Política de Privacidad
Última actualización: 24 de mayo de 2026
Introducción
KoraStudio es una plataforma de comunicación, relaciones públicas, marketing y gestión de redes sociales asistida por inteligencia artificial. Esta Política de Privacidad explica qué datos personales recogemos, cómo los usamos, con quién los compartimos, durante cuánto tiempo los conservamos y cuáles son tus derechos como usuario. El responsable del tratamiento es el operador individual de KoraStudio: jesus.munoz.oses@gmail.com.
1. Responsable del Tratamiento
| Campo | Detalle |
|---|---|
| Denominación | KoraStudio |
| Tipo de entidad | Operador individual (micro-SaaS) |
| Correo de contacto | jesus.munoz.oses@gmail.com |
| Sitio web | https://korastudio.app |
2. Datos Personales que Recopilamos
2.1 Datos de Cuenta
Correo electrónico (identificador de cuenta y comunicaciones), contraseña almacenada en forma cifrada (hashed) por Supabase — KoraStudio nunca tiene acceso a tu contraseña en texto plano — y nombre de usuario opcional.
2.2 Contenido Generado por el Usuario
Textos, borradores, propuestas de contenido y copias para redes sociales que creas dentro de la plataforma; entradas del calendario editorial; y mensajes de conversación con los agentes de IA.
2.3 Archivos Multimedia
Vídeos (MP4, MOV/QuickTime, WebM) e imágenes subidos para publicación, almacenados en Supabase Storage mediante protocolo TUS. Se registran metadatos técnicos: nombre, ruta, tipo MIME, tamaño y estado de carga.
2.4 Datos del Editor de Vídeo y Clips Renderizados
Cuando utilizas el editor de vídeo se generan y almacenan los siguientes datos: (a) estados de edición (editor_states): configuración del timeline, tracks, posiciones de clips, efectos y ajustes guardados entre sesiones; (b) assets de la biblioteca: referencias a clips, imágenes y pistas de música utilizados en los proyectos, junto con sus metadatos (nombre, tipo, duración estimada); (c) clips renderizados: los archivos MP4 resultantes del proceso de renderizado, almacenados en Cloudflare R2 con metadatos de renderizado (job ID, estado del proceso, timestamps, duración y resolución del clip); (d) metadatos de análisis de IA: puntuación de viralidad estimada, hooks generados, preset seleccionado, sugerencias de thumbnails y captions generados automáticamente. Estos datos se conservan mientras el clip no sea eliminado por el usuario o por el flujo automático de aprobación.
2.5 Tokens OAuth de Redes Sociales
Cuando conectas LinkedIn, Twitter/X, Instagram, TikTok o YouTube almacenamos los tokens de acceso OAuth cifrados. Solo se usan para ejecutar las acciones que tú apruebas explícitamente.
2.6 Datos de Facturación
La gestión de pagos se realiza íntegramente a través de Stripe. KoraStudio solo almacena tu identificador de cliente Stripe. Ningún dato de tarjeta es almacenado en nuestros servidores.
2.7 Datos de Uso y Analítica
Páginas visitadas, funcionalidades utilizadas, dirección IP, tipo de navegador y sistema operativo. Estos datos se recogen de forma agregada y no se utilizan para crear perfiles publicitarios individuales.
