Política de Privacidad
Última actualización: 13 de mayo de 2026
0. Ámbito
Clonify trata datos personales en dos roles distintos. Como responsable del tratamiento, tratamos los datos personales de los creadores (clientes de pago de Clonify). Como encargado del tratamiento, tratamos los datos personales de los visitantes que interactúan con el clon publicado de un creador, por cuenta de ese creador.
A. Datos del creador (cliente Clonify)
En esta sección, Clonify actúa como responsable del tratamiento.
A.1 Responsable
- Denominación: Marea Kiss LLC
- Domicilio: 30 N Gould St, Ste R, Sheridan, WY 82801, USA
- Email: privacy@clonify.com
A.2 Datos que recogemos
- Cuenta: email, nombre, foto de perfil, subdominio, preferencia de idioma.
- Facturación: datos fiscales, país, plan suscrito, historial de pagos. Los datos de tarjeta son procesados por el proveedor de pagos; Clonify no almacena números de tarjeta.
- Contenido subido: audios, vídeos, documentos, URLs y artefactos derivados (transcripciones, embeddings, grafo de conocimiento, perfil de voz).
- Técnicos: dirección IP, user agent, cookies de sesión, registros de errores.
- Uso: páginas visitadas, acciones en el panel, consumo de cuota.
A.3 Finalidades y base jurídica
- Prestación del servicio, autenticación, facturación, soporte — ejecución del contrato (art. 6.1.b RGPD).
- Obligaciones fiscales y contables — obligación legal (art. 6.1.c).
- Analítica de producto, prevención de fraude, mejora del servicio — interés legítimo (art. 6.1.f).
- Comunicaciones comerciales sobre nuevas funcionalidades y servicios similares — interés legítimo basado en relación contractual previa (art. 21.2 LSSI-CE), con baja en cada email.
B. Datos de visitantes del clon
Cuando un visitante interactúa con el clon de un creador, el creador es el responsable del tratamiento y Clonify es el encargado del tratamiento, regulado por el Anexo de Tratamiento de Datos (DPA).
B.1 Datos que tratamos
- Identificadores: email y nombre opcional al identificarse vía OTP; identificador anónimo en cookie cuando permanece anónimo.
- Conversaciones: transcripciones completas de los mensajes con el clon.
- Perfil de memoria: resumen generado por IA más cinco campos agnósticos (contexto, objetivo, problema, restricciones, próximo paso) derivados de la conversación, para personalizar respuestas futuras.
- Técnicos: dirección IP, user agent, idioma, página de origen.
- Cookies: ver la Política de Cookies.
B.2 Clickwrap OTP
Cuando un visitante introduce el código único recibido por email, acepta los términos del visitante y esta política. La aceptación queda registrada con fecha y vinculada al email.
B.3 Elaboración de perfiles (art. 22 RGPD)
El perfil de memoria es un tratamiento automatizado destinado a personalizar el comportamiento del clon. No produce efectos jurídicos ni decisiones que afecten significativamente al visitante. Los visitantes pueden resetear o suprimir su perfil escribiendo a privacy@clonify.com, o seguir de forma anónima para evitar crearlo.
C. Subencargados
Recurrimos a los siguientes subencargados, vinculados por un acuerdo de tratamiento con garantías adecuadas (Cláusulas Contractuales Tipo para proveedores en EE.UU.).
| Proveedor | Finalidad | Ubicación | DPA |
|---|---|---|---|
| Neon Inc. | Base de datos PostgreSQL | EE.UU. / UE | ver |
| Upstash Inc. | Rate limiting y cache | EE.UU. / UE | ver |
| Sentry | Telemetría de errores y logs | EE.UU. | ver |
| OpenAI L.L.C. | Modelos de lenguaje (respuestas del clon) | EE.UU. | ver |
| Anthropic PBC | Modelos de lenguaje (respuestas del clon) | EE.UU. | ver |
| Resend Inc. | Envío de emails transaccionales | EE.UU. | ver |
| AssemblyAI Inc. | Transcripción de audio | EE.UU. | ver |
| Replicate Inc. | Procesamiento de audio auxiliar | EE.UU. | ver |
| Vercel Inc. | Hosting de la aplicación web | EE.UU. | ver |
| Cloudflare R2 | Almacenamiento de archivos | EE.UU. / UE | ver |
| PostHog Inc. | Analítica de producto y comportamiento de uso | UE (Frankfurt) | ver |
Las herramientas de analítica y marketing (Google Analytics, Facebook Pixel, etc.) NO están en uso hoy y solo se añadirán cuando esté disponible un banner de consentimiento funcional.
D. Conservación
Clonify aplica un calendario de retención tipo soft-delete inspirado en Shopify:
- Tenant activo: datos del creador conservados indefinidamente mientras la suscripción esté activa. Datos de visitantes conservados 3 años desde la última interacción.
- Tenant cancelado: el workspace pasa a estado "suspendido", los datos de visitantes se conservan durante un periodo de gracia de 90 días.
- Pasados 90 días: datos de visitantes eliminados. Se conserva un esqueleto mínimo del tenant (facturación, datos fiscales) durante 4 años por obligación fiscal española; después se elimina.
- Solicitud de borrado del visitante: atendida de forma inmediata, con independencia del estado del tenant.
E. Tus derechos
Conforme al RGPD y la LOPDGDD tienes derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y a no ser objeto de decisiones automatizadas (ARSULIPO).
Para ejercerlos, escribe a privacy@clonify.com acreditando tu identidad. Respondemos en un plazo máximo de 30 días. Si eres visitante de un clon, trasladaremos la solicitud al creador correspondiente (responsable) cuando proceda.
También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) o la autoridad de control de tu país.
F. Seguridad
Aplicamos medidas técnicas y organizativas: aislamiento multi-tenant garantizado por revisión de código y lint, TLS en tránsito, cifrado en reposo de Neon, rate limiting en endpoints sensibles, OTP en flujos sensibles, control de acceso basado en roles, fijación de CORS y registro de seguridad vía Sentry.
G. Transferencias internacionales
Algunos subencargados están ubicados en Estados Unidos. Las transferencias se amparan en Cláusulas Contractuales Tipo (Decisión 2021/914 de la Comisión) y, cuando aplica, en el marco EU-US Data Privacy Framework.
H. Menores
Clonify se dirige a personas mayores de 16 años. No recogemos conscientemente datos de menores de esa edad.
I. Modificaciones
Podemos modificar esta política para reflejar cambios legales o del servicio. Los cambios sustanciales se notificarán por email o mediante un aviso visible en la plataforma.