Política de Privacidad
Política de Privacidad de Thetawave AI
Última actualización: 9 de mayo de 2026
La presente Política de Privacidad explica cómo Thetawave AI, Inc., una sociedad de Delaware ("Thetawave", "nosotros" o "nuestro"), recopila, utiliza, divulga y protege la información cuando usted utiliza nuestro sitio web (https://thetawave.ai), nuestras aplicaciones móviles y los servicios relacionados (los "Servicios").
Al utilizar los Servicios, usted acepta las prácticas descritas en esta Política. Si no está de acuerdo, le rogamos que no utilice los Servicios. Esta Política se incorpora a nuestros Términos del Servicio.
Avisos importantes
- No entrenamos modelos de IA con su Contenido del Usuario. Las notas, documentos, audios, imágenes y otros materiales que usted carga no se utilizan para entrenar los modelos de Thetawave, y exigimos contractualmente a nuestros proveedores externos de IA y de transcripción que tampoco entrenen sus modelos con sus entradas. Véase la Sección 5.
- No mostramos publicidad de terceros en los Servicios y no "vendemos" su información personal por contraprestación monetaria, según se define dicho término en la California Consumer Privacy Act.
- Usuarios globales. Los Servicios se operan desde Estados Unidos. Cumplimos con las leyes de protección de datos aplicables en la UE/Reino Unido/Suiza (GDPR, Reglamento General de Protección de Datos, "RGPD"), Japón (APPI), Corea del Sur (PIPA), Hong Kong (PDPO), Taiwán (PDPA), Canadá (PIPEDA) y EE. UU. (CCPA/CPRA y leyes estatales). Véanse las Secciones 7 y 12 para los derechos específicos por región.
Índice
- Información que recopilamos
- Cómo utilizamos la información
- Bases jurídicas para el tratamiento (EEA / UK / Suiza)
- Cómo compartimos la información
- Tratamiento por IA del Contenido del Usuario
- Cookies, tecnologías de seguimiento y notificaciones push
- Transferencias internacionales de datos
- Conservación de datos
- Seguridad de los datos
- Privacidad de los menores
- Sus derechos de privacidad — Visión general global
- Derechos y avisos específicos por región
- 12.1 Espacio Económico Europeo, Reino Unido y Suiza (GDPR)
- 12.2 California (CCPA/CPRA)
- 12.3 Otros estados de EE. UU.
- 12.4 Japón (APPI)
- 12.5 Corea del Sur (PIPA)
- 12.6 Hong Kong (PDPO)
- 12.7 Taiwán (Personal Data Protection Act)
- 12.8 Canadá (PIPEDA)
- 12.9 Otras jurisdicciones
- Cómo ejercer sus derechos
- Señales Do-Not-Track
- Divulgaciones de privacidad de las apps móviles (App Store / Google Play)
- Enlaces y servicios de terceros
- Cambios en esta Política
- Contáctenos
1. Información que recopilamos
Recopilamos tres categorías de información:
1.1 Información que usted proporciona
- Información de la cuenta: nombre, dirección de correo electrónico, contraseña (almacenada con hash), preferencias de perfil y, si inicia sesión con un proveedor de identidad de terceros (por ejemplo, Google, Apple), los datos básicos de perfil que dicho proveedor comparta con nosotros.
- Información de suscripción y pago: para las compras web, los datos de facturación los gestiona Stripe (recibimos las confirmaciones de la transacción y los últimos cuatro dígitos de su tarjeta; no almacenamos los números completos de las tarjetas de pago); para las compras dentro de la aplicación móvil, las confirmaciones de transacción de Apple o Google.
- Comunicaciones: mensajes que envía a soporte (por correo electrónico), comentarios y respuestas a encuestas.
- Contenido del Usuario: notas, documentos, grabaciones de audio, imágenes, vídeos y otros materiales que usted carga, crea o genera mediante los Servicios. Su Contenido del Usuario puede considerarse "sensible" (por ejemplo, expedientes académicos de estudiantes, grabaciones de voz) y se trata como tal — véanse las Secciones 5 y 12.
Información personal de terceros incluida en el Contenido del Usuario. Si su Contenido del Usuario incluye información personal sobre terceros (por ejemplo, el nombre de un compañero de clase en sus notas o la voz de un profesor en una grabación de clase), usted actúa como responsable del tratamiento de dicha información y declara disponer de los consentimientos necesarios u otra base jurídica para compartirla con nosotros. Tratamos dicha información de terceros únicamente en su nombre para prestarle los Servicios, conforme a esta Política y a las Secciones 6.4 y 9 de nuestros Términos del Servicio.
1.2 Información recopilada automáticamente
Cuando usted utiliza los Servicios, nosotros y nuestros proveedores de analítica recopilamos automáticamente:
- Datos del dispositivo y técnicos: dirección IP, tipo y versión del navegador, sistema operativo, identificadores del dispositivo (incluidos identificadores publicitarios móviles si no están desactivados a nivel del sistema operativo), tamaño de pantalla, idioma, zona horaria.
