Política de privacitat
Última actualització: 26 d'abril de 2026
1. Responsable del tractament
El responsable del tractament és Utsuri Foundry, SL, amb domicili social a Barcelona, Espanya. Contacte: [email protected].
2. Dades que recopilem
Dades de compte: nom, adreça de correu electrònic, credencials de compte i qualsevol informació d'organització o perfil que proporcionis. Dades d'ús: pàgines visitades, funcionalitats utilitzades, enviaments i resultats de renders, i senyals similars d'interacció amb el producte. Dades del dispositiu i la connexió: adreça IP, agent d'usuari, versió del navegador/SO, mida de pantalla i ubicació aproximada derivada de la IP. Dades d'errors: traces d'execució, informació del navegador i gravacions curtes de sessió capturades al voltant dels errors per diagnosticar fallades. Analítica de producte i gravacions de sessió: esdeveniments d'interacció d'alt nivell i gravacions completes de sessió del teu ús de l'aplicació — consulta la secció 7 per al mecanisme concret, l'emmascarament i la retenció. Dades de pagament: processades per Stripe i mai emmagatzemades als nostres servidors — només rebem una confirmació del pagament i els últims quatre dígits de la teva targeta per als rebuts.
3. Base legal del tractament
Tractem les teves dades en base a: (a) l'execució del nostre contracte amb tu, per a tot allò necessari per proporcionar el Servei (gestió de compte, execució de renders, processament de pagaments, suport); (b) els nostres interessos legítims en operar i millorar el Servei, incloent analítica de producte, gravació de sessió i monitorització d'errors (considerem que són raonablement esperables i proporcionats, i els fem transparents aquí); (c) el teu consentiment, quan la llei ho requereixi específicament (actualment cap de les nostres cookies o emmagatzematge local requereix consentiment — consulta la nostra Política de cookies); (d) el compliment d'obligacions legals, com registres fiscals i sol·licituds legals de dades. Pots oposar-te al tractament basat en interès legítim en qualsevol moment — consulta la secció 9.
4. Com utilitzem les teves dades
Per proporcionar i mantenir el Servei (creació de compte i inici de sessió, renderitzat, gestió d'organitzacions, emmagatzematge de blobs, facturació). Per processar transaccions i la comptabilitat de crèdits a través de Stripe. Per enviar comunicacions relacionades amb el servei, com codis d'inici de sessió, verificació de compte i avisos importants de la plataforma. Per diagnosticar i resoldre errors i incidències. Per entendre com s'utilitza el producte i on confon o falla els usuaris, amb la finalitat de millorar-lo. Per complir amb obligacions legals com la normativa fiscal i sol·licituds legals d'informació.
5. Encarregats del tractament
No venem les teves dades personals. Els següents encarregats del tractament processen dades personals en nom nostre, cadascun sota un Acord de Tractament de Dades i amb les salvaguardes requerides pel RGPD. Actualitzarem aquesta llista quan els encarregats canviïn. Stripe (Estats Units; certificat sota l'EU-US Data Privacy Framework): processament de pagaments, rebuts de facturació, prevenció de frau. Cloudflare (Estats Units/global): CDN, proxy de vora, protecció anti-bots (Turnstile), emmagatzematge d'objectes R2 per a renders i altres blobs, i allotjament d'aquest lloc web. Neon (regió Unió Europea per al nostre projecte): base de dades PostgreSQL serverless que emmagatzema dades de compte, renders, crèdits i projectes. Hetzner Online GmbH (regions UE): servidors virtuals privats que executen els nostres serveis backend. Resend (Estats Units; opció regió UE): lliurament de correu electrònic transaccional (codis d'inici de sessió, verificació, avisos de compte). Sentry (regió Unió Europea): monitorització d'errors i gravacions curtes de sessió associades a errors — capturades només quan es produeix un error, utilitzades per depurar fallades. PostHog Cloud (regió Unió Europea): analítica de producte i gravació de sessió — consulta la secció 7 per al mecanisme concret. Google (Cloud Identity Platform / OAuth): quan inicies sessió amb Google, rebem el teu nom, adreça de correu electrònic i foto de perfil del teu compte de Google, utilitzats únicament per crear i gestionar el teu compte de Mensula. Proveïdors de models d'IA: consulta la secció 6.
6. Proveïdors d'IA de tercers
Quan utilitzes funcions impulsades per IA (renderitzat, assistència per xat), les teves entrades — com prompts de text, imatges pujades i dades del projecte — s'envien a proveïdors de models d'IA de tercers per al seu processament. Aquests proveïdors inclouen actualment Google (Gemini, Vertex AI), OpenAI, Replicate, Black Forest Labs (BFL) i Stability, i poden canviar amb el temps. Utilitzem acords d'API empresarials on les teves dades no són utilitzades per a l'entrenament de models pel proveïdor. No obstant això, les teves entrades i resultats són processats a la infraestructura del proveïdor, que pot estar ubicada fora de l'EEE (veure Transferències internacionals). Només enviem les dades mínimes necessàries per proporcionar la funció d'IA que has sol·licitat.
