---
title: "Política de Privacidad de Minds"
description: "Fecha de entrada en vigor: 31 de mayo de 2026"
canonical_url: "https://getminds.ai/legal/es/dataprivacy"
last_updated: "2026-06-24T15:44:22.861Z"
---

# Política de Privacidad de Minds

**Fecha de entrada en vigor: 31 de mayo de 2026**

La presente política de privacidad ofrece información sobre la naturaleza, el alcance y la finalidad del tratamiento de datos personales en el marco de la plataforma operada por **Art of X UG (haftungsbeschränkt)** (en adelante, "nosotros").

## 1. Responsable del tratamiento

El responsable del tratamiento en el sentido del RGPD y de otras leyes nacionales de protección de datos es:

**Art of X UG (haftungsbeschränkt)**<br />


Köpenicker Straße 145<br />


10997 Berlín<br />


Alemania

Correo electrónico: [privacy@getminds.ai](mailto:privacy@getminds.ai)

## 2. Delegado de Protección de Datos

El Delegado de Protección de Datos externo puede contactarse de la siguiente manera:

Prof. Dr. Norman Uhlmann<br />


h3ko Innovations GmbH<br />


Pappelallee 64<br />


16359 Biesenthal<br />


Alemania

Correo electrónico: [privacy@getminds.ai](mailto:privacy@getminds.ai)

## 3. Información general sobre el tratamiento de datos

El objeto de la protección de datos son los datos personales. Se refiere a toda información relativa a una persona física identificada o identificable (el "interesado"). Los datos personales de los usuarios se tratan, por regla general, únicamente en la medida necesaria para proporcionar una plataforma funcional, así como sus contenidos y servicios.

### Obligación de facilitar datos

La aportación de datos personales no es exigible ni por ley ni por contrato. No obstante, sin facilitar los datos necesarios (como la dirección de correo electrónico y el nombre para el registro), no podemos ofrecerle acceso a nuestros servicios. Los datos marcados como obligatorios durante el registro o el uso son necesarios para el cumplimiento del contrato. La no aportación de estos datos implica que no se pueden utilizar los servicios correspondientes. La aportación de datos opcionales es voluntaria y no afecta a su capacidad de utilizar los servicios principales.

## 4. Qué datos se tratan y con qué finalidad

### a. Prestación del sitio web y creación de archivos de registro (hosting)

Cada vez que se accede al sitio web, el sistema recoge automáticamente datos e información del sistema informático del ordenador que accede. Estos datos se almacenan en los archivos de registro del servidor. Se recogen los siguientes datos:

- Dirección IP del ordenador solicitante
- Fecha y hora del acceso
- Nombre y URL del archivo consultado
- Sitio web desde el que se realiza el acceso (URL de referencia)
- Navegador utilizado y, en su caso, el sistema operativo del ordenador

Estos datos se tratan para garantizar un establecimiento de conexión fluido y un uso cómodo del sitio web, así como para evaluar la seguridad y estabilidad del sistema. La base jurídica del tratamiento de datos es el art. 6, apartado 1, letra f) del RGPD. El interés legítimo se deriva de las finalidades de recogida de datos enumeradas anteriormente.

Para el alojamiento del sitio web se utilizan los servicios de **DigitalOcean, LLC**, 101 6th Ave, Nueva York, NY 10013, EE. UU. Nuestra infraestructura está alojada en la región de Fráncfort (Alemania), dentro de la UE. Se ha celebrado un acuerdo de encargo del tratamiento (DPA) con DigitalOcean. Mediante este acuerdo, DigitalOcean garantiza que los datos se tratan conforme al RGPD y que se respetan los derechos de los interesados. Puede encontrar más información en la política de privacidad de DigitalOcean: [https://www.digitalocean.com/legal/privacy-policy](https://www.digitalocean.com/legal/privacy-policy).

#### Cloudflare (CDN, DNS y seguridad)

Se utiliza **Cloudflare, Inc.**, 101 Townsend St, San Francisco, CA 94107, EE. UU., para la entrega de contenidos (CDN), la gestión de DNS, la protección frente a DDoS y la seguridad de aplicaciones web. Cuando accede a nuestro sitio web, sus solicitudes se enrutan a través de la red de Cloudflare. En este proceso, Cloudflare puede tratar su dirección IP, los encabezados de la solicitud y otros metadatos de conexión para entregar contenidos, proteger frente a ataques y optimizar el rendimiento.

La base jurídica de este tratamiento es el art. 6, apartado 1, letra f) del RGPD (interés legítimo). Nuestro interés legítimo radica en garantizar la seguridad, disponibilidad y rendimiento de nuestro sitio web. Se ha celebrado un acuerdo de encargo del tratamiento (DPA) con Cloudflare. La transferencia de datos a EE. UU. está cubierta por la participación de Cloudflare en el Marco de Privacidad de Datos UE-EE. UU. y se complementa con Cláusulas Contractuales Tipo (CCT). Más información: [https://www.cloudflare.com/privacypolicy/](https://www.cloudflare.com/privacypolicy/).

### b. Registro y uso de una cuenta (autenticación y base de datos)

Para utilizar la plataforma es necesario crear una cuenta de usuario. Se recogen los siguientes datos:

- Nombre
- Dirección de correo electrónico
- Contraseña (almacenada en forma cifrada)

Estos datos son necesarios para gestionar la cuenta y permitir el acceso a los servicios. La base jurídica de este tratamiento es el art. 6, apartado 1, letra b) del RGPD (cumplimiento del contrato).

Para la autenticación y la gestión de la base de datos de usuarios se utilizan los servicios de **Supabase Inc.**, 970 Toa Payoh North #07-04, Singapur 318992. Supabase proporciona la infraestructura de backend de la plataforma. El almacenamiento de datos, incluida la base de datos, la autenticación, el almacenamiento y los embeddings relacionados con la IA, se realiza en la región del norte de la UE (Estocolmo, `eu-north-1`). Se ha celebrado un acuerdo de encargo del tratamiento (DPA) con Supabase. Puede encontrar más información sobre la protección de datos en Supabase aquí: [https://supabase.com/privacy](https://supabase.com/privacy).

### c. Funciones basadas en IA

Para la prestación de las funciones basadas en IA se utilizan los siguientes servicios:

#### OpenAI (generación de texto, embeddings, análisis de imágenes)

Se utiliza **OpenAI OpCo, LLC**, 3180 18th St, San Francisco, CA 94110, EE. UU., para la generación de texto, la creación de embeddings a partir de contenidos del usuario, la transcripción de voz (Whisper) y el análisis de imágenes.

