Política de Privacidad
Versión interna: v2.0
Última actualización: 9 de mayo de 2026
Reemplaza a: v1.x (6 de mayo de 2026)
>
Cambios materiales respecto de v1.x: Incorpora el uso de Google Tag Manager, Google Analytics 4 y Google Ads (incluyendo Enhanced Conversions con hash SHA-256 del correo electrónico y carga server-side de conversiones offline desde el webhook de Stripe), todo bajo consentimiento previo del usuario gestionado mediante Google Consent Mode v2 con valor por defecto denegado. Reescribe los párrafos que afirmaban no utilizar analítica ni publicidad, ya que dicha afirmación dejó de ser exacta tras la activación del contenedor GTM y de las integraciones publicitarias.
Índice
- Responsable del tratamiento y ámbito territorial
- Delegado de Protección de Datos
- Qué datos recogemos
- Para qué usamos tus datos (finalidades del tratamiento)
- Base jurídica del tratamiento
- Destinatarios de los datos
- Transferencias internacionales de datos
- Plazo de conservación de los datos
- Tus derechos
- Datos de menores de edad
- Datos especialmente sensibles y categorías especiales
- Decisiones automatizadas, elaboración de perfiles e inteligencia artificial
- Publicidad, medición de conversiones y analítica web
- Principios del tratamiento y evaluación de impacto
- Medidas de seguridad técnicas y organizativas
- Política de cookies y almacenamiento local
- Enlaces a terceros
- Información específica por jurisdicción
- Modificaciones de esta política
- Legislación aplicable y jurisdicción
- Contacto
1. Responsable del tratamiento y ámbito territorial
El responsable del tratamiento de tus datos personales es:
- Denominación social: Bilbao AI S.L.
- CIF: B-13759758
- Domicilio social: Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), España
- Correo electrónico: info@afini.ai
- Sitios web: https://test.afini.ai · https://afini.ai
Bilbao AI S.L. (en adelante, "Afini", "nosotros" o "las Plataformas") es titular y responsable de los servicios de evaluación de personalidad y perfil cognitivo accesibles a través de estos sitios web.
Ámbito territorial: Afini ofrece sus servicios a usuarios de todo el mundo. Esta Política de Privacidad ha sido diseñada para cumplir con la normativa de protección de datos aplicable en cada jurisdicción donde operamos, incluyendo —sin limitación— la Unión Europea, el Espacio Económico Europeo, el Reino Unido, los Estados Unidos de América, Canadá, Brasil, Australia y Japón. En caso de conflicto entre disposiciones de distintas jurisdicciones, se aplicará la norma que ofrezca un mayor nivel de protección al usuario.2. Delegado de Protección de Datos
Dado el tamaño de la organización y la naturaleza de los datos tratados, Afini no está obligada a designar un Delegado de Protección de Datos (DPD/DPO) conforme al artículo 37 del RGPD. No obstante, puedes dirigir cualquier consulta relacionada con la protección de tus datos personales a: info@afini.ai.
3. Qué datos recogemos
Recogemos y tratamos las siguientes categorías de datos personales, según el servicio utilizado y el momento de la interacción:
3.1. Datos proporcionados al comprar o iniciar un test (test.afini.ai)
- Nombre o pseudónimo
- Dirección de correo electrónico
- Edad (opcional)
- Sexo biológico (opcional, para calibración normativa)
- Género (opcional)
- País de residencia (opcional)
- Preferencia de pronombres (opcional)
3.2. Datos proporcionados al registrarse (afini.ai)
- Dirección de correo electrónico (obligatorio, para autenticación vía magic link)
- Nombre o pseudónimo (obligatorio)
- Datos demográficos de calibración (edad, sexo biológico, país — opcionales, para precisión normativa)
3.3. Datos generados durante la realización de evaluaciones
- Respuestas individuales a cada ítem de los cuestionarios (escala Likert 1-5)
- Marca temporal de inicio y finalización de cada evaluación
- Versión y tipo de evaluación realizada
3.4. Datos del resultado y perfil cognitivo
- Puntuaciones de los cinco grandes rasgos de personalidad (Apertura, Responsabilidad, Extraversión, Amabilidad, Estabilidad Emocional)
- Puntuaciones de las treinta facetas de personalidad (en versiones Avanzado y Completo)
- Puntuaciones de instrumentos adicionales en afini.ai (escalas de apego, estilos de humor, valores y demás capas según evolución del servicio)
- Perfil cognitivo compilado (estructura JSON que integra las puntuaciones de todas las capas evaluadas)
- System prompt compilado (versión textual del perfil utilizada para la inyección en el modelo de IA)
- Informe de personalidad narrativo generado por IA
3.5. Datos de interacción con IA (afini.ai)
- Contenido de las conversaciones con el modelo de IA (mensajes del usuario y respuestas del sistema)
- Contabilidad de uso: número de tokens de salida consumidos por mes (dato técnico para control de cuota del plan). Los tokens de entrada no computan a efectos de límite mensual
- Número de peticiones diarias al servicio de IA
3.6. Datos de pago
Afini NO almacena, procesa ni tiene acceso a los datos de tu tarjeta de crédito o débito, número de cuenta bancaria ni ningún otro dato financiero.
Los pagos son gestionados íntegramente por Stripe, Inc., que actúa como procesador de pagos independiente y es responsable del tratamiento de los datos financieros conforme a su propia Política de Privacidad y a la normativa PCI-DSS.
Afini únicamente recibe de Stripe una confirmación de pago exitoso (estado de la transacción, identificador de sesión de Stripe e importe pagado, en moneda y céntimos). No recibimos los datos de la tarjeta ni del medio de pago.
3.7. Datos técnicos y de medición publicitaria/analítica (con tu consentimiento)
Cuando otorgas consentimiento a las categorías "analítica" o "marketing" en nuestro banner de cookies, las herramientas correspondientes pueden tratar adicionalmente:
- Identificadores técnicos de cookie generados por Google (
_ga,_ga_<container_id>,_gcl_au,_gcl_aw,_gcl_dc) que asocian eventos a tu navegador. - Dirección IP, recogida y procesada por Google con fines de geolocalización aproximada y prevención de fraude. En el Espacio Económico Europeo, Google aplica anonimización de IP por defecto antes del almacenamiento (truncamiento del último octeto en IPv4 o de los últimos 80 bits en IPv6).
- Cadena de User-Agent del navegador.
- URL de origen y de destino dentro de la propia Plataforma (eventos de navegación).
- Identificadores de campaña publicitaria (GCLID, *Google Click Identifier*) si has llegado a la Plataforma desde un anuncio.
- Hash SHA-256 de tu correo electrónico transmitido a Google para Enhanced Conversions (mejora de la atribución de conversiones publicitarias). El hash es un identificador derivado y no permite recuperar tu correo en texto plano por inversión directa, pero a efectos del RGPD se considera dato personal pseudonimizado.
Si rechazas las categorías "analítica" y "marketing", o si no respondes al banner de cookies, ninguno de estos datos se transmite a Google: el contenedor de Google Tag Manager opera en modo Consent Mode v2 con valor por defecto denegado (denied), y los servicios de Google solo reciben *cookieless pings* sin identificadores.
