Política de Privacidad
MeByFace — Versión extendida alineada con la arquitectura
Última actualización: 15 de febrero de 2026
1. Responsable del tratamiento
Responsable del tratamiento:
Mebyface, MB
Código de empresa: 307577192
Dirección: Peledu g. 28, Vilniaus rajonas, República de Lituania
Email: info@mebyface.com
La Empresa actúa como responsable del tratamiento de datos según el RGPD y otra legislación aplicable.
Nuestras prácticas de manejo de datos cumplen con el RGPD (Reglamento UE 2016/679), la BIPA de Illinois (740 ILCS 14) y la Ley de Privacidad del Consumidor de California (CCPA).
2. Arquitectura de sistemas y flujos de datos
Al utilizar www.mebyface.com, los datos personales se procesan dentro de la siguiente infraestructura:
2.1 Supabase (PostgreSQL)
Utilizado para:
- datos de cuenta
- metadatos de análisis
- registros de auditoría
- suscripciones push
- datos de tareas y reflexiones
Los datos se almacenan en la región de la UE (si está configurado para el proyecto UE).
2.2 Vercel Blob Storage
Utilizado para el almacenamiento temporal de fotografías faciales. Importante:
- Las URLs de Blob pueden ser técnicamente accesibles con un enlace directo.
- Las URLs no están indexadas públicamente.
- Las fotos se eliminan automáticamente en un plazo de 48 horas.
2.3 Microsoft Azure Face API
Utilizado para:
- detección de puntos faciales
- cálculo de proporciones
La fotografía se transmite para su procesamiento a través de una conexión segura (HTTPS).
2.4 OpenAI (ChatGPT 5.2)
Utilizado para:
- generar insights de personalidad basados en texto
- interpretar los resultados del análisis
Solo se transmiten datos estructurados de proporciones (no la fotografía completa, cuando están técnicamente separados).
2.5 Stripe
Utilizado para el procesamiento de pagos. MeByFace no almacena datos de tarjetas — solo se recibe información de la sesión de pago.
2.6 n8n (Región UE)
Utilizado para:
- procesos de flujo de trabajo automatizados
- notificaciones por email y del sistema
3. Categorías de datos procesados
3.1 Datos de cuenta
- dirección de email
- nombre de usuario
- ID de cuenta
- estado de suscripción
- fecha de creación
Base legal: RGPD Art. 6(1)(b)
3.2 Datos biométricos
Procesados:
- fotografía facial subida
- datos de geometría facial
- datos de proporciones
Propósito: generación de análisis y preparación de informes. Los datos biométricos:
- no se utilizan para identificación
- no se utilizan para autenticación
- no se venden
- no se utilizan para publicidad
Base legal: RGPD Art. 9(2)(a) y Art. 22(2)(c)
3.3 Perfilado automatizado
El análisis se realiza mediante sistemas automatizados (Azure y OpenAI) y es revisado por expertos humanos antes de la entrega final. Tienes derecho a:
- solicitar revisión humana
- impugnar los resultados
- expresar tu posición
3.4 Datos de registro de auditoría
Almacenados:
- dirección IP
- agente de usuario
- tipo de acción
- marca de tiempo
- ID de cuenta asociada
Propósito: seguridad, investigación de incidentes, prevención de fraude. Período de retención: hasta 12 meses.
3.5 Datos de notificaciones push
Almacenados:
- URL del endpoint
- clave p256dh
- token de autenticación
- información del dispositivo
Utilizado únicamente para enviar notificaciones al usuario.
3.6 Datos de reflexiones y tareas
Almacenados:
- estados de completitud de tareas
- entradas de diario
- metadatos de progreso
4. Períodos de retención
| Tipo de dato | Período de retención |
|---|---|
| Fotografías faciales | ≤ 48 horas |
| Datos de cuenta | Hasta la eliminación de la cuenta |
| Eliminación de cuenta | Completada en 30 días |
| Registros de auditoría | ≤ 12 meses |
| Datos financieros | Hasta 7 años |
| Suscripciones push | Hasta la cancelación |
5. Transferencias internacionales
Los datos pueden transferirse fuera de la UE (por ejemplo, a la infraestructura de Azure u OpenAI). Se aplican las siguientes salvaguardas:
- Cláusulas contractuales tipo (CCT), cuando corresponda
- cifrado durante la transferencia
- restricciones de acceso
6. Gestión de incidentes
En caso de una violación de seguridad:
- se lleva a cabo una investigación interna;
- se informa a la autoridad supervisora en un plazo de 72 horas, cuando corresponda;
- se informa a los usuarios si existe un alto riesgo para sus derechos y libertades.
7. Cumplimiento de datos biométricos en EE.UU.
Illinois: Se obtiene una “autorización por escrito” antes de la recolección, y se establece una política clara de destrucción.
California: Los datos biométricos se tratan como Información Personal Sensible. No se venden ni se comparten con fines publicitarios.
Texas y Washington: Los datos se recopilan solo con consentimiento y se destruyen en un plazo razonable.
8. Derechos del interesado
Los usuarios tienen derecho a:
- acceder a sus datos
- rectificar inexactitudes
- solicitar la eliminación
- restringir el tratamiento
- retirar el consentimiento
- oponerse al tratamiento
- no ser objeto de decisiones exclusivamente automatizadas
Tiempo de respuesta: 1 mes (puede extenderse a 3 meses para solicitudes complejas).
9. Limitación de responsabilidad
La Empresa aplica medidas de seguridad razonables pero no garantiza seguridad absoluta.
La responsabilidad máxima, en la medida permitida por la ley, no excederá el monto pagado en los 12 meses anteriores.
10. Cambios en la política
Los cambios materiales se publicarán en el sitio web. El uso continuado del Servicio después de la publicación constituye la aceptación de la política actualizada.
Contacto
Mebyface, MB
Peledu g. 28, Didieji Gulbinai
Vilniaus rajonas, Lietuva