Skip to main content
Volver a iCraftiCraft

Política de privacidad

Fecha de entrada en vigor: 1 de febrero de 2026 · Última actualización: 28 de febrero de 2026

iCraft (« nosotros », « nuestro » o « nos »), operado a través de icraftnow.com, se compromete a proteger sus datos personales. La presente Política de privacidad explica cómo recopilamos, utilizamos, almacenamos y compartimos su información cuando usted utiliza nuestra plataforma de generación de imágenes por inteligencia artificial, incluyendo nuestro sitio web, nuestras aplicaciones y nuestros servicios API (en conjunto, los « Servicios »).

Estamos establecidos en Francia y tratamos los datos de conformidad con el Reglamento General de Protección de Datos (UE) 2016/679 (« RGPD »), la Ley francesa de protección de datos (Loi Informatique et Libertés) y demás legislación europea aplicable en materia de protección de datos.

1. Responsable del tratamiento

El responsable del tratamiento de sus datos personales es:

iCraft

Sitio web: icraftnow.com

Correo electrónico: [email protected]

Ubicación: Francia, Unión Europea

2. Datos que recopilamos

Recopilamos las siguientes categorías de datos personales:

2.1 Información de la cuenta

  • Dirección de correo electrónicoNecesaria para la creación de la cuenta, el inicio de sesión y las comunicaciones transaccionales.
  • Nombre completoNecesario para la identificación de la cuenta y la facturación.
  • Nombre de la empresa (opcional)Proporcionado voluntariamente para cuentas empresariales y la generación de facturas.
  • ContraseñaAlmacenada en forma cifrada (hash); nunca se almacena en texto plano.

2.2 Datos de Google OAuth

Si inicia sesión con Google, recibimos de Google su nombre, dirección de correo electrónico y la URL de su foto de perfil. No recibimos ni almacenamos su contraseña de Google. Utilizamos estos datos exclusivamente para la creación de la cuenta y la autenticación.

2.3 Información de pago

El procesamiento de pagos es gestionado íntegramente por Stripe. No almacenamos su número completo de tarjeta de crédito, código CVC ni los datos de su cuenta bancaria. Recibimos de Stripe: los últimos cuatro dígitos de su tarjeta, la marca de la tarjeta, la fecha de caducidad, la dirección de facturación y el historial de transacciones asociado a su cuenta.

2.4 Datos de uso

  • Prompts de generación y parámetros que usted envía a la IA.
  • Imágenes generadas y metadatos asociados.
  • Uso de créditos e historial de generación.
  • Registros de uso de la API (punto de acceso, marca de tiempo, estado de la respuesta).

2.5 Datos técnicos

  • Dirección IP (para seguridad y prevención de abusos).
  • Tipo y versión del navegador.
  • Tipo de dispositivo y sistema operativo.
  • Páginas visitadas y fuente de referencia.

2.6 Datos de cuentas de redes sociales

Cuando conecta una cuenta de red social (Instagram, Facebook, X/Twitter, LinkedIn, YouTube) a iCraft para la publicación de contenido, recopilamos y almacenamos:

  • Tokens de acceso OAuth y tokens de actualización Cifrados con AES-256-GCM antes del almacenamiento. Estos tokens nos permiten publicar contenido en su nombre cuando usted lo solicita explícitamente. Nunca publicamos sin su acción.
  • Identificadores de cuenta Identificador de usuario de la plataforma, nombre de usuario y nombre para mostrar, utilizados para identificar su cuenta conectada en nuestro panel de control.
  • Información de página/canal Para las plataformas que admiten páginas profesionales o canales (Páginas de Facebook, Páginas de empresa de LinkedIn, Canales de YouTube), almacenamos el nombre y el identificador de la página o canal seleccionado.
  • Historial de publicación Registros del contenido publicado a través de iCraft, incluyendo el identificador de publicación de la plataforma, la marca de tiempo de publicación y el estado (publicado, fallido).

Solo solicitamos los permisos mínimos necesarios para publicar contenido en su nombre. No leemos sus mensajes privados, no accedemos a sus listas de seguidores ni recopilamos datos analíticos de sus cuentas de redes sociales. Puede desconectar cualquier cuenta en cualquier momento desde su panel de control, lo que revoca inmediatamente nuestro acceso y elimina los tokens almacenados.

2.7 Eliminación de datos por solicitud de la plataforma

Las plataformas de redes sociales (como Meta/Facebook) pueden solicitar la eliminación de sus datos mediante devoluciones de llamada automatizadas. Cuando recibimos dicha solicitud, eliminamos de inmediato todas las conexiones sociales, tokens de acceso e historiales de publicación asociados a la plataforma solicitante. Proporcionamos un código de confirmación para el seguimiento del estado de la eliminación.