3.8. Datos técnicos que NO recogemos en ningún caso
Afini NO recoge —con consentimiento o sin él—:
- Huella digital del navegador (browser fingerprint)
- Datos de geolocalización precisa (GPS, Bluetooth)
- Identificadores de dispositivo (IDFA, AAID)
- Datos biométricos
- Categorías especiales de datos del artículo 9 RGPD (salvo lo derivado de los propios resultados de evaluación de personalidad, tratados conforme a la sección 11)
4. Para qué usamos tus datos (finalidades del tratamiento)
Tratamos tus datos personales exclusivamente para las siguientes finalidades:
| Finalidad | Datos utilizados | Base jurídica |
|---|
| Generar tu perfil de personalidad Big Five | Respuestas al test, versión del test | Ejecución del contrato |
| Generar y enviarte tu informe de resultados | Nombre, email, puntuaciones | Ejecución del contrato |
| Permitirte acceder a tus resultados mediante enlace personal | Email, token de sesión | Ejecución del contrato |
| Procesar el pago del servicio (vía Stripe) | Confirmación de pago, importe, identificador de sesión | Ejecución del contrato |
| Canjear un código de invitación (voucher) | Código de voucher, nombre, email | Ejecución del contrato |
| Compilar tu perfil cognitivo multicapa (afini.ai) | Puntuaciones de todas las evaluaciones realizadas | Ejecución del contrato |
| Inyectar tu perfil en el modelo de IA para personalizar la interacción (afini.ai) | Perfil cognitivo compilado | Ejecución del contrato + Consentimiento |
| Contabilizar el uso del servicio de IA para control de cuota (afini.ai) | Tokens consumidos, peticiones diarias | Ejecución del contrato |
| Gestionar tu suscripción (afini.ai) | Email, plan, estado de la suscripción | Ejecución del contrato |
| Autenticarte mediante magic link (afini.ai) | Ejecución del contrato |
| Responder a tus consultas o solicitudes | Email, nombre | Interés legítimo |
| Cumplir obligaciones legales y fiscales | Datos de facturación | Obligación legal |
| Medir conversiones publicitarias y atribuir compras a campañas (Google Ads, incluyendo Enhanced Conversions y Offline Conversions enviadas desde nuestro backend) | Hash SHA-256 del email, identificador de campaña (GCLID), importe y moneda de la transacción, identificador de la compra | Consentimiento |
| Análisis estadístico agregado del uso del servicio (Plausible Analytics) | Páginas visitadas, país agregado, navegador agregado — sin cookies ni identificadores | Interés legítimo (analítica web cookie-free conforme a Directrices EDPB 03/2023) |
| Análisis detallado de comportamiento de navegación (Google Analytics 4) | Identificadores de cookie de Google, IP anonimizada, eventos de navegación | Consentimiento |
| Gestión técnica de etiquetas publicitarias y analíticas (Google Tag Manager) | Identificadores técnicos del contenedor; ningún identificador de usuario propio | Consentimiento (la carga del contenedor se difiere hasta consentimiento o se ejecuta con todos los Consent Signals en denied) |
- NO vendemos tus datos a terceros. Nunca. Bajo ninguna circunstancia.
- NO compartimos tu perfil de personalidad, tus respuestas, tus resultados ni tu perfil cognitivo con terceros, incluido Google.
- NO realizamos segmentación publicitaria basada en tu personalidad, tus rasgos, tus facetas, ni en ninguna inferencia derivada del test. Las audiencias de Google Ads que utilizamos —incluyendo audiencias de *remarketing* basadas en visitas a la Plataforma, *Customer Match* basadas en listas de correo electrónico comerciales, y *Similar Audiences* derivadas de las anteriores— se construyen exclusivamente sobre eventos de conversión, visitas a páginas concretas y atributos publicitarios estándar de Google (palabra clave, intención de búsqueda, ubicación geográfica genérica, dispositivo). En ningún caso se utilizan tus puntuaciones de personalidad, tu perfil cognitivo ni tus respuestas a los cuestionarios para construir estas audiencias.
- NO utilizamos tus datos para enviarte newsletters ni comunicaciones comerciales no solicitadas.
- NO creamos perfiles de comportamiento publicitario propios basados en tu navegación dentro o fuera de la Plataforma.
- NO cedemos tus datos a redes publicitarias adicionales más allá de Google Ads, ni a *data brokers*, ni a plataformas de marketing.
- NO utilizamos tus datos para entrenar modelos de inteligencia artificial ni para investigación sin tu consentimiento explícito e independiente.
- NO compartimos el contenido de tus conversaciones con IA con el proveedor del modelo ni con ningún tercero.
- NO transmitimos a Google (ni a ningún otro proveedor publicitario) tu perfil cognitivo, tus puntuaciones, tus respuestas a los cuestionarios ni el contenido de las conversaciones con IA.
5. Base jurídica del tratamiento
El tratamiento de tus datos se fundamenta en las siguientes bases jurídicas conforme al artículo 6.1 del RGPD:
a) Ejecución de un contrato (art. 6.1.b RGPD): El tratamiento es necesario para la prestación del servicio que has contratado: la realización de evaluaciones de personalidad, la generación de informes, la compilación del perfil cognitivo y la interacción personalizada con IA. La compra del test, el canje de un código de invitación (voucher) o la contratación de una suscripción constituye la aceptación del servicio. b) Consentimiento (art. 6.1.a RGPD): Para los datos demográficos opcionales (edad, género, país), la base jurídica es tu consentimiento libre, específico, informado e inequívoco, manifestado al proporcionarlos voluntariamente. La inyección del perfil cognitivo en el modelo de IA requiere adicionalmente tu consentimiento explícito, que se solicita de forma separada al activar el servicio de interacción con IA. El uso de cookies analíticas (Google Analytics 4) y de cookies publicitarias (Google Ads, incluyendo Enhanced Conversions y Offline Conversions) requiere igualmente tu consentimiento previo, otorgado mediante el banner de cookies. Puedes revocar cualquiera de estos consentimientos en cualquier momento, bien escribiendo a info@afini.ai, bien reabriendo el banner de cookies desde el enlace "Gestionar cookies" del pie de página, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada. c) Interés legítimo (art. 6.1.f RGPD): Para la atención de consultas y solicitudes que nos envíes por correo electrónico, basado en nuestro interés legítimo en mantener una comunicación adecuada con los usuarios de nuestro servicio. También para la analítica de uso agregada y *cookie-free* mediante Plausible Analytics, conforme a las Directrices EDPB 03/2023 sobre el ámbito técnico del artículo 5.3 de la Directiva ePrivacy: Plausible no almacena información en el equipo terminal del usuario, no utiliza identificadores únicos persistentes y solo proporciona métricas agregadas, por lo que su uso no requiere consentimiento previo bajo el régimen de cookies. d) Obligación legal (art. 6.1.c RGPD): Para el cumplimiento de obligaciones fiscales y contables conforme a la legislación española vigente (Ley General Tributaria, Código de Comercio).6. Destinatarios de los datos
