Política de Privacidad
Última actualización: 24 de mayo de 2026
Índice
1. Responsable del tratamiento
- Titular: Brandboleo — Juan Moliner
- Marca comercial: Gargot
- Domicilio: España
- Email de contacto: gargot@gargot.io
- Contacto DPO / privacidad: gargot@gargot.io · página DPO
- Sitio web: https://gargot.io
2. Datos que tratamos
2.1 Datos de la agencia (cliente de Gargot)
- Identificativos: nombre, email, contraseña cifrada con bcrypt
- Datos de empresa: nombre comercial, plan contratado
- Datos de facturación: gestionados directamente por Stripe (Gargot no almacena números de tarjeta)
- Miembros de equipo invitados: nombre, email, rol, avatar opcional
2.2 Datos de uso del servicio
- Contenido subido por la agencia: textos, imágenes, audios, vídeos, archivos adjuntos a entradas, propuestas y publicaciones
- Entradas y briefings generados
- Propuestas IA generadas a partir de tu contenido
- Comentarios, anotaciones, mensajes de chat de equipo
- Logs técnicos: IP, navegador, fechas de acceso, acciones realizadas (para auditoría y seguridad)
2.3 Datos de clientes finales (los clientes de la agencia)
Cuando una agencia añade un cliente y este se vincula vía Telegram:
telegram_chat_idy nombre del chat- Mensajes que el cliente envía al bot (texto, audio, fotos, vídeos, documentos)
- Idioma configurado
- Tokens OAuth de Instagram Business (cuando el cliente conecta su cuenta para publicar)
2.4 Datos de conexiones a redes sociales
Cuando un cliente conecta su cuenta de Instagram Business vía OAuth de Meta:
- ID de Instagram Business Account y ID de Facebook Page
- Nombre de la página y username de Instagram
access_tokende larga duración (~60 días) cifrado en BD- Fecha de conexión y vencimiento del token
No accedemos a las publicaciones existentes ni a los seguidores. Solo usamos el token para publicar el contenido que tú nos indicas.
3. Finalidades y base legal del tratamiento
| Finalidad | Base legal (RGPD) |
|---|---|
| Prestar el servicio contratado: generar briefings y propuestas, gestionar tareas y publicaciones | Ejecución del contrato (art. 6.1.b) |
| Procesar pagos y emitir facturas | Ejecución contrato + obligación legal |
| Atención al cliente y soporte | Ejecución del contrato (art. 6.1.b) |
| Auditoría, seguridad y prevención de fraude | Interés legítimo (art. 6.1.f) |
| Cumplir requerimientos legales y judiciales | Obligación legal (art. 6.1.c) |
| Mejorar el servicio (analítica agregada y anónima) | Interés legítimo (art. 6.1.f) |
No utilizamos tu contenido para entrenar modelos de inteligencia artificial ni lo compartimos con terceros para ese fin.
4. Subprocesadores y terceros
Para prestar el servicio nos apoyamos en proveedores que tratan datos por cuenta nuestra:
| Proveedor | Servicio | Ubicación |
|---|---|---|
| Hetzner Online GmbH | Hosting (servidor + BD + storage) | Alemania (UE) |
| Anthropic, PBC | Generación de briefings y propuestas con Claude | EE.UU. (con CCT) |
| Stripe Payments Europe | Procesamiento de pagos | Irlanda (UE) |
| Resend | Envío de emails transaccionales | EE.UU. / UE |
| Telegram FZ-LLC | Mensajería con clientes finales vía bot | EAU / Internacional |
| Meta Platforms Ireland | Publicación en Instagram (Graph API) | Irlanda (UE) |
| OpenAI (opcional) | Transcripción de audio complementaria | EE.UU. (con CCT) |
5. Transferencias internacionales
Algunos subprocesadores están fuera del EEE. Estas transferencias se amparan en:
- Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea
- El marco EU-U.S. Data Privacy Framework cuando el proveedor está certificado
- Garantías adicionales del propio proveedor (cifrado en tránsito y en reposo)
6. Plazos de conservación
- Cuenta y contenido activo: mientras tu cuenta esté operativa
- Datos tras eliminación de cuenta: 30 días en backups antes del borrado definitivo
- Datos fiscales y de facturación: 6 años (Ley General Tributaria)
- Logs de auditoría: hasta 2 años
- Tokens OAuth caducados: se eliminan al renovarse o desconectarse
7. Tus derechos
Tienes derecho a ejercer en cualquier momento:
- Acceso (art. 15): obtener una copia de tus datos. Desde Configuración → Privacidad → "Exportar datos".
- Rectificación (art. 16): corregir datos inexactos directamente en tu perfil.
- Supresión (art. 17, "derecho al olvido"): ver página específica.
- Limitación (art. 18): pedir que paremos ciertos tratamientos.
- Portabilidad (art. 20): recibir tus datos en formato JSON estructurado.
- Oposición (art. 21): oponerte a tratamientos basados en interés legítimo.
Para ejercer estos derechos, escríbenos a gargot@gargot.io con copia de tu documento de identidad. Responderemos en máximo 30 días.
Si consideras que no hemos atendido correctamente tu solicitud, puedes reclamar ante la Agencia Española de Protección de Datos en www.aepd.es.
8. Medidas de seguridad
- HTTPS/TLS en todas las comunicaciones
- Contraseñas cifradas con bcrypt
- Autenticación JWT con opción de 2FA con TOTP
- Aislamiento por agencia con verificación en cada consulta
- Backups automáticos diarios cifrados, retención 30 días
- Registro y notificación de brechas en 72h conforme a art. 33 RGPD
9. Menores de edad
Gargot está dirigido a profesionales y empresas. No tratamos conscientemente datos de menores de 14 años.
10. Cookies y almacenamiento local
Utilizamos:
- Cookies técnicas / localStorage esenciales: sesión JWT, agencia activa, preferencias UI.
- Cookies de preferencias: recordar tu elección sobre el banner.
Actualmente no usamos cookies de analítica ni de publicidad de terceros.
11. Cambios en esta política
Si modificamos esta política te lo notificaremos con al menos 15 días de antelación cuando los cambios sean sustanciales.
12 · Contacto
Para cualquier asunto relacionado con tu privacidad:
Brandboleo (Gargot)
📧 gargot@gargot.io
🌐 gargot.io · 📄 Página DPO
📍 España (UE)