Chispa Centro de confianza RGPD Política de Privacidad — Chispa
RGPD

Política de Privacidad — Chispa

Versión 1.0 2026-04-24 Estado: borrador-pendiente-revision

Política de Privacidad

En Chispa nos tomamos tu privacidad en serio. Esta política te explica, de forma clara y sin letra pequeña, qué datos recogemos, por qué, cuánto tiempo los conservamos y qué puedes hacer al respecto.

1. ¿Quién es el responsable del tratamiento?

  • Nombre comercial: Chispa
  • Contacto en materia de privacidad: [email protected]
  • Dominio: chispaclips.com

Los datos identificativos completos del responsable (titular y domicilio a efectos de notificaciones) están disponibles bajo solicitud a [email protected].

Si tienes cualquier duda sobre cómo tratamos tus datos, escríbenos a [email protected].

2. ¿Qué datos recogemos y para qué?

2.1 Cuando te registras en Chispa

  • Qué recogemos: email, nombre de usuario, contraseña (la guardamos cifrada con hash adaptativo, nosotros nunca la vemos).
  • Para qué: crear tu cuenta, autenticarte y darte acceso al servicio.
  • Base legal: ejecución del contrato (Art. 6.1.b RGPD).

2.2 Cuando conectas tu canal de YouTube o TikTok

  • Qué recogemos: tokens OAuth2 (access_token / refresh_token), identificador y nombre público de tu canal, email asociado a la cuenta Google si el scope lo devuelve.
  • Para qué: subir los clips que tú apruebes a tu canal, en tu nombre.
  • Base legal: consentimiento explícito durante el flujo OAuth2 (Art. 6.1.a) + ejecución del contrato.
  • Dónde se guardan: cifrados con AES (cifrado autenticado) en nuestro servidor. Puedes revocar el acceso en cualquier momento desde tu panel o desde la configuración de seguridad de Google / TikTok.

2.3 Mientras usas la plataforma

  • Qué recogemos: IP, user-agent, acciones que realizas (clip generado, publicado, descartado) asociadas a un identificador interno pseudonimizado.
  • Para qué: seguridad (detectar ataques), depuración, mejorar el algoritmo de selección de clips ("sistema de aprendizaje IA").
  • Base legal: interés legítimo (Art. 6.1.f). Puedes oponerte escribiendo a [email protected].

2.4 Si eres cliente empresarial

  • Qué recogemos: datos de contacto comercial, nombre del canal gestionado, métricas públicas.
  • Para qué: gestionar el contrato y enviarte reportes.
  • Base legal: ejecución del contrato (Art. 6.1.b).

3. ¿Cuánto tiempo conservamos tus datos?

Dato Plazo
Cuenta de usuario Mientras esté activa. Si pides la baja, borrado inmediato.
Tokens OAuth inactivos Borrado automático a los 90 días.
Logs de auditoría 12 meses, después se anonimizan.
Datos de analítica individuales 12 meses, después se agregan y anonimizan.
Datos de facturación y contratos 6 años (obligación legal mercantil y fiscal).

4. ¿Con quién compartimos tus datos?

Trabajamos con los siguientes subprocesadores, todos con contrato de tratamiento firmado:

Proveedor Para qué Ubicación
Google LLC (YouTube Data API) Publicación de vídeos en YouTube EE. UU.
Brevo (Sendinblue, Francia) Envío de emails transaccionales UE
TikTok Inc. / ByteDance Ltd. Publicación de vídeos en TikTok EE. UU. / Singapur / Irlanda
Cloudflare Inc. Proxy / CDN, protección anti-DDoS EE. UU.
Analítica web propia sin cookies Métricas de uso agregadas UE

No vendemos tus datos. No compartimos con anunciantes. No hacemos perfilado publicitario.

5. ¿Salen tus datos fuera de la Unión Europea?

Sí, a los subprocesadores de EE. UU. (Google, Cloudflare, TikTok). Estas transferencias están amparadas por:

  • Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea.
  • Marco EU–US Data Privacy Framework cuando el proveedor está certificado.

Puedes solicitar copia de las garantías aplicables escribiendo a [email protected].

6. Tus derechos (ARCO-POL)

Tienes derecho a:

  • Acceso: saber qué datos tuyos tenemos.
  • Rectificación: corregirlos si están mal.
  • Cancelación / Supresión ("derecho al olvido"): borrarlos. Puedes hacerlo tú mismo desde la opción de eliminar cuenta de tu perfil, o escribiéndonos.
  • Oposición: oponerte al tratamiento basado en interés legítimo (p. ej. analítica interna).
  • Portabilidad: descargar tus datos en formato estructurado (JSON).
  • Limitación: pedir que paremos el tratamiento mientras resolvemos una disputa.

¿Cómo los ejerces?

  1. Por tu cuenta: la opción "Eliminar cuenta" de tu perfil borra tu cuenta en segundos.
  2. Por email: escribe a [email protected] adjuntando copia de tu DNI / pasaporte para que podamos verificar tu identidad. Respondemos en un plazo máximo de 1 mes (ampliable 2 meses más si la solicitud es compleja, te lo comunicaríamos).
  3. Reclamación ante la autoridad de control: si crees que no te hemos respondido correctamente, puedes reclamar ante la Agencia Española de Protección de Datos (AEPD)www.aepd.es.

7. Decisiones automatizadas e IA

Chispa utiliza un algoritmo llamado "sistema de aprendizaje IA" para aprender qué clips funcionan mejor y proponerte automáticamente cortes más relevantes. Esto no es una decisión con efectos jurídicos (no decide si te contratamos, si te damos crédito, etc.) — solo prioriza el contenido que ves.

Aun así, siempre puedes pedir revisión humana de cualquier resultado del algoritmo escribiendo a [email protected], y siempre puedes ignorar o descartar las sugerencias.

8. Cookies

Chispa usa cookies técnicas estrictamente necesarias para mantener tu sesión iniciada (at y rt, ambas HttpOnly + Secure + SameSite=Strict). Estas no requieren consentimiento según la guía AEPD de 2023.

No utilizamos Google Analytics ni trackers de terceros. Nuestra analítica (Plausible auto-alojada) no usa cookies.

Puedes consultar todos los detalles en nuestra Política de Cookies.

9. Seguridad

Tus datos están protegidos con:

  • Contraseñas cifradas (hash adaptativo cost ≥ 12).
  • MFA obligatorio para cuentas de administración.
  • Tokens OAuth cifrados en reposo (cifrado autenticado).
  • TLS 1.3 en todas las comunicaciones.
  • Cabeceras HSTS, CSP estricta.
  • Rate-limit y lockout progresivo contra ataques de fuerza bruta.
  • Logs de auditoría de todos los accesos sensibles.

Si detectas alguna vulnerabilidad, escríbenos a [email protected] (sección "security").

10. Cambios en esta política

Si hacemos cambios relevantes te avisaremos por email y/o mediante banner en la aplicación al menos 15 días antes de que entren en vigor.

11. Versiones

  • Español (ES) — versión oficial.
  • [Versió en català disponible bajo solicitud.]
  • [English version available on request.]

Próxima revisión

Esta Política de Privacidad se revisará cada 6 meses o inmediatamente tras cualquier cambio relevante en los tratamientos, subprocesadores o marco legal.

Responsable: equipo de Chispa con apoyo de asesoría legal externa. Próxima revisión programada: 2026-10-24.

¿Detectaste un error o quieres proponer una mejora? Escríbenos a [email protected] o reporta vía security.txt.