Política de Privacidad

El Servicio es operado por VSB Serviços de Informação e Tecnologia Ltda. (CNPJ 36.997.903/0001-36), persona jurídica de derecho privado con sede en Brasil. Actuamos como controlador de los datos personales conforme a la Ley brasileña 13.709/2018 (LGPD) y como controller a efectos del Reglamento (UE) 2016/679 (RGPD). Para cuestiones relacionadas con privacidad, ejercicio de derechos, dudas o reclamaciones, escribe a contact@bigduckai.com. Nuestro Delegado de Protección de Datos (DPO) está disponible en la misma dirección.

Tratamos datos personales con base en las siguientes bases legales, según corresponda: (a) ejecución de un contrato (LGPD Art. 7º, V; RGPD Art. 6.1.b), para prestar y operar el Servicio, atender solicitudes y procesar pagos; (b) interés legítimo (LGPD Art. 7º, IX; RGPD Art. 6.1.f), incluyendo seguridad de la plataforma, prevención de fraude y abuso, mejora del producto, analítica agregada, marketing directo no intrusivo, defensa en procesos judiciales y administrativos, y desarrollo de nuevas funcionalidades; (c) consentimiento (LGPD Art. 7º, I; RGPD Art. 6.1.a), para cookies no esenciales, publicidad comportamental, personalización avanzada y comunicaciones de marketing por email; (d) cumplimiento de obligación legal o regulatoria (LGPD Art. 7º, II; RGPD Art. 6.1.c), incluyendo conservación fiscal y respuestas a autoridades; (e) ejercicio regular de derechos en procesos judiciales, administrativos o arbitrales (LGPD Art. 7º, VI). Cuando nos basamos en interés legítimo, realizamos una evaluación de balance, y puedes oponerte en cualquier momento conforme se detalla más adelante.

Tratamos las siguientes categorías de datos: (a) Datos de uso e interacción: respuestas a los tests, puntuaciones calculadas, eventos de navegación, duración de sesión, patrones de clic, fuentes de tráfico, idioma y localidad; (b) Identificadores técnicos: dirección IP, user agent, identificadores de dispositivo, tipo y versión de navegador, sistema operativo, resolución de pantalla, zona horaria, identificadores de cookies, identificadores publicitarios (Google Ad ID, IDFA cuando aplique), huella digital anónima del navegador; (c) Datos de cuenta, cuando se crea: email, nombre, hash de contraseña, preferencias, historial de tests, fechas de acceso; (d) Datos de pago, cuando aplique: datos de transacción, estado, pasarela, identificador, importe, moneda, últimos 4 dígitos y marca de la tarjeta (no almacenamos datos completos de tarjeta de crédito); (e) Datos de comunicación: emails enviados a contact@bigduckai.com, feedback opcional de los tests, tickets de soporte; (f) Datos inferidos y agregados: características derivadas de tus patrones de uso, perfiles de personalidad calculados, segmentaciones de marketing; (g) Registros de seguridad: registros de autenticación, actividades sospechosas, intentos de fraude. Los resultados de los tests no constituyen categorías especiales de datos, datos de salud o datos biométricos a efectos del RGPD Art. 9 ni de la LGPD Art. 5º, II, ya que se derivan de auto-informe en instrumentos de auto-reflexión y no constituyen diagnóstico clínico.

Utilizamos los datos para: (i) operar, mantener, prestar y personalizar el Servicio, incluyendo la generación de resultados e informes; (ii) prevenir fraude, abuso, spam, ataques y violaciones de las Condiciones; (iii) garantizar la seguridad de la plataforma, los usuarios y nuestra infraestructura; (iv) realizar analítica agregada, A/B testing, métricas de producto y desarrollo de nuevas funcionalidades; (v) personalizar contenido, recomendaciones y experiencia de uso; (vi) mostrar publicidad contextual y, mediante consentimiento, comportamental; (vii) realizar marketing directo sobre nuestros propios productos y servicios sobre la base de interés legítimo, con posibilidad de opt-out gratuito en cualquier momento; (viii) comunicarnos contigo sobre actualizaciones del Servicio, cambios en las Condiciones o esta Política, alertas operacionales y respuestas a solicitudes; (ix) cumplir obligaciones legales, fiscales, contables y regulatorias, conservando registros por los plazos exigidos por ley; (x) entrenar, validar y mejorar modelos internos de generación de contenido, scoring, calidad de los tests y análisis de patrones, siempre mediante datos agregados o anonimizados; (xi) defender derechos legales en procesos judiciales, administrativos o arbitrales; (xii) realizar investigaciones internas y estudios estadísticos con datos anonimizados o agregados; (xiii) establecer, ejercer o defender cualquier derecho en juicio o fuera de él.

