Skip to content

Política de privacidad

Última actualización: 26 de abril de 2026

1. Responsable del tratamiento

El responsable del tratamiento es Utsuri Foundry, SL, con domicilio social en Barcelona, España. Contacto: [email protected].

2. Datos que recopilamos

Datos de cuenta: nombre, dirección de correo electrónico, credenciales de cuenta y cualquier información de organización o perfil que proporciones. Datos de uso: páginas visitadas, funcionalidades utilizadas, envíos y resultados de renders, y señales similares de interacción con el producto. Datos del dispositivo y la conexión: dirección IP, agente de usuario, versión del navegador/SO, tamaño de pantalla y ubicación aproximada derivada de la IP. Datos de errores: trazas de ejecución, información del navegador y grabaciones cortas de sesión capturadas alrededor de los errores para diagnosticar fallos. Analítica de producto y grabaciones de sesión: eventos de interacción de alto nivel y grabaciones completas de sesión de tu uso de la aplicación — consulta la sección 7 para el mecanismo concreto, el enmascaramiento y la retención. Datos de pago: procesados por Stripe y nunca almacenados en nuestros servidores — solo recibimos una confirmación del pago y los últimos cuatro dígitos de tu tarjeta para los recibos.

3. Base legal del tratamiento

Tratamos tus datos en base a: (a) la ejecución de nuestro contrato contigo, para todo lo necesario para proporcionar el Servicio (gestión de cuenta, ejecución de renders, procesamiento de pagos, soporte); (b) nuestros intereses legítimos en operar y mejorar el Servicio, incluyendo analítica de producto, grabación de sesión y monitorización de errores (consideramos que son razonablemente esperables y proporcionados, y los hacemos transparentes aquí); (c) tu consentimiento, cuando la ley lo requiera específicamente (actualmente ninguna de nuestras cookies o almacenamiento local requiere consentimiento — consulta nuestra Política de cookies); (d) el cumplimiento de obligaciones legales, como registros fiscales y solicitudes legales de datos. Puedes oponerte al tratamiento basado en interés legítimo en cualquier momento — consulta la sección 9.

4. Cómo usamos tus datos

Para proporcionar y mantener el Servicio (creación de cuenta e inicio de sesión, renderizado, gestión de organizaciones, almacenamiento de blobs, facturación). Para procesar transacciones y la contabilidad de créditos a través de Stripe. Para enviar comunicaciones relacionadas con el servicio, como códigos de inicio de sesión, verificación de cuenta y avisos importantes de la plataforma. Para diagnosticar y resolver errores e incidencias. Para entender cómo se utiliza el producto y dónde confunde o falla a los usuarios, con el fin de mejorarlo. Para cumplir con obligaciones legales como la normativa fiscal y solicitudes legales de información.

5. Encargados del tratamiento

No vendemos tus datos personales. Los siguientes encargados del tratamiento procesan datos personales en nuestro nombre, cada uno bajo un Acuerdo de Tratamiento de Datos y con las salvaguardas requeridas por el RGPD. Actualizaremos esta lista cuando los encargados cambien. Stripe (Estados Unidos; certificado bajo el EU-US Data Privacy Framework): procesamiento de pagos, recibos de facturación, prevención de fraude. Cloudflare (Estados Unidos/global): CDN, proxy de borde, protección anti-bots (Turnstile), almacenamiento de objetos R2 para renders y otros blobs, y alojamiento de este sitio web. Neon (región Unión Europea para nuestro proyecto): base de datos PostgreSQL serverless que almacena datos de cuenta, renders, créditos y proyectos. Hetzner Online GmbH (regiones UE): servidores virtuales privados que ejecutan nuestros servicios backend. Resend (Estados Unidos; opción región UE): entrega de correo electrónico transaccional (códigos de inicio de sesión, verificación, avisos de cuenta). Sentry (región Unión Europea): monitorización de errores y grabaciones cortas de sesión asociadas a errores — capturadas solo cuando ocurre un error, utilizadas para depurar fallos. PostHog Cloud (región Unión Europea): analítica de producto y grabación de sesión — consulta la sección 7 para el mecanismo concreto. Google (Cloud Identity Platform / OAuth): cuando inicias sesión con Google, recibimos tu nombre, dirección de correo electrónico y foto de perfil de tu cuenta de Google, utilizados únicamente para crear y gestionar tu cuenta de Mensula. Proveedores de modelos de IA: consulta la sección 6.

6. Proveedores de IA de terceros

Cuando utilizas funciones impulsadas por IA (renderizado, asistencia por chat), tus entradas — como prompts de texto, imágenes subidas y datos del proyecto — se envían a proveedores de modelos de IA de terceros para su procesamiento. Estos proveedores incluyen actualmente Google (Gemini, Vertex AI), OpenAI, Replicate, Black Forest Labs (BFL) y Stability, y pueden cambiar con el tiempo. Utilizamos acuerdos de API empresariales donde tus datos no son utilizados para el entrenamiento de modelos por el proveedor. Sin embargo, tus entradas y resultados son procesados en la infraestructura del proveedor, que puede estar ubicada fuera del EEE (ver Transferencias internacionales). Solo enviamos los datos mínimos necesarios para proporcionar la función de IA que solicitaste.