- Datos de uso: páginas visitadas, funcionalidades utilizadas, clics, tiempo invertido, URL de referencia, consultas de búsqueda dentro de los Servicios y ubicación aproximada derivada de la dirección IP.
- Datos de diagnóstico: informes de fallos, registros de errores, métricas de rendimiento.
1.3 Información de terceros
- Proveedores de identidad: si utiliza Google Sign-In, Apple Sign-In o similares, recibimos la información básica de perfil que usted autorice.
- Procesadores de pago: Stripe, Apple y Google pueden compartir con nosotros datos de transacción según sea necesario para gestionar las compras.
- Proveedores de servicios: nuestras herramientas de analítica, seguimiento de errores y atención al cliente comparten con nosotros datos agregados y a nivel de evento sobre cómo utiliza los Servicios (véase la Sección 4).
No adquirimos información personal de intermediarios de datos y no recibimos información personal de redes publicitarias.
2. Cómo utilizamos la información
Utilizamos la información descrita anteriormente para:
- Prestar, operar, mantener y proteger los Servicios, incluyendo la autenticación de su cuenta, la sincronización de su contenido entre dispositivos y la tramitación de sus transacciones;
- Generar resultados de IA en respuesta a sus entradas (véase la Sección 5);
- Comunicarnos con usted sobre su cuenta, transacciones, cambios importantes en las políticas y (con su consentimiento o cuando lo permita la ley) actualizaciones del producto;
- Prestar atención al cliente y responder a sus consultas;
- Detectar, investigar y prevenir fraudes, abusos, incidentes de seguridad y vulneraciones de nuestros Términos;
- Analizar y mejorar los Servicios, incluyendo análisis agregados de uso;
- Cumplir con obligaciones legales y hacer cumplir nuestros Términos;
- Con su consentimiento, para cualquier otra finalidad comunicada en el momento de la recopilación.
No utilizamos su información para la toma de decisiones automatizada que produzca efectos jurídicos o de manera similar significativos sobre usted sin revisión humana.
Comunicaciones de marketing y exclusión. Cuando enviemos comunicaciones de marketing o promocionales (con su consentimiento o cuando lo permita la ley), usted podrá darse de baja en cualquier momento mediante:
- Hacer clic en el enlace "unsubscribe" en cualquier correo electrónico de marketing;
- Cambiar las preferencias de notificación en los ajustes de su cuenta; o
- Enviar un correo electrónico a contact@thetawave.ai.
Las comunicaciones transaccionales y relacionadas con la cuenta (p. ej., alertas de seguridad, avisos de facturación de la suscripción, cambios importantes de política) no pueden cancelarse mientras su cuenta esté activa, ya que son necesarias para prestar los Servicios y cumplir con nuestras obligaciones legales.
3. Bases jurídicas para el tratamiento (EEA, UK, Suiza)
Si usted se encuentra en el Espacio Económico Europeo, el Reino Unido o Suiza, tratamos sus datos personales con arreglo a las siguientes bases jurídicas:
| Finalidad | Base jurídica |
|---|---|
| Prestación de los Servicios, incluyendo la inferencia de IA sobre sus entradas | Ejecución de un contrato (Art. 6(1)(b) GDPR) |
| Tratamiento de pagos y prevención del fraude | Ejecución de un contrato; obligación legal; intereses legítimos |
| Seguridad del servicio y prevención de abusos | Intereses legítimos en proteger a los usuarios y los Servicios |
| Analítica y mejora del producto | Intereses legítimos; consentimiento para cookies no esenciales |
| Comunicaciones de marketing | Consentimiento (que puede retirar en cualquier momento) |
| Cumplimiento de requerimientos legales | Obligación legal |
| Tratamiento de datos de "categorías especiales" dentro del Contenido del Usuario (en su caso) | Su consentimiento explícito (Art. 9(2)(a)) |
Usted tiene derecho a oponerse al tratamiento basado en intereses legítimos — véase la Sección 12.1.
4. Cómo compartimos la información
Compartimos su información únicamente con las siguientes categorías de destinatarios, todos ellos sujetos a obligaciones contractuales de confidencialidad y protección de datos.
4.1 Proveedores de servicios (subencargados del tratamiento)
Contratamos a proveedores de servicios externos para operar los Servicios en nuestro nombre. Solo pueden utilizar su información para prestarnos sus servicios y deben cumplir las obligaciones adecuadas de confidencialidad y seguridad. Las categorías que figuran a continuación reflejan nuestra cadena actual de subencargados del tratamiento; esta lista puede evolucionar a medida que cambiemos de proveedores.
