legal.back

Política de Privacidad

Última actualización: 20 de marzo de 2026

Índice

  1. Responsable del tratamiento y ámbito territorial
  2. Delegado de Protección de Datos
  3. Qué datos recogemos
  4. Para qué usamos tus datos (finalidades del tratamiento)
  5. Base jurídica del tratamiento
  6. Destinatarios de los datos
  7. Transferencias internacionales de datos
  8. Plazo de conservación de los datos
  9. Tus derechos
  10. Datos de menores de edad
  11. Datos especialmente sensibles y categorías especiales
  12. Decisiones automatizadas, elaboración de perfiles e inteligencia artificial
  13. Principios del tratamiento y evaluación de impacto
  14. Medidas de seguridad técnicas y organizativas
  15. Política de cookies y almacenamiento local
  16. Enlaces a terceros
  17. Información específica por jurisdicción
  18. Modificaciones de esta política
  19. Legislación aplicable y jurisdicción
  20. Contacto

1. Responsable del tratamiento y ámbito territorial

El responsable del tratamiento de tus datos personales es:

  • Denominación social: Bilbao AI S.L.
  • CIF: B-13759758
  • Domicilio social: Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), España
  • Correo electrónico: info@afini.ai
  • Sitios web: https://test.afini.ai · https://afini.ai

Bilbao AI S.L. (en adelante, "Afini", "nosotros" o "las Plataformas") es titular y responsable de los servicios de evaluación de personalidad y perfil cognitivo accesibles a través de estos sitios web.

Ámbito territorial: Afini ofrece sus servicios a usuarios de todo el mundo. Esta Política de Privacidad ha sido diseñada para cumplir con la normativa de protección de datos aplicable en cada jurisdicción donde operamos, incluyendo — sin limitación — la Unión Europea, el Espacio Económico Europeo, el Reino Unido, los Estados Unidos de América, Canadá, Brasil, Australia y Japón. En caso de conflicto entre disposiciones de distintas jurisdicciones, se aplicará la norma que ofrezca un mayor nivel de protección al usuario.

2. Delegado de Protección de Datos

Dado el tamaño de la organización y la naturaleza de los datos tratados, Afini no está obligada a designar un Delegado de Protección de Datos (DPD/DPO) conforme al artículo 37 del RGPD. No obstante, puedes dirigir cualquier consulta relacionada con la protección de tus datos personales a: info@afini.ai.

3. Qué datos recogemos

Recogemos y tratamos las siguientes categorías de datos personales, según el servicio utilizado y el momento de la interacción:

3.1. Datos proporcionados al comprar o iniciar un test (test.afini.ai)

  • Nombre o pseudónimo
  • Dirección de correo electrónico
  • Edad (opcional)
  • Sexo biológico (opcional, para calibración normativa)
  • Género (opcional)
  • País de residencia (opcional)
  • Preferencia de pronombres (opcional)

3.2. Datos proporcionados al registrarse (afini.ai)

  • Dirección de correo electrónico (obligatorio, para autenticación vía magic link)
  • Nombre o pseudónimo (obligatorio)
  • Datos demográficos de calibración (edad, sexo biológico, país — opcionales, para precisión normativa)

3.3. Datos generados durante la realización de evaluaciones

  • Respuestas individuales a cada ítem de los cuestionarios (escala Likert 1-5)
  • Marca temporal de inicio y finalización de cada evaluación
  • Versión y tipo de evaluación realizada

3.4. Datos del resultado y perfil cognitivo

  • Puntuaciones de los 5 grandes rasgos de personalidad (Apertura, Responsabilidad, Extraversión, Amabilidad, Estabilidad Emocional)
  • Puntuaciones de las 30 facetas de personalidad (en versiones Avanzado y Completo)
  • Puntuaciones de instrumentos adicionales en afini.ai (escalas de apego, estilos de humor, y otros según evolución del servicio)
  • Perfil cognitivo compilado (estructura JSON que integra las puntuaciones de todas las capas evaluadas)
  • System prompt compilado (versión textual del perfil utilizada para la inyección en el modelo de IA)
  • Informe de personalidad narrativo generado por IA

3.5. Datos de interacción con IA (afini.ai)

  • Contenido de las conversaciones con el modelo de IA (mensajes del usuario y respuestas del sistema)
  • Contabilidad de uso: número de tokens de salida consumidos por mes (dato técnico para control de cuota del plan). Los tokens de entrada no computan a efectos de límite mensual
  • Número de peticiones diarias al servicio de IA
Importante: Afini conserva el contenido de las conversaciones con IA durante un máximo de 90 días tras la extracción del perfil cognitivo, con el fin de permitir la recalibración del perfil con modelos mejorados. Transcurrido este plazo, las transcripciones se eliminan automáticamente. El usuario puede solicitar la eliminación inmediata de sus transcripciones en cualquier momento desde su panel de usuario. No se utilizan las conversaciones para entrenar modelos de IA ni se comparten con el proveedor del modelo (Anthropic) para fines de entrenamiento.

