Política de Privacidad
Última actualización: 27 de abril de 2026 — Versión 3.0 GDPR Compatible
Índice
- Responsable del tratamiento
- Datos que recopilamos
- Base legal del tratamiento
- Tabla de retención de datos
- Uso de los datos
- Imágenes generadas por IA
- Compartición con terceros y sub-encargados
- Transferencias internacionales
- Cookies y almacenamiento local
- Seguridad
- Tus derechos (GDPR / LGPD / LFPDPPP)
- Eliminar tu cuenta
- Menores de edad
- Cambios a esta política
- Contacto y DPO
1. Responsable del tratamiento
TextOnFlow es el responsable del tratamiento de los datos personales recopilados a través de la plataforma accesible en www.textonflow.com.
- Empresa: TextOnFlow
- Domicilio: Cabo San Lucas, Baja California Sur, México
- Email de contacto: hola@textonflow.com
- Contacto de privacidad: privacidad@textonflow.com
2. Datos que recopilamos
2.1 Datos de registro de cuenta
- Dirección de email: Utilizada para autenticación, comunicaciones de servicio y recuperación de contraseña.
- Contraseña hasheada: Almacenada únicamente como hash bcrypt. Nunca almacenamos la contraseña en texto plano.
- Fecha de creación de cuenta: Para gestión del período de prueba y comunicaciones.
- Plan activo y contadores de uso: Para aplicar los límites del plan contratado.
2.2 Datos de uso del editor
- Proyectos guardados: El layout JSON de diseños que guardas voluntariamente. Almacenado en nuestra base de datos.
- Imágenes cargadas: Procesadas en memoria RAM durante la solicitud. No se almacenan en ningún sistema de archivos o base de datos.
- URLs de imágenes: Utilizadas exclusivamente para cargar y procesar la imagen solicitada.
- Variables de personalización (
{"{{"}nombre{"}}"},{"{{"}ciudad{"}}"}): Procesadas en tiempo de solicitud sin almacenamiento persistente.
2.3 Datos técnicos de acceso
- Dirección IP: Registrada en logs del servidor para seguridad y diagnóstico.
- User-Agent del navegador: Para compatibilidad y diagnóstico técnico.
- Timestamps de solicitudes: Para análisis de rendimiento y detección de abuso.
2.4 Datos de facturación
El procesamiento de pagos lo realiza Stripe directamente. TextOnFlow no almacena datos de tarjetas de crédito. Únicamente conservamos el identificador de cliente Stripe y el estado de la suscripción.
3. Base legal del tratamiento
| Tipo de tratamiento | Base legal |
|---|---|
| Gestión de cuenta y autenticación | Ejecución del contrato (Art. 6.1.b GDPR) |
| Procesamiento de imágenes y renders | Ejecución del contrato (Art. 6.1.b GDPR) |
| Facturación y pagos | Obligación legal + ejecución del contrato |
| Logs de seguridad y diagnóstico | Interés legítimo (Art. 6.1.f GDPR) |
| Comunicaciones de servicio (cambios, incidentes) | Interés legítimo (Art. 6.1.f GDPR) |
| Registros fiscales y contables | Obligación legal (Art. 6.1.c GDPR) |
4. Tabla de retención de datos
| Dato | Período de retención | Justificación |
|---|---|---|
| Email y contraseña (hash) | Mientras la cuenta esté activa | Necesario para la prestación del servicio |
| Proyectos guardados | Mientras la cuenta esté activa | Servicio solicitado por el usuario |
| Contador de renders | Mientras la cuenta esté activa | Aplicación de límites del plan |
| Imágenes cargadas | 0 segundos (solo en memoria durante el proceso) | Procesamiento efímero |
| Logs técnicos con IP | 30 días | Seguridad y diagnóstico |
| ID de cliente Stripe | 7 años tras última transacción | Obligación fiscal y legal |
| Historial de facturación | 7 años | Obligación fiscal (LISR México, IRS EEUU) |
| Datos tras eliminación de cuenta | Datos de cuenta: eliminados inmediatamente. Logs anónimos: 30 días. Registros fiscales: 7 años. | Derechos GDPR + obligación legal |
5. Uso de los datos
Los datos recopilados se utilizan exclusivamente para:
- Autenticar y gestionar tu cuenta de usuario.
- Generar y entregar imágenes personalizadas solicitadas a través del editor o la API.
- Aplicar los límites de uso correspondientes a tu plan.
- Procesar pagos y gestionar suscripciones.
- Mantener la seguridad, el funcionamiento y la disponibilidad del servicio.
- Cumplir con obligaciones legales y regulatorias.
No utilizamos tus datos para publicidad, perfilado comercial ni los vendemos a terceros.
6. Imágenes generadas por IA
Cuando utilizas la función "Crear con IA", tu descripción de texto se envía a los servidores de Google Gemini para generar la imagen. Esto implica:
- Tu prompt textual es procesado por Google bajo sus propias políticas de privacidad.
- TextOnFlow no almacena los prompts ni las imágenes resultantes más allá del tiempo necesario para entregarlas.
- Esta interacción está sujeta a la Política de Privacidad de Google.