7. Analítica de producto y grabación de sesión

Utilizamos PostHog Cloud (región Unión Europea) para analítica de producto y grabación de sesión. PostHog funciona en 'modo Cookieless server-hash' en nuestra configuración: no escribe cookies ni almacenamiento local en tu dispositivo. Los visitantes son identificados durante un único día mediante un hash generado en servidor a partir de tu dirección IP, agente de usuario y un salt que rota diariamente; este identificador no puede utilizarse para hacer seguimiento de un día a otro. PostHog registra: eventos de interacción (páginas vistas, clics, acciones clave del producto como envíos de render) y grabaciones completas de sesión de tu uso de la aplicación. El contenido sensible se enmascara en el cliente antes de la grabación: campos de formulario (correo electrónico, contraseña, datos de pago), elementos marcados explícitamente para enmascarar (como prompts de render, nombres y otros textos generados por el usuario), y cualquier campo de texto por defecto. Utilizamos estos datos para entender qué funcionalidades se usan y dónde se atascan los usuarios, y para depurar problemas de UX que no se manifiestan como errores. La base legal es nuestro interés legítimo en operar y mejorar el Servicio. Puedes oponerte en cualquier momento — consulta la sección 9. Las grabaciones de sesión se conservan según la retención por defecto de PostHog; los eventos se conservan para análisis mientras tu cuenta esté activa. Sentry (descrito en la sección 5) también captura grabaciones cortas de sesión, pero únicamente cuando ocurre un error y solo como contexto para ese error específico.

8. Retención de datos

Datos de cuenta: conservados mientras tu cuenta esté activa. Tras la eliminación de la cuenta, eliminaremos tus datos personales en un plazo de 30 días, excepto cuando la retención sea requerida por ley (por ejemplo, registros fiscales). Resultados de renders y datos de proyectos: conservados hasta que los elimines o cierres tu cuenta. Eventos de analítica de producto y grabaciones de sesión (PostHog): conservados según los plazos por defecto de PostHog Cloud para nuestro proyecto. Logs de errores y grabaciones contextuales (Sentry): conservados según los plazos por defecto de Sentry Cloud. Logs de correo (Resend): conservados según los plazos por defecto de Resend. Copias de seguridad: copias cifradas de las bases de datos operativas conservadas hasta 14 días con fines de recuperación ante desastres.

9. Tus derechos

Bajo el RGPD tienes derecho a: acceder a los datos personales que conservamos sobre ti; rectificar datos inexactos; solicitar la eliminación de tu cuenta y los datos personales asociados; restringir u oponerte al tratamiento basado en interés legítimo (incluida la oposición a la analítica de producto y grabación de sesión); exportar tus datos en un formato portable; y presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD, www.aepd.es) o tu autoridad de control local. Para ejercer cualquiera de estos derechos, escribe a [email protected] y responderemos en un plazo de 30 días. También estamos desarrollando una página de configuración de privacidad dentro del producto donde podrás establecer tu preferencia de analítica y grabación tú mismo; hasta que se publique, la vía por correo es la forma de oponerse.

10. Transferencias internacionales

Cuando los datos personales se transfieren o procesan en países fuera del EEE — principalmente por ciertos proveedores de modelos de IA y encargados del tratamiento basados en EE. UU. — nos basamos en las salvaguardas adecuadas, incluidas las Cláusulas Contractuales Tipo de la UE y/o el EU-US Data Privacy Framework cuando proceda. Priorizamos los encargados del tratamiento con región UE cuando existen (Neon, Sentry, PostHog, jurisdicción UE de R2 para nuevos buckets, Hetzner) y utilizamos servicios con región EE. UU. solo cuando ningún equivalente UE cumple los requisitos técnicos.

11. Seguridad

Implementamos medidas técnicas y organizativas apropiadas para proteger tus datos personales contra acceso, alteración, divulgación o destrucción no autorizados. Estas incluyen TLS para datos en tránsito, cifrado en reposo para copias de seguridad y almacenamiento de blobs, credenciales con alcance limitado, registros de auditoría y las prácticas operativas descritas en nuestra documentación interna. Ningún sistema es perfectamente seguro; si alguna vez sufrimos una violación de datos personales que te afecte, te lo notificaremos a ti y a la autoridad de control correspondiente según lo exija la ley.

12. Menores

Mensula no está dirigido a menores de 16 años, y no recopilamos conscientemente datos personales de menores. Si tienes constancia de que un menor nos ha proporcionado datos personales, contacta con [email protected] y los eliminaremos.

13. Cambios en esta política

Podemos actualizar esta Política de privacidad periódicamente. Notificaremos a los usuarios de cambios materiales por correo electrónico o a través del Servicio antes de que los cambios entren en vigor. La fecha de 'Última actualización' en la parte superior refleja la revisión más reciente.