Aviso de privacidad
Última actualización: 7 de marzo de 2026Este Aviso de privacidad describe cómo Kaiilu («nosotros», «la plataforma») trata los datos personales de los usuarios que crean una cuenta, solicitan ser creadores, consumen contenidos o utilizan servicios de pago. Kaiilu actúa como responsable del tratamiento de los datos descritos en este documento.
El tratamiento se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley de Protección de Datos Personales de Estonia (PDPA, 2019) y la Directiva 2002/58/CE (ePrivacy). En caso de conflicto entre el RGPD y la normativa nacional estonia, prevalece el RGPD.
Si no estás de acuerdo con este Aviso, no uses la plataforma.
Principios rectores: el tratamiento de datos en Kaiilu se rige por los principios de privacidad desde el diseño y por defecto (Art. 25 RGPD): implementamos medidas técnicas y organizativas que garantizan la protección de datos desde la fase de diseño de cada funcionalidad, y la configuración predeterminada de la plataforma es siempre la más restrictiva posible en cuanto al tratamiento de datos personales. Asimismo, aplicamos los principios de minimización de datos (Art. 5.1.c), limitación de la finalidad (Art. 5.1.b) y transparencia (Art. 5.1.a).
1. Responsable del tratamiento
El responsable del tratamiento es la entidad titular de Kaiilu, establecida en la República de Estonia. Para cualquier cuestión relacionada con la privacidad:
Delegado de protección de datos (DPO): Kaiilu, como plataforma en fase de crecimiento, no está actualmente obligada a designar un DPO conforme al Art. 37 RGPD. El punto de contacto de privacidad es [email protected]. Revisamos esta situación periódicamente conforme crece la plataforma.
2. Datos que recopilamos
Recopilamos los datos estrictamente necesarios para cada función que utilices:
Datos de cuenta
- Correo electrónico, nombre, nombre de usuario, país e idioma.
- Teléfono, si lo proporcionas voluntariamente.
- Credenciales de acceso en formato cifrado (nunca almacenamos contraseñas en texto plano).
- Fecha de nacimiento, para verificar que cumples la edad mínima requerida.
- Foto de perfil, si la subes voluntariamente.
Datos de inicio de sesión social
- Si inicias sesión con Google o Apple, recibimos los datos que autorizas en el flujo OAuth: normalmente nombre, correo electrónico y foto de perfil. No recibimos ni almacenamos tu contraseña de esos proveedores.
Datos de solicitud de creador
- Información enviada en el formulario de solicitud y estado del proceso de revisión.
- Documentación de verificación de identidad, si se solicita durante el proceso.
Datos de pagos
- Identificadores de cliente, sesión y pago generados por Stripe. Kaiilu no almacena datos de tarjetas; son gestionados directamente por Stripe conforme a PCI-DSS nivel 1.
- Historial de compras de Passes y Kaiilu Coins (KC), importes y fechas.
- País de facturación, a efectos fiscales.
Wallet y transacciones KC
- Saldo de Kaiilu Coins, movimientos, desbloqueos de contenido, donaciones y acciones en el chat que impliquen uso de KC.
Datos de uso e interacción
- Historial de visualización y reproducción de contenidos.
- Mensajes enviados en el chat público de los espacios.
- Reportes de contenido o usuarios enviados por ti.
- Interacciones con encuestas, votaciones y eventos.
- Preferencias de notificación y configuración de privacidad de la cuenta.
Datos técnicos y de red
- Dirección IP, país inferido y zona horaria.
- Tipo de navegador, sistema operativo, tipo de dispositivo y resolución de pantalla.
- Registros de acceso: fecha, hora, páginas visitadas, duración de sesión y URL de referencia.
- Datos de calidad de la conexión durante la reproducción, para diagnóstico técnico.
- Identificadores de sesión anónimos para control de acceso y seguridad.
Datos de comunicaciones con nosotros
- Contenido de correos o mensajes que nos envíes a través del soporte, incluida la dirección de correo y el asunto.
3. Datos que no recopilamos
Para evitar ambigüedades, Kaiilu no recopila ni trata:
- Categorías especiales de datos (Art. 9 RGPD): datos de salud, biométricos, genéticos, religiosos, políticos, sindicales u orientación sexual.
- Fingerprinting de dispositivo: no empleamos técnicas de huella digital del navegador o del dispositivo.
- Seguimiento entre dispositivos («cross-device tracking»).
- Publicidad comportamental: no construimos perfiles para publicidad ni compartimos datos con redes publicitarias.
- Datos de geolocalización precisa: solo inferimos el país a partir de la IP; no pedimos ni usamos coordenadas GPS.