3.6. Datos de pago

Afini NO almacena, procesa ni tiene acceso a los datos de tu tarjeta de crédito o débito, número de cuenta bancaria ni ningún otro dato financiero.

Los pagos son gestionados íntegramente por Stripe, Inc., que actúa como procesador de pagos independiente y es responsable del tratamiento de los datos financieros conforme a su propia Política de Privacidad y a la normativa PCI-DSS.

Afini únicamente recibe de Stripe una confirmación de pago exitoso (estado de la transacción e identificador de sesión de Stripe). No recibimos los datos de la tarjeta ni del medio de pago.

3.7. Datos técnicos que NO recogemos

Afini NO almacena de forma persistente:

  • Dirección IP del usuario (se procesa transitoriamente en memoria para limitación de abuso — rate limiting — pero no se registra en base de datos ni en logs)
  • Huella digital del navegador (browser fingerprint)
  • Datos de geolocalización precisa
  • Identificadores de dispositivo
  • Datos de navegación o historial de páginas visitadas dentro o fuera de las Plataformas
  • Cookies de seguimiento, analíticas o publicitarias

4. Para qué usamos tus datos (finalidades del tratamiento)

Tratamos tus datos personales exclusivamente para las siguientes finalidades:

FinalidadDatos utilizadosBase jurídica
-------------------------------------------
Generar tu perfil de personalidad Big FiveRespuestas al test, versión del testEjecución del contrato
Generar y enviarte tu informe de resultadosNombre, email, puntuacionesEjecución del contrato
Permitirte acceder a tus resultados mediante enlace personalEmail, token de sesiónEjecución del contrato
Procesar el pago del servicio (vía Stripe)Confirmación de pagoEjecución del contrato
Canjear un código de invitación (voucher)Código de voucher, nombre, emailEjecución del contrato
Compilar tu perfil cognitivo multicapa (afini.ai)Puntuaciones de todas las evaluaciones realizadasEjecución del contrato
Inyectar tu perfil en el modelo de IA para personalizar la interacción (afini.ai)Perfil cognitivo compiladoEjecución del contrato + Consentimiento
Contabilizar el uso del servicio de IA para control de cuota (afini.ai)Tokens consumidos, peticiones diariasEjecución del contrato
Gestionar tu suscripción (afini.ai)Email, plan, estado de la suscripciónEjecución del contrato
Autenticarte mediante magic link (afini.ai)EmailEjecución del contrato
Responder a tus consultas o solicitudesEmail, nombreInterés legítimo
Cumplir obligaciones legales y fiscalesDatos de facturaciónObligación legal

Lo que NO hacemos con tus datos:

  • NO vendemos tus datos a terceros. Nunca. Bajo ninguna circunstancia.
  • NO compartimos tu perfil de personalidad, tus respuestas, tus resultados ni tu perfil cognitivo con terceros.
  • NO realizamos perfilado publicitario ni segmentación comercial basada en tu personalidad.
  • NO utilizamos tus datos para enviarte publicidad, newsletters o comunicaciones comerciales no solicitadas.
  • NO creamos perfiles de comportamiento basados en tu navegación.
  • NO cedemos tus datos a redes publicitarias, data brokers ni plataformas de marketing.
  • NO utilizamos tus datos para entrenar modelos de inteligencia artificial ni para investigación sin tu consentimiento explícito e independiente.
  • NO compartimos el contenido de tus conversaciones con IA con el proveedor del modelo ni con ningún tercero.

5. Base jurídica del tratamiento

El tratamiento de tus datos se fundamenta en las siguientes bases jurídicas conforme al artículo 6.1 del RGPD:

a) Ejecución de un contrato (art. 6.1.b RGPD): El tratamiento es necesario para la prestación del servicio que has contratado: la realización de evaluaciones de personalidad, la generación de informes, la compilación del perfil cognitivo y la interacción personalizada con IA. La compra del test, el canje de un código de invitación (voucher) o la contratación de una suscripción constituye la aceptación del servicio. b) Consentimiento (art. 6.1.a RGPD): Para los datos demográficos opcionales (edad, género, país), la base jurídica es tu consentimiento libre, específico, informado e inequívoco, manifestado al proporcionarlos voluntariamente. La inyección del perfil cognitivo en el modelo de IA requiere adicionalmente tu consentimiento explícito, que se solicita de forma separada al activar el servicio de interacción con IA. Puedes revocar este consentimiento en cualquier momento escribiendo a info@afini.ai, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada. c) Interés legítimo (art. 6.1.f RGPD): Para la atención de consultas y solicitudes que nos envíes por correo electrónico, basado en nuestro interés legítimo en mantener una comunicación adecuada con los usuarios de nuestro servicio. d) Obligación legal (art. 6.1.c RGPD): Para el cumplimiento de obligaciones fiscales y contables conforme a la legislación española vigente (Ley General Tributaria, Código de Comercio).

