Política de privacidad

Versión 2.0 · Vigente desde el 6 de mayo de 2026

Esta Política describe cómo Cardzy, operado por EA Creative LLC (Miami, Florida, EE. UU.), recopila, usa, comparte y protege tu información personal cuando usas nuestro Servicio. Cumplimos con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, la California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA), y leyes aplicables de protección de datos. No vendemos tu información personal y no la usamos para entrenar modelos de IA propios o de terceros.

1. Quiénes somos

El responsable del tratamiento de tus datos personales es:

EA Creative LLC (DBA Cardzy) · Sociedad de responsabilidad limitada constituida en el Estado de Florida, EE. UU. · Domicilio: Miami, Florida, EE. UU. · Email de contacto en materia de privacidad: [email protected] (asunto: "Privacidad" o "DSR")

2. Datos que recopilamos

Categoría	Ejemplos	Origen
Cuenta	Email, nombre, foto de perfil, avatar generado, preferencia de idioma, preferencia de tema	Tú, a través de nuestro proveedor de autenticación
Tarjeta digital	Nombre público, rol, empresa, biografía, enlaces, redes sociales, foto, logo, color de marca	Tú
Pago	Tokens de pago, últimos 4 dígitos de tarjeta, marca (Visa/MC/AmEx), país de facturación, dirección de facturación opcional, ID fiscal opcional	Procesador de pagos certificado PCI-DSS Nivel 1 (no almacenamos el número completo de tarjeta)
Suscripción	Plan contratado, fecha de inicio, fecha de renovación, historial de facturas	Generado por el Servicio + procesador de pagos
Uso del Servicio	Vistas a tus tarjetas, leads capturados, escaneos AI realizados, eventos de clic en enlaces de tu tarjeta	Generado por el Servicio
Leads capturados	Nombre, email, teléfono y mensaje que tus visitantes ingresan en el formulario público de tu tarjeta	Visitantes de tu tarjeta pública
Imágenes escaneadas (AI Scan)	Fotografías de tarjetas físicas que cargas voluntariamente	Tú (procesadas en tiempo real, ver §9)
Técnicos	Dirección IP, user-agent, navegador, sistema operativo, tipo de dispositivo, idioma del navegador, timestamps	Logs operativos de la plataforma
Comunicaciones	Mensajes que nos envías por email, formularios o soporte	Tú

3. Cómo usamos tus datos

Operar el Servicio: autenticarte, mantener tu sesión, mostrar tu dashboard, hospedar tus tarjetas públicas, procesar leads.
Procesar pagos: cobrar suscripciones, gestionar renovaciones, enviar recibos, prevenir fraude.
Comunicaciones transaccionales: recibos de pago, alertas de seguridad, notificaciones de cambios al servicio, respuestas a tu soporte.
Mejorar el producto: analizar métricas agregadas y anonimizadas (p. ej. cuántos usuarios activan AI Scan por mes); no usamos tu Contenido para entrenar modelos.
Cumplir obligaciones legales: conservación fiscal, respuestas a autoridades cuando una orden válida lo requiera.
Proteger derechos: prevenir abuso del Servicio, investigar violaciones a los Términos.
Marketing (solo con consentimiento): emails opcionales sobre nuevas funciones o consejos; siempre con opción de unsubscribe.

4. Base legal del tratamiento (GDPR)

Para usuarios del Espacio Económico Europeo (EEE) y Reino Unido, las bases legales aplicables son:

Ejecución de contrato (Art. 6(1)(b)): entregar el Servicio que contrataste.
Interés legítimo (Art. 6(1)(f)): seguridad, prevención de fraude, mejoras de producto agregadas y anonimizadas.
Consentimiento (Art. 6(1)(a)): emails de marketing (opt-in), cookies no esenciales si las llegáramos a usar (actualmente no usamos).
Obligación legal (Art. 6(1)(c)): conservación fiscal, respuesta a autoridades.

5. Compartición con terceros (subprocesadores)

Para operar el Servicio trabajamos con un número limitado de proveedores externos, todos sujetos a Acuerdos de Tratamiento de Datos (DPA) y certificaciones reconocidas (SOC 2 Tipo II, ISO 27001, PCI-DSS según aplique). Las categorías generales son:

Categoría	Propósito	Ubicación de procesamiento
Infraestructura cloud y CDN	Hosting, base de datos, procesamiento por IA, distribución global de contenido	EE. UU. + red edge global
Autenticación	Inicio de sesión, gestión de cuentas y sesiones	EE. UU.
Procesamiento de pagos	Cobros, gestión de suscripciones, prevención de fraude (PCI-DSS Nivel 1)	EE. UU. + UE
Envío transaccional de emails	Recibos, notificaciones, alertas de cuenta	EE. UU.
Analítica de producto agregada	Métricas anónimas de uso para mejoras (sin identificar usuarios individuales)	EE. UU.