Cuando se utilizan estas funciones, los datos correspondientes (p. ej., entradas de texto o contenidos a analizar) se envían a los servidores de OpenAI para su tratamiento. No transmitimos a OpenAI ningún dato personal más allá de lo necesario para la función, y los resultados generados por OpenAI se almacenan en nuestro sistema alojado en Supabase (véase arriba).

La base jurídica de este tratamiento es el art. 6, apartado 1, letra b) del RGPD (cumplimiento del contrato), ya que estas funciones son un componente esencial de los servicios ofrecidos. Se ha celebrado un acuerdo de encargo del tratamiento con OpenAI. La transferencia de datos a EE. UU. se basa en las cláusulas contractuales tipo de la Comisión Europea. Puede encontrar más información sobre la protección de datos en OpenAI aquí: [https://openai.com/policies/privacy-policy](https://openai.com/policies/privacy-policy).

#### Anthropic (generación de texto con modelos Claude)

Se utiliza **Anthropic PBC**, 548 Market St, PMB 87430, San Francisco, CA 94104, EE. UU., para la generación avanzada de texto mediante modelos de IA Claude. Cuando se utilizan estas funciones, sus entradas de texto y prompts se transmiten a los servidores de Anthropic para su tratamiento.

La base jurídica de este tratamiento es el art. 6, apartado 1, letra b) del RGPD (cumplimiento del contrato), ya que estas funciones son un componente esencial de los servicios ofrecidos. Se ha celebrado un acuerdo de encargo del tratamiento con Anthropic. La transferencia de datos a EE. UU. se basa en las cláusulas contractuales tipo de la Comisión Europea. Puede encontrar más información sobre la protección de datos en Anthropic aquí: [https://www.anthropic.com/legal/privacy](https://www.anthropic.com/legal/privacy).

#### Google AI (generación de texto con modelos Gemini)

Se utiliza **Google LLC**, 1600 Amphitheatre Parkway, Mountain View, CA 94043, EE. UU., para la generación de texto y funciones basadas en IA mediante modelos Gemini. Cuando se utilizan estas funciones, sus entradas de texto y prompts se transmiten a los servidores de Google para su tratamiento.

La base jurídica de este tratamiento es el art. 6, apartado 1, letra b) del RGPD (cumplimiento del contrato), ya que estas funciones son un componente esencial de los servicios ofrecidos. Se ha celebrado un acuerdo de encargo del tratamiento con Google. La transferencia de datos a EE. UU. se basa en las cláusulas contractuales tipo de la Comisión Europea. Puede encontrar más información sobre la protección de datos en Google aquí: [https://policies.google.com/privacy](https://policies.google.com/privacy).

#### ElevenLabs (procesamiento de voz)

Se utiliza **ElevenLabs Inc.**, 20-22 Wenlock Road, Londres, N1 7GU, Reino Unido, para la síntesis de voz (texto a voz) y la transcripción de voz (Scribe v1). Cuando utiliza las funciones de voz, los datos de audio se transmiten a ElevenLabs para su tratamiento.

La base jurídica de este tratamiento es el art. 6, apartado 1, letra b) del RGPD (cumplimiento del contrato). Se ha celebrado un acuerdo de encargo del tratamiento con ElevenLabs. La transferencia de datos al Reino Unido está cubierta por la decisión de adecuación de la Comisión Europea para el Reino Unido (Decisión 2021/1772), que garantiza un nivel adecuado de protección de datos. Más información: [https://elevenlabs.io/privacy](https://elevenlabs.io/privacy).

#### Black Forest Labs (generación de imágenes)

Se utiliza **Black Forest Labs GmbH**, con servicios a través de api.bfl.ai, para la generación de imágenes con IA (modelos Flux). Cuando genera imágenes, sus prompts de texto se transmiten a los servidores de BFL para su tratamiento. La base jurídica de este tratamiento es el art. 6, apartado 1, letra b) del RGPD (cumplimiento del contrato). Dado que Black Forest Labs tiene su sede en Alemania, los datos permanecen dentro de la UE. Se ha celebrado un acuerdo de encargo del tratamiento con Black Forest Labs. Más información: [https://blackforestlabs.ai/privacy-policy/](https://blackforestlabs.ai/privacy-policy/).

#### Replicate (infraestructura de modelos de IA)

Se utiliza **Replicate, Inc.**, 340 S Lemon Ave #4133, Walnut, CA 91789, EE. UU., como infraestructura para ejecutar modelos de generación de imágenes con IA (incluidos los modelos Flux de Black Forest Labs). Cuando genera imágenes, sus prompts de texto se transmiten a los servidores de Replicate para su tratamiento.

La base jurídica de este tratamiento es el art. 6, apartado 1, letra b) del RGPD (cumplimiento del contrato), ya que estas funciones son un componente esencial de los servicios ofrecidos. Se ha celebrado un acuerdo de encargo del tratamiento con Replicate. La transferencia de datos a EE. UU. se basa en las cláusulas contractuales tipo de la Comisión Europea. Puede encontrar más información sobre la protección de datos en Replicate aquí: [https://replicate.com/privacy](https://replicate.com/privacy).

#### Langfuse (observabilidad de IA y gestión de prompts)

Se utiliza **Langfuse GmbH**, Residenzstraße 27A, 80333 Múnich, Alemania, para gestionar prompts de IA, hacer seguimiento de las interacciones de IA y la observabilidad del sistema. Esto nos ayuda a mejorar la calidad del servicio y a depurar incidencias. Se tratan metadatos técnicos sobre las interacciones de IA.

La base jurídica de este tratamiento es el art. 6, apartado 1, letra f) del RGPD (interés legítimo). Nuestro interés legítimo radica en garantizar la calidad del servicio, depurar incidencias y mejorar nuestras funciones de IA. Dado que Langfuse tiene su sede en Alemania, los datos permanecen dentro de la UE. Se ha celebrado un acuerdo de encargo del tratamiento con Langfuse. Más información: [https://langfuse.com/docs/data-security-privacy](https://langfuse.com/docs/data-security-privacy).

