Política de Privacidad
Última actualización: 31 de mayo de 2026
1. Datos que Recopilamos
- Datos de cuenta: dirección de correo, contraseña (cifrada con hash — nunca almacenamos ni vemos tu contraseña en texto plano), ID de cliente de Stripe
- Datos de uso: datos de sesión, mensajes intercambiados durante el proceso de diseño
- Datos técnicos: dirección IP, tipo de navegador, tipo de dispositivo
- Recursos subidos: imágenes y documentos que aportas para tu sitio web
- Datos de referidos: si te unes al programa de referidos o te registras a través del enlace de alguien, registramos la relación de referido — tu código de referido, quién refirió a quién, y el estado de cada referido (pendiente / activo / caducado) — para administrar el programa (ver Sección 4)
- Registros de consentimiento: los términos que se te mostraron y la fecha, hora, plan/precio mostrados, e IP/sesión en el momento en que aceptas los términos del mes gratis o te das de alta en marketing, conservados como prueba del consentimiento
- Datos de registro incompleto: si empiezas pero no terminas un sitio web, conservamos brevemente el correo que aportaste y los detalles de tu sitio en curso (ver Sección 5)
2. Cómo Usamos tus Datos
- Prestar y mejorar el servicio de diseño web
- Procesar pagos y gestionar el mes gratis y la suscripción a través de Stripe
- Administrar el programa de referidos (atribuir referidos, calcular recompensas, prevenir abusos)
- Enviar correos transaccionales que necesitas para usar el servicio — por ejemplo, recibos, restablecimientos de contraseña, tu recordatorio antes de cualquier cobro, y avisos de estado de referidos. Son parte del servicio y se envían con independencia de tus preferencias de marketing.
- Enviar correos de marketing — como un recordatorio para terminar un sitio que empezaste, o consejos ocasionales y avisos de referidos — solo si te has dado de alta por separado (ver Sección 6). Puedes retirar este consentimiento en cualquier momento.
No vendemos tus datos personales a terceros. Nunca.
3. Almacenamiento de Datos y Encargados
| Encargado | Finalidad | Ubicación |
|---|---|---|
| Supabase | Datos de cuenta, registros de sesión, registros de referidos, registros de consentimiento, metadatos del sitio | UE/EE. UU. |
| Cloudflare | Sitios web generados, alojamiento estático, entrega en el borde y almacenamiento de recursos | CDN global |
| Stripe | Procesamiento de pagos y facturación de suscripción/mes gratis (nunca vemos ni almacenamos números de tarjeta) | EE. UU./UE |
| Fly.io | Ejecución de la aplicación | Estados Unidos (IAD) |
| Resend | Envío de correo transaccional y (cuando te das de alta) de marketing | EE. UU./UE |
| Anthropic | Proveedor de modelos de IA (generación de sitios, conversación) | EE. UU. |
| Generación de imágenes con IA, investigación de negocios y comprobaciones de seguridad | EE. UU./global | |
| Pexels | Búsqueda de imágenes de archivo cuando no hay imágenes aportadas por el cliente | Global |
Cuando se produzcan transferencias a los Estados Unidos o a otros países terceros, nos basamos en un doble mecanismo: (a) el Marco de Privacidad de Datos UE-EE.UU. (y su extensión al Reino Unido) para los encargados del tratamiento certificados conforme al mismo; y (b) las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914, Módulo 2) para el resto de transferencias. Hemos implementado medidas técnicas y organizativas complementarias —cifrado en tránsito y en reposo, controles de acceso y contratos de encargado del tratamiento— conformes a las Recomendaciones 01/2020 del Comité Europeo de Protección de Datos sobre medidas complementarias. Puede solicitar una descripción de las garantías aplicables a cualquier encargado concreto escribiendo a support@x4digital.co.
4. Datos de Referidos
Si participas en el programa de referidos — ya sea compartiendo tu enlace o registrándote a través del enlace de otra persona — tratamos datos sobre la relación de referido: tu código de referido único, el vínculo entre quien refiere y las personas a las que refiere, la fecha en que se hizo un referido, y si cada referido está pendiente, activo o caducado. También tratamos estos datos para detectar y prevenir abusos del programa (por ejemplo, autorreferidos entre cuentas que comparten tarjeta de pago, correo, dispositivo o dirección IP).
Base jurídica (RGPD): ejecución del contrato (operar el programa de referidos al que elegiste unirte y calcular las recompensas que ofrece) e interés legítimo en prevenir el fraude y el abuso del programa. Nos basamos en un diseño de compartir enlace: compartes tu propio enlace y no te pedimos que subas o importes las direcciones de correo de otras personas, por lo que no tratamos los datos de contacto de un tercero sin su consentimiento para enviarle una invitación.
5. Datos de Registro Incompleto y Retención Corta
Si empiezas a crear un sitio web y aportas tu correo pero no completas el registro (no guardas una tarjeta), conservamos el correo que nos diste y los detalles en curso de tu sitio durante un periodo corto para que puedas volver y terminarlo y — solo si te diste de alta — enviarte un recordatorio para hacerlo.
- Son datos previos a la cuenta. Existen antes de que tengas una cuenta y se tratan por separado de los datos de cuenta.
- Retención: los datos de registro incompleto se eliminan automáticamente a los 7 días si no completas el registro, mediante una purga automática que se ejecuta de forma programada y queda registrada.
