Aller au contenu principal
AIFORYA

Política de Privacidad

1. Introducción y compromiso

AIFORYA se compromete a proteger la privacidad de sus usuarios y clientes. La presente Política de Privacidad (en adelante, "la Política") describe cómo AIFORYA recopila, utiliza, protege, conserva y comparte sus datos personales. El enfoque es minimalista y respeta los principios de "Privacy by Design".

Esta Política cumple con los requisitos del Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679), del UK General Data Protection Regulation (UK GDPR), del California Consumer Privacy Act (CCPA) y de la Lei Geral de Proteção de Dados (LGPD) de Brasil.

2. Responsable del tratamiento y DPD

  • Responsable del tratamiento: AIFORYA (empresa individual), 1 rue de Stockholm, 75008 París, Francia. SIREN 498 592 104.
  • DPD: se ha designado un Delegado de Protección de Datos. Contacto: dpo@aiforya.fr.

3. Datos personales recopilados — enfoque minimalista

AIFORYA solo recopila los datos estrictamente necesarios para las finalidades definidas a continuación.

| Finalidad | Categorías de datos | Base jurídica | Conservación | | :--- | :--- | :--- | :--- | | Gestión de la cuenta y de las suscripciones | Email, nombre, contraseña hash, tipo de suscripción, historial de transacciones | Ejecución del contrato | Duración de la suscripción + 3 años | | Facturación y contabilidad | Dirección postal, país, número de IVA intracomunitario (si aplica) | Obligación legal | 10 años | | Soporte al cliente | Contenido de los intercambios, identificador de cliente, historial del problema | Ejecución del contrato / interés legítimo | 5 años después de la última interacción | | Seguridad y mantenimiento | Registros de conexión (IP, User-Agent, fecha, acciones clave) | Interés legítimo | 12 meses | | Medición de audiencia (anonimizada) | Datos de navegación anonimizados | Consentimiento | 13 meses | | Newsletter | Dirección de correo electrónico | Consentimiento | Hasta cancelar suscripción |

4. Lo que NUNCA se recopila (Privacy by Design)

  • Las claves API de servicios de terceros (BYOK): las claves API que el cliente utiliza para los proveedores de IA (Anthropic, OpenAI, Google, etc.) se almacenan cifradas en su instalación de WordPress y nunca transitan por los servidores de AIFORYA. AIFORYA no tiene ningún acceso a ellas.
  • El contenido generado a través de las extensiones: los prompts enviados a los modelos de IA y las respuestas se intercambian directamente entre el servidor del cliente y el proveedor de IA. AIFORYA nunca intercepta, lee, almacena ni analiza estos contenidos.
  • Los datos de pago completos: la información de la tarjeta bancaria es procesada directamente por Stripe. AIFORYA nunca almacena los números de tarjeta ni los CVV.
  • El contenido de los sitios CMS: AIFORYA nunca accede, lee ni almacena el contenido editorial (artículos, páginas, datos de usuarios) de los sitios de los clientes.

5. Destinatarios y transferencias internacionales

Los datos se comparten únicamente con los encargados del tratamiento esenciales:

| Encargado del tratamiento | País | Función | Garantía de transferencia | | :--- | :--- | :--- | :--- | | Stripe Inc. | EE. UU. / Irlanda | Pagos y gestión de suscripciones | EU-US Data Privacy Framework (DPF) / CCT | | Vercel Inc. | EE. UU. | Alojamiento frontend, medición de audiencia tras consentimiento | EU-US DPF / CCT | | Railway Corp | EE. UU. | Alojamiento backend | Cláusulas Contractuales Tipo (CCT) | | Supabase Inc. | EE. UU. | Base de datos | EU-US DPF / CCT | | Axeptio (Sirdata) | Francia (UE) | Plataforma de gestión del consentimiento (CMP) | RGPD — sin transferencia fuera de la UE | | Resend, Inc. | EE. UU. | Envío de correos electrónicos transaccionales (confirmación de contacto, newsletter) | EU-US DPF / CCT |

AIFORYA se asegura de que toda transferencia fuera del Espacio Económico Europeo se realice de conformidad con los requisitos legales (CCT de la Comisión Europea o el marco EU-US DPF).