El listado completo y actualizado de subprocesadores específicos está disponible bajo solicitud escribiendo a [email protected]. Notificaremos cualquier cambio material de subprocesadores por email o en el panel con al menos 30 días de antelación, y tendrás derecho a oponerte (en cuyo caso podrías necesitar cancelar tu suscripción si no es posible continuar el Servicio sin ese subprocesador).

También podemos divulgar tus datos cuando sea estrictamente necesario para:

Cumplir con una orden legal válida (subpoena, citación judicial, requerimiento de autoridad competente).
Proteger nuestros derechos, propiedad o seguridad, o los de terceros.
Investigar fraude o violaciones a los Términos.
En el contexto de una transacción corporativa (fusión, adquisición, venta de activos), bajo obligaciones de confidencialidad.

6. Transferencias internacionales

EA Creative LLC opera desde EE. UU. Tus datos pueden procesarse en EE. UU. y en la red global de nuestros proveedores de infraestructura. Para usuarios en la UE/EEE y Reino Unido, las transferencias se basan en:

Cláusulas Contractuales Estándar (SCCs) de la Comisión Europea (Decisión 2021/914) en su versión vigente.
UK International Data Transfer Addendum donde aplique.
Medidas técnicas suplementarias: cifrado TLS 1.3 en tránsito, cifrado en reposo, controles de acceso por rol, auditoría de logs.

Puedes solicitar una copia de las SCCs en [email protected].

7. Retención de datos

Cuenta activa: mientras mantengas la cuenta y un período razonable después según necesidad operativa.
Tras eliminar la cuenta: 30 días de buffer para permitir reactivación; luego eliminación o anonimización completa, salvo retención obligatoria por ley.
Registros financieros y de facturación: hasta 7 años conforme a obligaciones fiscales y contables de EE. UU.
Logs técnicos y de seguridad: 90 días en general; logs relacionados con incidentes de seguridad pueden retenerse más tiempo según necesidad de investigación.
Imágenes escaneadas con AI Scan: procesadas en tiempo real, no se almacenan más allá de la sesión de procesamiento (ver §9).
Comunicaciones de soporte: 24 meses para fines de calidad y referencia.
Datos sujetos a retención legal: conservados durante el tiempo que la ley exija.

8. Tus derechos

Según tu jurisdicción de residencia, puedes tener uno o más de los siguientes derechos:

8.1 Derechos GDPR (UE/EEE/UK)

Acceso (Art. 15): recibir una copia de los datos personales que tenemos sobre ti.
Rectificación (Art. 16): corregir datos inexactos o incompletos.
Eliminación / "derecho al olvido" (Art. 17): solicitar la supresión, sujeto a excepciones legales.
Limitación del tratamiento (Art. 18): restringir cómo procesamos tus datos en ciertas circunstancias.
Portabilidad (Art. 20): recibir tus datos en formato estructurado, comúnmente usado y legible por máquina.
Oposición (Art. 21): oponerte a procesamientos basados en interés legítimo o marketing directo.
Retiro de consentimiento: en cualquier momento, sin afectar la legalidad del tratamiento previo basado en él.
Reclamación ante autoridad supervisora: ver §18.

8.2 Derechos CCPA / CPRA (California)

Right to Know: categorías de información personal recopilada, fuentes, propósitos de uso y partes con quienes se comparte.
Right to Delete: solicitar la eliminación de tu información personal, con excepciones específicas.
Right to Correct: corregir información inexacta.
Right to Opt-Out of Sale or Sharing: no vendemos ni compartimos información personal para publicidad cross-context, por lo cual no aplica botón "Do Not Sell or Share".
Right to Limit Use of Sensitive Personal Information: no usamos categorías sensibles para inferir características.
Non-discrimination: no discriminaremos contra usuarios que ejerzan sus derechos.

8.3 Cómo ejercer tus derechos

Envía tu solicitud a [email protected] con asunto "DSR" indicando el derecho que quieres ejercer. Respondemos en un máximo de:

30 días para residentes UE/UK (extensible a 90 días en casos complejos, con notificación previa).
45 días calendario para residentes de California (extensible 45 días adicionales con notificación).

Verificaremos tu identidad de forma proporcional a la sensibilidad de la solicitud (p. ej. confirmando control del email registrado).

9. Función AI Scan — manejo específico

La función Setup Inteligente y Lead Scanner permite cargar fotografías de tarjetas físicas para extraer datos automáticamente. Manejo:

Las imágenes se procesan en tiempo real mediante modelos propietarios de inteligencia artificial.
Las imágenes no se almacenan más allá de lo estrictamente necesario para entregar el resultado de la extracción.
Las imágenes no se usan para entrenar modelos de IA, ni propios ni de terceros.
Solo persiste el texto extraído y estructurado en tu base de datos asociada (campos del lead o builder).
Eres responsable de la legalidad de las imágenes que escaneas y de obtener el consentimiento del titular cuando aplique.

10. Cookies y almacenamiento local

Usamos un conjunto mínimo de tecnologías de almacenamiento. No usamos trackers de terceros, retargeting pixels ni cross-site tracking.

