Política de Privacidad de DavitAI
1. Introducción y Alcance
Esta Política de Privacidad describe cómo DavitAI recopila, utiliza, comparte, almacena y protege los datos personales de usuarios, visitantes del sitio, clientes de pago, agencias asociadas y candidatos a vacantes. Se aplica a todas las superficies oficiales de DavitAI: davitai.com, app.davitai.com, admin.davitai.com, APIs públicas, comunicaciones por correo y cualquier otra integración identificada con la marca DavitAI.
DavitAI es una plataforma brasileña de agentes de inteligencia artificial para creadores de contenido. Operamos en cumplimiento con la Ley General de Protección de Datos Personales brasileña (Ley 13.709/2018 — LGPD), el Reglamento General de Protección de Datos europeo (GDPR — Reglamento (UE) 2016/679) y, cuando aplique a residentes de California, con la California Consumer Privacy Act (CCPA/CPRA).
Última actualización: 8 de junio de 2026. Recomendamos la lectura conjunta de los Términos de Uso y la guía de Derechos LGPD.
2. Datos que Recopilamos
Recopilamos únicamente lo estrictamente necesario (principio de minimización). Las categorías son:
- Datos de registro: nombre completo, correo electrónico, contraseña (almacenada como hash bcrypt + sal — nunca en texto plano), idioma, zona horaria.
- Datos de autenticación: sesiones, tokens de refresh, conexiones OAuth para canales externos (Twitter/X, Instagram, YouTube, WordPress). Todos los tokens OAuth se cifran con AES-256-GCM antes de su grabación.
- Datos de uso de la plataforma: agentes ejecutados, prompts enviados, créditos consumidos, jobs creados, contenido generado, historial de ejecuciones y métricas de rendimiento.
- Datos de pago: procesados directamente por Stripe, Inc., bajo su propia política de privacidad. DavitAI almacena solo metadatos de la transacción (estado, monto, brand de la tarjeta) — nunca número completo, CVV o vencimiento.
- Datos de comunicación: mensajes enviados mediante el formulario de contacto, correos de soporte, respuestas a encuestas y tickets internos.
- Datos técnicos automáticos: dirección IP, user-agent, tipo de dispositivo, resolución, sistema operativo, referrer, métricas de Web Vitals.
- Datos de cookies: esenciales siempre; analytics y marketing solo con consentimiento.
No recopilamos datos sensibles (Art. 5, II de la LGPD) de forma deliberada. Si compartes información sensible en los prompts de los agentes (origen racial, opinión política, salud, datos biométricos), serán tratados únicamente para la ejecución inmediata del job y descartados conforme a la política de retención.
3. Cómo Usamos tus Datos (Finalidades)
Tus datos se tratan estrictamente para:
- Operación del servicio: autenticación, autorización, ejecución de agentes, gestión de créditos, soporte al usuario.
- Facturación y cobro: procesar pagos recurrentes, emitir facturas, gestionar reembolsos.
- Comunicaciones transaccionales: verificación de correo, fallos de pago, finalización de jobs largos, alertas de seguridad.
- Comunicaciones de marketing: boletín, novedades de producto, consejos — solo con consentimiento explícito y revocable.
- Analytics y mejora de producto: solo con consentimiento, agregados y anonimizados siempre que sea posible.
- Seguridad y antifraude: detección de abuso, prevención de credit mining, protección contra ataques automatizados.
- Cumplimiento legal: obligaciones fiscales, requerimientos judiciales, comunicaciones a la ANPD cuando aplique.
4. Base Legal para el Tratamiento
DavitAI fundamenta cada tratamiento en una de las hipótesis del Art. 7 de la LGPD (y Art. 6 del GDPR equivalente):
- Ejecución de contrato (LGPD Art. 7, V / GDPR Art. 6(1)(b)) — operación de la plataforma.
- Consentimiento (LGPD Art. 7, I / GDPR Art. 6(1)(a)) — marketing, analytics, cookies no esenciales.
- Obligación legal (LGPD Art. 7, II / GDPR Art. 6(1)(c)) — registros fiscales, requerimientos judiciales.
- Interés legítimo (LGPD Art. 7, IX / GDPR Art. 6(1)(f)) — seguridad, antifraude, mejora de calidad. Siempre precedido de un test de balanceo documentado.
5. Compartición con Encargados y Terceros
DavitAI no vende, ni alquila, ni comercializa datos personales. Compartimos exclusivamente con encargados que ejecutan servicios esenciales para el funcionamiento de la plataforma, bajo contrato de protección de datos (DPA) y cláusulas equivalentes a LGPD/GDPR:
- Stripe, Inc. — procesamiento de pagos. Actúa como responsable autónomo para fines antifraude.
- Google Cloud Platform (Vertex AI) — ejecución de los modelos Gemini para texto, audio e imagen. La configuración de DavitAI desactiva el uso de tus prompts para entrenamiento.
- Anthropic, PBC — modelos Claude para tareas seleccionadas. Los datos de entrada no se utilizan para entrenamiento.
- Resend — envío de correos transaccionales y de marketing (con consentimiento).
- Sentry — monitoreo de errores (IP y user-agent anonimizados en producción).