6. Destinatarios de los datos

Tus datos personales podrán ser comunicados a los siguientes destinatarios, exclusivamente en la medida necesaria para las finalidades descritas:

DestinatarioFinalidadUbicaciónGarantías
----------------------------------------------
Stripe, Inc.Procesamiento de pagosEE.UU. / UEData Privacy Framework (DPF), cláusulas contractuales tipo
Railway Corp.Alojamiento de la API y base de datos PostgreSQLEE.UU. / UECláusulas contractuales tipo, medidas técnicas complementarias
Cloudflare, Inc.Alojamiento y distribución del sitio web frontend (Cloudflare Workers)EE.UU. / Red globalData Privacy Framework (DPF), cláusulas contractuales tipo
Anthropic PBCProveedor del modelo de IA (LLM) para generación de informes e interacción personalizadaEE.UU.Data Privacy Framework (DPF), cláusulas contractuales tipo, Anthropic Usage Policy (datos no utilizados para entrenamiento)
Resend, Inc.Envío de correos electrónicos transaccionalesEE.UU.Cláusulas contractuales tipo
Tratamiento por parte de Anthropic: Cuando el modelo de IA procesa tu perfil cognitivo o genera un informe, el contenido se envía a los servidores de Anthropic para su procesamiento en tiempo real. Anthropic no retiene el contenido de las peticiones de API para entrenamiento de sus modelos cuando se utiliza la API comercial (conforme a su Usage Policy). El perfil se envía con cada petición y se descarta por Anthropic tras generar la respuesta. No compartimos tus datos con ningún otro tercero. No empleamos servicios de analítica web (como Google Analytics), no utilizamos redes publicitarias, no integramos SDKs de seguimiento y no cedemos datos a ningún otro prestador de servicios, empresa del grupo ni socio comercial.

En caso de que una autoridad administrativa o judicial nos requiera la comunicación de datos conforme a la legislación vigente, procederemos a ello exclusivamente dentro del marco legal aplicable.

7. Transferencias internacionales de datos

Algunos de nuestros proveedores de servicios pueden tratar datos fuera del Espacio Económico Europeo (EEE). En todos los casos, garantizamos que dichas transferencias cuentan con garantías adecuadas conforme al Capítulo V del RGPD:

  • Stripe, Inc. (EE.UU.): Adherido al EU-U.S. Data Privacy Framework (DPF), decisión de adecuación de la Comisión Europea de 10 de julio de 2023. Adicionalmente, Stripe aplica cláusulas contractuales tipo (SCCs) aprobadas por la Comisión Europea.
  • Railway Corp. (EE.UU.): Transferencias amparadas por cláusulas contractuales tipo (SCCs) conforme a la Decisión de Ejecución 2021/914 de la Comisión Europea, complementadas con medidas técnicas adicionales (cifrado en tránsito y en reposo).
  • Cloudflare, Inc. (EE.UU. / red global): Adherido al EU-U.S. Data Privacy Framework (DPF). Adicionalmente, Cloudflare aplica cláusulas contractuales tipo (SCCs) y medidas técnicas complementarias.
  • Anthropic PBC (EE.UU.): Adherido al EU-U.S. Data Privacy Framework (DPF). Los datos enviados a la API comercial de Anthropic se procesan en tiempo real y no se retienen para entrenamiento. Garantías adicionales: cifrado en tránsito (TLS 1.3), procesamiento sin persistencia de datos de peticiones API.
  • Resend, Inc. (EE.UU.): Transferencias amparadas por cláusulas contractuales tipo (SCCs).

Afini ha realizado una Evaluación de Impacto de las Transferencias (Transfer Impact Assessment — TIA) conforme a la doctrina del Tribunal de Justicia de la UE (asunto C-311/18, Schrems II) para cada una de las transferencias descritas, concluyendo que las garantías contractuales y técnicas implementadas aseguran un nivel de protección sustancialmente equivalente al garantizado por el RGPD. Dichas evaluaciones se revisan periódicamente y están disponibles para la autoridad de control previa solicitud.

En ningún caso se transfieren datos a países que carezcan de un nivel adecuado de protección sin las garantías exigidas por el RGPD.