#### Deepgram (conversión de voz a texto)

Se utiliza **Deepgram, Inc.**, 548 Market St, Suite 25104, San Francisco, CA 94104, EE. UU., para la transcripción de voz en tiempo real (speech-to-text) mediante el modelo Nova-3. Cuando utiliza las funciones de voz, sus datos de audio se transmiten en streaming a los servidores de Deepgram para su transcripción. Deepgram procesa el audio en tiempo real y no conserva las grabaciones de audio una vez completada la transcripción.

La base jurídica de este tratamiento es el art. 6, apartado 1, letra b) del RGPD (cumplimiento del contrato), ya que la transcripción de voz es un componente esencial de las funciones de voz ofrecidas. Se ha celebrado un acuerdo de encargo del tratamiento con Deepgram. La transferencia de datos a EE. UU. se basa en las cláusulas contractuales tipo de la Comisión Europea. Más información: [https://deepgram.com/privacy](https://deepgram.com/privacy).

#### Fish Audio (síntesis y clonación de voz)

Se utiliza **Hanabi AI Inc.** (operando como Fish Audio), 131 Continental Dr, Suite 305, Newark, DE 19713, EE. UU., para la síntesis de voz de texto a voz y la clonación de voz. Cuando utiliza las funciones de voz, se envía texto a Fish Audio para la síntesis de voz. Si crea un clon de voz, las muestras de audio que proporcione se transmiten a Fish Audio para el entrenamiento del modelo de voz.

La base jurídica de este tratamiento es el art. 6, apartado 1, letra b) del RGPD (cumplimiento del contrato), ya que la síntesis de voz y la clonación son componentes esenciales de las funciones de voz ofrecidas. La transferencia de datos a EE. UU. se basa en las cláusulas contractuales tipo de la Comisión Europea. Más información: [https://fish.audio/privacy](https://fish.audio/privacy).

### d. Contenido en Flows y entrenamiento de Minds (contenido del usuario)

El corazón de la plataforma es el tratamiento de los contenidos creados por los usuarios en «Flows» (espacios de trabajo colaborativos) y compartidos con «Minds» (asistentes de IA; anteriormente denominados «Sparks»). Esto puede incluir grabaciones de voz, textos, imágenes u otras obras creativas («Contenido del Usuario»).

Estos datos se tratan con las siguientes finalidades:

- **Entrenamiento de un modelo de IA personal ("My Mind"):** El Contenido del Usuario se utiliza para crear y entrenar un modelo de IA personal basado en las contribuciones individuales.
- **Entrenamiento de modelos generales de IA:** Si se ha prestado consentimiento explícito (opt-in), el Contenido del Usuario también se utiliza para incorporarse a nuestros modelos de IA más amplios y generales. Estos modelos podrán utilizarse con fines comerciales y ponerse a disposición de clientes. **Nota importante para usuarios de equipo:** los contenidos creados en el marco de una cuenta de equipo o en flows compartidos del equipo quedan fundamentalmente excluidos de esta regulación y, bajo ninguna circunstancia, se utilizarán para entrenar modelos generales de IA.

El tratamiento del Contenido del Usuario para entrenar modelos de IA personales se basa en el art. 6, apartado 1, letra b) del RGPD (cumplimiento del contrato). El tratamiento para entrenar modelos generales de IA se basa exclusivamente en el consentimiento explícito conforme al art. 6, apartado 1, letra a) del RGPD.

### d2. Group Grounding y datos de distribución públicos

Para la funcionalidad de **Group Grounding** y las funcionalidades a nivel de grupo relacionadas (paneles sintéticos, group covers, simulación de audiencias, grupos del marketplace), la plataforma ingiere y trata datos estadísticos y de distribución disponibles públicamente con el fin de anclar grupos sintéticos de Minds en distribuciones plausibles del mundo real. Las categorías de datos tratados incluyen:

- **Estadísticas demográficas y de población agregadas** (p. ej., distribuciones de edad, sexo, ocupación, nivel educativo y geográficas) procedentes de oficinas estadísticas públicas, conjuntos de datos de tipo censal y fuentes comparables de datos abiertos.
- **Benchmarks sectoriales, de mercado y del mercado laboral** procedentes de informes disponibles públicamente, resúmenes de investigación de mercado y publicaciones especializadas.
- **Contenido web público** recuperado a través de nuestro proveedor de búsqueda web (Tavily, véase la sección 4.g) cuando usted solicita explícitamente el grounding a partir de una fuente pública (p. ej., una página de perfil público, un sitio web corporativo o un artículo de prensa que usted aporte como entrada).
- **Metadatos técnicos** sobre la propia solicitud de grounding (su identificador de cuenta, los parámetros de distribución solicitados, la marca temporal y la configuración de grupo resultante) para que la configuración sea reproducible y auditable.

Este tratamiento tiene como finalidad generar grupos sintéticos realistas y estadísticamente anclados, con fines de investigación, simulación y trabajo creativo. **No se generan, perfilan, segmentan ni almacenan datos personales de personas físicas identificables** como parte de los propios datos de distribución; los datos se tratan en forma agregada y estadística. Cuando usted aporte entradas que puedan contener datos personales de terceros (p. ej., un enlace a un perfil público), usted es responsable de la licitud de dicha aportación y garantiza disponer de todos los derechos y consentimientos necesarios (véase la sección 4 de nuestras Condiciones del Servicio).

Las bases jurídicas de este tratamiento son:

- **Art. 6, apartado 1, letra b) del RGPD (cumplimiento del contrato)** para el tratamiento de su identificador de cuenta, la configuración de grounding y las entradas de búsqueda que usted aporte, ya que son necesarias para prestar la funcionalidad de Group Grounding solicitada.
- **Art. 6, apartado 1, letra f) del RGPD (interés legítimo)** para la ingesta y el almacenamiento en caché de estadísticas agregadas disponibles públicamente. Nuestro interés legítimo radica en proporcionar una funcionalidad de grounding robusta, reproducible y estadísticamente significativa; los datos de origen ya son públicos y agregados, y nuestro interés no se ve desplazado por los derechos de los interesados, dado que no se tratan personas físicas identificables.
- Además, el tratamiento de estadísticas agregadas con fines de investigación sintética se apoya en el **§ 27 BDSG** (tratamiento con fines científicos o estadísticos), en la medida en que resulte aplicable.