Tus datos personales podrán ser comunicados a los siguientes destinatarios, exclusivamente en la medida necesaria para las finalidades descritas:
| Destinatario | Finalidad | Ubicación | Garantías |
|---|
| Stripe, Inc. | Procesamiento de pagos | EE.UU. / UE | Data Privacy Framework (DPF), cláusulas contractuales tipo |
| Railway Corp. | Alojamiento de la API y base de datos PostgreSQL | EE.UU. / UE | Cláusulas contractuales tipo, medidas técnicas complementarias |
| Cloudflare, Inc. | Alojamiento y distribución del *frontend* (Cloudflare Workers) y mitigación de DDoS | EE.UU. / Red global | Data Privacy Framework (DPF), cláusulas contractuales tipo |
| Anthropic PBC | Proveedor del modelo de IA (LLM) para generación de informes e interacción personalizada | EE.UU. | Data Privacy Framework (DPF), cláusulas contractuales tipo, política de no entrenamiento sobre peticiones a la API comercial |
| Resend, Inc. | Envío de correos electrónicos transaccionales | EE.UU. | Cláusulas contractuales tipo |
| Holded Technologies, S.L. | Emisión de facturas simplificadas (TicketBAI/BATUZ) sin datos personales del comprador | Unión Europea (España) | Encargado del tratamiento conforme al artículo 28 RGPD |
| Plausible Insights OÜ | Analítica web agregada y *cookie-free* | Unión Europea (Estonia) | Tratamiento dentro del EEE; sin transferencia internacional |
| Google LLC | Gestión de etiquetas (Google Tag Manager), analítica web (Google Analytics 4), medición de conversiones publicitarias (Google Ads) incluyendo Enhanced Conversions y carga server-side de Offline Conversions desde el webhook de Stripe, audiencias de *remarketing*, *Customer Match* y *Similar Audiences* | EE.UU. / Red global | Data Privacy Framework (DPF), cláusulas contractuales tipo, anonimización de IP en EEE, Consent Mode v2 con valor por defecto denied, transmisión condicionada a tu consentimiento |
| Sentry (Functional Software, Inc.) | Trazabilidad de errores técnicos en backend y frontend | EE.UU. | Cláusulas contractuales tipo, *scrubbing* automático de PII en payloads |
7. Transferencias internacionales de datos
Algunos de nuestros proveedores de servicios pueden tratar datos fuera del Espacio Económico Europeo (EEE). En todos los casos, garantizamos que dichas transferencias cuentan con garantías adecuadas conforme al Capítulo V del RGPD:
- Stripe, Inc. (EE.UU.): Adherido al EU-U.S. Data Privacy Framework (DPF), decisión de adecuación de la Comisión Europea de 10 de julio de 2023. Adicionalmente, Stripe aplica cláusulas contractuales tipo (SCCs) aprobadas por la Comisión Europea.
- Railway Corp. (EE.UU.): Transferencias amparadas por cláusulas contractuales tipo (SCCs) conforme a la Decisión de Ejecución 2021/914 de la Comisión Europea, complementadas con medidas técnicas adicionales (cifrado en tránsito y en reposo).
- Cloudflare, Inc. (EE.UU. / red global): Adherido al EU-U.S. Data Privacy Framework (DPF). Adicionalmente, Cloudflare aplica cláusulas contractuales tipo (SCCs) y medidas técnicas complementarias.
- Anthropic PBC (EE.UU.): Adherido al EU-U.S. Data Privacy Framework (DPF). Los datos enviados a la API comercial de Anthropic se procesan en tiempo real y no se retienen para entrenamiento. Garantías adicionales: cifrado en tránsito (TLS 1.3), procesamiento sin persistencia de datos de peticiones API.
- Resend, Inc. (EE.UU.): Transferencias amparadas por cláusulas contractuales tipo (SCCs).
- Google LLC (EE.UU. / red global): Adherido al EU-U.S. Data Privacy Framework (DPF). Adicionalmente, Google aplica cláusulas contractuales tipo (SCCs). Las transferencias a Google se producen en dos planos:
1. *Cliente-a-Google*, ejecutadas por el navegador del usuario al cargar el contenedor de Google Tag Manager y los píxeles de Google Analytics 4 y Google Ads, condicionadas a tu consentimiento mediante Google Consent Mode v2 con valor por defecto denied.
2. *Servidor-a-Google*, ejecutadas por nuestro backend en Railway al disparar el webhook checkout.session.completed de Stripe: enviamos al endpoint de la API de Google Ads (ConversionUploadService) los datos descritos en la sección 6, exclusivamente cuando la categoría "marketing" del banner ha sido consentida y el evento corresponde a una compra finalizada.
3. *Servidor-a-Google* para gestión de listas de audiencias publicitarias (Customer Match): subida periódica de listas de correos electrónicos en formato hash SHA-256 a la API de Google Ads (UserDataService) para mantener vivas nuestras audiencias publicitarias. Esta carga sólo incluye direcciones de correo de usuarios que hayan consentido la categoría "marketing" en algún momento y respecto de los cuales no haya constancia de revocación posterior.
- Sentry (Functional Software, Inc., EE.UU.): Transferencias amparadas por cláusulas contractuales tipo (SCCs). Los *payloads* de error se filtran para eliminar PII antes del envío.
Afini ha realizado una Evaluación de Impacto de las Transferencias (Transfer Impact Assessment — TIA) conforme a la doctrina del Tribunal de Justicia de la UE (asunto C-311/18, *Schrems II*) para cada una de las transferencias descritas, concluyendo que las garantías contractuales y técnicas implementadas aseguran un nivel de protección sustancialmente equivalente al garantizado por el RGPD. Dichas evaluaciones se revisan periódicamente y están disponibles para la autoridad de control previa solicitud.
En ningún caso se transfieren datos a países que carezcan de un nivel adecuado de protección sin las garantías exigidas por el RGPD.