Para usuarios del Reino Unido: Las transferencias de datos fuera del Reino Unido se amparan en el UK International Data Transfer Agreement (IDTA) y/o el UK Addendum a las SCCs de la UE, conforme a lo dispuesto por el Information Commissioner's Office (ICO). El Reino Unido reconoce el EU-U.S. Data Privacy Framework Extension como base para transferencias a EE.UU. Para usuarios de Canadá: Las transferencias de datos fuera de Canadá se realizan conforme a los principios de PIPEDA (Sección 4.1.3), asegurando que los proveedores de servicios ofrecen un nivel de protección comparable mediante acuerdos contractuales vinculantes. Para usuarios de Brasil: Las transferencias internacionales se amparan en las garantías del artículo 33 de la LGPD, incluyendo cláusulas contractuales específicas y el cumplimiento de estándares de protección adecuados certificados por la ANPD.

8. Plazo de conservación de los datos

Conservamos tus datos durante los siguientes plazos:

Tipo de datoPlazo de conservaciónMotivo
-------------------------------------------
Respuestas individuales al test (test.afini.ai)Se eliminan del servidor una vez generado el informe de resultados. No se almacenan de forma permanente.Minimización de datos
Respuestas a evaluaciones (afini.ai)Se conservan mientras la cuenta de usuario esté activa, para permitir recalibración del perfil. Eliminación bajo solicitud.Ejecución del contrato
Puntuaciones y resultados agregadosMientras mantengas tu enlace de acceso activo (test.afini.ai) o tu cuenta activa (afini.ai). Puedes solicitar su eliminación en cualquier momento.Ejecución del contrato
Perfil cognitivo compilado (afini.ai)Mientras la cuenta de usuario esté activa. Se elimina tras 90 días desde la cancelación de la cuenta.Ejecución del contrato
System prompt compilado (afini.ai)Idéntico al perfil cognitivo.Ejecución del contrato
Contenido de conversaciones con IA (afini.ai)Se conserva hasta 90 días tras la extracción del perfil, para permitir recalibración con modelos mejorados. El usuario puede solicitar la eliminación inmediata en cualquier momento. Transcurridos los 90 días, se elimina automáticamente.Ejecución del contrato + Consentimiento
Contabilidad de tokens (afini.ai)12 meses desde el registro, renovables por período de suscripción.Ejecución del contrato
Informe de personalidadMientras mantengas tu enlace de acceso activo o tu cuenta activa.Ejecución del contrato
Nombre y correo electrónicoMáximo 12 meses desde la realización del test (test.afini.ai) o desde la cancelación de la cuenta (afini.ai), salvo que solicites antes su eliminación.Ejecución del contrato
Datos de facturación / confirmación de pago5 años desde la fecha de la transacción.Obligación legal (art. 30 Código de Comercio; art. 70 Ley General Tributaria)
Datos de voucher / invitación12 meses desde su canje o expiración.Interés legítimo (auditoría y control)

Transcurridos los plazos indicados, los datos se eliminarán de forma segura o se anonimizarán de manera irreversible.

Principio de minimización: Sólo conservamos los datos estrictamente necesarios para cada finalidad y durante el tiempo mínimo imprescindible. Eliminación anticipada: Con independencia de los plazos anteriores, puedes solicitar la eliminación de cualquiera de tus datos en cualquier momento escribiendo a info@afini.ai, sin necesidad de esperar a que se cumplan los plazos indicados. Atenderemos tu solicitud en el plazo máximo de un mes. Eliminación de cuenta (afini.ai): Al solicitar la eliminación de tu cuenta, se eliminarán: tu perfil cognitivo, el system prompt compilado, las puntuaciones de todas las evaluaciones y tus datos de identificación. Los datos de facturación se conservarán durante el período legal obligatorio (5 años).

9. Tus derechos

De conformidad con el RGPD (artículos 15 a 22) y la LOPDGDD (artículos 12 a 18), tienes los siguientes derechos:

a) Derecho de acceso (art. 15 RGPD): Obtener confirmación de si tratamos tus datos y, en su caso, acceder a ellos y a la información sobre el tratamiento. b) Derecho de rectificación (art. 16 RGPD): Solicitar la corrección de datos personales inexactos o incompletos. c) Derecho de supresión ("derecho al olvido") (art. 17 RGPD): Solicitar la eliminación de tus datos cuando, entre otros supuestos, ya no sean necesarios para la finalidad para la que fueron recogidos, retires tu consentimiento, o los datos hayan sido tratados ilícitamente. d) Derecho a la limitación del tratamiento (art. 18 RGPD): Solicitar que se limite el tratamiento de tus datos en determinadas circunstancias (por ejemplo, mientras se verifica la exactitud de los datos o la licitud del tratamiento). e) Derecho a la portabilidad (art. 20 RGPD): Recibir tus datos personales en un formato estructurado, de uso común y lectura mecánica (JSON o CSV), y transmitirlos a otro responsable del tratamiento. En el caso de afini.ai, este derecho incluye la posibilidad de obtener tu perfil cognitivo en formato JSON portable. f) Derecho de oposición (art. 21 RGPD): Oponerte al tratamiento de tus datos por motivos relacionados con tu situación particular, cuando el tratamiento se base en el interés legítimo. g) Derecho a no ser objeto de decisiones individuales automatizadas (art. 22 RGPD): No ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o te afecte significativamente. h) Derecho a retirar el consentimiento para la inyección del perfil en IA (específico de afini.ai): Puedes solicitar en cualquier momento que tu perfil cognitivo deje de inyectarse en el modelo de IA, manteniendo acceso al resto de funcionalidades de tu cuenta.