- Base jurídica (RGPD): nuestro interés legítimo en permitir que las personas reanuden un sitio web sin terminar y recuperen su trabajo, ponderado frente a la corta ventana de retención; más tu consentimiento para cualquier recordatorio de marketing.
6. Correo de Marketing y Consentimiento
Distinguimos claramente entre dos tipos de correo:
- El correo transaccional / de servicio (recibos, restablecimientos de contraseña, el recordatorio antes del cobro, los avisos de estado de referidos) es necesario para prestar el servicio y se envía a todos los usuarios con independencia de sus elecciones de marketing.
- El correo de marketing (un recordatorio para terminar un sitio que empezaste, consejos de producto, avisos de referidos) se envía solo si has dado un consentimiento separado y específico mediante un alta no premarcada. Si solo nos pediste que te enviáramos de vuelta tu sitio sin terminar, eso es un mensaje transaccional — no serás inscrito en ninguna secuencia de marketing salvo que te dieras de alta por separado.
Puedes retirar el consentimiento de marketing en cualquier momento usando el enlace de baja de cualquier correo de marketing o escribiendo a soporte; respetamos las bajas y suprimimos envíos de marketing posteriores. Retirar el consentimiento de marketing no detiene los correos transaccionales que necesitas para usar el servicio.
Base jurídica (RGPD): consentimiento para el correo de marketing; ejecución del contrato / interés legítimo para el correo transaccional.
7. RGPD (Unión Europea)
Bases jurídicas en las que nos basamos: ejecución del contrato (crear el sitio web que solicitaste; operar el mes gratis, la suscripción y el programa de referidos), interés legítimo (mejora del servicio; prevención de fraude y abuso; permitir reanudar un sitio sin terminar) y consentimiento (correo de marketing; cualquier tratamiento no esencial).
Transferencias internacionales: Nos basamos en el doble mecanismo descrito en la Sección 3, con las medidas complementarias allí indicadas.
Tus derechos:
- Derecho de acceso a tus datos
- Derecho de rectificación de datos inexactos
- Derecho de supresión ("derecho al olvido") — solicítalo a través del soporte del panel o por correo
- Derecho a la portabilidad de los datos — descarga tus archivos del sitio en cualquier momento
- Derecho a oponerte o a limitar el tratamiento basado en interés legítimo, incluido el análisis antiabuso de referidos
- Derecho a retirar el consentimiento (p. ej., marketing) en cualquier momento, sin afectar al tratamiento ya realizado
- Derecho a presentar una reclamación ante tu autoridad de control de protección de datos local
Las solicitudes de supresión de datos se procesan en un plazo de 30 días. La eliminación de la cuenta la gestiona el soporte para que podamos verificar la solicitud y conservar o eliminar las URL de sitios publicados según tus instrucciones expresas.
No realizamos decisiones automatizadas que produzcan efectos jurídicos o significativos similares sobre ti. El servicio de generación de sitios es automatizado, y tú revisas y apruebas tu sitio antes de publicarlo.
8. CCPA (California)
Si eres residente de California:
- Divulgamos las categorías de información personal que recopilamos (listadas arriba)
- No vendemos información personal
- Tienes derecho a saber qué datos tenemos, solicitar su supresión y oponerte a cualquier venta futura
9. RGPD del Reino Unido
Los usuarios del Reino Unido reciben las mismas protecciones que el RGPD de la UE. La ICO (Oficina del Comisionado de Información) es la autoridad de control para los usuarios del Reino Unido.
10. Conservación de Datos
Conservamos tus datos de cuenta mientras tu cuenta esté activa. Los datos de registro incompleto se eliminan a los 7 días (Sección 5). Los registros de referidos se conservan mientras la relación de referido sea relevante para una recompensa en vigor y durante un periodo razonable posterior para auditoría y prevención de fraude. Los registros de consentimiento se conservan el tiempo necesario para evidenciar el consentimiento y cumplir nuestras obligaciones legales. Si eliminas tu cuenta, los datos asociados se eliminan en un plazo de 30 días, salvo cuando debamos conservar registros limitados para cumplir la ley (por ejemplo, registros de transacciones que mantiene Stripe).
11. Cookies y Contenido de Terceros en Nuestro Sitio
Usamos solo cookies esenciales de origen más una cookie de atribución de referidos de origen. No ejecutamos cookies de publicidad ni de analítica de terceros. Consulta nuestra Política de Cookies para ver la lista completa.
Fuentes autoalojadas: nuestras páginas y los sitios web que generamos sirven las fuentes desde nuestros propios servidores. No cargamos fuentes desde CDN de fuentes de terceros, por lo que visitar nuestras páginas no revela tu dirección IP a un proveedor de fuentes externo.
Insertados de carga por clic: cuando un sitio web generado incluye un mapa, vídeo o insertado social, mostramos por defecto un marcador de posición respetuoso con la privacidad; el contenido de terceros (y cualquier cookie o intercambio de datos que conlleve) se carga solo si la persona visitante elige interactuar con él.
12. Seguridad
Utilizamos medidas de seguridad estándar del sector, incluyendo conexiones cifradas (HTTPS), contraseñas con hash (bcrypt) y controles de acceso. Los datos de pago los gestiona íntegramente Stripe — nunca almacenamos números de tarjeta.
13. Contacto
Para preguntas sobre privacidad o solicitudes de datos, escribe a support@x4digital.co.