- Hetzner Online GmbH (Alemania) — alojamiento de la base Postgres, caché Redis y workers, dentro de la Unión Europea.
- Cloudflare, Inc. — CDN, WAF y protección DDoS.
Lista completa actualizada de subencargados disponible bajo solicitud al DPO.
6. Tus Derechos como Titular
Bajo la LGPD, GDPR y CCPA, tienes derechos amplios sobre tus datos personales — todos ejercibles gratuitamente:
- Acceso y confirmación del tratamiento.
- Corrección de datos incompletos, inexactos o desactualizados.
- Eliminación de los datos tratados con base en el consentimiento.
- Anonimización o bloqueo de datos innecesarios o tratados en disconformidad.
- Portabilidad en formato JSON estructurado.
- Información sobre compartición con terceros.
- Revocación del consentimiento en cualquier momento.
- Oposición al tratamiento basado en interés legítimo (GDPR Art. 21).
- No discriminación por ejercer derechos (CCPA §1798.125).
- Opt-out de “venta” de datos personales (CCPA — no aplicable a DavitAI, pues no vendemos).
Para ejercer cualquier derecho, envía un correo a davitai@davitai.com o consulta la guía detallada en /es/legal/lgpd. Respuesta en hasta 15 días hábiles.
7. Retención de Datos
Seguimos plazos específicos por categoría, siempre justificados por la finalidad:
- Datos de registro: mantenidos mientras la cuenta esté activa.
- Cuenta cerrada: anonimización en 30 días; eliminación completa en 90 días.
- Cuenta inactiva durante 24 meses: notificación previa + eliminación automática.
- Registros fiscales y contables: 5 años (Código Tributario brasileño — Art. 174).
- Logs de ejecución de agentes: 90 días.
- Logs de seguridad y antifraude: 6 meses.
- Logs de acceso (Marco Civil de Internet — Art. 15): 6 meses.
- Backups completos: rotación automática cada 30 días.
8. Medidas de Seguridad
Implementamos controles técnicos y organizativos compatibles con el estado del arte:
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
- Tokens OAuth cifrados con AES-256-GCM antes de cualquier persistencia.
- Control de acceso basado en rol (RBAC), principio de menor privilegio.
- Segregación completa entre producción, staging y desarrollo.
- Monitoreo continuo de incidentes vía Sentry, alertas en tiempo real.
- Auditorías internas trimestrales; pruebas de penetración anuales por terceros cualificados.
- Política de contraseña fuerte y soporte planificado de autenticación multifactor (MFA).
En caso de incidente de seguridad que involucre datos personales, notificaremos a la ANPD y a los titulares afectados dentro de los plazos de la LGPD (Art. 48) y del GDPR (Art. 33 — 72 horas).
9. Transferencia Internacional de Datos
La operación de DavitAI implica transferencias internacionales necesarias y protegidas:
- Vertex AI (GCP): US y UE — Cláusulas Contractuales Tipo (SCC).
- Stripe: EE. UU. — decisión de adecuación parcial + SCC.
- Hetzner: Alemania — amparado por el GDPR, considerado adecuado por la ANPD.
- Cloudflare: múltiples regiones — SCC y Data Processing Addendum.
Todas las transferencias siguen el Capítulo V de la LGPD y el Capítulo V del GDPR.
10. Cookies, Analytics y Consent Mode
Usamos cookies esenciales (sesión, autenticación, CSRF) sin requerir consentimiento. Las cookies de analytics (Google Analytics 4 configurado en Consent Mode v2) y marketing requieren consentimiento explícito vía banner. Puedes revisar y revocar tus elecciones en cualquier momento clicando en el enlace Cookies del pie de página.
Detalle completo de cookies, finalidad, duración y proveedor disponible en la propia interfaz del banner.
11. Privacidad de Niños
DavitAI no está dirigido a menores de 13 años. En cumplimiento con la estadounidense COPPA (Children’s Online Privacy Protection Act) y el Art. 14 de la LGPD, no recopilamos deliberadamente datos de menores. Para usuarios entre 13 y 18 años exigimos consentimiento de los responsables legales. Si identificamos cuenta de menor sin autorización, la cuenta se elimina y los datos se borran.
12. Cambios en esta Política
Esta Política puede actualizarse periódicamente. Los cambios materiales (cambio de finalidad, nuevo subencargado relevante, alteración de retención) se comunicarán por correo con al menos 15 días hábiles de antelación. La fecha de la última actualización aparece al inicio de esta página, y las versiones anteriores quedan archivadas bajo solicitud al DPO.
13. Contacto del Delegado de Protección de Datos (DPO)
Para todas las cuestiones relacionadas con privacidad, protección de datos o ejercicio de derechos:
- DPO: davitai@davitai.com (asunto: DPO — LGPD/GDPR).
- Página de contacto: /es/contact.
- Autoridad Nacional de Protección de Datos (ANPD): www.gov.br/anpd — para reclamaciones regulatorias.
- Acerca de DavitAI: /es/about.
Enlaces relacionados: Derechos LGPD · Términos de Uso · Contacto · Acerca de DavitAI · Agentes disponibles.