Política de privacidad

En cumplimiento del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), te informamos sobre el tratamiento de tus datos personales:

• Responsable: Miguel Castilla
• NIF: 51095675W
• Domicilio: C/ Danubio 8 bis, 28707, San Sebastián de los Reyes, Madrid, España
• Email de contacto: hola@mindiac.ai
• Nombre comercial: Mindiac, operada bajo el nombre comercial Bbrave

Esta política se aplica al uso del sitio web mindiac.ai y al servicio Mindiac (en adelante, «el Servicio»).

Es importante que entiendas que Mindiac tiene dos tipos de personas cuyos datos se tratan, con relaciones legales diferentes:

2.1. Usuarios contratantes del Servicio

Las personas que se registran en Mindiac, contratan un plan (Free, Personal, Team, Business o Enterprise) y crean retos. Respecto a estos usuarios, Mindiac actúa como responsable del tratamiento: nosotros decidimos qué datos pedimos, para qué y cómo los tratamos. Esta política regula esa relación.

2.2. Participantes invitados a un reto

Las personas que responden a un reto creado por otro usuario. Respecto a sus respuestas y datos de participación, Mindiac actúa como encargado del tratamiento por cuenta del usuario contratante que creó el reto (responsable del tratamiento). El usuario contratante es quien decide qué se pregunta, a quién se invita y qué se hace con las respuestas.

Si participas en un reto que alguien te ha enviado, la política de privacidad aplicable es, en primer lugar, la del creador del reto. Nosotros nos limitamos a procesar tus respuestas conforme a sus instrucciones, dentro del marco que el Servicio permite.

3.1. Datos de usuarios contratantes

• De identificación y contacto: nombre o nombre de pantalla, dirección de email, contraseña en formato hash bcrypt.
• De facturación: nombre fiscal, dirección de facturación, identificación fiscal (NIF/CIF/VAT). Los datos completos de tarjeta o cuenta bancaria son tratados directamente por Stripe; nosotros no almacenamos esa información sensible.
• De uso del Servicio: retos creados, participantes invitados, configuraciones de cuenta, fecha y hora de las acciones realizadas, tier contratado.
• De comunicación: emails enviados y recibidos a hola@mindiac.ai, respuestas a encuestas voluntarias.
• Técnicos: dirección IP en momento de registro y de cada inicio de sesión, navegador y sistema operativo, tipo de dispositivo.

3.2. Datos de participantes invitados

• Email, si el creador del reto invita por email.
• Respuestas escritas al reto, que pueden contener datos personales adicionales si el participante los incluye.
• Votos en la fase de comparación entre ideas.
• Datos técnicos mínimos para garantizar la integridad del voto (evitar duplicados).

El creador del reto puede configurar la participación como anónima, en cuyo caso no asociamos las respuestas a ninguna identidad personal más allá de un identificador interno desechable.

3.3. Datos de visitantes del sitio web

• De navegación: páginas visitadas, tiempo de estancia, origen del tráfico. Tratados a través de PostHog (con datos alojados en servidores de la Unión Europea) y solo si has aceptado las cookies de análisis.
• De formularios públicos: cuando rellenas el formulario de Enterprise, el formulario de «ver el mapa de ejemplo» o cualquier otro formulario abierto, recogemos el email y los datos voluntariamente facilitados.

Tratamos tus datos para las siguientes finalidades, con las bases legales correspondientes:

Nota importante sobre el procesamiento por IA: cuando un usuario crea un reto y los participantes responden, las respuestas se transmiten a proveedores de inteligencia artificial (Anthropic, Voyage AI, Google) para realizar las tareas centrales del Servicio (síntesis, agrupación semántica, análisis de consenso, generación de mapa). Este procesamiento es inherente al funcionamiento de Mindiac y constituye ejecución del contrato. Sin este procesamiento, el Servicio no puede ofrecerse.

Mindiac ha sido diseñado con un principio que consideramos central a la confianza en el Servicio: los datos y respuestas de cada cliente nunca alimentan el motor de otro cliente.

Esto se traduce en cuatro garantías técnicas y operativas:

1. Aislamiento de contenido individual: las respuestas, ideas, votos y demás contenido generado dentro de un reto pertenecen a ese reto y a su creador. Nunca se reutilizan, copian ni comparten con otros clientes.
2. Cerebro colectivo basado en metadatos anónimos: Mindiac mantiene una base interna que llamamos «cerebro colectivo» que recoge metadatos agregados anónimos de cada reto cerrado (etiquetas temáticas abstractas, número de respuestas, número de clusters de opiniones, tipos de patrones de consenso o disenso, embeddings semánticos del tema del reto). Esta base nunca contiene texto original ni datos personales, y se utiliza únicamente para futuras mejoras agregadas del producto.
3. Verificación automática de no fuga: antes de publicar cualquier metadato anónimo de un reto en la base interna, ejecutamos una verificación automática que comprueba que ningún fragmento de texto original del reto (respuestas, ideas, citas) aparece en los metadatos. Si la verificación detecta una posible fuga, los metadatos no se publican.
4. No entrenamiento cruzado: las respuestas individuales o ideas sintetizadas de un cliente nunca se utilizan para entrenar, ajustar o mejorar la experiencia de otro cliente. Los proveedores de IA que utilizamos (ver punto 8) trabajan en modo «stateless» sobre las respuestas, sin retención ni entrenamiento.

