Política de Privacidad
Última actualización: 24 de abril de 2026 · Versión Omnibus 1.0 · Ejercer sus derechos →
Secciones generales
1. Introducción
Esta Política describe cómo Brainiall Inc. ("Brainiall", "nosotros") recopila, usa, almacena, comparte y protege sus datos personales al utilizar el servicio chat.brainiall.com y las APIs asociadas, incluyendo funcionalidades de chat, generación de imagen/vídeo, síntesis de voz y transcripción ("Servicio").
Este es un documento unificado (omnibus) que cubre diez regímenes de protección de datos. Las secciones generales aplican a todos los usuarios; las secciones por jurisdicción (ver navegación arriba) incluyen derechos, plazos y autoridades locales.
Delegado de Protección de Datos (DPO): dpo@brainiall.com · Privacidad general: privacy@brainiall.com
2. Datos que Recopilamos
2.1 Proporcionados por usted
- Identidad y cuenta: nombre, correo electrónico, avatar (vía OAuth de Google/Apple), idioma preferido.
- Contenido generado por el usuario: prompts de texto, audio subido para transcripción, archivos y contenido generado por el Servicio.
- Pagos: procesados por Stripe, Inc. (PCI-DSS Nivel 1). Solo almacenamos el identificador de cliente Stripe (
stripe_customer_id) y metadatos de suscripción. - Soporte: mensajes intercambiados con nuestro canal de atención.
2.2 Recopilados automáticamente
- Técnicos: dirección IP hasheada, User-Agent, tipo de dispositivo, huella anónima para prevención de abuso (retención 30 días).
- Sesión: cookie
HttpOnly,Secure,SameSite=Lax. - Telemetría de uso: contadores de mensajes, créditos consumidos, tiempos de respuesta.
- Analytics opt-in: Google Analytics, Microsoft Clarity — solo con consentimiento.
2.3 Datos sensibles (opt-in)
- Biometría de voz (Voice Translate / Voice Clone) — cifrada, eliminable en Configuración.
3. Cómo Usamos Sus Datos
- Prestación del Servicio: autenticación, respuestas de IA, generación de contenido, procesamiento de créditos.
- Facturación: suscripciones y recibos.
- Seguridad y prevención de fraude.
- Comunicación transaccional y marketing (este último solo con consentimiento).
- Mejora del producto: análisis agregados. Sus prompts NO se utilizan para entrenar modelos (obligación contractual).
- Cumplimiento legal.
5. Retención de Datos
| Categoría | Plazo |
|---|---|
| Datos de cuenta | Mientras la cuenta esté activa; eliminación en 30 días tras solicitud |
| Historial de conversaciones | Hasta que lo elimine manualmente |
| Logs de seguridad | 90 días |
| Analytics anonimizado | 12 meses, luego agregado |
| Registros fiscales | Hasta 10 años (obligación legal) |
6. Sus Derechos (base universal)
Honramos globalmente los derechos fundamentales independientemente de la jurisdicción:
- Acceso: copia JSON en
/api/account/export. - Rectificación, eliminación, portabilidad, restricción, oposición, retirada del consentimiento, no discriminación.
7. Seguridad
- TLS 1.3 en tránsito; cifrado en reposo para datos sensibles.
- Autenticación OAuth (sin contraseñas almacenadas).
- HSTS, CSP, cabeceras de endurecimiento en todas las rutas.
- Principio de mínimo privilegio; rotación trimestral de secretos.
- Notificación de brechas: dentro del plazo regulatorio aplicable.
8. Menores
El Servicio está destinado a mayores de 18 años.
9. Cambios
Cambios materiales: aviso por correo y en el Servicio con 15 a 30 días de antelación.
10. Contacto
Brainiall Inc. · DPO: dpo@brainiall.com · privacy@brainiall.com · security@brainiall.com · ai-governance@brainiall.com
🇧🇷 LGPD — Brasil (Ley 13.709/2018)
- Regulador
- Autoridad Nacional de Protección de Datos — ANPD
- DPO
- dpo@brainiall.com
- Plazo de respuesta
- 15 días (art. 19)
- Bases legales
- Consentimiento (I), contrato (V), interés legítimo (IX), obligación legal (II)
- Transferencias
- SCCs + adecuación cuando aplicable (art. 33)
- Notificación de brecha
- A la ANPD y titulares en plazo razonable (art. 48)
Derechos (art. 18): confirmación, acceso, corrección, anonimización/bloqueo/eliminación, portabilidad, revocación, información sobre compartición, revisión de decisiones automatizadas, petición a la ANPD.
