Política de privacidad

1. Privacidad en resumen

Esta política de privacidad explica cómo tratamos tus datos personales cuando visitas symban.de o utilizas nuestro servicio. Datos personales son todos los datos que pueden utilizarse para identificarte personalmente (por ejemplo nombre, dirección de correo, dirección IP).

Tratamos tus datos exclusivamente sobre la base de las disposiciones legales (RGPD, TDDDG alemán). En esta política te informamos de los aspectos más importantes del tratamiento de datos en nuestro sitio web y dentro de nuestro servicio.

2. Responsable del tratamiento

El responsable del tratamiento de datos en este sitio es:

Michailidou Digital Services I.E.
Alexia Michailidou
Calle Zakaria Paliashvili 41
0179 Tiflis, Georgia
Correo electrónico: contact@symban.de

3. Representante en la Unión Europea (art. 27 RGPD)

Dado que el responsable del tratamiento está establecido fuera de la Unión Europea pero trata datos personales de personas en la UE, hemos designado por escrito un representante en la Unión conforme al art. 27 RGPD:

Admir Xhoxha
Psaron 17
12132 Peristeri
Grecia
Correo electrónico: contact@symban.de

Para cualquier consulta sobre protección de datos y para ejercer tus derechos puedes contactar directamente con nuestro representante en la UE.

4. Principios generales del tratamiento

4.1 Bases jurídicas

Tratamos tus datos personales sobre las siguientes bases jurídicas:

• Art. 6(1)(a) RGPD – consentimiento (por ejemplo cookies, herramientas de análisis)
• Art. 6(1)(b) RGPD – ejecución de un contrato (por ejemplo cuenta de usuario, pagos)
• Art. 6(1)(c) RGPD – obligación legal (por ejemplo deberes de conservación)
• Art. 6(1)(f) RGPD – interés legítimo (por ejemplo seguridad informática, registros de servidor)

4.2 Plazo de conservación

Los datos personales se conservan durante el tiempo necesario para la respectiva finalidad o según lo exijan las obligaciones legales de conservación. Plazos concretos figuran en las secciones siguientes.

4.3 Transferencias a terceros países

Algunos de los proveedores que utilizamos están establecidos en EE. UU. o tratan datos en terceros países fuera de la UE/EEE (véase la sección 11). Nos aseguramos de que estas transferencias se basen en el marco EU-US Data Privacy Framework (DPF), en cláusulas contractuales tipo (CCT) o en tu consentimiento expreso. Debes saber que, según el TJUE (Schrems II, sentencia de 16 de julio de 2020), el nivel de protección de datos en EE. UU. no se corresponde con el europeo y no pueden excluirse accesos por parte de las autoridades estadounidenses.

5. Datos recogidos al visitar el sitio web

5.1 Archivos de registro del servidor

Al acceder a nuestro sitio web, se registran automáticamente datos técnicos en los llamados archivos de registro del servidor:

• Tipo y versión del navegador
• Sistema operativo utilizado
• URL de referencia
• Nombre del host del ordenador que accede
• Hora de la solicitud al servidor
• Dirección IP anonimizada o acortada

El tratamiento sirve para la prestación técnica del sitio, la seguridad informática y el análisis de errores. La base jurídica es el art. 6(1)(f) RGPD (interés legítimo). Estos datos se eliminan o anonimizan tras un máximo de 14 días.

5.2 Alojamiento del sitio

El sitio symban.de se aloja a través de GitHub Pages, proporcionado por GitHub, Inc. (88 Colin P. Kelly Jr. Street, San Francisco, CA 94107, EE. UU.). GitHub trata automáticamente datos de conexión (en particular la dirección IP). GitHub está certificado en el marco del EU-US Data Privacy Framework. Más información en: docs.github.com/site-policy/privacy-policies.

6. Registro y cuenta de usuario

Para usar nuestro servicio debes crear una cuenta de usuario. Tratamos los siguientes datos:

• Dirección de correo electrónico
• Contraseña cifrada (en caso de registro por correo)
• En el inicio de sesión OAuth: información de perfil transmitida por el proveedor (por ejemplo cuenta Google: correo, nombre)
• Preferencia de idioma
• Fecha de registro y últimos inicios de sesión

La base jurídica es el art. 6(1)(b) RGPD (ejecución de un contrato). Los datos se conservan mientras exista tu cuenta. Puedes eliminar tu cuenta en cualquier momento a través de contact@symban.de o de los ajustes de tu cuenta; después se eliminarán tus datos personales, salvo que se opongan obligaciones legales de conservación (por ejemplo obligaciones contables y fiscales de conservar datos de facturación durante 10 años).