10.1 Categorías

Estrictamente necesarias: session tokens del proveedor de autenticación, tokens del procesador de pagos durante checkout, anti-spam de formularios. No requieren consentimiento conforme a ePrivacy Directive Art. 5(3) por ser indispensables para el servicio solicitado.
Funcionales (localStorage): preferencia de idioma (cardzy_lang), preferencia de tema (cardzy_theme) y preferencia de tema dentro de la tarjeta pública (cardzy_card_theme). No transmitidas a nuestros servidores.
Analíticas anónimas: métricas agregadas de uso del producto que no identifican usuarios individuales.

10.2 Tu control

Puedes borrar las preferencias en cualquier momento desde la configuración de tu navegador.
Bloquear cookies estrictamente necesarias puede romper la autenticación o el checkout.
Honramos señales Global Privacy Control (GPC) donde sea técnicamente factible.

11. Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger tu información:

Cifrado TLS 1.3 en tránsito.
Cifrado en reposo en la base de datos.
Aislamiento estricto entre cuentas a nivel de base de datos (multi-tenant security).
Autenticación multifactor (MFA) disponible para usuarios.
Controles de acceso por rol y principio de mínimo privilegio para empleados.
Auditoría de logs y revisión periódica de accesos.
Pruebas regulares de seguridad y revisión de código.

Ningún sistema es 100 % infalible. Eres responsable de proteger tus credenciales de acceso (no compartirlas, usar contraseñas robustas, activar MFA).

12. Brechas de seguridad

En caso de una brecha de seguridad que afecte tus datos personales, te notificaremos sin demora indebida conforme a las leyes aplicables (incluido GDPR Art. 33-34 si aplicable: notificación a la autoridad supervisora dentro de las 72 horas y a usuarios afectados sin demora indebida cuando exista alto riesgo). La notificación incluirá la naturaleza de la brecha, datos afectados, medidas tomadas y recomendaciones.

13. Menores de edad

Cardzy no está dirigido a menores de 16 años, y no recopilamos a sabiendas datos personales de personas menores de esa edad sin el consentimiento verificable de un padre o tutor. Para residentes en EE. UU., cumplimos con la Children's Online Privacy Protection Act (COPPA) — no recopilamos datos de menores de 13 años. Si crees que un menor nos envió datos, contáctanos en [email protected] para eliminarlos.

14. No vendemos tus datos

EA Creative LLC no vende tu información personal a terceros bajo ninguna definición de "venta" en GDPR, CCPA/CPRA u otras leyes aplicables. Tampoco la compartimos para publicidad cross-context behavioral. Si esto cambiara en el futuro, te notificaríamos previamente y proveeríamos los mecanismos de opt-out exigidos por ley.

15. Marketing y comunicaciones

Emails transaccionales (recibos, alertas, cambios al servicio) se envían sin necesidad de opt-in adicional, ya que son parte de la prestación del Servicio.
Emails de marketing (newsletters, novedades de producto, ofertas) requieren tu consentimiento explícito (opt-in) y siempre incluyen un enlace de unsubscribe.
Cumplimos con CAN-SPAM Act (EE. UU.) y GDPR/ePrivacy en términos de marketing por email.
Puedes gestionar tus preferencias en cualquier momento desde el panel de tu cuenta o el footer de cualquier email.

16. Decisiones automatizadas

No tomamos decisiones que produzcan efectos jurídicos o significativos basadas únicamente en procesamiento automatizado, incluido perfilamiento (Art. 22 GDPR). La función AI Scan extrae datos de imágenes que tú cargas, pero los resultados son sugerencias automatizadas que tú revisas y confirmas; no son decisiones que se ejecuten sobre ti automáticamente.

17. Cambios a esta política

Podemos actualizar esta Política ocasionalmente. La fecha de "Última actualización" indica cuándo entró en vigor la versión actual. Cambios materiales se notificarán con al menos 7 días de antelación por email o en el panel del Servicio antes de su entrada en vigor.

18. Contacto y autoridad supervisora

EA Creative LLC · DBA Cardzy
Miami, Florida, EE. UU.
Email de privacidad / DSR: [email protected] (asunto: "Privacidad" o "DSR")

Si estás en la UE/EEE y consideras que el tratamiento de tus datos infringe el GDPR, tienes derecho a presentar una reclamación ante la autoridad supervisora de tu país de residencia. Lista oficial: edpb.europa.eu.

Si estás en Reino Unido, puedes contactar a la Information Commissioner's Office (ICO): ico.org.uk.

Si estás en California y crees que no respondimos satisfactoriamente, puedes presentar una queja ante el California Attorney General u oag.ca.gov/privacy.

Versión 2.0 · Vigente desde: 6 de mayo de 2026 · Reemplaza versión 1.0 del 5 de mayo de 2026.
Cardzy es una marca de EA Creative LLC, sociedad de responsabilidad limitada constituida en el Estado de Florida, EE. UU.