7. Analítica de producte i gravació de sessió
Utilitzem PostHog Cloud (regió Unió Europea) per a analítica de producte i gravació de sessió. PostHog funciona en 'mode Cookieless server-hash' a la nostra configuració: no escriu cookies ni emmagatzematge local al teu dispositiu. Els visitants són identificats durant un únic dia mitjançant un hash generat al servidor a partir de la teva adreça IP, agent d'usuari i un salt que rota diàriament; aquest identificador no es pot utilitzar per fer seguiment d'un dia a un altre. PostHog registra: esdeveniments d'interacció (pàgines vistes, clics, accions clau del producte com enviaments de render) i gravacions completes de sessió del teu ús de l'aplicació. El contingut sensible s'emmascara al client abans de la gravació: camps de formulari (correu electrònic, contrasenya, dades de pagament), elements marcats explícitament per emmascarar (com prompts de render, noms i altres textos generats per l'usuari), i qualsevol camp de text per defecte. Utilitzem aquestes dades per entendre quines funcionalitats s'usen i on s'encallen els usuaris, i per depurar problemes d'UX que no es manifesten com a errors. La base legal és el nostre interès legítim en operar i millorar el Servei. Pots oposar-te en qualsevol moment — consulta la secció 9. Les gravacions de sessió es conserven segons la retenció per defecte de PostHog; els esdeveniments es conserven per a anàlisi mentre el teu compte estigui actiu. Sentry (descrit a la secció 5) també captura gravacions curtes de sessió, però únicament quan es produeix un error i només com a context per a aquest error específic.
8. Retenció de dades
Dades de compte: conservades mentre el teu compte estigui actiu. Després de l'eliminació del compte, eliminarem les teves dades personals en un termini de 30 dies, excepte quan la retenció sigui requerida per llei (per exemple, registres fiscals). Resultats de renders i dades de projectes: conservats fins que els eliminis o tanquis el teu compte. Esdeveniments d'analítica de producte i gravacions de sessió (PostHog): conservats segons els terminis per defecte de PostHog Cloud per al nostre projecte. Logs d'errors i gravacions contextuals (Sentry): conservats segons els terminis per defecte de Sentry Cloud. Logs de correu (Resend): conservats segons els terminis per defecte de Resend. Còpies de seguretat: còpies xifrades de les bases de dades operatives conservades fins a 14 dies amb finalitats de recuperació davant desastres.
9. Els teus drets
Sota el RGPD tens dret a: accedir a les dades personals que conservem sobre tu; rectificar dades inexactes; sol·licitar l'eliminació del teu compte i les dades personals associades; restringir o oposar-te al tractament basat en interès legítim (incloent l'oposició a l'analítica de producte i gravació de sessió); exportar les teves dades en un format portable; i presentar una reclamació davant l'Agència Espanyola de Protecció de Dades (AEPD, www.aepd.es) o la teva autoritat de control local. Per exercir qualsevol d'aquests drets, escriu a [email protected] i respondrem en un termini de 30 dies. També estem desenvolupant una pàgina de configuració de privacitat dins del producte on podràs establir la teva preferència d'analítica i gravació tu mateix; fins que es publiqui, la via per correu és la forma d'oposar-se.
10. Transferències internacionals
Quan les dades personals es transfereixen o processen en països fora de l'EEE — principalment per certs proveïdors de models d'IA i encarregats del tractament basats als EUA — ens basem en les salvaguardes adequades, incloses les Clàusules Contractuals Tipus de la UE i/o l'EU-US Data Privacy Framework quan procedeixi. Prioritzem els encarregats del tractament amb regió UE quan existeixen (Neon, Sentry, PostHog, jurisdicció UE de R2 per a nous buckets, Hetzner) i utilitzem serveis amb regió EUA només quan cap equivalent UE compleix els requisits tècnics.
11. Seguretat
Implementem mesures tècniques i organitzatives apropiades per protegir les teves dades personals contra accés, alteració, divulgació o destrucció no autoritzats. Aquestes inclouen TLS per a dades en trànsit, xifratge en repòs per a còpies de seguretat i emmagatzematge de blobs, credencials amb abast limitat, registres d'auditoria i les pràctiques operatives descrites a la nostra documentació interna. Cap sistema és perfectament segur; si alguna vegada patim una violació de dades personals que t'afecti, t'ho notificarem a tu i a l'autoritat de control corresponent segons exigeixi la llei.
12. Menors
Mensula no està dirigit a menors de 16 anys, i no recopilem conscientment dades personals de menors. Si tens constància que un menor ens ha proporcionat dades personals, contacta amb [email protected] i les eliminarem.
13. Canvis en aquesta política
Podem actualitzar aquesta Política de privacitat periòdicament. Notificarem als usuaris de canvis materials per correu electrònic o a través del Servei abans que els canvis entrin en vigor. La data d''Última actualització' a la part superior reflecteix la revisió més recent.