Política de Privacidad

[ES] Alcance de esta Política

• •[ES] Se aplica a todos los usuarios del servicio K-Fate
• •[ES] Cubre la información personal recopilada a través de todos los canales
• •[ES] Complementa nuestros Términos de Servicio

[ES] Cumplimiento Regulatorio

• •[ES] GDPR - para usuarios europeos
• •[ES] CCPA - para residentes de California
• •[ES] PIPEDA - para usuarios canadienses
• •[ES] Ley coreana de protección de datos personales

[ES] Nuestros Principios de Privacidad

• •[ES] Minimización de datos: solo recopilamos datos esenciales
• •[ES] Transparencia: explicamos claramente qué datos recopilamos
• •[ES] Control del usuario: puede acceder, modificar o eliminar sus datos
• •[ES] Seguridad primero: todos los datos están cifrados

[ES] 2.1 Información Esencial

• •[ES] Datos de autenticación: correo electrónico, ID de proveedor social, contraseña
• •[ES] Datos de Saju: fecha de nacimiento, hora de nacimiento, calendario
• •[ES] Información de perfil: nombre de usuario, foto de perfil

[ES] 2.2 Información Recopilada Automáticamente

• •[ES] Información técnica: dirección IP, navegador, sistema operativo
• •[ES] Información de uso: vistas de página, clics, duración de sesión
• •[ES] Cookies y rastreo: cookies de sesión, almacenamiento local, cookies analíticas

[ES] 2.3 Datos de Consulta de IA

• •[ES] Contenido de conversación: sus preguntas, respuestas de IA, historial
• •[ES] Metadatos de consulta: ID de sesión, modelo de IA usado, uso de tokens

[ES] 2.4 Propósitos del Procesamiento de Datos

• •[ES] Información de autenticación: registro y login
• •[ES] Fecha de nacimiento: cálculo de Saju y consulta de IA
• •[ES] Contenido de conversación: provisión de consulta de IA, mejora del servicio
• •[ES] Información de uso: análisis del servicio, mejora del rendimiento
• •[ES] Cookies: mantenimiento de sesión, experiencia personalizada

[ES] 2.5 Períodos de Retención de Datos

• •[ES] Información de cuenta: hasta eliminación de cuenta, 30 días de gracia
• •[ES] Historial de consultas: Miembros - hasta solicitud de eliminación / Invitados - hasta fin de sesión
• •[ES] Registros de acceso: 90 días, eliminación automática
• •[ES] Registros de errores: 1 año, eliminación automática
• •[ES] Información de pago: 5 años, eliminación después del período legal

[ES] 3.1 Integración con Upstage Solar Pro 2

• •[ES] Usamos Upstage Solar Pro 2 como nuestro modelo de IA principal
• •[ES] Los datos de carta natal y preguntas se envían a la API de Upstage vía HTTPS cifrado
• •[ES] Upstage almacena datos de conversación durante 30 días y luego los elimina automáticamente
• •[ES] Upstage NO usa sus datos para entrenamiento de modelos de IA

[ES] 3.2 Enmascaramiento de Información Personal

[ES] Antes de enviar datos a IA, enmascaramos información sensible:

• •[ES] Las fechas de nacimiento se convierten en IDs anónimos
• •[ES] Los nombres se reemplazan con marcadores genéricos
• •[ES] Las direcciones de correo electrónico no se incluyen en las solicitudes de IA

[ES] 3.3 Política de Caché

• •[ES] Podemos cachear respuestas de IA temporalmente (hasta 24 horas)
• •[ES] Las respuestas cacheadas se almacenan en forma cifrada
• •[ES] El caché se elimina automáticamente después de la expiración

[ES] 3.4 Toma de Decisiones Automatizada

[ES] K-Fate usa toma de decisiones automatizada en los siguientes casos:

[ES] 4.1 Derechos GDPR (Usuarios de la UE)

[ES] 4.2 Derechos CCPA (Residentes de California)

[ES] 4.3 Derechos Bajo la Ley Coreana

[ES] 5.1 En Línea (Autoservicio)

[ES] Puede gestionar su información personal directamente a través de su cuenta:

• •[ES] Acceda a su página de Configuración de Cuenta
• •[ES] Ver, editar o eliminar su información personal
• •[ES] Descargar sus datos (próximamente disponible)

[ES] 5.2 Solicitud por Correo Electrónico

[ES] Envíe su solicitud a:

• •[ES] Consultas de privacidad: terry.kim3838@gmail.com
• •[ES] DPO (Oficial de Protección de Datos): terry.kim3838@gmail.com
• •[ES] Requisitos: incluya su dirección de correo electrónico registrada y detalles específicos de la solicitud

[ES] 5.3 Plazo de Respuesta

• •[ES] Responderemos dentro de 7 días hábiles (confirmación)
• •[ES] Respuesta completa dentro de 30 días (requisito del GDPR)
• •[ES] Puede extenderse hasta 60 días para solicitudes complejas (con notificación)

[ES] 5.4 Verificación de Identidad

[ES] Para proteger su privacidad, debemos verificar su identidad antes de procesar solicitudes. Podemos solicitar:

• •[ES] Dirección de correo electrónico registrada
• •[ES] Contraseña de cuenta o pregunta de seguridad
• •[ES] ID emitida por el gobierno (solo para solicitudes sensibles)

[ES] 6.1 Cookies Esenciales (Requeridas)

[ES] Estas cookies son necesarias para el funcionamiento del sitio web y no pueden deshabilitarse:

• •[ES] Cookie de Sesión (Auth0): mantiene la sesión de inicio de sesión, caduca al cerrar el navegador
• •[ES] Preferencia de Locale: recuerda la selección de idioma, caduca después de 1 año

[ES] 6.2 Cookies Analíticas (Opcionales)

[ES] Estas cookies nos ayudan a comprender cómo usa nuestro servicio y pueden deshabilitarse:

• •[ES] Vercel Analytics: rastrea vistas de página y comportamiento del usuario, caduca después de 1 año

[ES] 6.3 Gestión del Consentimiento de Cookies

• •[ES] Aceptar todas las cookies (recomendado)
• •[ES] Aceptar solo cookies esenciales
• •[ES] Configuración del navegador: la mayoría de los navegadores permiten rechazar cookies

[ES] 7.1 Cifrado en Tránsito

• •[ES] Toda la comunicación cliente-servidor usa cifrado TLS 1.3
• •[ES] Certificado SSL automático vía Vercel (Let's Encrypt)
• •[ES] HSTS (HTTP Strict Transport Security) habilitado

[ES] 7.2 Cifrado en Reposo

• •[ES] Cifrado de base de datos: Supabase PostgreSQL con cifrado AES-256
• •[ES] Los campos sensibles (fecha de nacimiento, hora de nacimiento) tienen una capa de cifrado adicional
• •[ES] Las claves de cifrado son gestionadas por Supabase Vault
• •[ES] Almacenamiento de archivos: Vercel Blob Storage con cifrado automático
• •[ES] Imágenes de perfil y archivos de respaldo: cifrado AES-256

[ES] 7.3 Gestión de Claves de Cifrado

• •[ES] Variables de entorno de Vercel: almacenamiento de variables de entorno cifradas
• •[ES] Supabase Vault: gestión de claves de cifrado de base de datos
• •[ES] Rotación regular de claves: cada 90 días

[ES] 8.1 Clasificación de Datos

• [ES] Crítico: contraseña, información de pago (solo acceso del DPO)
• [ES] Sensible: fecha de nacimiento, historial de consultas (solo personal autorizado)
• [ES] Interno: registros de uso, analíticas (acceso del equipo de desarrollo)
• [ES] Público: resultados de Saju compartidos (público si el usuario elige compartir)

[ES] 8.2 Control de Acceso

• •[ES] Control de Acceso Basado en Roles (RBAC) vía Auth0
• •[ES] Autenticación multifactor (MFA) para cuentas de administrador
• •[ES] Registros de auditoría para todo acceso a datos (retenidos durante 1 año)

[ES] 8.3 Compartición de Datos con Terceros

[ES] Compartimos datos con los siguientes proveedores de servicios:

• •[ES] Auth0 (EE.UU.): Autenticación - correo electrónico, hash de contraseña
• •[ES] Upstage (Corea): Consulta de IA - carta natal, preguntas
• •[ES] Supabase (EE.UU./UE): Base de datos - todos los datos de cuenta
• •[ES] Vercel (EE.UU./CDN global): Hosting y Analytics - registros de uso
• •[ES] Nota: Todos los proveedores de servicios han firmado Acuerdos de Procesamiento de Datos (DPA) conformes con el Artículo 28 del GDPR

[ES] 8.4 Transferencias Internacionales de Datos

[ES] Sus datos pueden transferirse y almacenarse en países fuera de su residencia:

• •[ES] UE a EE.UU.: Cláusulas Contractuales Estándar (SCC)
• •[ES] UE a Corea: Decisión de adecuación (pendiente - se usan SCC mientras tanto)
• •[ES] Todas las transferencias cumplen con los requisitos del Capítulo V del GDPR

[ES] 9.1 Detección de Incidentes

• •[ES] Monitoreo automático 24/7
• •[ES] Alertas en tiempo real para actividad sospechosa
• •[ES] Auditorías de seguridad regulares

[ES] 9.2 Notificación de Brecha

• •[ES] GDPR (UE): Dentro de 72 horas de descubrir una brecha (Artículo 33-34)
• •[ES] CCPA (California): Sin demora irrazonable
• •[ES] Ley coreana: Dentro de 24 horas
• •[ES] Usuarios afectados: Le notificaremos por correo electrónico si sus datos fueron comprometidos

[ES] 9.3 Acciones Post-Incidente

• •[ES] Contención y mitigación inmediata
• •[ES] Investigación forense
• •[ES] Notificación a autoridades y usuarios afectados
• •[ES] Remediación y mejoras de seguridad

[ES] Responsabilidades del DPO

• •[ES] Monitorear el cumplimiento del GDPR
• •[ES] Asesorar sobre evaluaciones de impacto de protección de datos
• •[ES] Servir como punto de contacto para autoridades supervisoras
• •[ES] Manejar solicitudes y quejas de privacidad de usuarios

[ES] Contacto Alternativo

[ES] Para preguntas generales de privacidad (no urgentes):

[ES] 11.1 Notificación de Actualización

• •[ES] Notificación por correo electrónico (para cambios materiales)
• •[ES] Banner en la aplicación (durante 30 días después de la actualización)
• •[ES] Esta página (con fecha de "Última actualización")

[ES] 11.2 Registro de Cambios

[ES] Historial de versiones de esta Política de Privacidad:

• •[ES] Versión 1.0 (3 de noviembre de 2025): Política de Privacidad inicial publicada

[ES] 11.3 Uso Continuado = Consentimiento

[ES] Al continuar usando K-Fate después de actualizaciones de política, acepta la Política de Privacidad revisada. Si no está de acuerdo, deje de usar y elimine su cuenta.