🇪🇺 GDPR — Unión Europea (Reg. 2016/679)
- Reguladores
- Autoridades nacionales — edpb.europa.eu
- DPO
- dpo@brainiall.com
- Representante UE (art. 27)
- eu-rep@brainiall.com (B2B)
- Plazo
- 1 mes + 2 adicionales
- Bases legales (art. 6)
- Contrato, interés legítimo, consentimiento, obligación legal
- Transferencias
- SCCs 2021/914 + TIA; EU-US DPF cuando aplicable
- Notificación de brecha
- DPA en 72h; titular si riesgo alto
Derechos (art. 15-22): acceso, rectificación, supresión, restricción, portabilidad, oposición, no a decisiones automatizadas. Reclamación a la DPA local.
🇬🇧 UK GDPR + Data Protection Act 2018
- Regulador
- Information Commissioner's Office (ICO)
- DPO
- dpo@brainiall.com
- Rep. UK (art. 27)
- uk-rep@brainiall.com
- Plazo
- 1 mes (+2)
- Transferencias
- UK IDTA o Addendum SCCs UE
- Notificación de brecha
- ICO en 72h
🇺🇸 CCPA / CPRA — California
- Reguladores
- CPPA + Fiscal General
- Privacy Officer
- dpo@brainiall.com
- Plazo
- 45 días (+45)
- Venta/compartición
- No vendemos ni compartimos con fines publicitarios contextuales cruzados.
Derechos: conocer, eliminar, corregir, opt-out, limitar datos sensibles, no discriminación. Agentes autorizados aceptados.
🇯🇵 APPI — Japón
- Regulador
- PPC
- DPO
- dpo@brainiall.com
- Plazo
- Sin demora indebida; objetivo 30 días
- Transferencias (art. 28)
- Consentimiento informado o contrato equivalente
Derechos (art. 28-34): divulgación, corrección, suspensión de uso, suspensión de provisión a terceros, eliminación.
🇸🇦 PDPL — Arabia Saudí
- Regulador
- SDAIA
- DPO
- dpo@brainiall.com
- Plazo
- 30 días
- Transferencias
- Adecuación SDAIA o salvaguardias equivalentes
- Brecha
- A SDAIA en 72h
🇦🇪 UDPL — EAU (Federal Decree-Law 45/2021)
- Reguladores
- UAE Data Office + DIFC Commissioner + ADGM Office
- DPO
- dpo@brainiall.com
- Plazo
- Hasta 30 días
🇨🇦 PIPEDA — Canadá
- Regulador
- OPC + provinciales (CAI, Alberta, BC)
- DPO
- dpo@brainiall.com
- Plazo
- 30 días
🇳🇬 NDPA — Nigeria (2023)
- Regulador
- NDPC
- DPO
- dpo@brainiall.com
- Plazo
- Hasta 30 días
- Brecha
- NDPC en 72h (§40)
Derechos (§26-§37): información, acceso, rectificación, supresión, restricción, portabilidad, oposición, no a decisiones automatizadas adversas.
🇮🇳 DPDP — India (2023)
- Regulador
- Data Protection Board of India (DPBI)
- DPO
- dpo@brainiall.com
- Plazo
- 30 días por defecto
- Base legal (§6)
- Consentimiento con aviso; "usos legítimos" (§7)
Derechos (§11-§15): acceso, corrección/supresión, reparación, nominación para ejercicio post-fallecimiento.
🤖 Ley de IA de la UE — Artículo 50
- Marco
- Reglamento (UE) 2024/1689
- Gobernanza IA
- ai-governance@brainiall.com
Transparencia (art. 50):
- Al usar Brainiall Chat está interactuando con un sistema de IA. Banner explícito en
/chat. - Respuestas, imágenes, vídeos y audio son contenido generado por IA. Metadatos de procedencia (C2PA roadmap Jul/2026) y marcas de agua cuando sea viable.
- No realizamos reconocimiento de emociones (art. 5(1)(f)) ni categorización biométrica sensible (art. 5(1)(g)). Sin social scoring.
- Deepfakes creados en Studio etiquetados automáticamente (art. 50(4)).
- Canal de denuncia: trust@brainiall.com.
Ejercer derechos · Términos · DPA · Subprocesadores · Contactar DPO