| Categoría | Finalidad | Proveedor(es) principal(es) actual(es) |
|---|---|---|
| Hospedaje en la nube y base de datos | Operar nuestro backend y almacenar datos de cuenta y Contenido del Usuario | Supabase (PostgreSQL, autenticación, almacenamiento); proveedores de infraestructura en la nube |
| Inferencia de IA (LLM) | Generar resultados de IA (notas, resúmenes, tarjetas de memoria, cuestionarios, chats de estudio) a partir de sus entradas | OpenAI, Anthropic, Google (véase la Sección 5) |
| Transcripción de audio | Convertir el Contenido del Usuario en audio (p. ej., grabaciones de clase) en texto para su tratamiento posterior por IA | Soniox, Inc., Deepgram, Inc. |
| Procesamiento de pagos web | Procesar las suscripciones adquiridas a través del sitio web | Stripe, Inc. (https://stripe.com/privacy) |
| Compras dentro de la aplicación móvil y gestión de suscripciones | Procesar y conciliar las compras del App Store / Google Play | Apple Inc., Google LLC, RevenueCat, Inc. |
| Analítica de producto | Comprender cómo se utilizan los Servicios | Mixpanel, Inc. |
| Seguimiento de errores y diagnóstico | Detectar y depurar incidencias | Sentry (Functional Software, Inc.) |
| Atención al cliente | Responder a las consultas por correo electrónico | Infraestructura de correo electrónico (sin herramienta externa de tickets en la actualidad) |
Notificación de cambios de subencargados. Cuando añadamos o sustituyamos a un subencargado del tratamiento sustancial, actualizaremos esta Política al menos 14 días antes de que el cambio entre en vigor. Para los usuarios con una suscripción de pago activa, le notificaremos adicionalmente por correo electrónico o mediante un mensaje en la aplicación. Si usted se opone a un nuevo subencargado, podrá rescindir su cuenta antes de que el cambio entre en vigor y solicitar un reembolso prorrateado cuando lo exija la ley aplicable.
4.2 Otras divulgaciones
- Cumplimiento legal y seguridad. Podemos divulgar información cuando creamos de buena fe que la divulgación es necesaria para (a) cumplir con la ley aplicable, un proceso legal o un requerimiento gubernamental; (b) hacer cumplir nuestros Términos; (c) proteger los derechos, la seguridad o la propiedad de Thetawave, nuestros usuarios o el público; o (d) detectar, prevenir o abordar cuestiones de fraude, seguridad o técnicas.
- Transferencias empresariales. Si Thetawave participa en una fusión, adquisición, financiación, reorganización o venta de activos, su información podrá ser transferida como parte de dicha operación. Le notificaremos (p. ej., por correo electrónico y/o mediante un aviso destacado en los Servicios) cualquier cambio en la titularidad o el uso de su información personal.
- Con su consentimiento. Podemos compartir información con otras partes cuando usted nos indique que lo hagamos.
4.3 Lo que NO hacemos
- No vendemos su información personal por contraprestación monetaria.
- No compartimos su información personal con terceros para publicidad conductual de contexto cruzado (no realizamos ninguna).
- No permitimos que nuestros proveedores de IA o de transcripción entrenen con su Contenido del Usuario (Sección 5).
Nota defensiva sobre "venta" / "compartir" según CCPA. La CCPA de California define "venta" y "compartir" de forma amplia. En la medida en que cualquier divulgación a nuestros subencargados de analítica, IA, transcripción o seguimiento de errores pudiera interpretarse como una "venta" o un "compartir" según CCPA/CPRA, tratamos dicha actividad como susceptible de exclusión y respetamos las señales de exclusión (incluido el Global Privacy Control / GPC) cuando sea técnicamente viable. Véase la Sección 12.2 para conocer derechos adicionales en California.
5. Tratamiento por IA del Contenido del Usuario
Esta sección explica cómo interactúan sus entradas y su Contenido del Usuario con los modelos de IA. Es esencial para entender cómo funcionan los Servicios — léala detenidamente.
5.1 Cómo funcionan la inferencia de IA y la transcripción
Cuando utiliza una funcionalidad de IA (p. ej., generar notas, resumir un PDF, crear tarjetas de memoria), su entrada — que puede incluir su Contenido del Usuario o extractos del mismo — se transmite a uno de nuestros proveedores externos de IA (actualmente OpenAI, Anthropic y Google) para generar la respuesta. Cuando carga audio (p. ej., una grabación de clase), este se transmite primero a uno de nuestros proveedores de transcripción (Soniox, Deepgram) para convertirlo en texto, que después es tratado por un proveedor de IA como se ha descrito anteriormente.
La respuesta se le devuelve a usted y se almacena en su cuenta de Thetawave asociada a su Contenido del Usuario. Los proveedores de IA y los proveedores de transcripción pueden retener brevemente las entradas y salidas durante el tratamiento conforme se describe en la Sección 5.3, pero el registro duradero de su Contenido del Usuario y de los resultados generados por IA reside en su cuenta de Thetawave, no en los proveedores.
5.2 No se entrena con su contenido
Thetawave no entrena ningún modelo de IA o de aprendizaje automático con su Contenido del Usuario. Nos basamos en compromisos contractuales de no entrenamiento y de retención limitada por parte de cada uno de nuestros proveedores de IA y de transcripción. En concreto:
- OpenAI: Utilizamos la API de OpenAI. Conforme a la política de uso de datos de la API de OpenAI, OpenAI no utiliza las entradas o salidas de la API para entrenar sus modelos.
- Anthropic: Utilizamos la API de Anthropic. Conforme a las condiciones comerciales de Anthropic, Anthropic no entrena sus modelos con las entradas o salidas enviadas a través de la API.
