art. 6.1.b y c) |
| Seguridad, prevención de abuso y moderación | Interés legítimo (art. 6.1.f) |
| Comunicaciones de servicio (verificación de email, avisos) | Ejecución del contrato |
| Comunicaciones comerciales (si las hubiera) | Consentimiento (art. 6.1.a) |
Respecto al interés legítimo (seguridad/antiabuso), hemos ponderado tu interés y derechos frente al nuestro; puedes oponerte por motivos de tu situación particular y solicitar información sobre esa ponderación escribiendo a tiho@theorangecat.dev.
4. Proveedores (subencargados) y transferencias internacionales
Para prestar el servicio recurrimos a proveedores que pueden tratar datos por nuestra cuenta: OpenAI (modelos de IA, embeddings, moderación), Stripe (pagos y datos fiscales), Resend (correo transaccional), Cloudflare (antifraude/Turnstile), Railway (alojamiento de backend y base de datos) y Netlify (alojamiento del frontend). La lista canónica figura en el DPA.
Algunos proveedores están fuera del Espacio Económico Europeo (p. ej. EE. UU.). En esos casos, las transferencias se amparan en garantías adecuadas conforme al capítulo V del RGPD (Cláusulas Contractuales Tipo y/o marcos de adecuación como el EU-US Data Privacy Framework cuando resulte aplicable). Puedes solicitar copia de dichas garantías escribiendo a tiho@theorangecat.dev.
5. Plazos de conservación
| Categoría | Plazo |
|---|---|
| Datos de cuenta y Contenido del Cliente | Mientras la cuenta esté activa; se suprimen o anonimizan 30 días tras la cancelación, salvo obligación legal |
| Registros e información contable/facturación | 10 años (Ley de Contabilidad de Bulgaria) |
| Registros técnicos y de seguridad (logs) | 12 meses |
| Datos de antifraude/CAPTCHA | 6 meses |
| Cuentas de marketing (consentimiento) | Hasta que retires el consentimiento |
6. Decisiones automatizadas
No adoptamos decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o te afecten significativamente (art. 22 RGPD). El asistente de IA genera respuestas de texto, pero no elabora perfiles ni decide sobre las personas.
7. Tus derechos
Puedes ejercer los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad, así como retirar el consentimiento cuando sea la base del tratamiento (p. ej. darte de baja del marketing en cada envío o escribiéndonos). Escríbenos a tiho@theorangecat.dev; responderemos en el plazo de un mes, prorrogable dos meses en casos complejos. Tienes derecho a reclamar ante una autoridad de control (en Bulgaria, la CPDP; en España, la AEPD; o la de tu país de residencia).
8. Seguridad
Aplicamos medidas técnicas y organizativas razonables: cifrado en tránsito, hashing de credenciales, aislamiento lógico por inquilino, control de accesos, límites de tasa y registros de seguridad. Ningún sistema es infalible; te notificaremos las brechas que lo requieran conforme a la ley.
9. Menores
Paidio no está dirigido a menores de edad. No recabamos conscientemente datos de menores para cuentas propias.
10. Cookies
El uso de cookies y tecnologías similares se describe en la Política de Cookies.
11. Cambios
Podemos actualizar esta Política. Publicaremos la versión vigente con su fecha y, si el cambio es material, te avisaremos por medios razonables.
12. Contacto
Responsable: The Orange Cat EOOD. Privacidad: tiho@theorangecat.dev.