**Conservación:** los conjuntos de datos de distribución agregados se almacenan en caché mientras conservan su utilidad como referencias de verdad de terreno y se actualizan cuando se actualizan los datos de origen; las configuraciones de grupo se conservan durante la duración de la cuenta del usuario más 30 días tras su supresión (véase la sección 5). Las entradas remitidas al proveedor de búsqueda web se conservan conforme a las condiciones de dicho proveedor (véase la sección 4.g).

**Encargados del tratamiento implicados en Group Grounding**: los proveedores de IA enumerados en la sección 4.c (para generar las salidas group-grounded), Tavily (sección 4.g, para la búsqueda web pública cuando se utiliza) y nuestros proveedores de alojamiento y bases de datos (secciones 4.a–4.b).

### e. Procesamiento de pagos

Si se utilizan servicios de pago, los datos de pago se tratan con la finalidad de cumplir el contrato. El tratamiento se basa en el art. 6, apartado 1, letra b) del RGPD.

El procesamiento de pagos se realiza a través del proveedor de servicios de pago **Stripe Payments Europe, Ltd.**, 1 Grand Canal Street Lower, Grand Canal Dock, Dublín, Irlanda. No se almacenan datos de tarjetas de crédito; se transmiten directamente a Stripe. Stripe es un socio certificado y está sujeto a estrictos estándares de protección de datos y seguridad. Se ha celebrado un acuerdo de encargo del tratamiento con Stripe. Puede encontrar más información sobre la protección de datos en Stripe en: [https://stripe.com/privacy](https://stripe.com/privacy).

### f. Servicios de la aplicación móvil (iOS/Android)

Cuando utiliza Minds a través de nuestras aplicaciones móviles (iOS/Android), se utilizan los siguientes servicios y funciones adicionales del dispositivo:

#### Firebase Cloud Messaging (notificaciones push)

Se utiliza **Google LLC** (Firebase), 1600 Amphitheatre Parkway, Mountain View, CA 94043, EE. UU., para enviar notificaciones push a su dispositivo. Cuando habilita las notificaciones push, se genera un token de dispositivo (un identificador único para su dispositivo) y se almacena en nuestros servidores para dirigir las notificaciones. No se comparte con Firebase ningún contenido de mensaje más allá del payload de la notificación.

La base jurídica de este tratamiento es el art. 6, apartado 1, letra a) del RGPD (consentimiento), ya que las notificaciones push solo se envían tras concederse permiso explícitamente. Puede revocar este consentimiento en cualquier momento desactivando las notificaciones en la configuración de su dispositivo. Se ha celebrado un acuerdo de encargo del tratamiento con Google. La transferencia de datos a EE. UU. se basa en las cláusulas contractuales tipo de la Comisión Europea. Más información: [https://firebase.google.com/support/privacy](https://firebase.google.com/support/privacy).

#### RevenueCat (compras dentro de la aplicación)

Se utiliza **RevenueCat, Inc.**, 1032 E Brandon Blvd #3003, Brandon, FL 33511, EE. UU., para gestionar compras dentro de la aplicación y suscripciones en dispositivos móviles. RevenueCat trata un identificador de usuario anonimizado, recibos de compra y el estado de la suscripción. No se comparten con RevenueCat datos personales como el nombre o el correo electrónico.

La base jurídica de este tratamiento es el art. 6, apartado 1, letra b) del RGPD (cumplimiento del contrato), ya que la gestión de las compras dentro de la aplicación es necesaria para prestar los servicios de pago. Se ha celebrado un acuerdo de encargo del tratamiento con RevenueCat. La transferencia de datos a EE. UU. se basa en las cláusulas contractuales tipo de la Comisión Europea. Más información: [https://www.revenuecat.com/privacy](https://www.revenuecat.com/privacy).

#### Autenticación nativa (Apple/Google Sign-In)

Cuando inicia sesión con Apple Sign-In o Google Sign-In en dispositivos móviles, Apple o Google emiten un token de identidad que se intercambia con nuestro servicio de autenticación (Supabase) para crear o vincular su cuenta. Solo recibimos la información que usted autoriza (normalmente nombre y dirección de correo electrónico). No se almacenan credenciales en nuestros servidores; la autenticación se gestiona mediante intercambio seguro de tokens.

La base jurídica de este tratamiento es el art. 6, apartado 1, letra b) del RGPD (cumplimiento del contrato).

#### Permisos del dispositivo

La aplicación móvil puede solicitar acceso a las siguientes funciones del dispositivo:

- **Micrófono:** Necesario para el modo de voz (conversaciones en tiempo real). El audio se transmite en streaming a Deepgram para su transcripción y no se almacena en nuestros servidores.
- **Cámara:** Se utiliza para capturar imágenes y cargarlas como contenido para análisis por IA. Las imágenes solo se procesan cuando usted inicia explícitamente una captura.
- **Galería de fotos:** Se utiliza para seleccionar imágenes o archivos existentes para cargarlos. Solo se acceden y cargan los archivos que usted seleccione explícitamente.

Cada permiso se solicita únicamente la primera vez que utiliza la función correspondiente. Puede revocar cualquier permiso en cualquier momento desde la configuración de su dispositivo. La base jurídica de este tratamiento es el art. 6, apartado 1, letra a) del RGPD (consentimiento).

### g. Servicios adicionales de tratamiento de datos

La plataforma utiliza servicios especializados adicionales para mejorar su funcionalidad. Estos servicios tratan únicamente los datos necesarios para la función que usted solicita.

#### Tavily (búsqueda web)

Se utiliza **Tavily AI**, con servicios a través de api.tavily.com, para ofrecer búsqueda web dentro de la plataforma. Al usar estas funciones, pueden transmitirse consultas, URLs enviadas y fragmentos de páginas públicas.

La base jurídica es el art. 6(1)(b) RGPD. Las transferencias a EE. UU. se basan en cláusulas contractuales tipo. Más información: [https://tavily.com/privacy](https://tavily.com/privacy).

#### Firecrawl (extracción web y capturas)

**Firecrawl**, operado por SideGuide Technologies, Inc., se utiliza para recuperar, extraer y en algunos casos analizar visualmente páginas web públicas o capturas cuando usted envía enlaces o solicita análisis de fuentes. Puede tratar URLs, contenido de páginas, capturas y metadatos técnicos.

La base jurídica es el art. 6(1)(b) RGPD para el análisis solicitado y el art. 6(1)(f) RGPD para calidad de fuentes, seguridad y depuración. Las transferencias se protegen mediante cláusulas contractuales tipo. Más información: [https://www.firecrawl.dev/privacy-policy](https://www.firecrawl.dev/privacy-policy).