4. Finalidades y base legal
Tratamos tus datos para las siguientes finalidades, con la base legal indicada:
| Finalidad | Base legal (RGPD) |
|---|---|
| Crear y gestionar tu cuenta y acceso seguro. | Contrato (Art. 6.1.b) |
| Tramitar solicitudes de creador, gestionar espacios y publicaciones. | Contrato (Art. 6.1.b) |
| Procesar pagos de Passes y KC; registrar transacciones en el ledger. | Contrato (Art. 6.1.b) |
| Permitir el acceso y reproducción de contenidos, incluidos desbloqueos con KC. | Contrato (Art. 6.1.b) |
| Prestar soporte y atender consultas o reclamaciones. | Contrato / Interés legítimo (Art. 6.1.b / 6.1.f) |
| Verificar la edad mínima de uso. | Obligación legal / Interés legítimo (Art. 6.1.c / 6.1.f) |
| Prevención de fraude, abuso y seguridad de la plataforma. | Interés legítimo (Art. 6.1.f) |
| Cumplimiento de obligaciones fiscales y contables. | Obligación legal (Art. 6.1.c) |
| Moderación de contenido conforme al DSA. | Obligación legal / Interés legítimo (Art. 6.1.c / 6.1.f) |
| Comunicaciones de servicio (cambios, alertas de seguridad, actualizaciones importantes). | Contrato (Art. 6.1.b) |
| Comunicaciones promocionales y newsletters. | Consentimiento (Art. 6.1.a) — revocable en cualquier momento |
| Métricas de uso agregadas y anonimizadas para mejorar la plataforma. | Interés legítimo (Art. 6.1.f) |
| Defensa ante reclamaciones legales. | Interés legítimo (Art. 6.1.f) |
Cuando el tratamiento se basa en interés legítimo, hemos realizado un test de ponderación para asegurarnos de que nuestro interés no prevalece sobre tus derechos y libertades fundamentales. Puedes solicitar más información escribiendo a [email protected].
5. Decisiones automatizadas y perfilado
Kaiilu utiliza sistemas automatizados para las siguientes finalidades limitadas:
- Moderación de contenido: los sistemas de IA de Kaiilu analizan el contenido publicado para detectar infracciones de la Política de contenidos. Las decisiones de eliminación o sanción graves son revisadas por el equipo humano de moderación.
- Detección de fraude y abuso: los patrones de uso inusuales pueden activar revisiones automatizadas de seguridad.
- Recomendaciones de contenido: el historial de visualización puede usarse para ordenar el contenido que se te muestra dentro de la plataforma.
No tomamos decisiones con efectos jurídicos significativos sobre ti basadas únicamente en tratamiento automatizado (Art. 22 RGPD). Cualquier suspensión o sanción grave implica revisión humana. Si crees que una decisión automatizada te ha afectado incorrectamente, puedes solicitar revisión humana escribiendo a [email protected].
6. Inicio de sesión con servicios de terceros
Si utilizas «Iniciar sesión con Google» o «Iniciar sesión con Apple», esos proveedores actúan como responsables independientes respecto de los datos que gestionan en sus sistemas. Kaiilu solo almacena los datos que nos transmiten con tu autorización.
Puedes desvincular tu cuenta social desde los ajustes de tu cuenta de Kaiilu en cualquier momento.
7. Compartición con terceros
Kaiilu no vende tus datos personales. Los compartimos únicamente en los supuestos siguientes:
| Proveedor / Categoría | Finalidad | Rol RGPD |
|---|---|---|
| Stripe, Inc. | Procesamiento de pagos (Passes, KC). Cumplimiento PCI-DSS, AML/KYC. | Responsable independiente |
| Google LLC / Apple Inc. | Autenticación OAuth (inicio de sesión social), si lo usas. | Responsable independiente |
| Proveedores de infraestructura y hosting | Servidores, bases de datos, red. Firmamos DPA con cada proveedor. | Encargado del tratamiento |
| Proveedor de correo transaccional | Envío de correos de verificación, alertas y comunicaciones del servicio. | Encargado del tratamiento |
| Cloudflare, Inc. | Protección frente a bots (Turnstile) y seguridad de red perimetral. | Encargado del tratamiento |
| Autoridades y organismos públicos | Cuando lo exija la ley, resolución judicial, o para proteger derechos legítimos. Incluye reporte obligatorio de CSAM. | Receptor legal obligado |
En ningún caso compartimos datos con redes publicitarias ni los usamos para publicidad comportamental.
8. Transferencias internacionales de datos
Varios de nuestros proveedores procesan datos fuera del Espacio Económico Europeo (EEE). Garantizamos la adecuación mediante los mecanismos aprobados por la Comisión Europea:
| Proveedor | País | Mecanismo de transferencia |
|---|---|---|
| Stripe, Inc. | EE.UU. | CCE (Decisión 2021/914) + Marco UE-EE.UU. |
| Google LLC | EE.UU. | CCE + Marco UE-EE.UU. |
| Apple Inc. | EE.UU. | CCE + Marco UE-EE.UU. |
| Cloudflare, Inc. | EE.UU. | CCE + Marco UE-EE.UU. |
Puedes solicitar copia de las Cláusulas Contractuales Estándar (CCE) aplicables escribiendo a [email protected].