3. Bases jurídicas del tratamiento

En virtud del RGPD, tratamos sus datos personales sobre las siguientes bases jurídicas:

Ejecución de un contrato (Artículo 6(1)(b))

Tratamiento necesario para prestar nuestros Servicios, gestionar su cuenta, procesar pagos, entregar imágenes generadas por IA y proporcionar acceso a la API.

Consentimiento (Artículo 6(1)(a))

Cuando usted ha dado su consentimiento explícito, como para las comunicaciones de marketing opcionales. Puede retirar su consentimiento en cualquier momento.

Interés legítimo (Artículo 6(1)(f))

Tratamiento necesario para nuestros intereses legítimos, incluyendo: la mejora de nuestros Servicios, la prevención del fraude y el abuso, la garantía de la seguridad de la plataforma y la realización de análisis para mejorar la experiencia del usuario. Ponderamos estos intereses con sus derechos y libertades.

Obligación legal (Artículo 6(1)(c))

Tratamiento necesario para cumplir con obligaciones legales, tales como requisitos fiscales y contables, y para responder a solicitudes gubernamentales legítimas.

4. Cookies y gestión de sesiones

Utilizamos cookies y tecnologías similares de la siguiente manera:

CookieTipoFinalidadDuración
sb-*-auth-tokenEsencialSesión de autenticación (Supabase)Sesión / 7 días
cookie-consentEsencialRegistra su preferencia de cookies1 año

No utilizamos cookies de seguimiento de terceros, cookies publicitarias ni cookies analíticas que le rastreen entre sitios web. Las únicas cookies que utilizamos son estrictamente necesarias para el funcionamiento de nuestros Servicios.

5. Encargados del tratamiento de terceros

Compartimos sus datos con los siguientes encargados del tratamiento de terceros, cada uno de los cuales está vinculado por acuerdos de tratamiento de datos:

Stripe (Stripe, Inc.)

Procesamiento de pagos. Stripe procesa los datos de su tarjeta de pago y su dirección de facturación. Stripe cuenta con la certificación PCI DSS Nivel 1. Política de privacidad de Stripe

Supabase (Supabase, Inc.)

Alojamiento de bases de datos y autenticación. Sus datos de cuenta y de uso se almacenan en bases de datos Supabase alojadas en la región de la UE. Política de privacidad de Supabase

Google (Google LLC)

Proveedor de autenticación OAuth e integración con YouTube. Cuando inicia sesión con Google o conecta YouTube, se intercambian datos entre nuestra plataforma y Google con fines de autenticación y publicación de contenido. Política de privacidad de Google

Meta Platforms (Meta Platforms, Inc.)

Integración con redes sociales. Cuando conecta su cuenta de Instagram o Facebook, se intercambian tokens OAuth para permitir la publicación de contenido. Solo accedemos a los permisos que usted otorga explícitamente. El contenido publicado se transmite a través de las API de Meta. Política de privacidad de Meta

X Corp (X/Twitter)

Integración con redes sociales. Cuando conecta su cuenta de X, se intercambian tokens OAuth para permitir la publicación de tweets con imágenes. Política de privacidad de X

LinkedIn (LinkedIn Corporation)

Integración con redes sociales. Cuando conecta su cuenta de LinkedIn, se intercambian tokens OAuth para permitir la publicación en su perfil o página de empresa. Política de privacidad de LinkedIn

Cloudflare (Cloudflare, Inc.)

Servicios de CDN, DNS y túnel. Cloudflare gestiona el enrutamiento del tráfico y proporciona protección DDoS. Algunos metadatos de las solicitudes pueden ser procesados por Cloudflare. Política de privacidad de Cloudflare

6. Conservación de datos

Solo conservamos sus datos personales durante el tiempo necesario para cumplir con las finalidades para las que fueron recopilados:

  • Datos de la cuenta: Conservados durante la vigencia de su cuenta. Eliminados en un plazo de 30 días desde la solicitud de eliminación de la cuenta.
  • Imágenes generadas: Conservadas durante la vigencia de su cuenta o hasta que usted las elimine. Eliminadas definitivamente en un plazo de 30 días desde la eliminación de la cuenta.
  • Registros de pago: Conservados durante 10 años según lo exigido por la legislación fiscal y mercantil francesa.
  • Registros de uso de la API: Conservados durante 12 meses con fines de seguridad y depuración.
  • Registros de acceso al servidor: Conservados durante 12 meses con fines de seguridad.
  • Tokens de redes sociales: Conservados durante la vigencia de su conexión. Eliminados inmediatamente cuando desconecta una cuenta o cuando la plataforma solicita la eliminación de datos. Cifrados en reposo con AES-256-GCM.