#### Apify (extracción de fuentes sociales y de vídeo)

**Apify Technologies s.r.o.**, República Checa, se utiliza para extraer contenido público de redes sociales, web y transcripciones de vídeo cuando usted proporciona una URL o solicita recopilación de fuentes para un Mind. Pueden tratarse URLs, metadatos públicos de perfiles/publicaciones/vídeos, transcripciones y registros de extracción.

La base jurídica es el art. 6(1)(b) RGPD.

#### Serper (API de búsqueda)

**Serper** se utiliza para búsqueda pública, búsqueda de imágenes/vídeos y descubrimiento de fuentes cuando usted solicita esas funciones. Se transmiten términos de búsqueda y metadatos de resultados.

La base jurídica es el art. 6(1)(b) RGPD. Las transferencias a terceros países se basan en cláusulas contractuales tipo cuando sea necesario.

#### OCR.space (reconocimiento óptico de caracteres)

Se utiliza **OCR.space API**, operado por A9t9 software GmbH, Nordstr. 8, 87561 Oberstdorf, Alemania, para extraer texto de imágenes y documentos cargados cuando se requiere OCR.

La base jurídica es el art. 6(1)(b) RGPD. Los datos permanecen en la UE. Más información: [https://ocr.space/privacypolicy](https://ocr.space/privacypolicy).

#### API pública, MCP, extensión de navegador y clientes externos

Cuando utiliza nuestra API pública, servidor MCP, extensión de navegador, widgets o clientes de terceros conectados a Minds (por ejemplo ChatGPT, Claude, OpenRouter, Open WebUI o LibreChat), tratamos claves API, códigos/tokens OAuth, scopes, metadatos de solicitud, llamadas de herramientas, prompts, contenido, identificadores de sesión/widget y registros de auditoría necesarios para autenticar, enrutar, asegurar y prestar la integración.

La base jurídica es el art. 6(1)(b) RGPD y el art. 6(1)(f) RGPD para seguridad y auditoría. Los clientes de terceros elegidos por usted pueden tratar sus datos de forma independiente bajo sus propias condiciones.

#### Integración con Google Calendar

Si conecta Google Calendar, usamos la API de Google Calendar para sincronizar eventos y metadatos. Solicitamos el scope calendar.events, almacenamos tokens de acceso/refresh, creamos canales webhook, leemos metadatos de eventos futuros y asistentes, creamos Minds relacionados y podemos actualizar descripciones de eventos con enlaces de Mind cuando esté habilitado.

La base jurídica es el art. 6(1)(a) RGPD (consentimiento) y el art. 6(1)(b) RGPD. Puede desconectar la integración en ajustes; los tokens, webhooks y eventos sincronizados se eliminan sujetos a la retención de copias de seguridad.

#### Twilio (SMS, WhatsApp y llamadas de voz)

Las funciones opcionales de mensajería y teléfono usan **Twilio Inc.** para SMS, gestión de remitentes WhatsApp, provisión de números y streams de llamadas de voz. Los datos pueden incluir números asignados, números de remitente/llamante, metadatos/contenido de mensajes, metadatos de llamadas y audio de llamadas. Las llamadas de voz también pueden ser tratadas por Deepgram y Fish Audio como se describe arriba.

La base jurídica es el art. 6(1)(b) RGPD; cuando se requiera consentimiento para grabación, clonación de voz o funciones similares, se aplica el art. 6(1)(a) RGPD.

### h. Comunicación por correo electrónico

Para el envío de correos electrónicos relacionados con la plataforma (p. ej., confirmaciones de registro, restablecimientos de contraseña) se utiliza el servicio **Resend**, ofrecido por Resend Inc., 548 Market St PMB 95453, San Francisco, CA 94104-5401, EE. UU. Resend trata la dirección de correo electrónico por cuenta nuestra.

La base jurídica de este tratamiento es el art. 6, apartado 1, letra b) del RGPD (cumplimiento del contrato) para correos electrónicos transaccionales. Se ha celebrado un acuerdo de encargo del tratamiento (DPA) con Resend. La transferencia de datos a EE. UU. se basa en las cláusulas contractuales tipo de la Comisión Europea. Puede encontrar más información en la política de privacidad de Resend: [https://resend.com/legal/privacy-policy](https://resend.com/legal/privacy-policy).

### i. Cookies

En el sitio web y la app se utilizan cookies, almacenamiento local y tecnologías similares. El almacenamiento necesario se usa para inicio de sesión, seguridad, idioma, consentimiento, sesión y funciones básicas. Las cookies no esenciales de analítica o marketing y tecnologías comparables solo se usan con consentimiento.

Para usuarios en Alemania, el acceso o almacenamiento de información en el dispositivo se basa, cuando proceda, en el § 25 TDDDG. El tratamiento de datos personales relacionado se basa en el art. 6(1)(a) RGPD para analítica y marketing con consentimiento, y en el art. 6(1)(f) RGPD para funciones estrictamente necesarias de seguridad, prevención de fraude y servicio. Puede cambiar o retirar el consentimiento en cualquier momento en los ajustes de cookies.

### j. Analítica web con Google Analytics

Este sitio web utiliza funciones del servicio de analítica web Google Analytics. El proveedor es Google Ireland Limited ("Google"), Gordon House, Barrow Street, Dublín 4, Irlanda.

Google Analytics utiliza cookies que permiten el análisis de su uso del sitio web. La información generada por la cookie sobre su uso de este sitio web se transfiere generalmente a un servidor de Google en EE. UU. y se almacena allí.

El almacenamiento de cookies de Google Analytics y el uso de esta herramienta analítica se basan en su consentimiento conforme al art. 6, apartado 1, letra a) del RGPD. Puede cambiar o revocar este consentimiento en cualquier momento a través de nuestra configuración de cookies.

Hemos activado la anonimización de IP en este sitio web. Como resultado, su dirección IP es acortada por Google dentro de los Estados miembros de la Unión Europea o en otros Estados contratantes del Acuerdo sobre el Espacio Económico Europeo antes de transmitirse a EE. UU.

Hemos celebrado un acuerdo de encargo del tratamiento con Google.