- Google: Utilizamos la API de Google AI / Gemini bajo unas condiciones que no permiten a Google entrenar sus modelos con nuestro contenido enviado mediante la API de pago.
- Soniox: Utilizamos la API comercial de Soniox bajo unas condiciones que no permiten a Soniox entrenar sus modelos con el contenido de audio que transmitimos.
- Deepgram: Utilizamos la API comercial de Deepgram bajo unas condiciones que no permiten a Deepgram entrenar sus modelos con el contenido de audio que transmitimos.
Si cambiamos de proveedores de IA o de transcripción, o si las condiciones que rigen a dichos proveedores cambian sustancialmente, actualizaremos esta Política. No debe cargar en los Servicios información que no quiera que se transmita a uno de estos proveedores para su tratamiento.
5.3 Sin almacenamiento persistente en los proveedores de IA / transcripción (más allá de los límites definidos por el proveedor)
Los proveedores de IA y de transcripción pueden retener brevemente las entradas y salidas con fines de seguridad, supervisión de abusos y operativos, conforme a sus propios avisos de privacidad. Utilizamos configuraciones de nivel empresarial / API que minimizan dicha retención cuando están disponibles (p. ej., modos de retención cero o de retención corta).
5.4 Datos agregados y desidentificados
Podemos utilizar datos desidentificados o agregados (que no puedan vincularse razonablemente a usted) para analítica de producto, seguridad y mejora del servicio. Empleamos técnicas de desidentificación de norma del sector (p. ej., eliminación de identificadores directos, agregación y otras medidas técnicas diseñadas para garantizar que la información no pueda asociarse razonablemente a una persona) y prohibimos contractualmente que cualquier parte que reciba datos desidentificados de nuestra parte intente reidentificarlos.
6. Cookies, tecnologías de seguimiento y notificaciones push
6.1 Cookies y tecnologías similares
Nosotros y nuestros proveedores de servicios utilizamos cookies, píxeles, almacenamiento local, kits de desarrollo de software (SDK) y tecnologías similares para operar los Servicios. No utilizamos cookies para publicidad conductual entre sitios. Cuando lo exija la ley (incluido el EEA, el Reino Unido, Suiza, Japón y Corea para las cookies no esenciales), solicitaremos su consentimiento mediante un banner de cookies antes de instalar cookies no esenciales. Puede gestionar sus preferencias de cookies a través del banner de cookies o de la configuración de su navegador.
Las principales cookies y tecnologías similares que utilizamos son:
| Nombre / Patrón | Tipo | Finalidad | Proveedor | Conservación aproximada |
|---|---|---|---|---|
sb-* (tokens de autenticación) | Estrictamente necesaria | Autenticar su sesión y mantenerle conectado | Supabase | Sesión / hasta 1 año |
| Tokens CSRF / antifalsificación | Estrictamente necesaria | Prevenir falsificación de petición entre sitios | Thetawave | Sesión |
cookie_consent | Estrictamente necesaria | Recordar sus elecciones del banner de cookies | Thetawave | 1 año |
theme, locale | Funcional | Recordar sus preferencias de interfaz (p. ej., modo oscuro, idioma) | Thetawave | 1 año |
mp_* | Analítica (opt-in cuando se requiera) | Analítica de producto — medir el uso de funcionalidades y mejorar los Servicios | Mixpanel | Hasta 1 año |
| Etiquetas de sesión de Sentry | Estrictamente necesaria | Asociar los informes de error con sesiones para depuración | Sentry | Hasta 30 días |
Si añadimos o cambiamos categorías sustanciales de cookies, actualizaremos esta tabla.
6.2 Notificaciones push
Si activa las notificaciones push a través de nuestras apps móviles, recopilamos y utilizamos un token push específico del dispositivo (proporcionado por Apple Push Notification service ("APNs") para iOS o Firebase Cloud Messaging ("FCM") para Android) únicamente para enviar:
- Notificaciones relacionadas con el Servicio (p. ej., transcripción finalizada, recordatorio de estudio configurado por usted);
- Notificaciones relacionadas con la cuenta (p. ej., alertas de seguridad);
- Con su consentimiento adicional, notificaciones ocasionales de actualizaciones de producto.
Puede desactivar las notificaciones push en cualquier momento desde la configuración de notificaciones de su dispositivo. Desactivar las notificaciones push no afecta a otras partes de los Servicios.
7. Transferencias internacionales de datos
Thetawave tiene su sede en Estados Unidos, y nuestros servidores y varios de nuestros proveedores de servicios están situados en EE. UU. y en otros países. Cuando utiliza los Servicios, su información personal será transferida, almacenada y tratada en Estados Unidos y, potencialmente, en otros países, que pueden tener leyes de protección de datos diferentes a las de su país de residencia.
Nos basamos en las siguientes garantías para proteger las transferencias internacionales:
- EEA / Reino Unido / Suiza: Cláusulas Contractuales Tipo ("SCCs") aprobadas por la Comisión Europea (y el adendum del Reino Unido / equivalentes suizos) con nuestros subencargados, complementadas con cifrado en tránsito y en reposo, controles de acceso y (cuando proceda) evaluaciones de impacto de la transferencia. Actualmente no contamos con la certificación del EU-US Data Privacy Framework ("DPF"); confiamos en las SCCs como mecanismo principal de transferencia.
