Tus Derechos bajo la LGPD en DavitAI
1. Presentación
Esta guía explica, en lenguaje claro, cómo DavitAI cumple íntegramente la Ley General de Protección de Datos Personales brasileña (Ley n.º 13.709, de 14 de agosto de 2018 — Lei Geral de Proteção de Dados, o LGPD). Aquí encuentras qué datos tratamos, con qué finalidad, durante cuánto tiempo y cómo ejercer cada uno de los nueve derechos garantizados por el Art. 18 de la LGPD. Este documento complementa la Política de Privacidad y los Términos de Uso. En caso de conflicto entre los documentos, prevalece la regla más favorable al titular.
Última actualización: 8 de junio de 2026.
2. Quiénes Somos como Responsables del Tratamiento
DavitAI es el responsable del tratamiento de los datos personales recopilados a través de la plataforma davitai.com, las aplicaciones web app.davitai.com y admin.davitai.com, los workers de automatización y los canales oficiales de atención. Conforme a la LGPD, el responsable es la persona natural o jurídica a quien competen las decisiones sobre el tratamiento de datos personales.
- Marca: DavitAI (
davitai.com). - Contacto general: davitai@davitai.com.
- Delegado de Protección de Datos (DPO): davitai@davitai.com (asunto: DPO — LGPD).
- Autoridad Nacional de Protección de Datos brasileña (ANPD): www.gov.br/anpd — puedes presentar reclamación directa a la ANPD si entiendes que tus derechos no han sido atendidos.
3. Bases Legales que Adoptamos (Art. 7 de la LGPD)
DavitAI trata tus datos personales con base en las siguientes hipótesis legales, eligiendo siempre la base más protectora y específica para cada finalidad:
- Ejecución de contrato (Art. 7, V): operación de la plataforma, procesamiento de jobs de los agentes, gestión de créditos, facturación, autenticación y soporte. Sin esta base no podemos prestar el servicio contratado.
- Consentimiento (Art. 7, I): comunicaciones de marketing por correo, push web, analytics de producto, cookies no esenciales y participación en encuestas opcionales. Puedes revocarlo en cualquier momento.
- Cumplimiento de obligación legal o regulatoria (Art. 7, II): retención de registros fiscales y contables, atención a órdenes judiciales, comunicaciones obligatorias al Banco Central vía Stripe, y reportes a la ANPD cuando aplique.
- Interés legítimo (Art. 7, IX): prevención de fraude, seguridad de la información, mitigación de abuso de créditos, defensa en procesos judiciales y mejora de calidad de los agentes — siempre precedido de un test de balanceo (LIA) que pondera los impactos sobre ti.
- Protección al crédito (Art. 7, X): análisis antifraude en pagos recurrentes.
4. Categorías de Datos Personales que Tratamos
Limitamos la recolección al mínimo necesario (principio de necesidad, Art. 6, III). Las categorías son:
- Datos de identificación y registro: nombre, correo electrónico, contraseña (almacenada como hash bcrypt + sal — nunca en texto plano), idioma preferido y zona horaria.
- Datos de autenticación: sesiones, tokens de refresh, conexiones OAuth cuando vinculas canales externos (Twitter/X, Instagram, WordPress, YouTube). Los tokens OAuth se cifran con AES-256-GCM antes de ser persistidos.
- Datos de uso y telemetría: agentes utilizados, prompts enviados, créditos consumidos, jobs creados, resultados generados, horarios de acceso y métricas anónimas de rendimiento.
- Datos de pago: procesados directamente por Stripe, Inc., que es responsable autónomo de esos datos. DavitAI no almacena números completos de tarjeta en sus servidores.
- Contenido generado por el usuario: guiones, narraciones, publicaciones, miniaturas y archivos enviados a los agentes — pertenecen a ti (ver Términos de Uso §6).
- Datos técnicos: dirección IP, user-agent, tipo de dispositivo, resolución de pantalla, logs de error de Sentry y métricas de Web Vitals.
- Datos de comunicación: mensajes enviados a través del formulario de contacto, soporte por correo y chat dentro del panel.
5. Finalidades Específicas
Cada categoría se trata únicamente para finalidades compatibles con el motivo de la recolección (principio de finalidad, Art. 6, I):
- Autenticar, autorizar y personalizar tu experiencia en la plataforma.
- Ejecutar los agentes de IA contratados y entregar sus resultados.
- Procesar cobros recurrentes, emitir facturas y gestionar reembolsos.
- Enviar comunicaciones transaccionales esenciales (verificación de correo, fallo de pago, finalización de job largo).
- Detectar fraude, abuso y violaciones de los Términos de Uso.
- Mejorar la calidad de los agentes mediante evaluación anónima y agregada.
- Cumplir obligaciones legales brasileñas e internacionales aplicables.
6. Compartición con Encargados y Terceros
DavitAI nunca vende, alquila ni cede tus datos personales para fines de marketing de terceros. Compartimos únicamente con encargados que ejecutan actividades necesarias para la prestación del servicio, bajo contrato y cláusulas de protección equivalentes a la LGPD:
- Stripe, Inc. — procesamiento de pagos (EE. UU. + UE, Cláusulas Contractuales Tipo aplicables).
- Google Cloud Platform (Vertex AI) — ejecución de los modelos Gemini para generación de texto, audio e imágenes. Procesamiento en regiones US/UE. DavitAI mantiene la configuración que desactiva el uso de tus prompts para entrenamiento de modelos.
- Anthropic — modelos Claude para tareas seleccionadas. Política equivalente: los prompts no se usan para entrenamiento.