Esta política de aislamiento es especialmente relevante para clientes Enterprise, que pueden además contratar dataset privado y procesamiento dedicado como parte de su plan.

Conservamos tus datos durante los siguientes plazos:

Al finalizar el plazo, los datos se eliminan o anonimizan de forma irreversible.

Tus datos no son cedidos a terceros, salvo:

• Encargados del tratamiento que nos prestan servicios necesarios (ver punto 8).
• Autoridades competentes cuando exista obligación legal (Hacienda, juzgados, fuerzas y cuerpos de seguridad, etc.).
• En caso de transmisión del negocio (venta, fusión, sucesión), informaríamos previamente a los usuarios.

No vendemos datos a anunciantes ni a brokers de datos. No usamos tus datos para publicidad personalizada en plataformas externas.

Para ofrecer el Servicio utilizamos los siguientes proveedores tecnológicos, todos ellos sujetos a contrato de encargado del tratamiento conforme al art. 28 RGPD:

Los proveedores ubicados fuera del Espacio Económico Europeo (EEE) operan bajo Cláusulas Contractuales Tipo aprobadas por la Comisión Europea y, en su caso, certificaciones adicionales (Data Privacy Framework, ISO 27001, SOC 2 Tipo II). Esto garantiza un nivel de protección equivalente al exigido por el RGPD.

Si un cliente Enterprise requiere que el procesamiento se limite exclusivamente a proveedores ubicados en la UE, esa configuración está disponible como parte del plan Enterprise.

Algunas de las operaciones de procesamiento implican transferencias de datos personales fuera del Espacio Económico Europeo, en concreto:

• Anthropic (Estados Unidos): procesamiento de texto por modelos de IA.
• Voyage AI (Estados Unidos): cálculo de embeddings semánticos.
• Vercel (CDN global): distribución del contenido web.
• Stripe (procesamiento parcial en Estados Unidos): pagos.

Todas estas transferencias se realizan al amparo de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) y, cuando aplica, bajo el marco EU-U.S. Data Privacy Framework. Hemos evaluado el nivel de protección de cada proveedor mediante análisis de transferencia (Transfer Impact Assessment) y consideramos que ofrecen garantías equivalentes al nivel europeo.

Como interesado, tienes los siguientes derechos sobre tus datos personales:

• Derecho de acceso: saber qué datos tenemos sobre ti.
• Derecho de rectificación: corregir datos inexactos.
• Derecho de supresión («derecho al olvido»): solicitar la eliminación de tus datos.
• Derecho de oposición: oponerte a determinados tratamientos.
• Derecho a la limitación del tratamiento: solicitar que congelemos el uso de tus datos.
• Derecho a la portabilidad: recibir tus datos en formato estructurado para llevarlos a otro servicio.
• Derecho a retirar el consentimiento que hubieras otorgado, en cualquier momento.
• Derecho a no ser objeto de decisiones automatizadas con efectos jurídicos. Aunque Mindiac usa IA para procesar respuestas, las decisiones finales sobre las ideas o acciones son tomadas por los usuarios humanos, no por el sistema.
• Derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD, www.aepd.es) si consideras que tus derechos no han sido atendidos correctamente.

Para ejercer cualquiera de estos derechos, escríbenos a hola@mindiac.ai indicando el derecho que quieres ejercer y aportando una identificación. Responderemos en el plazo máximo de un mes desde la recepción de la solicitud.

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos:

• Cifrado en tránsito: todas las comunicaciones con Mindiac se realizan vía HTTPS con TLS 1.2 o superior.
• Cifrado en reposo: la base de datos cifra los datos almacenados.
• Hashing de contraseñas: las contraseñas se almacenan con bcrypt, nunca en texto plano.
• Control de acceso: política de mínimo privilegio para acceso interno a datos.
• Aislamiento por usuario: row-level security activada en todas las tablas con datos personales.
• Rotación periódica de claves de servicio y monitorización de accesos anómalos.
• Copias de seguridad diarias automáticas con retención mínima de 7 días.
• Plan de respuesta a incidentes documentado.

En caso de detectar una violación de seguridad que afecte a datos personales, notificaremos a la AEPD en el plazo de 72 horas y a los usuarios afectados sin dilación indebida, conforme a lo dispuesto en los artículos 33 y 34 del RGPD.

Mindiac está dirigido a mayores de 16 años. No recogemos conscientemente datos personales de menores de esa edad sin el consentimiento de sus titulares de la patria potestad o tutela.

Si detectamos que se han recogido datos de un menor sin consentimiento válido, procederemos a su eliminación inmediata. Si eres titular de la patria potestad y crees que un menor ha facilitado datos sin tu consentimiento, contáctanos a hola@mindiac.ai.

Podemos actualizar esta política para reflejar cambios en el Servicio o en la legislación aplicable. Si los cambios son sustanciales, te informaremos por email o mediante un aviso visible en el sitio antes de que entren en vigor.

La versión vigente es siempre la publicada en mindiac.ai/politica-privacidad, con la fecha de «Última actualización» visible al final del documento.

Para cualquier consulta relacionada con la protección de tus datos:

• Email: hola@mindiac.ai
• Dirección postal: Miguel Castilla — C/ Danubio 8 bis, 28707, San Sebastián de los Reyes, Madrid, España

Si no quedas satisfecho con nuestra respuesta, puedes presentar reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).