Para usuarios del Reino Unido: Las transferencias de datos fuera del Reino Unido se amparan en el UK International Data Transfer Agreement (IDTA) y/o el UK Addendum a las SCCs de la UE, conforme a lo dispuesto por el Information Commissioner's Office (ICO). El Reino Unido reconoce el EU-U.S. Data Privacy Framework Extension como base para transferencias a EE.UU. Para usuarios de Canadá: Las transferencias de datos fuera de Canadá se realizan conforme a los principios de PIPEDA (Sección 4.1.3), asegurando que los proveedores de servicios ofrecen un nivel de protección comparable mediante acuerdos contractuales vinculantes. Para usuarios de Brasil: Las transferencias internacionales se amparan en las garantías del artículo 33 de la LGPD, incluyendo cláusulas contractuales específicas y el cumplimiento de estándares de protección adecuados certificados por la ANPD.8. Plazo de conservación de los datos
Conservamos tus datos durante los siguientes plazos:
| Tipo de dato | Plazo de conservación | Motivo |
|---|
| Respuestas individuales al test (test.afini.ai) | Se eliminan del servidor una vez generado el informe de resultados. No se almacenan de forma permanente. | Minimización de datos |
| Respuestas a evaluaciones (afini.ai) | Se conservan mientras la cuenta de usuario esté activa, para permitir recalibración del perfil. Eliminación bajo solicitud. | Ejecución del contrato |
| Puntuaciones y resultados agregados | Mientras mantengas tu enlace de acceso activo (test.afini.ai) o tu cuenta activa (afini.ai). Puedes solicitar su eliminación en cualquier momento. | Ejecución del contrato |
| Perfil cognitivo compilado (afini.ai) | Mientras la cuenta de usuario esté activa. Se elimina tras 90 días desde la cancelación de la cuenta. | Ejecución del contrato |
| System prompt compilado (afini.ai) | Idéntico al perfil cognitivo. | Ejecución del contrato |
| Contenido de conversaciones con IA (afini.ai) | Sólo durante la sesión activa. No se almacena de forma persistente tras el cierre de sesión. | Minimización de datos |
| Contabilidad de tokens (afini.ai) | 12 meses desde el registro, renovables por período de suscripción. | Ejecución del contrato |
| Informe de personalidad | Mientras mantengas tu enlace de acceso activo o tu cuenta activa. | Ejecución del contrato |
| Nombre y correo electrónico | Máximo 12 meses desde la realización del test (test.afini.ai) o desde la cancelación de la cuenta (afini.ai), salvo que solicites antes su eliminación. | Ejecución del contrato |
| Datos de facturación / confirmación de pago | 5 años desde la fecha de la transacción. | Obligación legal (art. 30 Código de Comercio; art. 70 Ley General Tributaria) |
| Datos de voucher / invitación | 12 meses desde su canje o expiración. | Interés legítimo (auditoría y control) |
| Registro del consentimiento de cookies | 13 meses desde la última manifestación del consentimiento. | Obligación legal (art. 22 LSSI-CE; Directrices AEPD 2023) |
| Cookies y datos de Google Analytics 4 | Máximo 14 meses desde el último evento del usuario (configuración aplicada en GA4 *User and Event Data Retention*). | Configuración mínima razonable; el dato se anonimiza al expirar |
| Cookies y datos de Google Ads (Enhanced Conversions y atribución) | 90 días para identificadores _gcl_*; 30 días la ventana de atribución de conversión por defecto. | Configuración estándar de Google Ads; ventana ampliable hasta 90 días si activas modelado de conversiones |
| Listas de *remarketing* y *Customer Match* en Google Ads | Hasta 540 días desde la última actividad o desde la subida del registro (máximo permitido por Google). Eliminamos cualquier lista en cuanto un usuario revoca el consentimiento o ejerce el derecho de supresión. | Período máximo permitido por la configuración de Google Ads |
| Datos de Plausible Analytics | No se almacenan identificadores individuales; los eventos agregados se conservan hasta 5 años para análisis histórico de tendencias. | Interés legítimo (analítica agregada) |
| Trazas de error en Sentry | 90 días. | Interés legítimo (depuración) |
Transcurridos los plazos indicados, los datos se eliminarán de forma segura o se anonimizarán de manera irreversible.
Principio de minimización: Sólo conservamos los datos estrictamente necesarios para cada finalidad y durante el tiempo mínimo imprescindible. Eliminación anticipada: Con independencia de los plazos anteriores, puedes solicitar la eliminación de cualquiera de tus datos en cualquier momento escribiendo a info@afini.ai, sin necesidad de esperar a que se cumplan los plazos indicados. Atenderemos tu solicitud en el plazo máximo de un mes. Eliminación de cuenta (afini.ai): Al solicitar la eliminación de tu cuenta, se eliminarán: tu perfil cognitivo, el system prompt compilado, las puntuaciones de todas las evaluaciones y tus datos de identificación. Los datos de facturación se conservarán durante el período legal obligatorio (5 años).9. Tus derechos
De conformidad con el RGPD (artículos 15 a 22) y la LOPDGDD (artículos 12 a 18), tienes los siguientes derechos:
a) Derecho de acceso (art. 15 RGPD): Obtener confirmación de si tratamos tus datos y, en su caso, acceder a ellos y a la información sobre el tratamiento. b) Derecho de rectificación (art. 16 RGPD): Solicitar la corrección de datos personales inexactos o incompletos. c) Derecho de supresión ("derecho al olvido") (art. 17 RGPD): Solicitar la eliminación de tus datos cuando, entre otros supuestos, ya no sean necesarios para la finalidad para la que fueron recogidos, retires tu consentimiento, o los datos hayan sido tratados ilícitamente. d) Derecho a la limitación del tratamiento (art. 18 RGPD): Solicitar que se limite el tratamiento de tus datos en determinadas circunstancias (por ejemplo, mientras se verifica la exactitud de los datos o la licitud del tratamiento). e) Derecho a la portabilidad (art. 20 RGPD): Recibir tus datos personales en un formato estructurado, de uso común y lectura mecánica (JSON o CSV), y transmitirlos a otro responsable del tratamiento. En el caso de afini.ai, este derecho incluye la posibilidad de obtener tu perfil cognitivo en formato JSON portable. f) Derecho de oposición (art. 21 RGPD): Oponerte al tratamiento de tus datos por motivos relacionados con tu situación particular, cuando el tratamiento se base en el interés legítimo. En particular, puedes oponerte al tratamiento de tus datos para fines de analítica agregada con Plausible. g) Derecho a no ser objeto de decisiones individuales automatizadas (art. 22 RGPD): No ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o te afecte significativamente. h) Derecho a retirar el consentimiento para la inyección del perfil en IA (específico de afini.ai): Puedes solicitar en cualquier momento que tu perfil cognitivo deje de inyectarse en el modelo de IA, manteniendo acceso al resto de funcionalidades de tu cuenta. i) Derecho a retirar el consentimiento para cookies analíticas y publicitarias: Puedes revocar tu consentimiento para Google Analytics 4 y Google Ads en cualquier momento reabriendo el banner de cookies desde el enlace "Gestionar cookies" del pie de página. Tu nueva elección sustituirá inmediatamente a la anterior, deshabilitará los identificadores correspondientes en Google Consent Mode y suprimirá las cookies asociadas en el siguiente ciclo de carga. Cómo ejercer tus derechos:- Envía un correo electrónico a info@afini.ai indicando el derecho que deseas ejercer, junto con una copia de tu DNI, pasaporte u otro documento que acredite tu identidad.
- Responderemos a tu solicitud en un plazo máximo de un mes desde su recepción (ampliable a dos meses en casos de especial complejidad, conforme al art. 12.3 RGPD).
- El ejercicio de estos derechos es gratuito, salvo que las solicitudes sean manifiestamente infundadas o excesivas (art. 12.5 RGPD).
Si consideras que el tratamiento de tus datos vulnera la normativa de protección de datos, tienes derecho a presentar una reclamación ante la autoridad de control competente de tu país de residencia:
- España — AEPD (Agencia Española de Protección de Datos): www.aepd.es · C/ Jorge Juan 6, 28001 Madrid · Tel: 901 100 099 / 912 663 517
- Reino Unido — ICO (Information Commissioner's Office): ico.org.uk
- Unión Europea — Otras DPAs: Consulta la autoridad de tu Estado miembro en edpb.europa.eu
- Brasil — ANPD: www.gov.br/anpd
- Canadá — OPC: www.priv.gc.ca
- Australia — OAIC: www.oaic.gov.au
- Estados Unidos — FTC: www.ftc.gov
- Japón — PPC: www.ppc.go.jp
Para cualquier otra jurisdicción, contacta con nosotros en info@afini.ai y te indicaremos la autoridad competente correspondiente.
10. Datos de menores de edad
El servicio de Afini no está dirigido a menores de 16 años. No recogemos intencionadamente datos de menores de 16 años. Si eres menor de 16 años, no utilices este servicio ni nos proporciones datos personales.