La transferencia de datos a EE. UU. se basa en las cláusulas contractuales tipo de la Comisión Europea. Puede encontrar más detalles aquí: [https://privacy.google.com/businesses/controllerterms/mccs/](https://privacy.google.com/businesses/controllerterms/mccs/).

Encontrará más información sobre el tratamiento de los datos de los usuarios por parte de Google Analytics en la política de privacidad de Google: [https://support.google.com/analytics/answer/6004245](https://support.google.com/analytics/answer/6004245).

### k. Analítica de producto con PostHog

Utilizamos el servicio de analítica de producto **PostHog**, proporcionado por PostHog, Inc., 2261 Market Street #4008, San Francisco, CA 94114, EE. UU.

PostHog nos ayuda a entender cómo los usuarios interactúan con la plataforma y puede incluir reproducción de sesiones. Las cookies persistentes de analítica, persistencia en localStorage, identificación analítica de usuarios y reproducción de sesiones solo se usan con consentimiento de analítica. Sin dicho consentimiento, PostHog se configura sin cookies analíticas persistentes; eventos limitados sin cookies o en memoria pueden tratarse para fiabilidad, prevención de abusos y mejora agregada del servicio cuando sea lícito.

La base jurídica de la analítica con consentimiento es el art. 6(1)(a) RGPD. Para tratamiento limitado estrictamente necesario de seguridad, fiabilidad y prevención de abusos, la base jurídica es el art. 6(1)(f) RGPD. Puede cambiar o retirar el consentimiento en los ajustes de cookies.

Hemos celebrado un acuerdo de encargo con PostHog. Los datos se tratan en la región de la UE. Más información: [https://posthog.com/privacy](https://posthog.com/privacy).

### l. Pruebas A/B con Convoy Labs

Utilizamos **Convoy Labs** para pruebas A/B de configuraciones de agentes de IA con el fin de optimizar la calidad y el rendimiento de nuestras funciones de IA. Cuando interactúa con las funciones de IA, Convoy Labs puede tratar metadatos técnicos sobre la interacción (como qué configuración de modelo se utilizó y métricas de calidad de la respuesta).

La base jurídica de este tratamiento es el art. 6, apartado 1, letra f) del RGPD (interés legítimo). Nuestro interés legítimo radica en optimizar y mejorar la calidad de nuestras funciones de IA. Se ha celebrado un acuerdo de encargo del tratamiento con Convoy Labs. La transferencia de datos a EE. UU. se basa en las cláusulas contractuales tipo de la Comisión Europea. No se comparte con Convoy Labs ninguna información personalmente identificable más allá de los metadatos técnicos de interacción.

### m. Seguimiento de conversiones con TikTok Pixel

Utilizamos el **TikTok Pixel**, una herramienta de seguimiento de conversiones proporcionada por TikTok Information Technologies UK Limited y TikTok Technology Limited ("TikTok"). El TikTok Pixel nos permite hacer seguimiento de las acciones de los usuarios y medir la eficacia de nuestras campañas publicitarias en TikTok.

El TikTok Pixel recoge datos sobre sus interacciones con nuestro sitio web (p. ej., visitas a páginas, registros) y los transmite a TikTok. El TikTok Pixel **solo se activa con su consentimiento explícito** para cookies de marketing (art. 6, apartado 1, letra a) del RGPD). Puede revocar su consentimiento en cualquier momento.

La transferencia de datos a terceros países está asegurada por las cláusulas contractuales tipo de la Comisión Europea. Más información sobre el tratamiento de datos de TikTok: [https://www.tiktok.com/legal/page/eea/privacy-policy/en](https://www.tiktok.com/legal/page/eea/privacy-policy/en).

### n. Seguimiento de conversiones con X Pixel

Utilizamos el **X Pixel** (antes Twitter Pixel), una herramienta de seguimiento de conversiones proporcionada por X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, EE. UU. ("X"). Esta herramienta nos ayuda a medir el éxito de nuestra publicidad en X.

El X Pixel realiza un seguimiento de las acciones en nuestro sitio web y las transmite a X. El X Pixel **solo se activa con su consentimiento explícito** para cookies de marketing (art. 6, apartado 1, letra a) del RGPD). Puede revocar su consentimiento en cualquier momento.

La transferencia de datos a EE. UU. está asegurada por las cláusulas contractuales tipo de la Comisión Europea. Más información sobre el tratamiento de datos de X: [https://twitter.com/en/privacy](https://twitter.com/en/privacy).

## 5. Plazo de conservación y supresión de datos

Los datos personales se almacenan durante los siguientes periodos:

<table>
<thead>
  <tr>
    <th>
      Categoría de datos
    </th>
    
    <th>
      Plazo de conservación
    </th>
    
    <th>
      Motivo
    </th>
  </tr>
</thead>

<tbody>
  <tr>
    <td>
      Datos de cuenta (nombre, correo electrónico)
    </td>
    
    <td>
      Duración de la cuenta + 30 días tras la supresión
    </td>
    
    <td>
      Cumplimiento del contrato y recuperación de la cuenta
    </td>
  </tr>
  
  <tr>
    <td>
      Contenido del Usuario (Flows, Minds)
    </td>
    
    <td>
      Duración de la cuenta + 30 días tras la supresión
    </td>
    
    <td>
      Cumplimiento del contrato
    </td>
  </tr>
  
  <tr>
    <td>
      Configuraciones y entradas de Group Grounding
    </td>
    
    <td>
      Duración de la cuenta + 30 días tras la supresión
    </td>
    
    <td>
      Cumplimiento del contrato
    </td>
  </tr>
  
  <tr>
    <td>
      Conjuntos de datos de distribución agregados (sin datos personales)
    </td>
    
    <td>
      Actualizados periódicamente; almacenados en caché mientras sea necesario para la funcionalidad
    </td>
    
    <td>
      Interés legítimo / fin estadístico
    </td>
  </tr>
  
  <tr>
    <td>
      Archivos de registro del servidor
    </td>
    
    <td>
      90 días
    </td>
    
    <td>
      Seguridad y depuración
    </td>
  </tr>
  
  <tr>
    <td>
      Registros de pagos
    </td>
    
    <td>
      10 años tras la transacción
    </td>
    
    <td>
      Legislación fiscal alemana (§ 147 AO)
    </td>
  </tr>
  
  <tr>
    <td>
      Registros de consentimiento
    </td>
    
    <td>
      3 años tras la retirada
    </td>
    
    <td>
      Prueba del consentimiento (art. 7 RGPD)
    </td>
  </tr>
  
  <tr>
    <td>
      Moderación de contenidos, avisos de contenido ilícito, apelaciones y registros de decisión
    </td>
    
