BORRADOR — pendiente de revisión legal por abogado de privacy antes de publicar. Generado como punto de partida basado en estándares GDPR + LOPDGDD + LATAM + CCPA.
Política de Privacidad — Astrosoul Center
Última revisión: 2026-05-26 Versión: 1.0 (borrador)
Esta Política de Privacidad explica qué datos personales recogemos en Astrosoul Center, con qué finalidad los usamos, durante cuánto tiempo los conservamos y qué derechos tienes sobre ellos. Está escrita en lenguaje claro porque la normativa europea exige que cualquier persona pueda entenderla sin formación jurídica.
Si después de leerla tienes dudas, escríbenos a [EMAIL CONTACTO] antes de aceptarla.
1. Quién es el responsable del tratamiento
El responsable del tratamiento de tus datos personales es:
- Titular:
[NOMBRE COMPLETO DEL AUTÓNOMO] - NIF:
[NIF] - Dirección postal:
[DIRECCIÓN POSTAL] - Email de contacto y privacidad:
[EMAIL CONTACTO] - Sitio web: https://astrosoul.center
Astrosoul Center está operada como actividad de un profesional autónomo dado de alta en España. Cuando la empresa se constituya formalmente, actualizaremos esta sección y notificaremos el cambio con antelación.
2. Qué datos personales recogemos
Recogemos únicamente los datos necesarios para prestar el servicio. Los agrupamos en cinco categorías:
2.1 Datos de identidad y contacto
- Nombre y apellido (opcional para cuentas gratuitas, requerido en planes de pago para facturación).
- Email (obligatorio para registro y autenticación).
- País de residencia y zona horaria (para localización de la interfaz y cálculo astrológico correcto).
2.2 Datos de nacimiento (para cálculo astrológico)
- Fecha de nacimiento.
- Hora de nacimiento (con la mayor precisión posible).
- Ciudad y país de nacimiento (que convertimos a coordenadas latitud/longitud).
Estos datos son imprescindibles para calcular tu carta natal y las herramientas derivadas. Los almacenamos cifrados en reposo en la base de datos.
2.3 Datos de conversaciones e interacciones
- Mensajes que envías al chat de inteligencia artificial.
- Reports generados (textos largos producidos por nuestro motor de interpretación con apoyo de modelos de lenguaje).
- Histórico de sesiones (timestamps, identificadores de conversación).
2.4 Datos de uso y analítica técnica
- Dirección IP (anonimizada en logs después de 30 días).
- Tipo de navegador y sistema operativo.
- Páginas visitadas dentro de la aplicación y duración de sesión.
- Identificadores de cookies técnicas y de preferencia (ver
cookie-policy.md).
2.5 Datos de pago (futuro, vía Stripe)
Cuando integremos Stripe procesará los pagos en sus servidores. Nosotros nunca veremos ni almacenaremos tu número de tarjeta. Únicamente conservamos:
- Identificador de cliente en Stripe.
- Importe y fecha de cada transacción.
- Plan contratado y estado de la suscripción.
- Datos de facturación que tú nos proporciones (nombre fiscal, dirección, NIF/RFC/CUIT/RUT según país).
2.6 Datos de mensajería con profesionales (chat del marketplace)
Si usas el chat directo con un astrólogo del marketplace tratamos:
- Contenido de los mensajes, marca temporal y partes implicadas (cliente y astrólogo).
- Estado de cada mensaje: entregado o bloqueado por nuestros filtros automáticos de protección (teléfonos, emails, direcciones u otros canales de contacto).
- Señales de moderación: si un mensaje se reporta o se marca para revisión.
Finalidad: facilitar la comunicación previa y en torno a la sesión, moderar el canal para impedir el intercambio de datos de contacto fuera de la plataforma, y conservar evidencia para resolver disputas.
Base legal: ejecución del contrato (Art. 6.1.b) para la mensajería; interés legítimo (Art. 6.1.f) para la moderación y la prevención del bypass del marketplace.
Quién accede: el astrólogo destinatario (los mensajes que le entregamos) y, solo para mensajes bloqueados o reportados, el equipo de moderación. El personal de moderación no accede al contenido normal del chat; cada acceso a un mensaje queda registrado en el audit log.
Conservación: 2 años desde el último mensaje del hilo (alineado con la prescripción de acciones civiles en España). Los mensajes bloqueados se conservan como evidencia de moderación durante el mismo plazo.
3. Datos sensibles (Art. 9 GDPR) y consentimiento explícito
Tu carta natal y las conversaciones con nuestro agente pueden revelar creencias filosóficas o espirituales, contenido íntimo de salud mental o aspectos de vida personal. La normativa europea (Art. 9 GDPR) los clasifica como categorías especiales de datos, lo que exige una base legal reforzada.
Por eso pedimos tu consentimiento explícito en el momento de registrarte mediante un checkbox separado y no marcado por defecto. Puedes retirar ese consentimiento en cualquier momento desde /dashboard/profile/privacy o escribiendo a [EMAIL CONTACTO]. Al retirarlo, eliminaremos los datos asociados según los plazos de la sección 6.