Si eres padre, madre o tutor legal y tienes conocimiento de que un menor de 16 años bajo tu responsabilidad ha proporcionado datos personales a Afini, contacta con nosotros en info@afini.ai y procederemos a eliminar dichos datos de forma inmediata.
El límite de 16 años se establece conforme al artículo 7 de la LOPDGDD, que fija en 14 años la edad mínima para prestar consentimiento en España. No obstante, dada la naturaleza especialmente sensible de los datos de personalidad, Afini aplica un umbral de protección reforzada de 16 años.
Nota sobre umbrales internacionales: Distintas jurisdicciones establecen edades mínimas diferentes para el consentimiento digital (13 años en EE.UU. bajo COPPA, 13 años en Canadá bajo PIPEDA, 16 años en Países Bajos y Alemania, 15 años en Francia, 14 años en Austria e Italia, etc.). Afini aplica uniformemente el umbral de 16 años para todas las jurisdicciones, garantizando así el máximo nivel de protección con independencia de la ubicación del usuario.11. Datos especialmente sensibles y categorías especiales
Los datos derivados de evaluaciones de personalidad y del perfil cognitivo, en función de su interpretación y contexto, podrían aproximarse a la categoría de datos relativos a la salud psicológica o al perfil psicológico, categorías que gozan de protección reforzada bajo el artículo 9 del RGPD.
Afini adopta un enfoque de máxima cautela:
- Tratamos los resultados de las evaluaciones de personalidad y el perfil cognitivo compilado con un nivel de protección equivalente al de las categorías especiales de datos, con independencia de si técnicamente se califican como tales.
- Los resultados de tus evaluaciones y tu perfil cognitivo son estrictamente privados: sólo tú tienes acceso a ellos a través de tu enlace personal o tu cuenta de usuario.
- No compartimos, vendemos, cedemos ni ponemos a disposición de terceros tus resultados de personalidad ni tu perfil cognitivo bajo ninguna circunstancia. Esto incluye expresamente a Google: ni Google Analytics, ni Google Ads, ni Google Tag Manager, ni ninguna otra plataforma publicitaria reciben en ningún momento tu perfil cognitivo, tus puntuaciones de personalidad ni tus respuestas a los cuestionarios.
- No utilizamos los resultados ni el perfil para tomar decisiones que te afecten (laborales, aseguradoras, crediticias o de cualquier otra naturaleza).
- No agregamos ni anonimizamos datos de personalidad para crear estudios, estadísticas o productos derivados sin consentimiento explícito e independiente del usuario.
- El perfil cognitivo inyectado en el modelo de IA se utiliza exclusivamente para personalizar la interacción del propio usuario, nunca para clasificarle, segmentarle ni tomar decisiones automatizadas que le afecten.
- No realizamos publicidad personalizada basada en personalidad. Las campañas de Google Ads que ejecutamos pueden incluir audiencias de *remarketing* (usuarios que ya han visitado la Plataforma), audiencias de *Customer Match* (construidas a partir de listas de correo electrónico de fines comerciales) y audiencias *Similar* derivadas de las anteriores. En ningún caso estas audiencias se construyen ni se enriquecen con tus puntuaciones de personalidad, tu perfil cognitivo, tus facetas, tus respuestas a los cuestionarios o cualquier otra inferencia derivada de las evaluaciones psicométricas. La línea es absoluta: los datos del artículo 9 RGPD no salen de Afini, ni siquiera en forma agregada o pseudonimizada, hacia ninguna plataforma publicitaria.
12. Decisiones automatizadas, elaboración de perfiles e inteligencia artificial
12.1. Elaboración de perfil de personalidad
El servicio de Afini genera perfiles de personalidad de forma automatizada a partir de tus respuestas a cuestionarios psicométricos. Estos perfiles se basan en modelos científicos validados (Big Five, teoría del apego, estilos de humor, etc.) y se calculan mediante algoritmos de puntuación estadística estandarizados y públicamente documentados.
12.2. Perfil cognitivo compilado e inyección en IA (afini.ai)
En la plataforma afini.ai, los resultados de todas las evaluaciones se compilan en un perfil cognitivo estructurado (formato JSON). Este perfil se convierte en un system prompt (instrucciones de contexto) que se inyecta en cada conversación con el modelo de IA para personalizar la interacción.
Transparencia sobre el funcionamiento:- El usuario conoce en todo momento qué dimensiones componen su perfil (rasgos, facetas, escalas de apego, estilos de humor, etc.) y su nivel de completitud.
- El perfil se inyecta como contexto del sistema en el modelo de IA, con técnicas de caché (prompt caching) activadas para optimizar el uso de tokens y reducir el coste de la interacción.
- El modelo de IA recibe las instrucciones de personalización pero no retiene el perfil entre sesiones.
- El usuario puede consultar, descargar y solicitar la eliminación de su perfil en cualquier momento.
12.3. Alcance de la decisión automatizada
- Los perfiles generados tienen una finalidad exclusivamente informativa y de autoconocimiento. No se utilizan para tomar ninguna decisión que produzca efectos jurídicos sobre ti ni que te afecte significativamente de modo similar.
- Los perfiles no se utilizan para: selección de personal, evaluación crediticia, determinación de primas de seguros, acceso a servicios, ni ningún otro proceso de toma de decisiones que pueda afectar a tus derechos o intereses.
- No existe ningún sistema de scoring, clasificación, ranking ni categorización de usuarios más allá de la generación del perfil individual de autoconocimiento.
12.4. Tus derechos respecto a decisiones automatizadas y al uso de IA
Conforme al artículo 22 del RGPD, tienes derecho a:
- Obtener intervención humana para la revisión de tu perfil.
- Expresar tu punto de vista sobre los resultados.
- Impugnar los resultados del perfil generado.
- Solicitar que tu perfil no se inyecte en el modelo de IA (manteniendo acceso al resto de funcionalidades).
- Obtener una explicación del significado de cada dimensión de tu perfil y de cómo influye en la interacción con IA.
El resultado que recibas es de carácter exclusivamente informativo y no tiene ningún valor vinculante, diagnóstico ni clínico. Eres libre de usarlo, ignorarlo o interpretarlo como consideres oportuno.
Para ejercer cualquiera de estos derechos, contacta con nosotros en info@afini.ai.
13. Publicidad, medición de conversiones y analítica web
Esta sección detalla cómo funcionan las integraciones publicitarias y analíticas que activamos únicamente con tu consentimiento.
13.1. Google Tag Manager (GTM)
Google Tag Manager es un *contenedor* (no una herramienta de medición en sí misma) que nos permite añadir, editar y desactivar etiquetas de medición y publicidad sin necesidad de modificar el código fuente del sitio. El contenedor se carga con todas las señales de consentimiento (ad_storage, analytics_storage, ad_user_data, ad_personalization, functionality_storage, personalization_storage, security_storage) en valor por defecto denied mediante Google Consent Mode v2. Ninguna etiqueta dentro del contenedor se dispara con identificadores hasta que tu navegador transmita una actualización de consentimiento.