3. Finalidades y Base Jurídica (RGPD)
| Finalidad | Base jurídica |
|---|---|
| Crear y gestionar tu cuenta | Ejecución del contrato (art. 6.1.b) |
| Prestar el servicio de gestión de contenido | Ejecución del contrato (art. 6.1.b) |
| Procesar pagos y suscripciones | Ejecución del contrato (art. 6.1.b) |
| Publicar contenido en redes sociales | Ejecución del contrato (art. 6.1.b) |
| Procesamiento mediante API de IA (Claude/Anthropic) | Ejecución del contrato (art. 6.1.b) |
| Seguridad de la cuenta y detección de fraude | Interés legítimo (art. 6.1.f) |
| Análisis de uso para mejorar el servicio | Interés legítimo (art. 6.1.f) |
| Comunicaciones transaccionales | Ejecución del contrato (art. 6.1.b) |
| Cumplimiento de obligaciones legales | Obligación legal (art. 6.1.c) |
4. Procesamiento por Inteligencia Artificial
Generación de contenido escrito
KoraStudio utiliza la API de Claude, desarrollada por Anthropic, PBC (San Francisco, EE. UU.), para procesar tus mensajes y generar contenido. Los mensajes del chat y el contexto de marca configurado son enviados a la API de Anthropic. Anthropic procesa estos datos bajo sus propias políticas, que incluyen compromisos de no entrenar modelos con datos de clientes API salvo autorización expresa. Los contenidos generados por IA son propuestas; eres tú quien revisa, edita y aprueba cualquier publicación. Consulta la política de Anthropic en: https://www.anthropic.com/privacy
Análisis y asistencia de IA para vídeo
El módulo de edición de vídeo también utiliza la API de Claude (Anthropic) para las siguientes funcionalidades automatizadas: (a) puntuación de viralidad: se envían metadatos del clip (duración, tipo de contenido, contexto editorial) para estimar el potencial viral; (b) generación de hooks: se envía contexto del clip para proponer frases de apertura; (c) selección de preset de edición: se envían metadatos para elegir el mood musical más adecuado entre los 20 presets disponibles; (d) sugerencia de thumbnails: se envía información descriptiva del contenido para proponer miniaturas; (e) generación de captions: se envía el contenido del clip para generar subtítulos automáticos. En ningún caso se envía el archivo de vídeo en bruto a la API de Anthropic; solo se transmiten metadatos y descripciones textuales del contenido. Todos los resultados son propuestas que debes revisar y aprobar.
Minimización de datos en el procesamiento por IA
KoraStudio aplica el principio de minimización de datos: solo se envían a la API de Anthropic los metadatos y el contexto textual estrictamente necesarios para cada funcionalidad. No se transmiten datos personales identificativos del usuario final salvo que formen parte del contenido que el propio usuario introduce.
5. YouTube / API de Google
KoraStudio usa la API de YouTube para acceder a datos del canal del usuario. El uso de los datos de la API de YouTube está sujeto a la Política de Privacidad de Google (https://policies.google.com/privacy). Los tokens de YouTube solo se usan para mostrar información del canal y publicar vídeos aprobados por el usuario. Puedes revocar el acceso en cualquier momento desde https://myaccount.google.com/permissions.
6. Redes Sociales y Tokens OAuth
Plataformas soportadas
LinkedIn, Twitter/X, Instagram, TikTok, YouTube.
Qué almacenamos
Token de acceso OAuth (cifrado), refresh token cuando la plataforma lo proporciona, alcances autorizados e identificador de cuenta en la plataforma social.
Uso
Los tokens se usan exclusivamente para publicar contenido aprobado y leer métricas básicas cuando has autorizado ese permiso. No se comparten con terceros ni se usan con ningún otro fin.
Revocación
Puedes desconectar cualquier cuenta desde el panel de Conectores. El token almacenado se elimina de forma permanente de inmediato. También puedes revocar el acceso directamente desde la configuración de privacidad de cada plataforma.
7. Sub-Encargados del Tratamiento
| Proveedor | Rol | País |
|---|---|---|
| Supabase, Inc. | Base de datos, autenticación, almacenamiento de vídeos originales | EE. UU. |
| Vercel, Inc. | Alojamiento y despliegue web | EE. UU. |
| Stripe, Inc. | Procesamiento de pagos | EE. UU. |
| Anthropic, PBC | Procesamiento de IA — generación de contenido y análisis de vídeo (Claude API) | EE. UU. |
| Cloudflare, Inc. | Almacenamiento de clips renderizados (Cloudflare R2) | EE. UU. |
| Modal Labs, Inc. | Renderizado GPU de vídeo en la nube | EE. UU. |
8. Transferencias Internacionales de Datos
Todos nuestros sub-encargados están establecidos en Estados Unidos. Las transferencias desde el Espacio Económico Europeo (EEE) se realizan mediante Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea y, cuando aplica, el Marco de Privacidad de Datos UE-EE.UU. Puedes solicitar copia de las garantías aplicables escribiendo a jesus.munoz.oses@gmail.com.