4. Para qué usamos tus datos (finalidades) y base legal
| Finalidad | Datos usados | Base legal |
|---|---|---|
| Crear y mantener tu cuenta | Identidad, contacto | Ejecución de contrato (Art. 6.1.b) |
| Calcular tu carta natal y herramientas derivadas | Datos de nacimiento | Consentimiento explícito (Art. 9.2.a) |
| Generar reports e interpretaciones personalizadas | Datos de nacimiento, datos de chat | Consentimiento explícito (Art. 9.2.a) |
| Mantener historial de conversaciones para continuidad | Mensajes de chat | Ejecución de contrato + consentimiento |
| Enviar emails transaccionales (confirmación de cuenta, recuperación de contraseña, facturas) | Email, identidad | Ejecución de contrato (Art. 6.1.b) |
| Procesar pagos y emitir facturas | Datos de pago e identidad | Ejecución de contrato + obligación legal fiscal (Art. 6.1.b y 6.1.c) |
| Mejorar el producto mediante análisis agregado y anonimizado | Métricas de uso (sin contenido del chat) | Interés legítimo (Art. 6.1.f) |
| Cumplir obligaciones contables y fiscales | Facturas, datos de pago | Obligación legal (Art. 6.1.c) |
| Atender solicitudes de derechos (acceso, supresión, etc.) | Identidad, contacto | Obligación legal (Art. 6.1.c) |
| Prevenir fraude y abuso del servicio | IP, patrones de uso, identificadores | Interés legítimo (Art. 6.1.f) |
| Enviar comunicaciones comerciales sobre nuevas funcionalidades | Consentimiento separado y revocable (Art. 6.1.a) |
Nunca vendemos tus datos a terceros. Nunca usamos el contenido de tu chat o de tus reports para entrenar modelos de inteligencia artificial.
5. Decisiones automatizadas y perfilado (Art. 22 GDPR)
Astrosoul Center usa modelos de lenguaje (LLM) para generar interpretaciones astrológicas y mantener conversaciones contigo. Esto califica como tratamiento automatizado según el Art. 22 GDPR.
- Las interpretaciones son contenido informativo y de entretenimiento. No constituyen consejo médico, psicológico, jurídico ni financiero.
- No tomamos decisiones con efectos jurídicos sobre ti (no concedemos ni rechazamos servicios, créditos o beneficios mediante IA).
- Tienes derecho a solicitar intervención humana en cualquier interpretación que te haya impactado: escribe a
[EMAIL CONTACTO]y revisaremos tu caso manualmente.
6. Cuánto tiempo conservamos tus datos
El detalle completo está en retention-policy.md. Resumen:
| Categoría | Plazo |
|---|---|
| Datos de cuenta activa | Mientras la cuenta exista |
| Cartas natales y reports | Mientras la cuenta exista; anonimización en 30 días tras borrado |
| Conversaciones de chat | Mientras la cuenta exista (puedes borrarlas desde el dashboard) |
| Facturas y datos contables | 6 años (Art. 30 Código de Comercio español) |
| Logs técnicos | 90 días |
| Backups cifrados | Rotación cada 90 días |
7. Con quién compartimos tus datos (sub-procesadores)
Para prestar el servicio usamos proveedores tecnológicos que actúan como encargados del tratamiento bajo nuestras instrucciones. La lista completa, actualizada, está en subprocessors.md. Los principales son:
- OpenAI (Estados Unidos): generación de interpretaciones y chat.
- Stripe (Estados Unidos / Irlanda): procesamiento de pagos (cuando lo integremos).
- Vercel (Estados Unidos): hosting del frontend.
- Resend (Estados Unidos): envío de emails transaccionales.
- Proveedor de Postgres (a determinar según el hosting elegido).
8. Transferencias internacionales de datos
Algunos de nuestros proveedores procesan datos en Estados Unidos. Para garantizar un nivel de protección equivalente al europeo aplicamos:
- Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914) con cada sub-procesador.
- Marco EU-US Data Privacy Framework donde el sub-procesador está certificado.
- Cifrado en tránsito (TLS 1.3) y en reposo siempre que el proveedor lo soporte.
- Minimización: enviamos sólo los datos estrictamente necesarios para la función contratada.
Puedes solicitar copia de las SCC vigentes con cualquier sub-procesador escribiéndonos a [EMAIL CONTACTO].
9. Tus derechos
En aplicación del GDPR y la LOPDGDD tienes los siguientes derechos:
- Acceso: obtener copia de los datos que tenemos sobre ti.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión ("derecho al olvido"): eliminar tus datos cuando ya no sean necesarios o cuando retires el consentimiento.
- Oposición: oponerte al tratamiento basado en interés legítimo.
- Limitación: pedir que paralicemos el tratamiento mientras se resuelve una controversia.