Cómo ejercer tus derechos:

  • Envía un correo electrónico a info@afini.ai indicando el derecho que deseas ejercer, junto con una copia de tu DNI, pasaporte u otro documento que acredite tu identidad.
  • Responderemos a tu solicitud en un plazo máximo de un mes desde su recepción (ampliable a dos meses en casos de especial complejidad, conforme al art. 12.3 RGPD).
  • El ejercicio de estos derechos es gratuito, salvo que las solicitudes sean manifiestamente infundadas o excesivas (art. 12.5 RGPD).

Derecho a reclamar ante la autoridad de control:

Si consideras que el tratamiento de tus datos vulnera la normativa de protección de datos, tienes derecho a presentar una reclamación ante la autoridad de control competente de tu país de residencia:

  • España — AEPD (Agencia Española de Protección de Datos): www.aepd.es · C/ Jorge Juan 6, 28001 Madrid · Tel: 901 100 099 / 912 663 517
  • Reino Unido — ICO (Information Commissioner's Office): ico.org.uk
  • Unión Europea — Otras DPAs: Consulta la autoridad de tu Estado miembro en edpb.europa.eu
  • Brasil — ANPD: www.gov.br/anpd
  • Canadá — OPC: www.priv.gc.ca
  • Australia — OAIC: www.oaic.gov.au
  • Estados Unidos — FTC: www.ftc.gov
  • Japón — PPC: www.ppc.go.jp

Para cualquier otra jurisdicción, contacta con nosotros en info@afini.ai y te indicaremos la autoridad competente correspondiente.

10. Datos de menores de edad

El servicio de Afini no está dirigido a menores de 16 años. No recogemos intencionadamente datos de menores de 16 años. Si eres menor de 16 años, no utilices este servicio ni nos proporciones datos personales.

Si eres padre, madre o tutor legal y tienes conocimiento de que un menor de 16 años bajo tu responsabilidad ha proporcionado datos personales a Afini, contacta con nosotros en info@afini.ai y procederemos a eliminar dichos datos de forma inmediata.

El límite de 16 años se establece conforme al artículo 7 de la LOPDGDD, que fija en 14 años la edad mínima para prestar consentimiento en España. No obstante, dada la naturaleza especialmente sensible de los datos de personalidad, Afini aplica un umbral de protección reforzada de 16 años.

Nota sobre umbrales internacionales: Distintas jurisdicciones establecen edades mínimas diferentes para el consentimiento digital (13 años en EE.UU. bajo COPPA, 13 años en Canadá bajo PIPEDA, 16 años en Países Bajos y Alemania, 15 años en Francia, 14 años en Austria e Italia, etc.). Afini aplica uniformemente el umbral de 16 años para todas las jurisdicciones, garantizando así el máximo nivel de protección con independencia de la ubicación del usuario.

11. Datos especialmente sensibles y categorías especiales

Los datos derivados de evaluaciones de personalidad y del perfil cognitivo, en función de su interpretación y contexto, podrían aproximarse a la categoría de datos relativos a la salud psicológica o al perfil psicológico, categorías que gozan de protección reforzada bajo el artículo 9 del RGPD.

Afini adopta un enfoque de máxima cautela:

  • Tratamos los resultados de las evaluaciones de personalidad y el perfil cognitivo compilado con un nivel de protección equivalente al de las categorías especiales de datos, con independencia de si técnicamente se califican como tales.
  • Los resultados de tus evaluaciones y tu perfil cognitivo son estrictamente privados: sólo tú tienes acceso a ellos a través de tu enlace personal o tu cuenta de usuario.
  • No compartimos, vendemos, cedemos ni ponemos a disposición de terceros tus resultados de personalidad ni tu perfil cognitivo bajo ninguna circunstancia.
  • No utilizamos los resultados ni el perfil para tomar decisiones que te afecten (laborales, aseguradoras, crediticias o de cualquier otra naturaleza).
  • No agregamos ni anonimizamos datos de personalidad para crear estudios, estadísticas o productos derivados sin consentimiento explícito e independiente del usuario.
  • El perfil cognitivo inyectado en el modelo de IA se utiliza exclusivamente para personalizar la interacción del propio usuario, nunca para clasificarle, segmentarle ni tomar decisiones automatizadas que le afecten.

