Política de Privacidad
De conformidad con el Reglamento General de Protección de Datos (RGPD - UE 2016/679) y la Ley Orgánica 3/2018 (LOPDGDD), te informamos sobre cómo MindBeamer trata tus datos personales.
Lo importante en una frase: almacenamos tus datos en servidores en Alemania (Hetzner). Los tokens de Facebook / Instagram que conectas se cifran (Fernet/AES-128) antes de guardarse. El procesamiento de IA usa Anthropic (EE.UU.) con SCCs según Art. 46 RGPD. No usamos cookies de seguimiento ni vendemos datos a terceros.
1. Responsable del tratamiento
Martin Schenk S.L.
C/ Claudio Coello 14, 5g · 28001 Madrid, España
CIF: B84645654
Email: legal@martin-schenk.es
2. Qué datos tratamos
2.1 Datos de tu cuenta
- Nombre, email, contraseña (hash bcrypt). El email es identificador único.
- Idioma preferido (de/es/en) y locale.
- Datos técnicos: IP, User-Agent, timestamp de cada inicio de sesión (logs técnicos, 90 días).
2.2 Datos de tus proyectos
Cada proyecto contiene la información que tú aportas + lo que la IA deduce:
- Inputs explícitos: nombre del proyecto, URL del sitio web, descripción libre que escribes.
- Resultado de análisis IA (
business_analysis): sector, público objetivo, tono, propuesta de valor, productos/servicios. Generado por Claude a partir de los inputs anteriores. - Categorías de contenido (3 por proyecto): nombre + descripción, editables por ti.
- Posts generados (
articles): tema, título, cuerpo, hashtags, CTA, URL de imagen Unsplash, estado de aprobación/publicación, IDs de los posts publicados en Facebook/Instagram.
2.3 Tokens de Facebook / Instagram
Para que MindBeamer pueda publicar en tu nombre, tú aportas un Facebook Page Access Token. Se cifra de inmediato con Fernet (AES-128-CBC + HMAC-SHA256, clave en variable de entorno del servidor) y se guarda en la base de datos en formato cifrado. El token NUNCA se devuelve al cliente ni aparece en logs. Solo se descifra en el momento exacto de hacer una llamada a la Graph API de Meta (verificar, publicar).
3. Base jurídica del tratamiento
- Art. 6.1.b RGPD (ejecución del contrato): para prestarte el servicio.
- Art. 6.1.c RGPD (obligación legal): obligaciones contables y fiscales.
- Art. 6.1.f RGPD (interés legítimo): logs técnicos, prevención de fraude, seguridad.
- Art. 6.1.a RGPD (consentimiento): análisis con IA + publicación automatizada en redes sociales — se confirma con la aprobación explícita de cada post antes de publicarlo.
4. Dónde están tus datos
4.1 Almacenamiento principal
Toda la base de datos (PostgreSQL) y los archivos están en servidores de Hetzner Online GmbH en Alemania (centro de datos en Falkenstein o Núremberg). Sin copias fuera de la UE.
4.2 Procesamiento con IA
Actualmente, las llamadas al modelo Claude se hacen a la API directa de Anthropic (api.anthropic.com, región EE.UU.) con Cláusulas Contractuales Tipo (SCCs) según Art. 46 RGPD. Los datos no se usan para entrenar modelos (acuerdo Zero-Retention de Anthropic). Migración prevista a región UE (vía AWS Bedrock Frankfurt) en una fase posterior — actualización en esta misma página cuando suceda.
5. Subencargados (Art. 28 RGPD)
| Subencargado | Servicio · Ubicación · Base jurídica |
| Hetzner Online GmbH | Hosting (servidores, base de datos, archivos). Alemania (UE) ✅ |
| Anthropic PBC | Modelo de IA (Claude) usado para análisis de marca + generación de posts. Procesamiento de inputs del usuario. EE.UU. — SCCs Art. 46 RGPD (transición a región UE prevista, ver §4.2). |
| Unsplash Inc. | Búsqueda y entrega de imágenes para posts. EE.UU. — el CDN sirve la imagen directamente al navegador del usuario. |
| Meta Platforms Ireland Ltd. | API de Facebook + Instagram para publicar los posts en las páginas conectadas por el propio usuario. EE.UU. — SCCs Art. 46 RGPD. El usuario aporta su propio token de Page. |
| Cloudflare Inc. | DNS, certificados TLS, mitigación de ataques. EE.UU. — SCCs Art. 46 RGPD. |
| Google LLC | Envío de emails transaccionales (registro, confirmaciones). Servidor SMTP propio en Plesk + cuenta de envío en Gmail. EE.UU. — SCCs + EU-US Data Privacy Framework. |
| Stripe Payments Europe Ltd. | Procesamiento de pagos (cuando se active la suscripción de pago). Irlanda + EE.UU. — SCCs Art. 46 RGPD. |
Si añadimos un nuevo subencargado, la lista se actualiza aquí.
6. Plazos de conservación
- Cuenta: mientras sigas usando el servicio. Si la eliminas, borramos tus datos en máximo 30 días, salvo obligaciones legales.
- Proyectos y posts: hasta que tú los elimines o elimines la cuenta.
- Logs técnicos: 90 días.
- Datos contables y fiscales: mínimo 6 años (Art. 30 Código de Comercio).
- Tokens FB/IG: se borran inmediatamente al desconectar el canal o eliminar el proyecto.
7. Tus derechos
Como interesado tienes derecho a:
- Acceso, rectificación, supresión y portabilidad de tus datos.
- Limitación del tratamiento y oposición.
- Retirar el consentimiento en cualquier momento.
- Presentar reclamación ante la Agencia Española de Protección de Datos (AEPD).
Para ejercer tus derechos: legal@martin-schenk.es.
8. Cookies y almacenamiento local
MindBeamer no establece cookies HTTP propias y no usa cookies de seguimiento. Sí usamos localStorage para tu sesión y preferencia de idioma — todo técnicamente necesario. Detalle: Política de Cookies.
9. Decisiones automatizadas
La generación automática de posts es una sugerencia sin efectos jurídicos en sí misma. La publicación real solo ocurre tras tu aprobación explícita. No hay decisiones automatizadas con efecto jurídico relevante en el sentido del Art. 22 RGPD.
Última actualización: junio de 2026