- Japón: Cuando lo exija la APPI para la transferencia transfronteriza, obtenemos su consentimiento o nos basamos en garantías equivalentes (incluidas disposiciones contractuales equivalentes a las SCCs con el destinatario).
- Corea del Sur: Cuando lo exija la PIPA para la transferencia de información personal al extranjero, proporcionamos las divulgaciones requeridas por el artículo 28-8 de la PIPA y obtenemos su consentimiento cuando proceda.
- Hong Kong, Taiwán, Canadá: Garantizamos que los destinatarios estén sujetos a obligaciones contractuales coherentes con la PDPO, la PDPA y la PIPEDA, respectivamente.
Al utilizar los Servicios, usted entiende que su información será transferida internacionalmente conforme a lo descrito anteriormente.
8. Conservación de datos
Conservamos la información personal durante el tiempo necesario para prestar los Servicios y para los fines descritos en esta Política, salvo que la ley exija un periodo de conservación más largo.
| Categoría de datos | Conservación |
|---|---|
| Información de la cuenta | Mientras su cuenta esté activa; eliminada en un plazo de 30 días tras la eliminación de la cuenta (excluidas las copias de seguridad) |
| Contenido del Usuario | Mientras su cuenta esté activa; eliminado en un plazo de 30 días tras eliminar el contenido o su cuenta |
| Copias de seguridad | Conservadas hasta 90 días tras la eliminación, después se eliminan permanentemente |
| Registros de pago y facturación | Conservados durante 7 años para cumplir con obligaciones fiscales, contables y de auditoría |
| Comunicaciones de atención al cliente | Hasta 3 años tras la resolución |
| Datos de diagnóstico / registro | Hasta 12 meses |
| Datos desidentificados o agregados | Pueden conservarse indefinidamente (no pueden vincularse a usted) |
Puede solicitar una eliminación anticipada en cualquier momento conforme se describe en la Sección 13, sujeto a excepciones limitadas (p. ej., cuando la conservación sea exigida por ley).
9. Seguridad de los datos
Implementamos salvaguardas administrativas, técnicas y físicas diseñadas para proteger su información, entre ellas:
- Cifrado en tránsito (TLS) y en reposo;
- Controles de acceso y principios de privilegio mínimo para nuestro personal;
- Prácticas seguras de desarrollo de software y revisión de código;
- Revisión de seguridad de proveedores para los subencargados;
- Registro y monitorización; y
- Procedimientos de respuesta a incidentes.
Ninguna medida de seguridad es perfecta y no podemos garantizar una seguridad absoluta.
Notificación de brechas. Si tenemos conocimiento de una brecha de datos personales que afecte a su información, le notificaremos a usted y a las autoridades de control correspondientes según lo exija la ley aplicable, incluyendo:
- GDPR / UK GDPR / FADP: notificación a la autoridad de control en un plazo de 72 horas desde el momento en que se tenga conocimiento (cuando sea factible) y a las personas afectadas sin dilación indebida cuando exista un alto riesgo para sus derechos y libertades;
- APPI de Japón (Artículo 26): notificación a la Personal Information Protection Commission (PPC) y a las personas afectadas sin demora, en la forma y los plazos exigidos por la APPI;
- PIPA de Corea del Sur (Artículo 34): notificación a las personas afectadas sin demora, y — para brechas que afecten a 1.000 o más personas o información sensible — notificación a la PIPC en un plazo de 24 horas;
- Leyes estatales de EE. UU.: notificación dentro de los plazos y de acuerdo con los procedimientos exigidos por cada ley estatal aplicable de notificación de brechas;
- Otras jurisdicciones: según lo exija la ley aplicable.
10. Privacidad de los menores
Los Servicios no están dirigidos a menores de 13 años, y no recopilamos a sabiendas información personal de menores de 13 años en Estados Unidos ni por debajo de la edad mínima de consentimiento digital en su país de residencia (p. ej., 14 en España, 15 en Francia, 16 en Alemania).
Si usted tiene entre 13 y 17 años (o la mayoría de edad en su jurisdicción), podrá utilizar los Servicios únicamente con la participación y el consentimiento de uno de los progenitores o tutor legal.
Para información sobre cómo los progenitores pueden prestar consentimiento parental verificable conforme a COPPA y leyes equivalentes (y cómo revocarlo), véase la Sección 2.2 de los Términos del Servicio.
Si tenemos conocimiento de que hemos recopilado información personal de un menor por debajo de la edad aplicable sin consentimiento parental verificado, la eliminaremos lo antes posible. Los progenitores que crean que un menor ha proporcionado información personal sin consentimiento pueden ponerse en contacto con nosotros en contact@thetawave.ai.
Para colegios y educadores que utilicen los Servicios con estudiantes: usted es responsable de obtener cualquier consentimiento exigido por COPPA, FERPA, GDPR, APPI, PIPA y leyes equivalentes, así como de actuar como autoridad correspondiente conforme a dichas leyes.