9. Retención de datos
Conservamos los datos el tiempo mínimo necesario para la finalidad que motivó su recogida:
| Categoría de datos | Período | Justificación |
|---|---|---|
| Datos de cuenta (perfil, credenciales) | Mientras la cuenta esté activa + 30 días | Prestación del servicio |
| Registros de pagos y facturas | 7 años desde la transacción | Obligación contable y fiscal |
| Transacciones KC y ledger de wallet | 5 años desde la transacción | Auditoría e integridad del sistema |
| Historial de solicitudes de creador | Hasta resolución + 1 año | Defensa ante reclamaciones |
| Logs técnicos de acceso (IP, sesión) | 12 meses | Seguridad y detección de abuso |
| Mensajes de chat | 12 meses, salvo reporte activo (hasta cierre + 2 años) | Moderación y cumplimiento DSA |
| Reportes de contenido o usuarios | Hasta cierre del caso + 2 años | Cumplimiento legal DSA / defensa |
| Tokens de inicio de sesión social | Hasta desvinculación o eliminación de cuenta | Funcionalidad de autenticación |
| Comunicaciones de soporte | 2 años desde el cierre del caso | Defensa ante reclamaciones |
| Datos de moderación (decisiones, razones) | 3 años | Obligación DSA Art. 17 / transparencia |
| Datos de consentimiento de cookies | 12 meses o hasta revocación | Prueba de consentimiento (ePrivacy) |
Transcurridos estos plazos, los datos se eliminan de forma segura o se anonimizan de manera irreversible.
10. Menores de edad
La edad mínima para usar Kaiilu es de 16 años, conforme al Art. 8 RGPD y la normativa estonia (PDPA Art. 8). No recopilamos conscientemente datos personales de menores de 16 años. Si detectamos que un usuario es menor de esa edad, eliminaremos su cuenta y sus datos sin demora.
Si eres padre, madre o tutor y crees que un menor ha creado una cuenta, contáctanos en [email protected].
11. Tus derechos RGPD
Conforme al RGPD, tienes los siguientes derechos respecto de tus datos personales:
| Derecho | Artículo | Descripción |
|---|---|---|
| Acceso | Art. 15 | Obtener confirmación de si tratamos tus datos y recibir una copia en formato legible. |
| Rectificación | Art. 16 | Corregir datos inexactos o completar datos incompletos. |
| Supresión («derecho al olvido») | Art. 17 | Solicitar la eliminación cuando los datos ya no sean necesarios o retires el consentimiento. |
| Portabilidad | Art. 20 | Recibir tus datos en formato estructurado (JSON/CSV) y transferirlos a otro responsable. |
| Limitación del tratamiento | Art. 18 | Solicitar que restrinjamos el tratamiento mientras se verifica la exactitud de los datos. |
| Oposición | Art. 21 | Oponerte al tratamiento basado en interés legítimo. |
| No ser objeto de decisiones automatizadas | Art. 22 | No ser sometido a decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos significativos. |
| Retirada del consentimiento | Art. 7.3 | Retirar cualquier consentimiento otorgado en cualquier momento sin efecto retroactivo. |
Puedes ejercer estos derechos desde los ajustes de tu cuenta o escribiendo a [email protected]. Responderemos en un plazo máximo de 30 días naturales.
12. Seguridad y notificación de brechas
Implementamos medidas técnicas y organizativas adecuadas conforme al Art. 32 RGPD:
- Cifrado en tránsito (TLS 1.2+) para todas las comunicaciones.
- Cifrado de credenciales en reposo (bcrypt/argon2).
- Control de acceso basado en roles y principio de mínimo privilegio.
- Revisiones periódicas de seguridad y pruebas de penetración.
- Entornos separados para desarrollo, staging y producción.
- Autenticación de doble factor (2FA) disponible para cuentas de creador y administración.
En caso de una brecha de seguridad que suponga un riesgo para tus derechos y libertades, notificaremos a la Andmekaitse Inspektsioon (AKI) en un plazo máximo de 72 horas (Art. 33 RGPD) y te notificaremos a ti «sin dilación indebida» si la brecha supone un riesgo alto (Art. 34 RGPD).
13. Cookies y tecnologías similares
Kaiilu utiliza cookies propias esenciales para el funcionamiento de la plataforma y, con tu consentimiento, cookies opcionales de preferencias. No utilizamos cookies de publicidad comportamental. Para el detalle completo, consulta nuestra Política de cookies.
14. Sugerencias y feedback
Si nos envías sugerencias, ideas o comentarios sobre la plataforma, aceptas que podemos usarlos libremente para mejorar el Servicio sin ninguna obligación de compensación o confidencialidad hacia ti.
15. Cambios en este Aviso
Podemos actualizar este Aviso. Cuando los cambios sean materiales, te notificaremos por correo electrónico o aviso destacado en la plataforma con al menos 15 días de antelación. Versiones anteriores están disponibles previa solicitud a [email protected].
16. Contacto y derecho a reclamación
Para cualquier consulta o solicitud relacionada con este Aviso: [email protected]
Si consideras que el tratamiento de tus datos infringe el RGPD o la PDPA estonia, tienes derecho a presentar una reclamación ante la autoridad de control competente: la Andmekaitse Inspektsioon (AKI): www.aki.ee. Si resides en otro Estado miembro de la UE, también puedes acudir a la autoridad de control de tu país de residencia habitual (Art. 77 RGPD).