6. Seguridad de los datos

  • Cifrado: TLS para todas las comunicaciones, cifrado de datos sensibles en reposo.
  • Controles de acceso: política de mínimo privilegio.
  • Hashing: las contraseñas se hashean con algoritmos robustos y no reversibles.
  • Auditorías: pruebas de intrusión y auditorías de seguridad periódicas.
  • Copias de seguridad: procedimientos de copia de seguridad y restauración.

7. Derechos RGPD / UK GDPR

  • Derecho de acceso (art. 15): obtener una copia de los datos que se poseen.
  • Derecho de rectificación (art. 16): corregir datos inexactos.
  • Derecho al borrado (art. 17): suprimir los datos.
  • Derecho a la limitación del tratamiento (art. 18).
  • Derecho a la portabilidad de los datos (art. 20).
  • Derecho de oposición (art. 21).

Para ejercer estos derechos: dpo@aiforya.fr. La respuesta se proporcionará en el plazo de 1 mes (prorrogable por 2 meses en caso de complejidad). Se podrá solicitar una prueba de identidad.

Usted tiene derecho a presentar una reclamación ante la CNIL: www.cnil.fr.

8. Derechos específicos (CCPA, LGPD)

  • California (CCPA): derechos de acceso, supresión y no discriminación. AIFORYA no vende datos personales y respeta las señales "Do Not Track".
  • Brasil (LGPD): derechos similares a los del RGPD.

Contacto: dpo@aiforya.fr.

9. Cláusulas específicas sobre IA generativa y el modelo BYOK

AIFORYA opera bajo un modelo Bring Your Own Key (BYOK). Las llamadas a los servicios de IA generativa son realizadas directamente por la extensión desde el servidor del cliente hacia el proveedor de IA, utilizando la clave API del cliente.

  • Flujo de datos: los prompts y las respuestas de la IA nunca transitan por los servidores de AIFORYA.
  • Responsabilidad: el cliente es el único responsable de los datos que envía a los proveedores de IA y de los contenidos generados. Debe asegurarse de que sus usos respetan las políticas de los proveedores y las leyes aplicables.

10. Inicio de sesión con Google (Google Sign-In) — Use of Google User Data

AIFORYA ofrece, opcionalmente, el inicio de sesión en su aplicación web mediante Google Sign-In (OAuth 2.0 / OpenID Connect). Esta sección describe de manera exhaustiva, conforme a la Google API Services User Data Policy (incluidos los requisitos de Limited Use), cómo AIFORYA accede, utiliza, almacena y comparte los datos de usuario de Google.

10.1. Ámbitos (scopes) solicitados

AIFORYA solicita únicamente los tres ámbitos no sensibles estándar de OpenID Connect:

  • openid — identificador estable del usuario de Google (claim sub)
  • email — dirección de correo electrónico principal de la cuenta de Google
  • profile — nombre completo, nombre, apellidos, idioma y URL de la foto de perfil

No se solicita ningún ámbito sensible o restringido. AIFORYA no accede a Gmail, Drive, Calendar, Contacts, YouTube, Photos, ni a ninguna otra API de producto Google que contenga datos de usuario.

10.2. Datos efectivamente recopilados

Al iniciar sesión, AIFORYA recopila exclusivamente, desde Google:

  • el identificador de Google (sub),
  • la dirección de correo electrónico verificada,
  • el nombre de visualización y, en su caso, la URL de la foto de perfil pública.

10.3. Finalidad de uso (Data Usage)

Estos datos se utilizan únicamente para:

  • Autenticar al usuario en la aplicación web AIFORYA (verificación de identidad en el momento del inicio de sesión);
  • Crear o localizar la cuenta AIFORYA correspondiente al usuario;
  • Mostrar su nombre y dirección de correo electrónico en su panel y página "Mi cuenta".

Los datos de usuario de Google nunca se utilizan con fines publicitarios, de elaboración de perfiles más allá de la autenticación, de extracción de listas de contactos, de evaluación de solvencia, ni para entrenar ningún modelo de IA/ML generalizado. No se comparten con socios de marketing.