11. Sus derechos de privacidad — Visión general global
Dependiendo de dónde resida, podrá ejercer derechos como:
- Acceso: el derecho a saber qué información personal conservamos sobre usted y a recibir una copia;
- Rectificación: el derecho a corregir información inexacta o incompleta;
- Supresión ("derecho al olvido"): el derecho a solicitar la supresión de su información;
- Portabilidad: el derecho a recibir determinada información en un formato portable;
- Limitación / oposición: el derecho a limitar u oponerse a determinados tratamientos;
- Retirar el consentimiento: el derecho a retirar cualquier consentimiento que haya prestado;
- Excluirse de "venta" / "compartir" / publicidad dirigida: el derecho a excluirse cuando proceda;
- Presentar una reclamación ante una autoridad de control.
Respetamos estos derechos con independencia de dónde resida, en la medida razonablemente posible. Véase la Sección 12 para detalles específicos por región y la Sección 13 para saber cómo ejercer sus derechos.
12. Derechos y avisos específicos por región
12.1 Espacio Económico Europeo, Reino Unido y Suiza (GDPR / UK GDPR / FADP)
Si se encuentra en el EEA, el Reino Unido o Suiza, dispone de los derechos descritos en la Sección 11 conforme al General Data Protection Regulation (GDPR), el UK GDPR y la Swiss Federal Act on Data Protection (FADP), respectivamente. También tiene derecho a:
- Presentar una reclamación ante su autoridad local de protección de datos (puede consultar una lista en https://edpb.europa.eu/about-edpb/about-edpb/members_en para el EEA; la ICO en https://ico.org.uk/ para el Reino Unido; y el FDPIC en https://www.edoeb.admin.ch para Suiza).
Las bases jurídicas de nuestro tratamiento se enumeran en la Sección 3.
Representante en la UE (Artículo 27 GDPR). Tras evaluar la naturaleza, alcance, contexto y fines de nuestro tratamiento — y dado que nuestro tratamiento de datos personales del EEA no se realiza "a gran escala" respecto de categorías especiales de datos en virtud del Artículo 9 GDPR ni datos relativos a condenas e infracciones penales en virtud del Artículo 10 GDPR — no hemos designado un representante en la UE conforme al Artículo 27 GDPR. Los usuarios del EEA podrán ponerse en contacto directamente con contact@thetawave.ai para cualquier consulta relativa al GDPR; responderemos con arreglo a la ley aplicable. Reevaluaremos esta determinación a medida que evolucionen nuestra base de usuarios y nuestras actividades de tratamiento.
12.2 California (CCPA / CPRA)
Si es residente de California, dispone de los derechos descritos en la California Consumer Privacy Act, modificada por la California Privacy Rights Act ("CCPA/CPRA").
Categorías de información personal que recopilamos
En los últimos 12 meses, hemos recopilado las siguientes categorías de información personal (según se definen en Cal. Civ. Code § 1798.140):
| Categoría | Ejemplos | ¿Recopilada? | ¿Vendida? | ¿Compartida (publicidad conductual de contexto cruzado)? |
|---|---|---|---|---|
| A. Identificadores | Nombre, correo electrónico, dirección IP, identificadores de dispositivo, nombre de cuenta | Sí | No | No |
| B. Registros de cliente | Dirección de facturación, información de pago | Sí | No | No |
| C. Categorías protegidas | Edad (cuando se proporcione), país | Limitada | No | No |
| D. Información comercial | Historial de suscripción, registros de transacción | Sí | No | No |
| E. Información biométrica | (Características de voz dentro del Contenido del Usuario en audio, si lo carga) | Si lo carga | No | No |
| F. Actividad en internet | Datos de uso, interacciones con los Servicios | Sí | No | No |
| G. Geolocalización | Ubicación aproximada a partir de IP | Sí | No | No |
| H. Datos sensoriales | Audio, imagen, vídeo dentro del Contenido del Usuario (si lo carga) | Si lo carga | No | No |
| I. Información profesional/laboral | No se recopila | No | — | — |
| J. Información educativa | Contenido académico dentro del Contenido del Usuario (notas, materiales de estudio) | Sí | No | No |
| K. Inferencias | Preferencias y patrones de estudio derivados del uso | Sí | No | No |
| L. PI sensible | Credenciales de cuenta; contenido preciso de comunicaciones dentro de los Servicios | Sí | No | No |
Sus derechos como residente de California
- Derecho a conocer qué información personal hemos recopilado y cómo la utilizamos y compartimos;
- Derecho a solicitar la eliminación, sujeto a excepciones legales;
- Derecho a rectificar información personal inexacta;
- Derecho a excluirse de "venta" o "compartir" — no "vendemos" ni "compartimos" su información personal para publicidad conductual de contexto cruzado, según se definen dichos términos en CCPA/CPRA, pero respetamos las señales de exclusión (incluido el Global Privacy Control / GPC) cuando sea técnicamente viable;
- Derecho a limitar el uso de información personal sensible a lo necesario para prestar los Servicios;
- Derecho a la no discriminación por ejercer sus derechos.