7. Compartición con terceros y sub-encargados
TextOnFlow no vende datos personales. Solo compartimos datos con los siguientes sub-encargados necesarios para la prestación del servicio:
| Sub-encargado | Función | Datos compartidos | País |
|---|---|---|---|
| Google LLC (Gemini AI) | Generación de imágenes con IA | Prompts de texto del usuario | EE.UU. |
| Railway Corp | Infraestructura del servidor | Todos los datos en tránsito y almacenados | EE.UU. |
| Supabase Inc | Base de datos PostgreSQL | Email, hash contraseña, plan, contadores, proyectos | EE.UU. |
| Stripe Inc | Procesamiento de pagos | Email, historial de transacciones | EE.UU. |
Todos nuestros sub-encargados están sujetos a acuerdos de procesamiento de datos (DPA) y cumplen con estándares equivalentes al GDPR.
8. Transferencias internacionales de datos
Dado que nuestros sub-encargados están ubicados en Estados Unidos, tus datos pueden ser transferidos fuera del Espacio Económico Europeo (EEE). Estas transferencias se realizan bajo:
- Cláusulas Contractuales Estándar (CCE) aprobadas por la Comisión Europea.
- Certificaciones de seguridad ISO 27001 de los proveedores de infraestructura.
- Cumplimiento del Marco de Privacidad de Datos UE-EE.UU. (cuando aplica).
9. Cookies y almacenamiento local
| Tipo | Nombre | Propósito | Duración |
|---|---|---|---|
| localStorage | tof_token | Token JWT de autenticación | Hasta cierre de sesión o expiración (7 días) |
| localStorage | manychat_configurator_prefs | Preferencias del editor (fuentes, posición de capas) | Indefinida (solo local) |
| localStorage | textonflow_brand_colors | Colores de marca del usuario | Indefinida (solo local) |
| localStorage | tof_lang | Preferencia de idioma (ES/EN) | Indefinida (solo local) |
| Cookie HTTP | Ninguna | No usamos cookies de rastreo ni publicidad | — |
Puedes borrar el almacenamiento local en cualquier momento desde la configuración de tu navegador. Esto no eliminará tu cuenta ni tus datos del servidor.
10. Seguridad
- Comunicaciones cifradas mediante HTTPS/TLS 1.3 en todo momento.
- Contraseñas almacenadas como hash bcrypt con salt (nunca en texto plano).
- Tokens JWT con expiración de 7 días y firma segura.
- Acceso a la base de datos mediante conexión cifrada SSL.
- Monitoreo continuo de logs para detección de accesos no autorizados.
- Infraestructura en Railway con aislamiento de contenedores.
En caso de brecha de seguridad que afecte tus datos personales, te notificaremos por email en un plazo máximo de 72 horas conforme al Art. 33 GDPR.
11. Tus derechos (GDPR / LGPD / LFPDPPP)
Conforme al Reglamento General de Protección de Datos (GDPR), la Lei Geral de Proteção de Dados brasileña (LGPD) y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) mexicana, tienes los siguientes derechos:
Solicitar una copia de los datos personales que tenemos sobre ti.
Corregir datos inexactos o incompletos asociados a tu cuenta.
Solicitar la eliminación de tu cuenta y datos personales.
Recibir tus datos en formato estructurado y legible por máquina (JSON).
Solicitar que limitemos el procesamiento de tus datos en circunstancias específicas.
Oponerte al procesamiento basado en interés legítimo.
Plazo de respuesta: Respondemos todas las solicitudes de derechos en un plazo máximo de 30 días naturales. Para solicitudes complejas, podemos extender este plazo otros 30 días notificándote.
Cómo ejercer tus derechos: Envía un correo a privacidad@textonflow.com indicando tu email de cuenta y el derecho que deseas ejercer. Para supresión, usa el botón en tu dashboard.
Si consideras que el tratamiento de tus datos no es conforme, tienes derecho a presentar una reclamación ante la autoridad de protección de datos competente en tu país.
12. Eliminar tu cuenta
Para eliminar tu cuenta y todos tus datos personales, ve a Mi cuenta → Zona peligrosa → Eliminar mi cuenta. La eliminación es inmediata e irreversible.
Al eliminar tu cuenta:
- Tu email, contraseña y datos de perfil se eliminan inmediatamente de la base de datos.
- Todos tus proyectos guardados se eliminan.
- Tu suscripción activa en Stripe se cancela automáticamente.
- Los logs técnicos anónimos (sin email ni datos identificables) se eliminan en 30 días.
- Los registros de facturación se conservan 7 años por obligación fiscal, pero no están vinculados a tu identidad tras la eliminación.
Si prefieres la eliminación manual, escribe a privacidad@textonflow.com con el asunto "Eliminar mi cuenta" desde tu dirección de registro.
13. Menores de edad
TextOnFlow no está destinado a menores de 16 años. No recopilamos intencionalmente datos personales de menores. Si eres padre/madre o tutor y crees que tu hijo ha proporcionado datos personales, contáctanos en privacidad@textonflow.com para eliminarlos.
14. Cambios a esta política
Podemos actualizar esta política cuando sea necesario. Los cambios materiales se notificarán por correo electrónico con al menos 15 días de antelación. La versión vigente siempre está disponible en esta página con la fecha de actualización.
15. Contacto y DPO
- Email general: hola@textonflow.com
- Contacto de privacidad / DPO: privacidad@textonflow.com
- Tiempo de respuesta: 2 días hábiles para consultas generales, 30 días para ejercicio de derechos.
- Autoridad supervisora (UE): Si resides en la UE, puedes dirigirte a tu autoridad nacional de protección de datos.