Aviso
Política de Privacidad
Última actualización: 15 de mayo de 2026
El presente aviso describe cómo Cromea Studio (en adelante también "nosotros" o "el Servicio") trata los datos personales de los usuarios que acceden al sitio www.cromeastudio.com y utilizan el servicio de análisis cromático con IA.
El tratamiento se realiza de conformidad con el Reglamento (UE) 2016/679 (GDPR), el Decreto Legislativo italiano 196/2003 modificado por el Decreto 101/2018 y — para los usuarios residentes fuera de la Unión Europea — con la normativa aplicable (CCPA para California, UK GDPR, LGPD en Brasil, PIPEDA en Canadá).
1. Responsable del tratamiento
Antigravity
Email: info@antigravity.dev
Para cualquier solicitud relativa al tratamiento de tus datos personales, escríbenos a privacy@antigravity.dev.
2. Categorías de datos recogidos
Tratamos las siguientes categorías de datos personales:
- Dirección de email: necesaria para autenticarte mediante código OTP y para enviarte comunicaciones de servicio (recibo de compra, notificaciones de dossier listo).
- Fotografía del rostro: la imagen que subes para el análisis cromático constituye un dato biométrico de acuerdo con el art. 9 GDPR (categoría especial). Es procesada por la inteligencia artificial para extraer información sobre piel, cabello y ojos, y se elimina automáticamente en un plazo de 24 horas desde la subida.
- Resultado del análisis (dossier): la clasificación cromática, la paleta y los consejos generados. Se conservan para permitirte consultar y descargar tu dossier mientras tu cuenta esté activa.
- Datos de pago: gestionados directamente por Stripe (véase § 6). No almacenamos números de tarjeta ni credenciales bancarias — recibimos únicamente el ID de transacción y el resultado.
- Datos técnicos: dirección IP, user agent, marcas de tiempo de las solicitudes, cookies de sesión necesarias para el funcionamiento del login. No utilizamos cookies de perfilado ni cookies de terceros para publicidad.
3. Finalidades y base jurídica
| Finalidad | Base jurídica |
|---|---|
| Prestación del servicio (análisis de la foto, generación del dossier) | Ejecución de un contrato (art. 6.1.b GDPR) + consentimiento explícito para los datos biométricos (art. 9.2.a GDPR) |
| Autenticación y gestión de la cuenta | Ejecución de un contrato (art. 6.1.b) |
| Facturación y cumplimiento fiscal | Obligación legal (art. 6.1.c) |
| Seguridad, antifraude, logs técnicos | Interés legítimo (art. 6.1.f) — prevención de abusos |
El consentimiento para el tratamiento de tu foto como dato biométrico se recoge en el momento de la subida, antes del envío a la IA. Puedes retirar el consentimiento en cualquier momento eliminando tu cuenta o solicitando la eliminación por email.
4. Plazo de conservación
- Fotografía original: eliminada automáticamente en un plazo de 24 horas desde la subida mediante un proceso programado. No se conserva copia de seguridad más allá de este plazo.
- Dossier generado y paleta: conservados mientras tu cuenta esté activa. Puedes eliminarlos individualmente desde el panel en cualquier momento.
- Cuenta y email: eliminados a tu solicitud o tras 24 meses de inactividad (con aviso por email 30 días antes).
- Datos fiscales: conservados durante 10 años según obligación legal italiana (art. 2220 Código Civil).
- Logs de seguridad: conservados durante 90 días y luego eliminados.
5. Métodos de tratamiento y seguridad
Los datos se tratan con herramientas informáticas y se custodian en servidores protegidos, con medidas técnicas y organizativas adecuadas para garantizar la confidencialidad, integridad y disponibilidad (cifrado en tránsito mediante TLS 1.2+, cifrado en reposo del almacenamiento de archivos, autenticación sin contraseña con códigos OTP temporales, Row-Level Security a nivel de base de datos, headers HTTP de seguridad). No se realiza ningún tratamiento manual ni decisión automatizada que produzca efectos jurídicos significativos sobre el usuario (el análisis cromático tiene naturaleza puramente informativa).
6. Destinatarios de los datos (subencargados)
Para prestar el servicio nos apoyamos en los siguientes proveedores (subencargados del tratamiento según el art. 28 GDPR):
| Proveedor | Rol | Sede |
|---|---|---|
| Supabase | Base de datos, autenticación, almacenamiento de fotos/dossiers | UE (Fráncfort) |
| fal.ai | Análisis IA de la imagen (Google Gemini Vision) | EE.UU. — SCC adoptadas |
| Vercel | Hosting de la aplicación web | EE.UU. — SCC adoptadas |
| Stripe | Procesamiento de pagos, facturación, Stripe Tax | EE.UU. / Irlanda |
| Google Analytics 4 | Estadísticas de uso agregadas (solo con consentimiento explícito) | EE.UU. — SCC adoptadas, IP anonimizada |
Las transferencias fuera de la UE se realizan sobre la base de las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea mediante Decisión 2021/914. fal.ai y Vercel han firmado Acuerdos de Tratamiento de Datos que prohíben el uso de los datos para entrenar modelos de IA. Google Analytics 4 se activa solo después de tu consentimiento explícito mediante el banner de cookies (Google Consent Mode v2 con valor por defecto 'denied').
7. Tus derechos
Como interesado, tienes derecho a:
- Acceso (art. 15 GDPR): obtener una copia de tus datos.
- Rectificación (art. 16): corregir datos inexactos.
- Supresión / derecho al olvido (art. 17): eliminar la cuenta y todos los datos asociados.
- Limitación (art. 18): solicitar la suspensión del tratamiento.
- Portabilidad (art. 20): recibir tus datos en un formato estructurado (JSON).
- Oposición (art. 21): oponerte a tratamientos basados en el interés legítimo.
- Retirada del consentimiento en cualquier momento, sin perjuicio de la licitud de los tratamientos previos.
- Reclamación ante la Agencia Española de Protección de Datos (aepd.es) o la autoridad de tu Estado de residencia.
Para ejercer tus derechos escríbenos a privacy@antigravity.dev. Responderemos en un plazo de 30 días.
8. Residentes en California (CCPA / CPRA)
Si resides en California, tienes derechos adicionales en virtud de la California Consumer Privacy Act: conocer las categorías de información personal recogidas, solicitar su eliminación, oponerte a la venta o el intercambio (puntualizamos: no vendemos ni compartimos tus datos personales).
9. Menores
El Servicio está destinado a usuarios de al menos 16 años. No recogemos intencionadamente datos de menores; si tenemos conocimiento de una cuenta atribuible a un menor, la eliminamos de inmediato.
10. Modificaciones del presente aviso
Podremos actualizar este aviso en caso de cambios técnicos, normativos u organizativos. Las modificaciones sustanciales se comunicarán por email con al menos 30 días de antelación. La fecha de la última actualización se indica al inicio.
¿Tienes preguntas? Escríbenos a privacy@antigravity.dev. Te responderemos en un plazo de 5 días laborables.