"Shine the Light" (Cal. Civ. Code § 1798.83)
Los residentes de California podrán solicitar información sobre la divulgación de información personal a terceros con fines de marketing directo. No participamos en este tipo de divulgaciones.
12.3 Otros estados de EE. UU.
Si reside en Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA), Oregón (OCPA), Montana (MTCDPA), Iowa (ICDPA), Tennessee (TIPA), Delaware (DPDPA), Nueva Jersey (NJDPA), New Hampshire (NHPA), Maryland (MODPA), Minnesota (MCDPA), Indiana (INCDPA), Nebraska (NDPA), Rhode Island (RIDPA) o Kentucky (KCDPA), dispone de derechos similares a los descritos anteriormente, incluidos (según el estado) los derechos de acceso, rectificación, supresión, portabilidad y exclusión de la publicidad dirigida, "venta" y determinados tipos de elaboración de perfiles. Cuando proceda, dispone del derecho a recurrir la denegación de una solicitud — véase la Sección 13.
También puede tener derecho a designar a un representante autorizado para presentar una solicitud en su nombre. Exigiremos verificación antes de atender solicitudes de representantes autorizados.
12.4 Japón (個人情報保護法 / APPI)
Si se encuentra en Japón, tratamos su información personal con arreglo a la Act on the Protection of Personal Information (APPI).
- Finalidad de uso se describe en la Sección 2. No utilizaremos su información personal para fines distintos sin su consentimiento, salvo que lo permita la APPI.
- Transferencia transfronteriza: Como se describe en la Sección 7, su información se transferirá a Estados Unidos y a otros países. Al utilizar los Servicios, usted consiente esta transferencia conforme al Artículo 28 APPI. Ponemos a disposición, previa solicitud, información sobre los sistemas de protección de datos de los países destinatarios y las garantías que hemos implementado.
- Sus derechos: Tiene derecho a solicitar la divulgación, rectificación, adición, supresión, suspensión de uso, suspensión de provisión a terceros y a recibir una copia de su información personal en nuestro poder.
- Operador de negocio que maneja información personal: Thetawave AI, Inc. es el operador de negocio que maneja su información personal. Contacto: contact@thetawave.ai.
- Notificación de brechas: Conforme exige el Artículo 26 de la APPI, notificaremos a la Personal Information Protection Commission (PPC) y a las personas afectadas las brechas que correspondan.
- Reclamaciones: Si no podemos resolver su preocupación, puede consultar a la Personal Information Protection Commission (PPC) de Japón.
12.5 Corea del Sur (개인정보 보호법 / PIPA)
Si se encuentra en Corea del Sur, tratamos su información personal con arreglo a la Personal Information Protection Act (PIPA) y leyes relacionadas.
- Finalidad de la recopilación y uso: según se describe en la Sección 2.
- Datos recopilados: según se describe en la Sección 1.
- Plazo de conservación: según se describe en la Sección 8.
- Transferencia transfronteriza (PIPA Art. 28-8): Su información personal podrá transferirse a Estados Unidos y a otros países a los proveedores de IA, proveedores de transcripción, proveedores de hospedaje y otros subencargados enumerados en la Sección 4. Obtenemos su consentimiento para dicha transferencia cuando se requiera y proporcionamos las divulgaciones exigidas por PIPA.
- Sus derechos: acceso, rectificación, supresión, suspensión del tratamiento y retirada del consentimiento. Conforme al Artículo 35 de la PIPA, responderemos a las solicitudes de acceso y rectificación en un plazo de 10 días (prorrogable por otros 10 días cuando sea razonablemente necesario).
- Responsable de privacidad / 개인정보 보호책임자: Contacto contact@thetawave.ai.
- Notificación de brechas (PIPA Art. 34): Notificaremos a las personas afectadas sin demora y — para brechas que afecten a 1.000 o más personas o información sensible — notificaremos a la PIPC en un plazo de 24 horas.
- Reclamaciones: Puede presentar una reclamación ante la Personal Information Protection Commission (PIPC, 개인정보보호위원회) o la Korea Internet & Security Agency (KISA), incluido el Privacy Complaint Center (privacy.go.kr / 118).
12.6 Hong Kong (個人資料(私隱)條例 / PDPO)
Si se encuentra en Hong Kong, tratamos sus datos personales con arreglo al Personal Data (Privacy) Ordinance (PDPO) y los Six Data Protection Principles. Tiene derecho a solicitar el acceso y la rectificación de sus datos personales. Las solicitudes pueden remitirse a contact@thetawave.ai. Las reclamaciones pueden presentarse ante el Office of the Privacy Commissioner for Personal Data (PCPD).
12.7 Taiwán (個人資料保護法 / PDPA)
Si se encuentra en Taiwán, tratamos su información personal con arreglo al Personal Data Protection Act (PDPA). Tiene derecho a consultar, solicitar copia de, completar o rectificar, solicitar el cese de la recopilación/tratamiento/uso, y solicitar la supresión de su información personal. Las solicitudes pueden remitirse a contact@thetawave.ai. Cuando se requiera, obtendremos su consentimiento antes de la transferencia internacional de su información personal.