10.4. Conservación y almacenamiento

Los datos de usuario de Google se almacenan en una base de datos PostgreSQL gestionada por Supabase (región UE — Frankfurt, eu-central-1), con cifrado en reposo y Row-Level Security. La conservación abarca la duración de la cuenta del usuario. El usuario puede eliminar su cuenta y todos los datos asociados en cualquier momento a través de https://www.aiforya.fr/es/mon-compte; la eliminación es efectiva en un plazo de 30 días.

10.5. Compartición y subprocesadores

Los datos de usuario de Google nunca se venden, alquilan, transfieren ni comparten con terceros con fines publicitarios o ajenos a la finalidad descrita anteriormente. El único subprocesador con un acceso incidental potencial es nuestro proveedor de hosting de base de datos gestionada (Supabase, UE), bajo un Acuerdo de Tratamiento de Datos conforme al RGPD.

10.6. Conformidad con Limited Use

El uso y la transferencia por parte de AIFORYA, hacia cualquier otra aplicación, de la información recibida desde las API de Google se ajusta estrictamente a la Google API Services User Data Policy, incluidos sus requisitos de Limited Use.

10.7. Control del usuario

El usuario puede, en cualquier momento:

  • Revocar el acceso concedido a AIFORYA a través de la página de gestión de su cuenta de Google: https://myaccount.google.com/permissions;
  • Eliminar todos los datos almacenados por AIFORYA mediante el flujo de eliminación de cuenta in-app en la página "Mi cuenta";
  • Ejercer sus derechos RGPD (acceso, rectificación, supresión, portabilidad, oposición) contactando con dpo@aiforya.fr (véase la sección 7).

11. Cookies y rastreadores

El sitio aiforya.fr utiliza cookies y tecnologías similares (en particular, localStorage) para su correcto funcionamiento, la medición de audiencia y la mejora de la experiencia del usuario.

11.1. Plataforma de gestión del consentimiento (CMP)

La gestión del consentimiento está a cargo de Axeptio, una CMP francesa certificada. La bandera de consentimiento se muestra en el primer acceso al sitio y permite al usuario aceptar, rechazar o personalizar sus elecciones por categoría. El botón "Rechazar todo" es tan visible y accesible como el botón "Aceptar todo" (conformidad CNIL). Las elecciones se conservan durante 6 meses y pueden modificarse en cualquier momento a través del enlace "Gestionar mis rastreadores" en el pie de página.

Google Consent Mode v2 está implementado en modo "Basic": todas las señales de consentimiento (analytics_storage, ad_storage, ad_user_data, ad_personalization, functionality_storage, personalization_storage) se establecen en denied por defecto, hasta que el usuario exprese su elección.

11.2. Rastreadores necesarios (estrictamente esenciales)

Exentos de consentimiento (Artículo 82 Ley Informática y Libertades) por ser indispensables para el funcionamiento: sesión de usuario, preferencias de idioma, registro de la propia elección de consentimiento, memorización del tema (claro/oscuro), fuentes web autoalojadas (sin transferencia de dirección IP a CDN de terceros).

11.3. Medición de audiencia (analytics)

Sujeto a consentimiento explícito: Vercel Analytics (medición anonimizada del tráfico, sin identificador personal, duración máxima de 13 meses). Estos rastreadores solo se activan tras la aceptación explícita de la categoría "Medición de audiencia" en la bandera de Axeptio.

11.4. Marketing y publicidad

Actualmente no se utiliza ningún rastreador publicitario o de remarketing en aiforya.fr. Esta categoría se reserva para futuras campañas eventuales (Google Ads, LinkedIn Ads), que también estarían sujetas a consentimiento antes de cualquier instalación.

12. Modificaciones de la política

AIFORYA se reserva el derecho de modificar esta Política en cualquier momento. Cualquier modificación se publicará en esta página con una nueva fecha de actualización. En caso de modificación sustancial, se enviará una información por correo electrónico o a través de una notificación visible en el sitio.

Politique de confidentialité | AIFORYA