12. Decisiones automatizadas, elaboración de perfiles e inteligencia artificial

12.1. Elaboración de perfil de personalidad

El servicio de Afini genera perfiles de personalidad de forma automatizada a partir de tus respuestas a cuestionarios psicométricos. Estos perfiles se basan en modelos científicos validados (Big Five, teoría del apego, estilos de humor, etc.) y se calculan mediante algoritmos de puntuación estadística estandarizados y públicamente documentados.

12.2. Perfil cognitivo compilado e inyección en IA (afini.ai)

En la plataforma afini.ai, los resultados de todas las evaluaciones se compilan en un perfil cognitivo estructurado (formato JSON). Este perfil se convierte en un system prompt (instrucciones de contexto) que se inyecta en cada conversación con el modelo de IA para personalizar la interacción.

Transparencia sobre el funcionamiento:
  • El usuario conoce en todo momento qué dimensiones componen su perfil (rasgos, facetas, escalas de apego, estilos de humor, etc.) y su nivel de completitud.
  • El perfil se inyecta como contexto del sistema en el modelo de IA, con técnicas de caché (prompt caching) activadas para optimizar el uso de tokens y reducir el coste de la interacción.
  • El modelo de IA recibe las instrucciones de personalización pero no retiene el perfil entre sesiones.
  • El usuario puede consultar, descargar y solicitar la eliminación de su perfil en cualquier momento.

12.3. Alcance de la decisión automatizada

  • Los perfiles generados tienen una finalidad exclusivamente informativa y de autoconocimiento. No se utilizan para tomar ninguna decisión que produzca efectos jurídicos sobre ti ni que te afecte significativamente de modo similar.
  • Los perfiles no se utilizan para: selección de personal, evaluación crediticia, determinación de primas de seguros, acceso a servicios, ni ningún otro proceso de toma de decisiones que pueda afectar a tus derechos o intereses.
  • No existe ningún sistema de scoring, clasificación, ranking ni categorización de usuarios más allá de la generación del perfil individual de autoconocimiento.

12.4. Tus derechos respecto a decisiones automatizadas y al uso de IA

Conforme al artículo 22 del RGPD, tienes derecho a:

  • Obtener intervención humana para la revisión de tu perfil.
  • Expresar tu punto de vista sobre los resultados.
  • Impugnar los resultados del perfil generado.
  • Solicitar que tu perfil no se inyecte en el modelo de IA (manteniendo acceso al resto de funcionalidades).
  • Obtener una explicación del significado de cada dimensión de tu perfil y de cómo influye en la interacción con IA.

El resultado que recibas es de carácter exclusivamente informativo y no tiene ningún valor vinculante, diagnóstico ni clínico. Eres libre de usarlo, ignorarlo o interpretarlo como consideres oportuno.

Para ejercer cualquiera de estos derechos, contacta con nosotros en info@afini.ai.

13. Principios del tratamiento y evaluación de impacto

13.1. Principios rectores (art. 5 RGPD)

El tratamiento de tus datos se rige en todo momento por los siguientes principios:

  • Licitud, lealtad y transparencia: Tratamos tus datos de forma lícita, leal y transparente, informándote en todo momento de cómo y para qué los utilizamos.
  • Limitación de la finalidad: Tus datos sólo se recogen para finalidades determinadas, explícitas y legítimas, y no se tratarán de forma incompatible con dichas finalidades.
  • Minimización de datos: Sólo recogemos los datos adecuados, pertinentes y estrictamente necesarios para las finalidades del tratamiento.
  • Exactitud: Mantendremos tus datos actualizados y adoptaremos las medidas razonables para suprimir o rectificar sin dilación los datos inexactos.
  • Limitación del plazo de conservación: Conservamos tus datos sólo durante el tiempo necesario para los fines del tratamiento.
  • Integridad y confidencialidad: Tratamos tus datos garantizando una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.

13.2. Evaluación de Impacto en la Protección de Datos (DPIA)

Dado que el tratamiento de datos de personalidad y perfiles cognitivos puede suponer un riesgo elevado para los derechos y libertades de los interesados, Afini ha realizado una Evaluación de Impacto en la Protección de Datos (DPIA) conforme al artículo 35 del RGPD. Esta evaluación cubre tanto el servicio de test.afini.ai como el servicio de perfil cognitivo con IA de afini.ai.

La evaluación ha concluido que el riesgo residual del tratamiento es moderado-bajo, gracias a las siguientes medidas mitigadoras: eliminación de respuestas individuales tras la generación del informe (test.afini.ai), acceso exclusivo del usuario a sus resultados y perfil, ausencia de compartición con terceros, cifrado en tránsito y cifrado en reposo a nivel de infraestructura, retención limitada de conversaciones con IA (máximo 90 días con eliminación automática), eliminación self-service de cuenta y datos, política de no entrenamiento del proveedor de IA (Anthropic API comercial), y transparencia sobre la composición e inyección del perfil.