13.2. Google Analytics 4 (GA4)
Cuando otorgas consentimiento a la categoría "analítica", se activan las cookies _ga y _ga_<container_id> para identificar tu navegador entre páginas y sesiones. GA4 nos permite analizar el comportamiento de navegación agregado dentro de la Plataforma. Tu dirección IP se anonimiza por defecto en el EEE (truncamiento de IPv4/IPv6) antes del almacenamiento por parte de Google. La retención de datos de usuario y eventos en GA4 está configurada en 14 meses.
13.3. Google Ads — Conversion Tracking
Cuando otorgas consentimiento a la categoría "marketing", se activan los identificadores _gcl_au, _gcl_aw y _gcl_dc para asociar la compra a la campaña publicitaria que te trajo. La conversión se mide cuando se completa el pago en Stripe.
13.4. Google Ads — Enhanced Conversions
Adicionalmente, cuando das consentimiento a la categoría "marketing", transmitimos a Google un hash SHA-256 de tu dirección de correo electrónico (calculado en el navegador, normalizado en minúsculas y sin espacios) junto con los datos de la transacción. El hash es un identificador derivado: no permite recuperar tu correo en texto plano, pero técnicamente sigue siendo un dato personal pseudonimizado a efectos del RGPD. Su única finalidad es mejorar la atribución de conversiones cuando el usuario haya iniciado sesión en su cuenta de Google con el mismo correo.
13.5. Google Ads — Offline Conversions (Stripe → Google Ads, server-to-server)
Para cubrir los casos en los que el navegador del usuario no llega a disparar el píxel de conversión (porque cierra la pestaña tras pagar, porque su navegador bloquea el píxel, etc.), nuestro backend dispara una llamada server-to-server a la API de Google Ads (ConversionUploadService) desde el handler del webhook checkout.session.completed de Stripe. Esta llamada incluye los mismos campos descritos en la sección anterior (hash SHA-256 del email + GCLID + importe + moneda + identificador opaco de la compra). Es una transferencia que se ejecuta exclusivamente cuando la categoría "marketing" del banner ha sido consentida y el evento corresponde a una compra finalizada. Se utiliza un identificador opaco (order_id) para deduplicar contra el evento disparado por el navegador y evitar conversiones contadas dos veces.
13.6. Plausible Analytics (sin consentimiento, *cookie-free*)
Plausible Analytics es un servicio de analítica web alojado dentro de la Unión Europea (Estonia) que no utiliza cookies, no almacena identificadores únicos persistentes y no permite seguir a usuarios individuales entre sesiones. Solo proporciona métricas agregadas (páginas vistas, países, navegadores, fuentes de tráfico) y, por tanto, no requiere tu consentimiento previo conforme a las Directrices EDPB 03/2023 sobre el ámbito técnico del artículo 5.3 de la Directiva ePrivacy. Si prefieres no aparecer ni siquiera en estas métricas agregadas, puedes activar la opción "Do Not Track" de tu navegador (Plausible respeta la señal DNT) o utilizar extensiones como uBlock Origin que bloqueen plausible.io.
13.7. Audiencias publicitarias y *remarketing*
Afini puede utilizar las siguientes funcionalidades de audiencias publicitarias de Google Ads, siempre condicionadas a tu consentimiento previo a la categoría "marketing":
- Audiencias de *remarketing* (Remarketing Lists for Search Ads): listas de usuarios que han visitado previamente nuestras Plataformas, construidas mediante las cookies
_gcl_*y otros identificadores estándar de Google Ads. Sirven para mostrarte anuncios relevantes cuando vuelves a buscar términos relacionados con nuestro servicio. - Customer Match: listas de direcciones de correo electrónico, transmitidas a Google en formato hash SHA-256, que nos permiten segmentar campañas hacia personas que ya están en nuestra base de datos comercial (por ejemplo, antiguos clientes a los que ofrecer un nuevo producto). El uso de Customer Match requiere acreditar ante Google que disponemos de base jurídica para ello, lo que en nuestro caso es tu consentimiento explícito a la categoría "marketing" del banner de cookies, o, si nos has facilitado tu correo en otro contexto comercial, tu consentimiento separado para el uso publicitario.
- *Similar Audiences* (audiencias similares): audiencias generadas automáticamente por Google a partir de las anteriores, ampliando el alcance hacia perfiles publicitarios estadísticamente parecidos. La generación la realiza Google en sus sistemas; nosotros no transferimos datos adicionales para esta finalidad.
Si activamos formatos publicitarios adicionales que requieran nuevos tipos de cookies o nuevas transferencias (por ejemplo, campañas de Display, YouTube o demás inventario de la red de Google), actualizaremos esta política y reabriremos el banner de consentimiento para los usuarios afectados.
13.8. Inhibición y revocación
Puedes:
- Inhibir desde el origen: rechazar las categorías "analítica" y "marketing" en el banner de cookies cuando aparezca por primera vez.
- Revocar en cualquier momento: reabrir el banner desde el enlace "Gestionar cookies" del pie de página y desmarcar las categorías. Tu nueva elección entrará en vigor en el siguiente ciclo de carga de la página.
- Bloquear a nivel de navegador: instalar un bloqueador de etiquetas (uBlock Origin, Privacy Badger) o desactivar JavaScript para
googletagmanager.com,google-analytics.comygoogleadservices.com. - Deshabilitar publicidad personalizada en tu cuenta de Google: acceder a https://adssettings.google.com/ y desactivar la opción correspondiente.
14. Principios del tratamiento y evaluación de impacto
14.1. Principios rectores (art. 5 RGPD)
El tratamiento de tus datos se rige en todo momento por los siguientes principios:
- Licitud, lealtad y transparencia: Tratamos tus datos de forma lícita, leal y transparente, informándote en todo momento de cómo y para qué los utilizamos.
- Limitación de la finalidad: Tus datos sólo se recogen para finalidades determinadas, explícitas y legítimas, y no se tratarán de forma incompatible con dichas finalidades.
- Minimización de datos: Sólo recogemos los datos adecuados, pertinentes y estrictamente necesarios para las finalidades del tratamiento.
- Exactitud: Mantendremos tus datos actualizados y adoptaremos las medidas razonables para suprimir o rectificar sin dilación los datos inexactos.
- Limitación del plazo de conservación: Conservamos tus datos sólo durante el tiempo necesario para los fines del tratamiento.
- Integridad y confidencialidad: Tratamos tus datos garantizando una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
14.2. Evaluación de Impacto en la Protección de Datos (DPIA)
Dado que el tratamiento de datos de personalidad y perfiles cognitivos puede suponer un riesgo elevado para los derechos y libertades de los interesados, Afini ha realizado una Evaluación de Impacto en la Protección de Datos (DPIA) conforme al artículo 35 del RGPD. Esta evaluación cubre tanto el servicio de test.afini.ai como el servicio de perfil cognitivo con IA de afini.ai, e incluye análisis específico de las integraciones publicitarias descritas en la sección 13.
La evaluación ha concluido que el riesgo residual del tratamiento es moderado-bajo, gracias a las siguientes medidas mitigadoras: eliminación de respuestas individuales tras la generación del informe (test.afini.ai), acceso exclusivo del usuario a sus resultados y perfil, ausencia de compartición del perfil con terceros (incluido Google), cifrado integral de los datos, no persistencia de conversaciones con IA, política de no entrenamiento del proveedor de IA (Anthropic API comercial), Google Consent Mode v2 con valor por defecto denied, segmentación publicitaria sin uso de inferencias de personalidad, y transparencia sobre la composición e inyección del perfil.