12.8 Canadá (PIPEDA)
Si se encuentra en Canadá, tratamos su información personal con arreglo al Personal Information Protection and Electronic Documents Act (PIPEDA) y leyes provinciales aplicables (p. ej., la Ley 25 de Quebec). Tiene derecho a acceder, rectificar y retirar su consentimiento. Las reclamaciones pueden presentarse ante el Office of the Privacy Commissioner of Canada en https://www.priv.gc.ca/.
12.9 Otras jurisdicciones
Respetamos las leyes de protección de datos aplicables a su lugar de residencia aun cuando no se enumeren específicamente más arriba. Si reside en una jurisdicción con leyes aplicables (p. ej., LGPD de Brasil, Privacy Act de Australia, DPDP Act de India, PDPL de los EAU u otras), póngase en contacto con contact@thetawave.ai con cualquier solicitud de derechos; responderemos con arreglo a la ley aplicable.
13. Cómo ejercer sus derechos
Para ejercer cualquiera de los derechos descritos:
- Envíenos un correo a contact@thetawave.ai con el asunto "Privacy Request"; o
- Utilice cualquier control de privacidad dentro de la aplicación que pongamos a disposición.
Para proteger su información, podríamos necesitar verificar su identidad (normalmente confirmando el control de la dirección de correo electrónico asociada a su cuenta). Si utiliza un representante autorizado, podríamos exigir prueba de la autorización.
Responderemos a las solicitudes verificables dentro del plazo exigido por la ley aplicable, incluyendo:
| Ley | Plazo de respuesta |
|---|---|
| GDPR / UK GDPR | Un mes, prorrogable hasta dos meses adicionales para solicitudes complejas o numerosas |
| CCPA / CPRA | 45 días, prorrogables otros 45 días cuando sea razonablemente necesario |
| Otras leyes de privacidad estatales de EE. UU. | Según exija cada norma (normalmente 45 o 60 días) |
| PIPA de Corea | 10 días, prorrogables otros 10 días |
| APPI de Japón | Sin dilación indebida; nuestro objetivo es responder en 30 días |
| Otras jurisdicciones | Según exija la ley aplicable |
No le discriminaremos por ejercer sus derechos.
Si denegamos una solicitud, le explicaremos el motivo y, cuando proceda, dispondrá del derecho a recurrir nuestra decisión. Para recurrir, responda a nuestro correo electrónico de respuesta en un plazo de 60 días. Si su recurso es denegado, podrá presentar una reclamación ante su autoridad de protección de datos o fiscal general.
14. Señales Do-Not-Track
La mayoría de los navegadores ofrecen una señal "Do Not Track" (DNT). Dado que no existe una interpretación estándar del sector para las señales DNT, los Servicios actualmente no responden a las señales DNT. No obstante, sí respetamos las señales de exclusión exigidas por la ley (p. ej., el Global Privacy Control / GPC cuando proceda).
15. Divulgaciones de privacidad de las apps móviles (App Store / Google Play)
Además de esta Política, realizamos divulgaciones de privacidad a través de los mecanismos de las plataformas exigidos por Apple y Google:
- Las etiquetas nutricionales de privacidad del Apple App Store y el iOS Privacy Manifest (
PrivacyInfo.xcprivacy) describen las categorías de datos que la aplicación iOS recopila y cómo las utiliza, en el formato exigido por Apple. - El formulario Data Safety de Google Play describe las categorías de datos que la aplicación Android recopila, comparte, y las prácticas de seguridad que seguimos, en el formato exigido por Google.
Las divulgaciones en esos formularios pretenden ser coherentes con esta Política. En caso de una discrepancia no intencionada entre las divulgaciones de la plataforma y esta Política, prevalece esta Política, y trabajaremos para actualizar las divulgaciones de la plataforma a fin de armonizarlas.
16. Enlaces y servicios de terceros
Los Servicios pueden contener enlaces a sitios web o integraciones de terceros (p. ej., proveedores de identidad, procesadores de pago, proveedores de IA). Esta Política no se aplica a esos terceros. Le recomendamos que revise sus políticas de privacidad antes de proporcionarles su información.
17. Cambios en esta Política
Podemos actualizar esta Política de Privacidad de vez en cuando. La fecha "Última actualización" en la parte superior refleja la versión más reciente. Si realizamos cambios sustanciales, le notificaremos por correo electrónico o mediante un aviso destacado en los Servicios al menos 14 días antes de que los cambios entren en vigor (o antes cuando lo exija la ley aplicable). Los cambios sustanciales que afecten a un subencargado del tratamiento también están sujetos a los requisitos de notificación de la Sección 4.1. Su uso continuado de los Servicios tras la fecha de entrada en vigor constituye aceptación.
18. Contáctenos
Para preguntas, solicitudes o reclamaciones de privacidad:
Thetawave AI, Inc. Attn: Privacy Correo electrónico: contact@thetawave.ai Sitio web: https://thetawave.ai
Thetawave AI se compromete a proteger su privacidad y a ser transparente sobre cómo manejamos sus datos. Si algo en esta Política no le resulta claro, póngase en contacto con nosotros — estaremos encantados de ayudarle.