Usamos cookies propias y de terceros, web beacons, píxeles, local storage, session storage y tecnologías similares de seguimiento. Las categorizamos así: (a) Estrictamente necesarias: imprescindibles para el funcionamiento del Servicio, incluyendo autenticación, seguridad, prevención de fraude, balanceo de carga, registro de consentimiento, mitigación de bots, ajustes de accesibilidad y funcionalidades esenciales. No requieren consentimiento previo conforme al Art. 5(3) de la Directiva ePrivacy 2002/58/CE; (b) Analíticas: miden uso agregado y rendimiento, incluyendo Google Tag Manager, PostHog y Sentry. En jurisdicciones que exigen consentimiento previo, se activan solo después de tu autorización; (c) Publicitarias: permiten la visualización, personalización y medición de anuncios, incluyendo Google AdSense, AdSense Offerwall, Google Ads, Meta Pixel cuando aplique, Ezoic y socios programáticos. Se activan solo con consentimiento explícito; (d) Personalización: almacenan preferencias e historial para adaptar contenido, recomendaciones y experiencia. Se activan con consentimiento. Puedes gestionar las preferencias en cualquier momento desde el banner de consentimiento, mostrado en la primera visita, o desde un enlace en el pie de página. Algunas funciones pueden quedar limitadas si rechazas las cookies no esenciales. Operamos bajo Google Consent Mode v2 y soportamos el IAB Transparency and Consent Framework (TCF) v2.3 cuando lo requieran las redes asociadas.

Mediante consentimiento, mostramos anuncios proporcionados por: Google AdSense (incluyendo Auto Ads, in-content y Offerwall), Google Ads, Ezoic y otras redes programáticas y socios de header bidding que puedan ser añadidos, según nuestra lista actualizada de procesadores. Estos socios pueden recopilar datos (IP, user agent, identificador publicitario, comportamiento de navegación, contexto de la página) para personalización, frequency capping, medición, atribución y prevención de fraude. Podemos compartir, con tu consentimiento, hashes anonimizados (SHA-256) de email con socios publicitarios para construir audiencias similares (lookalike), audiencias de remarketing y listas de Customer Match. Puedes optar por no recibir publicidad personalizada de Google en adssettings.google.com, de la NAI en optout.networkadvertising.org, de la DAA en optout.aboutads.info y de la EDAA en youronlinechoices.eu. La publicidad contextual no personalizada puede mostrarse sobre la base de interés legítimo incluso sin consentimiento, salvo que la legislación local exija consentimiento previo también para esa modalidad.

Compartimos datos personales, estrictamente cuando sea necesario, con las siguientes categorías de terceros: (a) proveedores de infraestructura, hosting, CDN, base de datos y almacenamiento (incluyendo Vercel, Coolify, MongoDB Atlas, Cloudflare, Amazon Web Services); (b) proveedores de email transaccional y mensajería (incluyendo Resend, Nodemailer, proveedores SMTP); (c) proveedores de analítica y observabilidad (incluyendo Google, PostHog, Sentry, Vercel Analytics); (d) procesadores de pago (incluyendo Stripe, MercadoPago y similares); (e) redes publicitarias y procesadores de medios (Google AdSense, Google Ads, Ezoic, Meta y otros socios programáticos); (f) proveedores de IA y procesamiento de contenido (incluyendo OpenAI, Anthropic y socios equivalentes); (g) proveedores de prevención de fraude y seguridad; (h) asesores legales, contables y fiscales bajo deber de confidencialidad; (i) autoridades públicas, regulatorias o judiciales cuando lo exija la ley, una orden judicial o para defender derechos legítimos; (j) adquirentes, sucesores o inversores en caso de fusión, adquisición, reestructuración societaria, venta de activos, quiebra o proceso similar. Las transferencias internacionales a países fuera de Brasil o del Espacio Económico Europeo se realizan sobre la base de una decisión de adecuación, Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea, u otras salvaguardias previstas por la legislación aplicable. La lista actualizada de subprocesadores está disponible mediante solicitud por email.

Conservamos los datos personales por el tiempo necesario para cumplir con las finalidades descritas y con las obligaciones legales. Períodos típicos de conservación: (a) datos de uso e interacción anónimos: hasta 38 meses, en línea con períodos estándar de analítica; (b) datos de cuenta y perfil: mientras la cuenta esté activa y hasta 5 años tras la inactividad o cancelación, a efectos de defensa en eventuales reclamaciones y cumplimiento de obligaciones legales; (c) datos de transacción, pago y fiscales: 5 años desde la transacción, conforme a la Ley brasileña 9.430/96, Decreto 9.580/2018 (RIR) y legislación equivalente de la Unión Europea; (d) registros de consentimiento: por el período de validez del consentimiento y por 5 años tras su revocación, como prueba en eventual disputa; (e) emails y comunicaciones: 3 años desde el último contacto; (f) registros de seguridad y prevención de fraude: 12 meses, prorrogables en caso de investigación activa; (g) datos sometidos a bloqueo o conservación determinada por autoridad: por el período exigido. Tras estos plazos, anonimizamos o eliminamos los datos. La anonimización irreversible se considera equivalente a la eliminación a efectos de esta Política, conforme reconoce la LGPD y el Considerando 26 del RGPD.