- Portabilidad: recibir tus datos en formato estructurado (JSON) y transmitirlos a otro responsable.
- No ser objeto de decisiones automatizadas: ver sección 5.
- Retirar el consentimiento en cualquier momento sin que afecte a la licitud del tratamiento previo.
- Reclamar ante la Agencia Española de Protección de Datos (www.aepd.es) o ante la autoridad de control de tu país de residencia.
Cómo ejercer tus derechos
- Por email: envía un mensaje a
[EMAIL CONTACTO]indicando el derecho que quieres ejercer y, si es necesario para verificar tu identidad, una copia de un documento oficial. - Por formulario: cuando esté disponible, en
/dashboard/profile/privacy.
Responderemos en un plazo máximo de un mes desde la recepción, prorrogable a dos meses si la solicitud es compleja.
10. Usuarios fuera de la Unión Europea
Tratamos los datos de usuarios de todo el mundo aplicando el estándar GDPR como base, complementado con la normativa local cuando otorga derechos adicionales.
10.1 México — LFPDPPP
Si resides en México se aplica la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Tienes los derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) más los de revocación del consentimiento y limitación de uso. Los puedes ejercer escribiendo a [EMAIL CONTACTO]. La autoridad de control es el INAI (https://home.inai.org.mx).
10.2 Brasil — LGPD
Si resides en Brasil se aplica la Lei Geral de Proteção de Dados. Los derechos son equivalentes a los del GDPR. La autoridad de control es la ANPD (https://www.gov.br/anpd).
10.3 Argentina, Chile, Colombia, Perú, Uruguay
Cada país cuenta con su propia normativa (Ley 25.326 en Argentina, Ley 19.628 en Chile, Ley 1581 de 2012 en Colombia, Ley 29733 en Perú, Ley 18.331 en Uruguay). En todos los casos respetamos los derechos de acceso, rectificación, supresión y oposición. Las autoridades de control respectivas son la AAIP, CPLT, SIC, ANPDP y URCDP.
10.4 Estados Unidos — California (CCPA / CPRA)
Si resides en California aplica la California Consumer Privacy Act. Tienes derecho a:
- Saber qué información personal recogemos sobre ti.
- Solicitar su supresión.
- Optar por no participar en la "venta" de información personal (no vendemos datos, pero el derecho está garantizado por defecto).
- No ser discriminado por ejercer estos derechos.
- Recibir un aviso "Do Not Sell or Share My Personal Information".
10.5 Otros estados de Estados Unidos
Aplicamos los principios CCPA a todos los usuarios estadounidenses por defecto, lo que cubre también las legislaciones de Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA) y los nuevos estados que se sumen.
10.6 Cláusula general
Si tu legislación local te otorga derechos adicionales a los descritos aquí, los respetamos automáticamente. Sólo necesitas indicarlo al escribirnos a [EMAIL CONTACTO].
11. Cookies
Usamos cookies técnicas necesarias para autenticarte y mantener tu sesión, y cookies de preferencia para recordar tu idioma. No usamos cookies de marketing ni publicidad de terceros. El detalle completo está en cookie-policy.md.
12. Medidas de seguridad
- Contraseñas almacenadas con hash bcrypt (nunca en texto plano).
- Cifrado TLS 1.3 en todas las comunicaciones.
- Cifrado en reposo en la base de datos para campos sensibles.
- Tokens JWT con expiración corta y rotación.
- Backups cifrados con rotación periódica.
- Logs de auditoría para operaciones sensibles.
- Acceso al backend limitado por principio de mínimo privilegio.
13. Brechas de seguridad
En caso de una brecha que pueda suponer riesgo para tus derechos y libertades, te lo notificaremos por email y a la autoridad de control (AEPD u homóloga) dentro del plazo legal de 72 horas.
14. Menores de edad
El servicio está dirigido a mayores de 16 años. Es la edad de consentimiento digital fijada en España según la LOPDGDD. Si eres menor, necesitas el consentimiento documentado de tus padres o tutores y debes contactarnos para que validemos la cuenta manualmente. Si detectamos una cuenta de un menor sin ese consentimiento, la suspenderemos hasta verificar la autorización parental.
15. Delegado de Protección de Datos (DPO)
No estamos obligados por escala a designar un DPO formal. El propio responsable del tratamiento atiende todas las consultas en [EMAIL CONTACTO]. Si el servicio crece y la designación se vuelve obligatoria, lo comunicaremos y actualizaremos esta sección.
16. Cambios en la política
Podemos actualizar esta Política de Privacidad cuando cambien funcionalidades, sub-procesadores o normativas aplicables. Te notificaremos los cambios sustanciales por email con al menos 30 días de antelación y los menores los publicaremos en esta misma página con la nueva fecha de revisión.
17. Contacto
Para cualquier cuestión sobre privacidad puedes escribirnos a [EMAIL CONTACTO] o por correo postal a [DIRECCIÓN POSTAL]. Respondemos en español, inglés y portugués.