La DPIA está disponible para consulta en https://afini.ai/legal/dpia.
15. Medidas de seguridad técnicas y organizativas
Afini implementa medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD para garantizar un nivel de seguridad adecuado al riesgo:
Medidas técnicas:- Cifrado de todas las comunicaciones mediante HTTPS/TLS 1.2+ (cifrado en tránsito).
- Cifrado de la base de datos en reposo (AES-256).
- Acceso a la base de datos restringido mediante credenciales seguras y conexiones cifradas.
- Separación lógica de los datos de cada usuario (aislamiento de sesiones).
- Tokens de acceso únicos y no predecibles para el acceso a los resultados.
- Ausencia de almacenamiento de datos financieros (delegado íntegramente en Stripe).
- Auditoría de accesos a los endpoints de administración.
- Autenticación mediante magic link con *rate limiting* (afini.ai) — sin contraseñas almacenadas.
- Comunicación con la API de Anthropic cifrada extremo a extremo (TLS 1.3).
- Comunicación con la API de Google Ads cifrada extremo a extremo (TLS 1.3) y autenticada mediante OAuth 2.0 con *refresh token* rotado.
- Contabilidad de tokens mediante operaciones atómicas en base de datos (prevención de condiciones de carrera).
- Política de Seguridad de Contenido (CSP) restrictiva con *whitelist* explícita de orígenes permitidos.
- Acceso a los sistemas de administración limitado exclusivamente al personal autorizado.
- Principio de minimización de datos: sólo se recogen y conservan los datos estrictamente necesarios.
- Principio de limitación de la finalidad: los datos sólo se utilizan para las finalidades declaradas en esta política.
- Revisión periódica de las medidas de seguridad.
- Protocolo de notificación de brechas de seguridad conforme a los artículos 33 y 34 del RGPD: en caso de brecha, notificaremos a la AEPD en un plazo máximo de 72 horas y, si procede, a los usuarios afectados sin dilación indebida.
16. Política de cookies y almacenamiento local
Para información detallada sobre el uso de cookies, consulta nuestra Política de Cookies.
Resumen: Las Plataformas utilizan:- Cookies necesarias para el funcionamiento del servicio (sesión, idioma, registro del consentimiento, prevención de fraude vía Stripe y Cloudflare).
- Cookies analíticas y publicitarias (Google Analytics 4, Google Ads) únicamente con tu consentimiento previo, gestionado mediante Google Consent Mode v2 con valor por defecto
denied. - Analítica agregada cookie-free mediante Plausible Analytics, que no requiere consentimiento al no instalar identificadores en tu equipo.
- localStorage del navegador para almacenar técnicamente: token de sesión, preferencia de idioma, perfil activo en afini.ai y registro local del consentimiento.
Puedes revocar el consentimiento a cookies analíticas y publicitarias en cualquier momento reabriendo el banner desde el enlace "Gestionar cookies" del pie de página.
Do Not Track (DNT): Plausible Analytics respeta la señal DNT del navegador. Google Tag Manager y los servicios de Google no respetan DNT por sí solos, pero nuestra integración con Consent Mode v2 garantiza que ningún identificador de Google se establezca hasta que confirmes tu consentimiento.17. Enlaces a terceros
Las Plataformas pueden contener enlaces a sitios web de terceros (por ejemplo, Stripe para el procesamiento de pagos, Anthropic como proveedor de la tecnología de IA, Google para sus términos de servicio publicitarios). Afini no es responsable de las prácticas de privacidad ni del contenido de dichos sitios web externos. Te recomendamos que consultes las políticas de privacidad de cualquier sitio web de terceros que visites.
18. Información específica por jurisdicción
Esta sección contiene información adicional requerida por la legislación de determinadas jurisdicciones. Si resides en alguno de los países o regiones indicados a continuación, las disposiciones de esta sección se aplican además de (y no en sustitución de) las disposiciones generales de esta Política de Privacidad.
18.1. Reino Unido (UK GDPR + Data Protection Act 2018)
Bajo la legislación del Reino Unido (UK GDPR y Data Protection Act 2018), tus derechos de protección de datos son equivalentes a los previstos en el RGPD. La base jurídica, conservación de datos y derechos de acceso se aplican conforme a la ley británica. Puedes presentar reclamaciones ante el ICO (Information Commissioner's Office).
18.2. Estados Unidos de América
Para usuarios en Estados Unidos, además de esta Política de Privacidad, rigen la Children's Online Privacy Protection Act (COPPA) para menores de 13 años, así como las leyes estatales de privacidad de California (CCPA/CPRA), Virginia (VCDPA), Colorado (CPA) y Connecticut (CTDPA), entre otras. Tienes derecho a acceder, rectificar y suprimir tus datos, así como a oponerte al procesamiento. Afini no vende información personal según la definición de la CCPA/CPRA y no comparte información con fines de publicidad cruzada *contextual* o de comportamiento sin tu consentimiento. La transmisión de hash de email a Google Ads para Enhanced Conversions, condicionada a tu opt-in al banner, podría considerarse "sharing" bajo la CPRA — puedes oponerte ejerciendo tu derecho a rechazar la categoría "marketing" del banner de cookies.
18.3. Canadá (PIPEDA y legislación provincial)
Para usuarios en Canadá, tus datos se tratan conforme a PIPEDA (Personal Information Protection and Electronic Documents Act) y a la legislación provincial aplicable (incluyendo la Loi 25 de Quebec). Tienes derecho a acceder a tus datos, solicitar su corrección, y conocer cómo son utilizados.
18.4. Brasil (LGPD — Lei Geral de Proteção de Dados)
Para usuarios en Brasil, tus datos se tratan conforme a la LGPD (Lei Geral de Proteção de Dados — Lei nº 13.709/2018). Tienes derecho a acceder a tus datos, solicitar su corrección, portabilidad, y suprimir. Puedes presentar reclamaciones ante la ANPD (Autoridade Nacional de Proteção de Dados).
18.5. Australia (Privacy Act 1988 + APPs)
Para usuarios en Australia, tus datos se tratan conforme a la Privacy Act 1988 (Cth) y los Australian Privacy Principles (APPs). Tienes derecho a acceder a tus datos, solicitar su corrección, y presentar reclamaciones ante la OAIC (Office of the Australian Information Commissioner).
18.6. Japón (APPI — Act on the Protection of Personal Information)
Para usuarios en Japón, tus datos se tratan conforme a la APPI (Act on the Protection of Personal Information). Tienes derecho a acceder, rectificar, suprimir y solicitar la limitación del tratamiento de tus datos. Puedes presentar reclamaciones ante la PPC (Personal Information Protection Commission).
19. Modificaciones de esta política
Afini se reserva el derecho de modificar esta Política de Privacidad en cualquier momento para adaptarla a novedades legislativas, jurisprudenciales o de nuestra propia práctica empresarial.
Cualquier modificación sustancial será comunicada a través de las propias Plataformas (mediante un aviso visible en el sitio web) y, si dispusiéramos de tu dirección de correo electrónico, mediante un correo electrónico informativo.
La fecha de la última actualización se indica siempre al inicio de este documento. Te recomendamos consultar esta política periódicamente.