Inicio de sesión OAuth (Google): Si inicias sesión mediante Google, Google nos transmite tu dirección de correo y, eventualmente, tu nombre. Política de privacidad de Google: policies.google.com/privacy.

7. Tratamiento de tus contenidos por la pipeline de IA

En el corazón de nuestro servicio se encuentra una pipeline de IA en varias etapas que te permite generar, revisar y reelaborar manuscritos de libros. Tratamos los siguientes contenidos que aportas:

• Conceptos, descripciones de personajes, líneas argumentales, style bibles, blueprints
• Escenas, capítulos y libros generados y reelaborados manualmente
• Comentarios y valoraciones sobre los contenidos generados
• Opcionalmente: tus propias claves de API (BYOK – Bring Your Own Key), almacenadas cifradas

Para la ejecución del contrato, este contenido se transmite al modelo de IA de OpenAI (OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, EE. UU.). OpenAI trata estos contenidos como encargado del tratamiento en el sentido del art. 28 RGPD. Con OpenAI existe un Data Processing Addendum y OpenAI está certificado en el marco del EU-US Data Privacy Framework.

Sin entrenamiento de modelos con contenidos de usuarios: Ni nosotros ni OpenAI utilizamos las entradas que envías a través de la API ni los contenidos generados para entrenar modelos de IA. Esto resulta de las condiciones estándar de la API de OpenAI (que difieren del producto de consumo ChatGPT) y de nuestras Condiciones (§ 4.4).

La base jurídica es el art. 6(1)(b) RGPD. Los contenidos se conservan mientras exista tu proyecto; al eliminar el proyecto o la cuenta se eliminan de nuestra base de datos. Según OpenAI, las solicitudes de la API se almacenan durante un máximo de 30 días por motivos de prevención de abusos y seguridad.

8. Tramitación de pagos

Los pagos se procesan a través de Stripe Payments Europe, Limited (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irlanda) y Stripe, Inc. (354 Oyster Point Blvd, South San Francisco, CA 94080, EE. UU.). Cuando contratas una suscripción de pago o compras capítulos adicionales, se te redirige a una página de pago alojada por Stripe. Nosotros no tratamos datos de pago ni de tarjetas.

De Stripe solo recibimos la información del pago realizado con éxito y un ID de cliente Stripe, para asignar a tu cuenta el servicio contratado. La base jurídica es el art. 6(1)(b) RGPD. Stripe está certificado en el marco del EU-US Data Privacy Framework. Política de privacidad de Stripe: stripe.com/es/privacy.

9. Comunicación por correo electrónico

Para el envío de correos transaccionales (por ejemplo confirmaciones, restablecimiento de contraseña, invitaciones) utilizamos Resend (Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, EE. UU.). Resend trata tu dirección de correo y el contenido del mensaje. La base jurídica es el art. 6(1)(b) RGPD. Con Resend existe un encargo de tratamiento con cláusulas contractuales tipo. Política de privacidad: resend.com/legal/privacy-policy.

10. Cookies, almacenamiento local y seguimiento

En nuestro sitio utilizamos cookies y tecnologías comparables (almacenamiento local). Cuando se requiere consentimiento, se obtiene a través de nuestro banner de consentimiento; el almacenamiento técnicamente necesario se basa en el art. 6(1)(f) RGPD o en el § 25(2) del TDDDG alemán.

10.1 Almacenamiento técnicamente necesario

• symban_cookie_consent – guarda tus ajustes de cookies (almacenamiento local, hasta su revocación)
• symban_signup_lang – guarda el idioma elegido durante el registro (almacenamiento local, a corto plazo)
• Token de autenticación de Supabase – token de sesión para usuarios conectados (almacenamiento local, hasta el cierre de sesión)

10.2 Análisis: Google Tag Manager y Google Analytics 4

Utilizamos Google Tag Manager y Google Analytics 4 de Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irlanda) para evaluar estadísticamente el uso de nuestro sitio. Es posible una transmisión de datos a Google LLC en EE. UU. Google está certificado en el marco del EU-US Data Privacy Framework.

Este análisis solo se realiza si has dado tu consentimiento. Antes de tu consentimiento, se activa Google Consent Mode v2 con el estado "denied", de modo que no se establecen cookies de análisis ni se transmiten datos personales de análisis a Google. Si das tu consentimiento, se tratan, entre otros: páginas visitadas, tiempo de permanencia, referente, información del navegador y del dispositivo, dirección IP acortada, identificador de usuario seudonimizado. Plazo de conservación: hasta 14 meses.