    <td>
      Hasta 3 años; más tiempo si es necesario para reclamaciones legales
    </td>
    
    <td>
      Cumplimiento legal, prevención de abusos, defensa de derechos
    </td>
  </tr>
  
  <tr>
    <td>
      Datos analíticos
    </td>
    
    <td>
      14 meses
    </td>
    
    <td>
      Mejora del servicio
    </td>
  </tr>
  
  <tr>
    <td>
      Registros de interacciones con IA
    </td>
    
    <td>
      90 días
    </td>
    
    <td>
      Garantía de calidad y depuración
    </td>
  </tr>
  
  <tr>
    <td>
      Claves API, tokens OAuth/MCP y registros de auditoría de integraciones
    </td>
    
    <td>
      Duración de la cuenta o hasta revocación; registros de seguridad/auditoría hasta 3 años
    </td>
    
    <td>
      Cumplimiento del contrato, seguridad, prevención de abusos
    </td>
  </tr>
  
  <tr>
    <td>
      Tokens de Google Calendar, canales webhook y metadatos de eventos sincronizados
    </td>
    
    <td>
      Hasta desconexión o supresión de cuenta + 30 días
    </td>
    
    <td>
      Consentimiento / cumplimiento del contrato
    </td>
  </tr>
  
  <tr>
    <td>
      Metadatos SMS/WhatsApp/voz y números asignados
    </td>
    
    <td>
      Duración del uso de la función/cuenta + 30 días; registros del proveedor según retención legal/proveedor
    </td>
    
    <td>
      Cumplimiento del contrato, prevención de abusos
    </td>
  </tr>
  
  <tr>
    <td>
      URLs enviadas, resultados de extracción web, capturas y metadatos de búsqueda de fuentes
    </td>
    
    <td>
      Duración del Mind/Flow/Group relacionado + 30 días salvo caché como datos agregados no personales
    </td>
    
    <td>
      Cumplimiento del contrato y reproducibilidad
    </td>
  </tr>
  
  <tr>
    <td>
      Datos de copias de seguridad
    </td>
    
    <td>
      30 días tras la supresión de los sistemas activos
    </td>
    
    <td>
      Recuperación ante desastres
    </td>
  </tr>
</tbody>
</table>

**Derecho de supresión:** La supresión de la cuenta y de todos los datos asociados puede solicitarse en cualquier momento. Esto puede hacerse directamente en la configuración en [/settings/preferences](/settings/preferences). Tras dicha solicitud, los datos personales y el contenido del usuario se eliminan de forma permanente de los sistemas activos en un plazo de 30 días. Los datos de las copias de seguridad se depuran conforme a nuestro calendario de retención de copias. Los datos ya no se utilizarán para entrenar nuevos modelos y se adoptarán todas las medidas técnicas razonables para eliminarlos también de los modelos existentes.

## 6. Toma de decisiones automatizada y elaboración de perfiles

Nuestra plataforma utiliza funciones basadas en IA que pueden implicar el tratamiento automatizado de sus datos:

### Funciones asistidas por IA

Cuando utiliza nuestras funciones de IA (Flows, Minds, Group Grounding), sus entradas son tratadas por modelos de IA para generar resultados. Este tratamiento:

- **No constituye una toma de decisiones automatizada** con efectos jurídicos o significativos similares conforme al art. 22 del RGPD
- Se utiliza únicamente para prestar los servicios creativos y conversacionales que usted solicita
- No da lugar a decisiones que produzcan efectos jurídicos o le afecten significativamente
- Permanece bajo su control: usted decide cómo utilizar cualquier resultado generado por IA

### Personalización

Si crea un modelo de IA personal ("My Mind"), el sistema analiza el contenido que usted ha cargado para crear un asistente de IA personalizado. Esto se basa en su solicitud y consentimiento explícitos (art. 6, apartado 1, letras a) y b) del RGPD). Puede eliminar su modelo personal en cualquier momento.

### Moderación de contenidos, avisos y apelaciones

Podemos utilizar sistemas automatizados y revisión humana para detectar contenidos que infrinjan nuestras Condiciones del Servicio o la legislación aplicable, incluidos contenidos nocivos, ilícitos, infractores, abusivos o que supongan riesgos de seguridad. Los contenidos marcados pueden ser revisados por nuestro equipo.

Cuando usuarios o terceros presenten avisos de contenido ilícito, reclamaciones de derechos, apelaciones de moderación u objeciones, trataremos la información necesaria para evaluar y documentar la solicitud. Esto puede incluir datos de contacto del notificante, identificadores de cuenta, URLs/IDs de contenido, motivos y pruebas presentados, registros de decisiones de moderación, marcas temporales y comunicaciones posteriores.

La base jurídica es el art. 6, apartado 1, letra c) del RGPD cuando el tratamiento sea requerido por la ley, el art. 6, apartado 1, letra f) del RGPD para la integridad del servicio, la prevención de abusos, la defensa jurídica y la defensa de derechos, y el art. 6, apartado 1, letra b) del RGPD cuando la moderación sea necesaria para ejecutar o hacer cumplir el contrato de usuario. Los registros de moderación y avisos se conservan generalmente hasta 3 años, salvo que sea necesario un plazo mayor para formular, ejercer o defender reclamaciones legales.

### Sus derechos en relación con el tratamiento automatizado

Usted tiene derecho a:

- Obtener intervención humana en las decisiones que le afecten significativamente
- Expresar su punto de vista e impugnar las decisiones
- Solicitar información sobre la lógica aplicada en el tratamiento automatizado
- Oponerse al tratamiento automatizado no esencial

Para ejercer estos derechos, póngase en contacto con nosotros en [privacy@getminds.ai](mailto:privacy@getminds.ai).

## 7. Transparencia del Reglamento de IA de la UE y contenido generado por IA

### 7.1 Divulgación del sistema de IA

Minds es una plataforma potenciada por IA dentro del ámbito del Reglamento (UE) 2024/1689 ("Reglamento de IA de la UE"). Las obligaciones de transparencia del art. 50 se aplican desde el 2 de agosto de 2026. Hasta entonces, esta sección describe nuestras divulgaciones actuales, obligaciones contractuales y medidas de preparación.