20. Legislación aplicable y jurisdicción
Esta Política de Privacidad se rige por la legislación española y europea como normativa principal, y adicionalmente por la legislación de protección de datos aplicable en cada jurisdicción donde residan nuestros usuarios:
Normativa principal (sede del responsable):- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento General de Protección de Datos — RGPD).
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
- Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
- Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (Reglamento de Inteligencia Artificial — AI Act).
- Directiva 2002/58/CE (Directiva ePrivacy), tal como ha sido transpuesta a la legislación española mediante el artículo 22.2 LSSI-CE.
- Reino Unido: UK General Data Protection Regulation (UK GDPR) y Data Protection Act 2018.
- Estados Unidos: California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA); Virginia Consumer Data Protection Act (VCDPA); Colorado Privacy Act (CPA); Connecticut Data Privacy Act (CTDPA); y demás leyes estatales de privacidad aplicables. Children's Online Privacy Protection Act (COPPA) en relación con menores.
- Canadá: Personal Information Protection and Electronic Documents Act (PIPEDA); Loi 25 (Quebec); y legislación provincial aplicable.
- Brasil: Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).
- Australia: Privacy Act 1988 (Cth) y Australian Privacy Principles (APPs).
- Japón: Act on the Protection of Personal Information (APPI).
En caso de conflicto entre disposiciones de distintas jurisdicciones, se aplicará la norma que ofrezca un mayor nivel de protección al usuario.
Para cualquier controversia derivada de esta política, serán competentes los Juzgados y Tribunales de Bilbao, con renuncia expresa a cualquier otro fuero que pudiera corresponder, sin perjuicio de los derechos que la legislación vigente reconozca a los consumidores y usuarios en sus respectivas jurisdicciones de residencia, incluyendo el derecho irrenunciable a acudir a los tribunales de su domicilio en las jurisdicciones donde así lo disponga la ley.
21. Contacto
Para cualquier consulta, solicitud de ejercicio de derechos o reclamación relacionada con la protección de tus datos personales:
- Correo electrónico: info@afini.ai
- Dirección postal: Bilbao AI S.L. — Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), España
*Última actualización: 9 de mayo de 2026*
13. Cómo aprende Afini
A partir de mayo de 2026 Afini incorpora un sistema de capas declaradas que se nutre de tres caminos posibles:
- Formularios manuales: tú escribes directamente en el dashboard.
- Módulos conversacionales: charlas guiadas con la IA donde Afini extrae piezas relevantes.
- Extracción pasiva: durante una conversación libre, Afini detecta menciones que pueden ser relevantes para tu perfil.
Las pistas detectadas pasan por un sistema de dos ejes — confianza (cuán seguros estamos) y sensibilidad (cuán delicada es la categoría) — que decide su destino: auto-inyección, notificación pasiva o bandeja de descubrimientos. Las pistas con sensibilidad alta o confianza media siempre van a la bandeja para que tú decidas.
14. Las capas declaradas
Tu perfil cognitivo extendido tiene 8 capas declaradas:
- Canon (declared_aesthetic): obras y autores que te marcan.
- Espacio negativo (declared_negative): lo que rechazas, tabúes, antimodelos.
- Meta-preferencias (declared_meta): cómo quieres que la IA te hable.
- Marco mental (declared_mental): ídolos, escuelas, posiciones sobre temas grandes.
- Equipamiento operativo (declared_operational): idiomas, jergas, áreas de competencia y de ignorancia consciente.
- Ritmos y geografía (declared_rhythmic): tu cronotipo, ventana de trabajo, anclajes geográficos.
- Contexto vital (declared_structural): rol familiar, profesional, restricciones de salud — sin nombres concretos de terceros.
- Trayectoria intelectual (declared_narrative): tu historia cognitiva en 1500 palabras o menos.
Cada capa tiene su tabla, su política de caducidad y su nivel de sensibilidad. Puedes ver, editar y eliminar cualquier item desde el dashboard.
15. Tu derecho a revisar y eliminar (GDPR Art. 22 / EU AI Act Art. 50)
- Bandeja de descubrimientos: todas las pistas detectadas pasivamente esperan tu visto bueno antes de inyectarse al perfil. Nada se mete sin que lo veas si la sensibilidad es alta.
- GDPR Art. 22: no tomamos decisiones automatizadas con efectos jurídicos sobre ti. Lo que el sistema hace es inyectar contexto a un LLM como prompt — la decisión real sigue siendo tuya y de la IA, no del sistema.
- EU AI Act Art. 50.2: los items de capas que provienen de extracción pasiva van marcados como aiGenerated=true en tu JSON portable. La distinción extracción/inferencia siempre es visible.
- Derecho a borrado:
DELETE /v1/account/databorra TODAS tus tablas — incluidas las capas declaradas, los candidatos en bandeja, los digests, los runs de extracción y las preferencias. - Aparte metodológico: publicamos en
/dashboard/methodologyla regla operativa exacta que decide dónde va cada pista, con thresholds numéricos, tabla por categoría y JSON real.
16. Datos que nunca capturamos
- Nombres concretos de terceros (hijos, parejas, jefes, etc.) en
vital_context. Un validador anti-PII server-side rechaza con HTTP 422 cualquier intento. - Número de tarjeta de crédito o credenciales bancarias.
- Contenido de archivos que subes que no estén en formatos permitidos.
- Localización GPS exacta —
geographic_anchorsadmite ciudades o regiones, no coordenadas. - Datos de menores de 16 años.
14. Aprendizaje en chat (Fase 6, mayo 2026)
A partir de mayo de 2026, los usuarios del plan Profesional pueden activar dos mecánicas de aprendizaje automático adicionales en el chat libre:
Microbotones inline. Mientras chateas, la IA puede ofrecerte microbotones discretos (✓ aceptar / ✗ descartar) para añadir a tu perfil afirmaciones que detecte como estables y claras. Solo se ofrecen para tres capas concretas: tu canon estético, tu espacio negativo (rechazos) y tus meta-preferencias (cómo prefieres que te traten). Las cinco capas más sensibles (marco mental, equipamiento operativo, contexto vital, ritmos, trayectoria) requieren siempre que tú las declares — nunca se proponen automáticamente. Extracción pasiva ampliada. Cada cinco turnos de chat, un modelo ligero (Haiku) revisa tus mensajes para identificar (a) hechos vitales que pueden ir directos a tu Memoria, y (b) asunciones sobre las tres capas allowlisted que entran a tu bandeja de Descubrimientos para que las aceptes o rechaces. Toda asunción con sensibilidad alta se descarta en silencio. Tu control. Puedes desactivar cualquiera de las dos mecánicas en cualquier momento desde Ajustes → Extracción automática. Si las desactivas, los datos ya guardados siguen en tu perfil y los gestionas normalmente desde Memoria y Descubrimientos. Esta página de ajustes está disponible aunque no tengas plan Profesional, para que veas qué se ofrecería en cada plan. Confirmación humana siempre. Ningún microbotón guarda nada hasta que tú lo aceptes. Ninguna asunción extraída pasivamente se inyecta al perfil sin pasar primero por tu bandeja de Descubrimientos. La autonomía del usuario sobre lo que la IA aprende es absoluta: art. 22 RGPD y art. 50 AI Act se respetan por diseño, no por nota a pie de página.