7. Sus derechos en virtud del RGPD

Como persona interesada, usted tiene los siguientes derechos en virtud del RGPD. Puede ejercer estos derechos en cualquier momento poniéndose en contacto con nosotros en [email protected]:

Derecho de acceso (Artículo 15)

Puede solicitar una copia de todos los datos personales que tenemos sobre usted, de forma gratuita.

Derecho de rectificación (Artículo 16)

Puede solicitar la corrección de datos personales inexactos o incompletos.

Derecho de supresión (Artículo 17)

Puede solicitar la eliminación de sus datos personales, sujeto a las obligaciones legales de conservación.

Derecho a la portabilidad de los datos (Artículo 20)

Puede solicitar sus datos personales en un formato estructurado y legible por máquina (JSON o CSV).

Derecho a la limitación del tratamiento (Artículo 18)

Puede solicitar que limitemos el tratamiento de sus datos personales en determinadas circunstancias.

Derecho de oposición (Artículo 21)

Puede oponerse al tratamiento basado en el interés legítimo. También puede oponerse a la mercadotecnia directa en cualquier momento.

Derecho a retirar el consentimiento

Cuando el tratamiento se basa en el consentimiento, puede retirar su consentimiento en cualquier momento sin afectar a la licitud del tratamiento anterior.

Responderemos a su solicitud en un plazo de 30 días. En circunstancias excepcionales, podemos ampliar este plazo en hasta dos meses adicionales, en cuyo caso le informaremos de la ampliación y de sus motivos.

8. Transferencias internacionales de datos

Sus datos se tratan y almacenan principalmente dentro de la Unión Europea. Nuestra instancia de base de datos Supabase está alojada en la región de la UE.

Algunos de nuestros encargados del tratamiento de terceros (Stripe y Google) pueden transferir datos fuera de la UE/EEE. Dichas transferencias están protegidas por:

  • Las decisiones de adecuación del Marco de Privacidad de Datos UE-EE. UU. (DPF), cuando corresponda.
  • Las Cláusulas contractuales tipo (CCT) aprobadas por la Comisión Europea.
  • Medidas complementarias adicionales conforme a las recomendaciones del Comité Europeo de Protección de Datos.

9. Seguridad de los datos

Implementamos medidas técnicas y organizativas apropiadas para proteger sus datos personales, incluyendo:

  • Cifrado de datos en tránsito (TLS 1.2+) y en reposo (AES-256).
  • Hashing de contraseñas con algoritmos estándar de la industria (bcrypt).
  • Controles de acceso basados en roles para los sistemas internos.
  • Evaluaciones de seguridad periódicas y monitorización de vulnerabilidades.
  • Políticas de seguridad a nivel de fila (RLS) de Supabase para aislar los datos del usuario.
  • Expiración automática de sesiones y gestión segura de tokens.

Aunque tomamos todas las precauciones razonables, ningún método de transmisión por Internet o almacenamiento electrónico es 100 % seguro. Si tiene conocimiento de una vulnerabilidad de seguridad, póngase en contacto con nosotros inmediatamente en [email protected].

10. Privacidad de los menores

Nuestros Servicios no están dirigidos a personas menores de 16 años. No recopilamos conscientemente datos personales de menores de 16 años. Si usted es padre, madre o tutor y cree que su hijo nos ha proporcionado datos personales, póngase en contacto con nosotros en [email protected] y eliminaremos dichos datos de inmediato.

11. Modificaciones de la presente Política de privacidad

Podemos actualizar la presente Política de privacidad periódicamente para reflejar cambios en nuestras prácticas, tecnología, requisitos legales u otros factores. Cuando realicemos cambios sustanciales:

  • Actualizaremos la fecha de « Última actualización » en la parte superior de esta página.
  • Le notificaremos por correo electrónico o mediante un aviso destacado en nuestra plataforma con al menos 30 días de antelación antes de que los cambios entren en vigor.
  • Cuando lo exija la ley, obtendremos su consentimiento renovado antes de aplicar los cambios.

12. Información de contacto y derecho de reclamación

Para cualquier pregunta, solicitud o inquietud sobre la presente Política de privacidad o nuestras prácticas de tratamiento de datos, póngase en contacto con nosotros:

iCraft — Protección de datos

Correo electrónico: [email protected]

Sitio web: icraftnow.com

Si considera que sus derechos de protección de datos han sido vulnerados, tiene derecho a presentar una reclamación ante una autoridad de control. Para los usuarios en Francia, la autoridad competente es:

CNIL (Commission Nationale de l'Informatique et des Libertés)

3 Place de Fontenoy, TSA 80715, 75334 Paris CEDEX 07, Francia

Sitio web: www.cnil.fr

Relacionado: Condiciones del servicio