9. Conservación de Datos
| Tipo de dato | Período de conservación |
|---|---|
| Datos de cuenta | Hasta eliminación de cuenta + 30 días |
| Contenido y archivos multimedia | Hasta eliminación manual o de cuenta |
| Conversaciones con agentes IA | Hasta eliminación de cuenta (borrables individualmente) |
| Tokens OAuth | Hasta desconexión de la cuenta social |
| Datos de facturación (ID Stripe) | Según normativa fiscal aplicable (5-7 años en España) |
| Logs técnicos de uso | Máximo 90 días |
| Clips renderizados (Cloudflare R2) | Hasta eliminación manual por el usuario o eliminación automática tras aprobación del clip (el vídeo original de fuente se elimina de Supabase Storage al aprobar el clip) |
| Estados del editor (editor_states y assets) | Hasta eliminación manual del proyecto o eliminación de cuenta |
| Metadatos de análisis de IA de vídeo (hooks, viralidad, captions) | Vinculados al clip; se eliminan junto con el clip correspondiente |
10. Cookies y Tecnologías de Rastreo
Cookies estrictamente necesarias
Cookies técnicas para mantener la sesión autenticada (gestionadas por Supabase Auth) y recordar preferencias básicas. No requieren consentimiento previo.
Cookies analíticas
Podemos usar analítica básica de páginas sin perfiles individuales. Si implementamos cookies analíticas adicionales, te informaremos y solicitaremos consentimiento donde la ley lo requiera.
Cookies de terceros con fines publicitarios
No usamos cookies de redes publicitarias, retargeting ni seguimiento comercial de terceros.
11. Tus Derechos (RGPD / LOPD-GDD)
- Acceso: solicitar información sobre qué datos tuyos tratamos y obtener copia.
- Rectificación: corregir datos inexactos o incompletos (muchos puedes actualizarlos directamente desde la configuración de cuenta).
- Supresión ('derecho al olvido'): solicitar la eliminación de tus datos cuando ya no sean necesarios o el tratamiento sea ilícito.
- Oposición: oponerte al tratamiento basado en interés legítimo.
- Limitación: suspender el tratamiento en determinadas circunstancias.
- Portabilidad: recibir tus datos en formato estructurado o que los transmitamos a otro responsable.
- Decisiones automatizadas: derecho a no ser objeto de decisiones automatizadas con efectos significativos sin intervención humana.
Cómo Ejercer tus Derechos
Envía tu solicitud a jesus.munoz.oses@gmail.com indicando en el asunto: "Solicitud de derechos RGPD — [tipo de solicitud]". Responderemos en el plazo máximo de un mes (ampliable a tres meses en casos complejos). Si consideras que el tratamiento de tus datos vulnera la normativa, puedes reclamar ante la Agencia Española de Protección de Datos (AEPD): https://www.aepd.es.
12. Seguridad de los Datos
- Cifrado en tránsito mediante TLS/HTTPS.
- Hashing seguro de contraseñas (bcrypt) gestionado por Supabase Auth.
- Tokens OAuth cifrados en base de datos.
- Acceso restringido a los datos de producción.
- Subida de archivos mediante protocolo TUS con autenticación.
- En caso de brecha de seguridad con riesgo para tus derechos, te notificaremos dentro de las 72 horas establecidas en el RGPD.
13. Menores de Edad
KoraStudio no está dirigido a menores de 18 años y no recopilamos conscientemente datos de menores. Si detectamos que un usuario es menor, procederemos a eliminar su cuenta y datos. Comunícalo a jesus.munoz.oses@gmail.com si tienes conocimiento de ello.
14. Cambios a esta Política
Podemos actualizar esta Política periódicamente. Ante cambios materiales, actualizaremos la fecha de "Última actualización", te notificaremos por correo y/o aviso en la plataforma con al menos 15 días de antelación. El uso continuado implica aceptación.
Para cualquier consulta sobre privacidad: jesus.munoz.oses@gmail.com