Base jurídica: art. 6(1)(a) RGPD y § 25(1) TDDDG. Puedes revocar tu consentimiento en cualquier momento con efectos para el futuro.

10.3 Modificar ajustes de cookies

11. Destinatarios y encargados del tratamiento

Utilizamos los siguientes encargados del tratamiento y proveedores. Cuando es necesario, se ha celebrado un contrato de encargo de tratamiento conforme al art. 28 RGPD:

• Supabase Inc. (970 Toa Payoh North #07-04, Singapur 318992) – base de datos, autenticación, almacenamiento de archivos, edge functions; alojado en Irlanda (eu-west-1)
• OpenAI, L.L.C. (EE. UU.) – modelo de IA para la generación de texto; certificado DPF; sin entrenamiento de modelos con datos de la API
• Stripe Payments Europe, Limited (Irlanda) y Stripe, Inc. (EE. UU.) – tramitación de pagos; certificado DPF
• Resend Inc. (EE. UU.) – envío de correos transaccionales; CCT en vigor
• Google Ireland Limited (Irlanda) y Google LLC (EE. UU.) – Tag Manager, Analytics, inicio de sesión OAuth; certificado DPF; solo con consentimiento
• GitHub, Inc. (EE. UU.) – alojamiento del sitio estático (GitHub Pages); certificado DPF
• Notion Labs, Inc. (EE. UU.) – gestión de tickets de soporte (véase sección 12); certificado DPF

12. Chat de soporte & formulario de contacto

Cuando usas nuestro chat de soporte o nos escribes a través del formulario en /es/contacto, procesamos los siguientes datos:

• Chat de soporte: tus mensajes, ID de usuario seudonimizada y — si has iniciado sesión — el contexto actual del proyecto (título, estado del pipeline, créditos). El contenido se transmite a OpenAI (EE. UU., Responses API con store: false – zero retention) y NO se usa para entrenamiento.
• Escalación: cuando el agente reenvía tu solicitud a Alexia o usas el formulario, los datos (nombre, correo, mensaje, historial del chat + contexto de proyecto si aplica) se transfieren a nuestra bandeja de soporte en Notion (EE. UU., DPF) y se envían por correo a través de Resend.
• Base jurídica: principalmente Art. 6(1)(b) RGPD (ejecución del contrato), subsidiariamente Art. 6(1)(f) RGPD (interés legítimo).
• Conservación: las conversaciones de soporte están vinculadas a tu cuenta y se eliminan automáticamente al eliminar la cuenta (CASCADE). Los tickets de Notion pueden conservarse hasta 3 años con fines de documentación.
• Tus derechos de acceso, rectificación y supresión también aplican a los datos de soporte (véase sección 13). Solicitudes: contact@symban.de.

13. Tus derechos como interesado

Frente a nosotros tienes en todo momento los siguientes derechos respecto a los datos personales que te conciernen:

• Acceso (art. 15 RGPD) – si y qué datos tratamos sobre ti
• Rectificación (art. 16 RGPD) – de datos inexactos
• Supresión (art. 17 RGPD) – "derecho al olvido"
• Limitación (art. 18 RGPD) – del tratamiento
• Portabilidad (art. 20 RGPD) – exportación legible por máquina de tus datos
• Oposición (art. 21 RGPD) – a tratamientos basados en el interés legítimo
• Retirada del consentimiento (art. 7(3) RGPD) – con efectos para el futuro

Para ejercer estos derechos contacta con contact@symban.de o con nuestro representante en la UE (véase la sección 3). Tramitaremos tu solicitud sin demora, a más tardar en el plazo de un mes.

13. Derecho a presentar una reclamación

Sin perjuicio de cualquier otro recurso administrativo o judicial, tienes derecho a presentar una reclamación ante una autoridad de control de protección de datos (art. 77 RGPD), en particular en el Estado miembro de la UE de tu residencia habitual, de tu lugar de trabajo o del lugar de la presunta infracción. En España es competente la Agencia Española de Protección de Datos (aepd.es).

14. Seguridad de los datos

Utilizamos cifrado SSL/TLS para transmitir tus datos. Las claves API BYOK se cifran simétricamente con AES-256 en nuestra base de datos. Adoptamos medidas técnicas y organizativas para proteger tus datos contra manipulaciones accidentales o intencionadas, pérdida, destrucción o acceso no autorizado.

15. Actualidad y cambios

Esta política de privacidad tiene fecha de abril de 2026. Debido al desarrollo de nuestro sitio y de nuestro servicio o a cambios legales o regulatorios, puede ser necesario actualizar esta política. La versión vigente puede consultarse en cualquier momento en symban.de/es/legal/privacidad.