Tienes los siguientes derechos sobre tus datos personales, conforme a la legislación aplicable: (a) confirmación del tratamiento; (b) acceso a los datos; (c) rectificación de datos incompletos, inexactos o desactualizados; (d) anonimización, bloqueo o eliminación de datos innecesarios o excesivos, o tratados en infracción de la ley; (e) portabilidad de los datos, limitada a los datos que has proporcionado activamente, en formato estructurado y de uso común; (f) oposición al tratamiento basado en interés legítimo, sin perjuicio de nuestro derecho a continuar el tratamiento cuando demostremos motivos legítimos imperiosos o por defensa de derechos; (g) revocación del consentimiento en cualquier momento, sin efecto retroactivo, sin perjuicio de la licitud del tratamiento previo; (h) información sobre las entidades públicas y privadas con las que compartimos datos; (i) revisión de decisiones automatizadas que afecten a tus intereses, conforme al LGPD Art. 20; (j) presentación de reclamación ante la autoridad de protección de datos competente. Para ejercer estos derechos, envía un email a contact@bigduckai.com identificándote de modo que permita una verificación razonable. Responderemos dentro de los plazos legales aplicables: hasta 15 días para la mayoría de las solicitudes bajo la LGPD, y hasta 1 mes bajo el RGPD, prorrogables hasta 2 meses en casos complejos con notificación motivada. Las solicitudes manifiestamente infundadas, excesivas o repetitivas pueden ser rechazadas o sujetas a una tarifa razonable correspondiente a los costes administrativos, en la máxima medida permitida por el RGPD Art. 12.5 y legislación equivalente. Cumplimos el derecho de eliminación preferentemente mediante anonimización irreversible cuando ello atienda al objetivo de la solicitud y sea técnicamente apropiado, preservando registros agregados, registros legalmente exigidos y datos necesarios para el ejercicio de derechos.

El Servicio no está dirigido ni destinado a menores de 16 años. No recopilamos intencionadamente datos personales de menores de 16 años sin el consentimiento de los responsables legales. Para usuarios en Brasil, conforme al Art. 14 de la LGPD, el tratamiento de datos de niños (menores de 12 años) se realiza con consentimiento específico y destacado de al menos uno de los padres o del responsable legal, y el tratamiento de datos de adolescentes observa el interés superior. Para el Espacio Económico Europeo, la edad mínima para consentir el tratamiento sin asistencia varía entre 13 y 16 años según el Estado miembro (RGPD Art. 8); aplicamos 16 años como defecto. Si detectas tratamiento indebido de datos de menores, contacta con contact@bigduckai.com y tomaremos medidas para anonimizar o eliminar tales datos en un plazo razonable.

Podemos actualizar esta Política en cualquier momento, a nuestro exclusivo criterio, para reflejar cambios en el Servicio, nuestras prácticas, socios o requisitos legales. Las modificaciones entran en vigor en la fecha indicada en 'Última actualización' al inicio de esta página. Los cambios materiales se señalarán mediante aviso destacado en el Servicio o notificación por email a los titulares de cuenta con al menos 30 días de antelación a su entrada en vigor, salvo que la ley exija un plazo distinto. El uso continuado del Servicio tras la fecha de vigencia constituye aceptación tácita de los cambios. Si no estás de acuerdo, debes interrumpir el uso antes de la fecha de vigencia y, en su caso, ejercer tus derechos conforme a esta Política. Las versiones anteriores se pueden solicitar por email.

Para cualquier cuestión sobre privacidad, ejercicio de derechos, dudas o reclamaciones, contáctanos en contact@bigduckai.com. Sin perjuicio de intentar resolver directamente con nosotros, puedes presentar reclamación ante la autoridad competente: en Brasil, ante la Autoridade Nacional de Proteção de Dados (ANPD), en gov.br/anpd; en España, ante la Agencia Española de Protección de Datos (AEPD); en Portugal, ante la Comissão Nacional de Proteção de Dados (CNPD); en Francia, ante la Commission Nationale de l'Informatique et des Libertés (CNIL); en Alemania, ante el Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) o la autoridad del Land competente; en Italia, ante el Garante per la protezione dei dati personali; en Japón, ante la Personal Information Protection Commission (PPC); o ante la autoridad de protección de datos de tu Estado miembro o país de residencia habitual.