Legal
Política de privacidad
Última actualización: 20 de junio de 2026
En Orchestra tratamos tus datos personales conforme al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018 (LOPDGDD). Esta política explica qué datos tratamos, con qué base legal, durante cuánto tiempo y qué derechos tienes.
1. Responsable del tratamiento
- Responsable: [NOMBRE Y APELLIDOS / RAZÓN SOCIAL]
- Identificación fiscal: [DNI / NIF]
- Domicilio: [DIRECCIÓN POSTAL COMPLETA], España
- Contacto en materia de privacidad: privacidad@orchestra.is
2. Datos que tratamos
Según tu relación con el servicio, podemos tratar:
- Datos de cuenta: nombre, correo electrónico y credenciales de acceso.
- Datos de tu negocio: nombre comercial, descripción, público objetivo, redes, tono de marca y promociones.
- Material de marca y producto: imágenes de producto, logotipos y datos de la tienda conectada (Shopify), incluido el catálogo de productos.
- Datos de facturación: plan contratado e identificadores de la suscripción. Los datos de pago (tarjeta) los trata directamente Stripe; nosotros no los almacenamos completos.
- Datos de uso y técnicos: registros de actividad, métricas de generación y datos de diagnóstico de errores.
- Métricas de redes (opcional): si subes un CSV de resultados de Meta, sus datos agregados de rendimiento.
El contenido que aportas puede contener datos personales (p. ej. si tus imágenes incluyen personas). Eres responsable de contar con la base legítima para aportarlo; en ese caso, Orchestra actúa como encargado del tratamiento conforme al DPA suscrito contigo.
3. Finalidades y base legal
| Finalidad | Base legal (RGPD) |
|---|---|
| Crear y gestionar tu cuenta y prestar el servicio. | Ejecución del contrato (art. 6.1.b). |
| Cobro de la suscripción y facturación. | Ejecución del contrato y obligación legal (art. 6.1.b y 6.1.c). |
| Soporte y comunicaciones operativas del servicio. | Ejecución del contrato (art. 6.1.b). |
| Seguridad, prevención de abuso y diagnóstico de errores. | Interés legítimo (art. 6.1.f). |
| Mejora del servicio con datos anonimizados o agregados. | Interés legítimo (art. 6.1.f). |
| Cookies no esenciales y comunicaciones comerciales. | Consentimiento (art. 6.1.a). |
4. Plazo de conservación
- Datos de cuenta y contenido: mientras la cuenta esté activa y hasta 30 días después de la cancelación, momento en el que se eliminan o anonimizan.
- Datos de facturación: durante los plazos legales fiscales y mercantiles aplicables.
- Registros técnicos y de seguridad: durante el tiempo necesario para su finalidad y conforme a la normativa.
5. Destinatarios y encargados del tratamiento
No vendemos tus datos. Compartimos datos con proveedores que los tratan por nuestra cuenta (encargados del tratamiento) únicamente para prestar el servicio:
| Proveedor | Finalidad | Ubicación |
|---|---|---|
| Vercel Inc. | Alojamiento de la aplicación y red de distribución (CDN). | EE. UU. |
| Supabase | Base de datos, autenticación y almacenamiento de archivos. | Región EEE (proyecto de producción). |
| Stripe Payments Europe, Ltd. | Procesamiento de pagos y gestión de suscripciones. | Irlanda (EEE) / EE. UU. |
| Resend | Envío de correos electrónicos transaccionales. | EE. UU. (región de envío eu-west-1). |
| OpenAI (vía EvoLink) | Generación de imágenes (GPT Image 2) y análisis visual de revisión. | EE. UU. |
| DeepSeek | Generación de textos de los agentes de marketing. | Fuera del EEE. |
| Seedance (ByteDance) | Generación de vídeo (Reels) a partir de los briefs de contenido. | Fuera del EEE. |
| Sentry | Monitorización de errores de la aplicación (diagnóstico técnico). | EE. UU. |
| Shopify | Integración con la tienda del cliente para leer productos e imágenes (solo cuando el cliente la conecta). | Canadá / EE. UU. |
También podremos comunicar datos a autoridades cuando exista obligación legal.
6. Transferencias internacionales
Algunos proveedores están ubicados fuera del Espacio Económico Europeo. En esos casos, las transferencias se amparan en garantías adecuadas (decisiones de adecuación, Cláusulas Contractuales Tipo de la Comisión Europea o marcos equivalentes). Algunas garantías están pendientes de verificación documental por proveedor:
| Proveedor | Garantía de la transferencia |
|---|---|
| Vercel Inc. | Cláusulas Contractuales Tipo (SCC) / Data Privacy Framework. |
| Stripe Payments Europe, Ltd. | Cláusulas Contractuales Tipo (SCC) para el tratamiento en EE. UU. |
| Resend | Cláusulas Contractuales Tipo (SCC) / Data Privacy Framework. |
| OpenAI (vía EvoLink) | Cláusulas Contractuales Tipo (SCC) / Data Privacy Framework. |
| DeepSeek | Transferencia internacional pendiente de garantía documentada (revisión legal prioritaria). |
| Seedance (ByteDance) | Transferencia internacional pendiente de garantía documentada (revisión legal prioritaria). |
| Sentry | Cláusulas Contractuales Tipo (SCC). |
| Shopify | Decisión de adecuación (Canadá) / SCC para el tratamiento en EE. UU. |
7. Tus derechos
Puedes ejercer tus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad y a retirar el consentimiento en cualquier momento, escribiendo a privacidad@orchestra.is. También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es) si consideras que tus derechos no han sido atendidos.
8. Seguridad
Aplicamos medidas técnicas y organizativas apropiadas: cifrado en tránsito, control de acceso por usuario, aislamiento de datos por cliente mediante políticas de seguridad a nivel de fila (RLS) en la base de datos, y gestión restringida de credenciales. Ningún sistema es completamente infalible, pero trabajamos para proteger tus datos de forma proporcional al riesgo.
9. Cookies
Utilizamos cookies y tecnologías similares según se describe en nuestra Política de cookies. Las cookies no esenciales solo se activan con tu consentimiento previo.
10. Cambios en esta política
Podemos actualizar esta política para reflejar cambios legales o del servicio. Publicaremos la versión vigente en esta página e indicaremos la fecha de última actualización; los cambios sustanciales se comunicarán por los medios adecuados.