### 7.2 Notificación de interacción con IA

Antes o en el momento de su primera interacción con cualquier Mind o asistente de IA, le informamos de que interactúa con un sistema de IA y no con una persona física. Esta notificación se proporciona mediante avisos en la app, pantallas de incorporación y etiquetas en la interfaz. Tratamos su identificador de cuenta, marca temporal de interacción y, cuando sea necesario, metadatos de acuse para documentar la entrega.

### 7.3 Etiquetado y marcado legible por máquina

Minds etiqueta los resultados generados por IA en la interfaz y almacena metadatos de generación como tipo de contenido, fecha, identificador de modelo/proveedor cuando esté disponible y contexto del resultado. Estamos preparando marcado legible por máquina y metadatos de procedencia para exportaciones de texto, audio e imagen conforme al art. 50(2), en la medida técnicamente viable y compatible antes del 2 de agosto de 2026.

Estos metadatos no se utilizan para elaboración de perfiles ni marketing. Se usan para divulgar el origen IA, apoyar la auditabilidad, conservar contexto de resultados compartidos/exportados y responder a solicitudes de transparencia.

### 7.4 Divulgación de contenido sintético

Cuando Minds simulan estilo de comunicación, voz, apariencia o comportamiento de personas reales o ficticias, o cuando paneles group-grounded generan resultados agregados, la salida es sintética. Divulgamos su origen artificial mediante etiquetas visibles y, cuando sea técnicamente viable, metadatos/información de procedencia. Para ello tratamos configuración del Mind, configuración de Group Grounding, registros de generación y metadatos de salida.

### 7.5 Base jurídica

Hasta que las obligaciones de transparencia aplicables del Reglamento de IA de la UE entren en aplicación el 2 de agosto de 2026, el tratamiento de transparencia y preparación de procedencia se basa en el art. 6(1)(b) RGPD cuando sea necesario para prestar el servicio y en el art. 6(1)(f) RGPD para responsabilidad, seguridad y prevención de abuso. Desde el 2 de agosto de 2026, cuando el tratamiento sea necesario para cumplir el art. 50, la base jurídica será el art. 6(1)(c) RGPD.

### 7.6 Datos tratados con fines de transparencia de IA

<table>
<thead>
  <tr>
    <th>
      Categoría de datos
    </th>
    
    <th>
      Finalidad
    </th>
    
    <th>
      Conservación
    </th>
  </tr>
</thead>

<tbody>
  <tr>
    <td>
      Registros de notificación de interacción con IA
    </td>
    
    <td>
      Prueba de divulgación del sistema de IA
    </td>
    
    <td>
      Duración de la cuenta + 3 años
    </td>
  </tr>
  
  <tr>
    <td>
      Metadatos de generación y procedencia disponible
    </td>
    
    <td>
      Etiquetado de origen IA, contexto de exportación y auditabilidad
    </td>
    
    <td>
      Mientras el contenido exista en la plataforma + 1 año
    </td>
  </tr>
  
  <tr>
    <td>
      Datos de persona/configuración de Mind
    </td>
    
    <td>
      Divulgación de contenido sintético y prevención de abuso
    </td>
    
    <td>
      Duración de la cuenta + 3 años
    </td>
  </tr>
  
  <tr>
    <td>
      Configuración de Group Grounding
    </td>
    
    <td>
      Divulgación de salidas sintéticas group-grounded
    </td>
    
    <td>
      Duración de la cuenta + 3 años
    </td>
  </tr>
  
  <tr>
    <td>
      Registros de generación de contenido
    </td>
    
    <td>
      Auditabilidad, depuración y responsabilidad regulatoria
    </td>
    
    <td>
      3 años desde la creación
    </td>
  </tr>
</tbody>
</table>

### 7.7 Sus derechos

Además de sus derechos RGPD (véase la sección 8), puede solicitar confirmación de si una salida concreta fue generada por IA y qué metadatos de generación/procedencia están disponibles. Cuando el tratamiento de transparencia se base en intereses legítimos, puede oponerse conforme al art. 21 RGPD. El tratamiento legalmente obligatorio tras la aplicación del Reglamento de IA no puede excluirse.

## 8. Derechos del interesado

Los interesados tienen los siguientes derechos en relación con sus datos personales:

- **Derecho de acceso** (art. 15 RGPD)
- **Derecho de rectificación** (art. 16 RGPD)
- **Derecho de supresión** ("derecho al olvido") (art. 17 RGPD)
- **Derecho a la limitación del tratamiento** (art. 18 RGPD)
- **Derecho a la portabilidad de los datos** (art. 20 RGPD)
- **Derecho de oposición** (art. 21 RGPD)

Asimismo, existe el derecho a **retirar** el consentimiento en cualquier momento con efectos para el futuro (art. 7, apartado 3 del RGPD). La retirada del consentimiento no afecta a la licitud del tratamiento realizado sobre la base del consentimiento antes de su retirada.

Para ejercer estos derechos, puede contactar con la dirección de contacto mencionada anteriormente.

## 9. Derecho a presentar una reclamación ante una autoridad de control

Sin perjuicio de cualquier otro recurso administrativo o judicial, existe el derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro de residencia, lugar de trabajo o lugar de la presunta infracción, si se considera que el tratamiento de datos personales vulnera el RGPD (art. 77 RGPD).

La autoridad de control competente para nosotros es:

**Berliner Beauftragte für Datenschutz und Informationsfreiheit**<br />


Friedrichstr. 219<br />


10969 Berlín<br />


Alemania<br />


Teléfono: +49 30 13889-0<br />


Correo electrónico: [mailbox@datenschutz-berlin.de](mailto:mailbox@datenschutz-berlin.de)<br />


Sitio web: [https://www.datenschutz-berlin.de](https://www.datenschutz-berlin.de)

## 10. Seguridad de los datos

Se adoptan todas las medidas técnicas y organizativas de seguridad necesarias para proteger los datos personales frente a pérdida y uso indebido. Los datos se almacenan en un entorno operativo seguro que no es accesible al público. La transmisión de datos se cifra mediante tecnología SSL.

## 11. Modificaciones de esta Política de Privacidad

Nos reservamos el derecho a adaptar esta política de privacidad para que cumpla siempre con los requisitos legales vigentes o para reflejar cambios en los servicios, p. ej., al introducir nuevos servicios. La nueva política de privacidad será aplicable a las visitas futuras.