- Resend — envío de correos transaccionales y de marketing (con consentimiento).
- Sentry — monitoreo de errores (IP y user-agent anonimizados en producción).
- Hetzner Cloud (Alemania) — alojamiento de la base de datos Postgres y caché Redis, dentro de la Unión Europea.
- Cloudflare — CDN, WAF y protección DDoS.
La lista completa y actualizada de subencargados está disponible bajo solicitud al DPO.
7. Tus Derechos como Titular (Art. 18)
La LGPD te garantiza nueve derechos específicos. En DavitAI todos pueden ejercerse gratuitamente:
- Confirmación de la existencia de tratamiento: saber si DavitAI trata datos sobre ti.
- Acceso: recibir una copia legible de tus datos personales.
- Corrección: actualizar datos incompletos, inexactos o desactualizados.
- Anonimización, bloqueo o eliminación de datos innecesarios, excesivos o tratados en disconformidad con la LGPD.
- Portabilidad de los datos a otro proveedor de servicio (formato JSON estructurado).
- Eliminación de los datos personales tratados con base en el consentimiento.
- Información sobre compartición con entidades públicas y privadas.
- Información sobre la posibilidad de no prestar consentimiento y las consecuencias.
- Revocación del consentimiento en cualquier momento, de forma simple y gratuita.
Cómo ejercer
Para cualquiera de los derechos anteriores, envía una solicitud a davitai@davitai.com con el asunto Derecho LGPD — [nombre del derecho]. Responderemos en hasta 15 días hábiles, conforme exige la LGPD. Podremos solicitar verificación de identidad para proteger tus datos.
También puedes usar atajos del panel: Configuración → Privacidad → Exportar datos (acceso + portabilidad) y Configuración → Eliminar cuenta (eliminación en cascada).
8. Retención de Datos — Plazos Específicos
Seguimos la regla: mantener durante el menor tiempo necesario al cumplimiento de la finalidad.
- Cuenta activa: datos de registro mantenidos mientras la cuenta esté activa.
- Cuenta cerrada por el titular: anonimización en 30 días; eliminación completa en 90 días.
- Cuenta inactiva durante 24 meses: notificación previa + eliminación automática.
- Registros fiscales y contables (facturas, NF): 5 años desde la emisión (Código Tributario brasileño — Art. 174).
- Logs de ejecución de agentes: 90 días (necesario para soporte y auditoría).
- Logs de seguridad y antifraude: 6 meses.
- Logs de acceso a sistemas (Marco Civil de Internet brasileño — Art. 15): 6 meses.
- Backups completos de la base: rotación automática cada 30 días.
9. Seguridad de la Información
Adoptamos medidas técnicas y administrativas compatibles con el estado del arte:
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
- Tokens OAuth cifrados con AES-256-GCM antes de la grabación.
- Segregación de entornos (producción, staging, desarrollo).
- Control de acceso basado en rol (RBAC) y principio de menor privilegio.
- Monitoreo continuo de incidentes vía Sentry y UptimeRobot.
- Auditorías internas trimestrales y pruebas de penetración anuales.
En caso de incidente de seguridad que involucre datos personales, notificaremos a la ANPD y a los titulares afectados conforme al Art. 48 de la LGPD.
10. Transferencia Internacional de Datos
La operación de DavitAI implica transferencias internacionales para las finalidades descritas:
- Vertex AI (GCP): procesamiento en regiones US y UE. Cláusulas Contractuales Tipo (SCC) aplicables.
- Stripe: EE. UU., con decisión de adecuación parcial y SCC.
- Hetzner: Alemania (decisión de adecuación GDPR/LGPD — equivalencia reconocida).
Garantizamos que toda transferencia observa el Capítulo V de la LGPD.
11. Cookies y Tecnologías Similares
Usamos cookies esenciales (sesión, autenticación, CSRF) sin necesidad de consentimiento, conforme al Art. 7 de la LGPD. Las cookies de analytics (Google Analytics 4 con Consent Mode v2) y marketing se activan solo tras tu autorización explícita en el banner. Puedes revisar y revocar tus elecciones en cualquier momento clicando en el enlace Cookies del pie de página.
12. Niños y Adolescentes
DavitAI no está dirigido a menores de 13 años. Para usuarios entre 13 y 18 años exigimos consentimiento de al menos uno de los padres o tutor legal, conforme al Art. 14 de la LGPD. No tratamos datos de menores deliberadamente. Si eres responsable de un menor que registró cuenta en la plataforma, contacta al DPO para eliminación inmediata.
13. Cambios en esta Política
Esta política puede ser actualizada para reflejar cambios legales, técnicos o de producto. Las alteraciones materiales se comunicarán por correo con 15 días hábiles de antelación. La fecha de la última actualización aparece al inicio de esta página, y las versiones anteriores quedan archivadas bajo solicitud al DPO.
14. Contacto del DPO y Canales Oficiales
Para ejercer derechos, aclarar dudas o reportar incidentes que involucren datos personales, utiliza uno de los canales oficiales:
- DPO — Correo: davitai@davitai.com (asunto: DPO — LGPD).
- Soporte general: davitai@davitai.com.
- Página de contacto: /es/contact.
- Acerca de DavitAI: /es/about.
15. Vigencia
Esta versión entra en vigor el 8 de junio de 2026 y sustituye a todas las anteriores. El uso continuado de la plataforma tras esta fecha constituye aceptación del contenido de esta página, sin perjuicio de los derechos de revocación de consentimiento previstos en el punto 7.
Enlaces relacionados: Política de Privacidad · Términos de Uso · Contacto · Acerca de DavitAI · Agentes.