14. Medidas de seguridad técnicas y organizativas

Afini implementa medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD para garantizar un nivel de seguridad adecuado al riesgo:

Medidas técnicas:

  • Cifrado de todas las comunicaciones mediante HTTPS/TLS 1.2+ (cifrado en tránsito).
  • Cifrado de la base de datos en reposo proporcionado por el proveedor de infraestructura (Railway/PostgreSQL). Afini evalúa periódicamente la implementación de cifrado adicional a nivel de columna para datos especialmente sensibles (conversaciones, perfiles cognitivos).
  • Acceso a la base de datos restringido mediante credenciales seguras y conexiones cifradas.
  • Separación lógica de los datos de cada usuario (aislamiento de sesiones).
  • Tokens de acceso únicos y no predecibles para el acceso a los resultados.
  • Ausencia de almacenamiento de datos financieros (delegado íntegramente en Stripe).
  • Eliminación self-service de cuenta y todos los datos asociados desde el panel de usuario (RGPD Art. 17).
  • Autenticación mediante magic link con rate limiting (afini.ai) — sin contraseñas almacenadas.
  • Comunicación con la API de Anthropic cifrada extremo a extremo (TLS 1.3).
  • Contabilidad de tokens mediante operaciones atómicas en base de datos (prevención de condiciones de carrera).

Medidas organizativas:

  • Acceso a los sistemas de administración limitado exclusivamente al personal autorizado.
  • Principio de minimización de datos: sólo se recogen y conservan los datos estrictamente necesarios.
  • Principio de limitación de la finalidad: los datos sólo se utilizan para las finalidades declaradas en esta política.
  • Revisión periódica de las medidas de seguridad.
  • Protocolo de notificación de brechas de seguridad conforme a los artículos 33 y 34 del RGPD: en caso de brecha, notificaremos a la AEPD en un plazo máximo de 72 horas y, si procede, a los usuarios afectados sin dilación indebida.

15. Política de cookies y almacenamiento local

Para información detallada sobre el uso de cookies en estos sitios web, consulta nuestra Política de Cookies.

15.1. Cookies

Las Plataformas utilizan una mínima cantidad de cookies, limitadas a lo estrictamente necesario para el funcionamiento del servicio y el procesamiento seguro de pagos:

  • No utilizamos cookies propias de seguimiento.
  • No utilizamos cookies analíticas (no hay Google Analytics, Hotjar, Mixpanel ni ningún otro servicio de analítica).
  • No utilizamos cookies publicitarias ni de retargeting.
  • No utilizamos cookies de redes sociales.
  • Stripe, nuestra pasarela de pago, puede establecer cookies técnicas durante el proceso de pago para la prevención del fraude.

15.2. Almacenamiento local del navegador (localStorage)

Utilizamos el almacenamiento local del navegador (localStorage) exclusivamente para:

  • Almacenar tu token de sesión que te permite acceder a tu test en curso, a tus resultados y a tu cuenta de usuario.
  • Almacenar tu preferencia de idioma.
  • Estos tokens son identificadores técnicos necesarios para el funcionamiento del servicio y no contienen datos personales.
  • No utilizamos localStorage para seguimiento, perfilado ni ninguna otra finalidad distinta de la funcionalidad esencial del servicio.

15.3. No rastreo (Do Not Track)

Afini respeta la señal Do Not Track (DNT) de tu navegador. No obstante, dado que no realizamos ningún tipo de seguimiento o rastreo, esta señal no tiene un efecto práctico adicional sobre nuestro servicio.

16. Enlaces a terceros

Las Plataformas pueden contener enlaces a sitios web de terceros (por ejemplo, Stripe para el procesamiento de pagos, Anthropic como proveedor de la tecnología de IA). Afini no es responsable de las prácticas de privacidad ni del contenido de dichos sitios web externos. Te recomendamos que consultes las políticas de privacidad de cualquier sitio web de terceros que visites.

17. Información específica por jurisdicción

Esta sección contiene información adicional requerida por la legislación de determinadas jurisdicciones. Si resides en alguno de los países o regiones indicados a continuación, las disposiciones de esta sección se aplican además de (y no en sustitución de) las disposiciones generales de esta Política de Privacidad.

17.1. Reino Unido (UK GDPR + Data Protection Act 2018)

Bajo la legislación del Reino Unido (UK GDPR y Data Protection Act 2018), tus derechos de protección de datos son equivalentes a los previstos en el RGPD. La base jurídica, conservación de datos y derechos de acceso se aplican conforme a la ley británica. Puedes presentar reclamaciones ante el ICO (Information Commissioner's Office).

17.2. Estados Unidos de América

Para usuarios en Estados Unidos, además de esta Política de Privacidad, rigen la Children's Online Privacy Protection Act (COPPA) para menores de 13 años, así como las leyes estatales de privacidad de California (CCPA/CPRA), Virginia (VCDPA), Colorado (CPA) y Connecticut (CTDPA), entre otras. Tienes derecho a acceder, rectificar y suprimir tus datos, así como a oponerte al procesamiento. Afini no vende información personal según la definición de la CCPA/CPRA.

17.3. Canadá (PIPEDA y legislación provincial)

Para usuarios en Canadá, tus datos se tratan conforme a PIPEDA (Personal Information Protection and Electronic Documents Act) y a la legislación provincial aplicable (incluyendo la Loi 25 de Quebec). Tienes derecho a acceder a tus datos, solicitar su corrección, y conocer cómo son utilizados.

17.4. Brasil (LGPD — Lei Geral de Proteção de Dados)

Para usuarios en Brasil, tus datos se tratan conforme a la LGPD (Lei Geral de Proteção de Dados — Lei nº 13.709/2018). Tienes derecho a acceder a tus datos, solicitar su corrección, portabilidad, y suprimir. Puedes presentar reclamaciones ante la ANPD (Autoridade Nacional de Proteção de Dados).

17.5. Australia (Privacy Act 1988 + APPs)

Para usuarios en Australia, tus datos se tratan conforme a la Privacy Act 1988 (Cth) y los Australian Privacy Principles (APPs). Tienes derecho a acceder a tus datos, solicitar su corrección, y presentar reclamaciones ante la OAIC (Office of the Australian Information Commissioner).

17.6. Japón (APPI — Act on the Protection of Personal Information)

Para usuarios en Japón, tus datos se tratan conforme a la APPI (Act on the Protection of Personal Information). Tienes derecho a acceder, rectificar, suprimir y solicitar la limitación del tratamiento de tus datos. Puedes presentar reclamaciones ante la PPC (Personal Information Protection Commission).

18. Modificaciones de esta política

Afini se reserva el derecho de modificar esta Política de Privacidad en cualquier momento para adaptarla a novedades legislativas, jurisprudenciales o de nuestra propia práctica empresarial.

Cualquier modificación sustancial será comunicada a través de las propias Plataformas (mediante un aviso visible en el sitio web) y, si dispusiéramos de tu dirección de correo electrónico, mediante un correo electrónico informativo.

La fecha de la última actualización se indica siempre al inicio de este documento. Te recomendamos consultar esta política periódicamente.

19. Legislación aplicable y jurisdicción

Esta Política de Privacidad se rige por la legislación española y europea como normativa principal, y adicionalmente por la legislación de protección de datos aplicable en cada jurisdicción donde residan nuestros usuarios:

Normativa principal (sede del responsable):

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento General de Protección de Datos — RGPD).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
  • Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (Reglamento de Inteligencia Artificial / AI Act).

Normativa adicional aplicable según la jurisdicción del usuario:

  • Reino Unido: UK General Data Protection Regulation (UK GDPR) y Data Protection Act 2018.
  • Estados Unidos: California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA); Virginia Consumer Data Protection Act (VCDPA); Colorado Privacy Act (CPA); Connecticut Data Privacy Act (CTDPA); y demás leyes estatales de privacidad aplicables. Children's Online Privacy Protection Act (COPPA) en relación con menores.
  • Canadá: Personal Information Protection and Electronic Documents Act (PIPEDA); Loi 25 (Quebec); y legislación provincial aplicable.
  • Brasil: Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).
  • Australia: Privacy Act 1988 (Cth) y Australian Privacy Principles (APPs).
  • Japón: Act on the Protection of Personal Information (APPI).

En caso de conflicto entre disposiciones de distintas jurisdicciones, se aplicará la norma que ofrezca un mayor nivel de protección al usuario.

Para cualquier controversia derivada de esta política, serán competentes los Juzgados y Tribunales de Bilbao, con renuncia expresa a cualquier otro fuero que pudiera corresponder, sin perjuicio de los derechos que la legislación vigente reconozca a los consumidores y usuarios en sus respectivas jurisdicciones de residencia, incluyendo el derecho irrenunciable a acudir a los tribunales de su domicilio en las jurisdicciones donde así lo disponga la ley.

20. Contacto

Para cualquier consulta, solicitud de ejercicio de derechos o reclamación relacionada con la protección de tus datos personales:

  • Correo electrónico: info@afini.ai
  • Dirección postal: Bilbao AI S.L. — Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), España

*Última actualización: 20 de marzo de 2026*

legal.lastUpdated: legal.date

privacy.pageTitle