Política de Privacidad
Lo más importante de un vistazo
| ¿Quién es responsable? | LUZA HOLDINGS LLC (Miami) + el Líder con el que decidas trabajar (corresponsables). |
| ¿Qué datos trata Serclai? | Cuenta, contenido, pagos, conversaciones IA, y datos sensibles de acompañamiento si los compartes. |
| ¿Venden mis datos? | No. Nunca. |
| ¿Dónde se alojan? | Servidores Hetzner (Alemania, UE). Algunos subprocesadores en EEUU bajo Cláusulas Contractuales Tipo. |
| ¿Cuánto tiempo? | Cuenta: 30 días tras el cierre. Datos sensibles: 5 años tras fin de la relación. Facturas: 6 años. |
| ¿Cómo ejerzo mis derechos? | hola@serclai.com · asunto «RGPD». |
| ¿Dónde reclamo? | AEPD — www.aepd.es |
1Quién trata tus datos
1.1 Responsable principal
LUZA HOLDINGS LLC · 407 Lincoln Road, Suite 708, Miami Beach, FL 33139, USA
Propietaria: Lucero Zambrano · Cofundador: Jordi Gallén Renau · Email: hola@serclai.com
LUZA HOLDINGS LLC opera Serclai de forma transitoria hasta que Serclai se constituya como entidad legal propia. Cuando eso ocurra lo notificaremos con al menos 30 días de antelación y sin pérdida de derechos.
1.2 Representante en la UE (art. 27 RGPD)
Jordi Gallén Renau · España · hola@serclai.com
Puedes dirigirte a él para ejercitar tus derechos en igualdad de condiciones que al responsable principal.
1.3 El Líder con el que trabajas — corresponsable
Cuando decides trabajar con un Líder dentro de Serclai, ese Líder se convierte en corresponsable del tratamiento de tus datos (art. 26 RGPD), junto a Serclai.
Para ejercer tus derechos puedes dirigirte a cualquiera de los dos corresponsables; ambos están obligados a responder e informar al otro. Si dejas de trabajar con un Líder, ese Líder pierde el derecho a tratar nuevos datos tuyos.
2A quién aplica esta política
- Visitantes anónimos de serclai.com y subdominios.
- Usuarios registrados (Alumnos / Clientes).
- Líderes registrados (en lo que respecta a sus propios datos de uso de la plataforma).
- Usuarios de las apps Serclai iOS y Serclai Android.
- Personas que contactan con Serclai por soporte, formularios o listas de espera.
3Qué datos tratamos
3.1 Identidad y cuenta
Nombre, email, contraseña (solo en hash bcrypt, nunca la conocemos), foto de perfil, idioma, fechas de alta y último acceso.
3.2 Seguridad y acceso
Código OTP de verificación, dirección IP, agente de usuario (navegador/dispositivo), registros de inicio de sesión y eventos de seguridad.
3.3 Perfil opcional del Usuario
Solo si tú decides aportarlos: edad, género, intereses, «proceso vital actual», ubicación aproximada.
3.4 Datos profesionales del Líder
Especialidad, biografía, productos ofrecidos, titulaciones y certificaciones declaradas.
3.5 Contenido y actividad
Publicaciones del Líder (textos, audios, vídeos, ejercicios, cursos). Actividad del Usuario: visualizaciones, progreso, contenido completado, comentarios, valoraciones.
3.6 Comunicaciones dentro de la plataforma
Mensajes de chat entre Usuario y Líder, adjuntos, solicitudes de información y acreditación.
3.7 Expediente del Alumno (Pack de Gestión)
Cuando un Líder activa el Pack de Gestión, puede registrar en su espacio privado dentro de Serclai:
- Intake: respuestas al cuestionario que el Líder diseñe.
- Sesiones 1:1: fecha, duración, link, título, estado.
- Notas privadas del Líder sobre tu proceso.
- Archivos asociados a tu expediente.
- Volcados de conversación (por ejemplo, exportaciones de WhatsApp).
- Chat de IA por cliente: conversaciones del Líder con la IA sobre tu proceso.
3.8 Canales externos conectados por el Líder
El Líder puede conectar canales propios: Telegram, WhatsApp, Google Drive, Instagram, YouTube, Spotify, Substack. Si te comunicas con un Líder a través de esos canales mientras están conectados a Serclai, tu conversación puede entrar al sistema y ser tratada conforme a esta política.
3.9 Pagos
Importes, fechas, producto adquirido, email de facturación, país. El número de tarjeta nunca llega a los servidores de Serclai; lo gestiona Stripe directamente (PCI-DSS).
3.10 Datos sensibles — categoría especial (art. 9 RGPD)
Al usar funciones de acompañamiento puedes compartir información que el RGPD protege con mayor rigor:
- Salud física, mental o emocional.
- Vida sexual u orientación sexual.
- Creencias filosóficas, espirituales o religiosas.
- Situación familiar, relacional y vínculos.
- Experiencias traumáticas, duelos, procesos de cambio.
El tratamiento de estos datos requiere tu consentimiento explícito (art. 9.2.a RGPD), que pedimos de forma separada al vincular tu cuenta con un Líder y al activar funciones específicas.
3.11 Datos biométricos
Cuando el Líder publica audio/vídeo o el Usuario sube un mensaje de voz, el sistema puede analizar características técnicas del audio (incluida la huella vocal) para transcripción y personalización de la IA. No realizamos reconocimiento facial automatizado.
3.12 Datos derivados del uso de IA
Embeddings vectoriales de tus mensajes (indexados bajo el espacio del Líder en Pinecone), historial de conversación y metadatos de uso.
4Para qué tratamos tus datos
| # | Finalidad | Base legal |
|---|---|---|
| F1 | Prestación del servicio: cuenta, acceso, cursos, inscripciones. | Art. 6.1.b — ejecución de contrato. |
| F2 | Cobro de productos y suscripciones (Stripe / Stripe Connect). | Art. 6.1.b — ejecución de contrato. |
| F3 | Cumplimiento legal: facturación, fiscalidad, requerimientos de autoridades. | Art. 6.1.c — obligación legal. |
| F4 | Compartir tu información con el Líder y su IA personalizada. | Art. 6.1.a + Art. 9.2.a — consentimiento explícito. |
| F5 | Entrenar y operar la IA personalizada del Líder. | Art. 6.1.a + Art. 9.2.a — consentimiento explícito. |
| F6 | Mejorar la plataforma (preferentemente con datos anonimizados). | Art. 6.1.f — interés legítimo (con derecho de oposición). |
| F7 | Funcionalidades biométricas. | Art. 6.1.a + Art. 9.2.a — consentimiento explícito y separado, formalizado en el momento de activación. |
| F8 | Seguridad y prevención de fraude y abuso. | Art. 6.1.f — interés legítimo. |
| F9 | Comunicaciones operativas (verificación, restablecimiento, avisos de cambios). | Art. 6.1.b — ejecución de contrato. |
| F10 | Comunicaciones comerciales propias de Serclai. | Art. 6.1.a — consentimiento; o art. 21.2 LSSI-CE. |
| F11 | Atención de tus solicitudes y derechos. | Art. 6.1.c — obligación legal. |
5Decisiones automatizadas y alertas de IA
Hoy no tomamos decisiones legales o significativas sobre ti basadas únicamente en tratamiento automatizado (art. 22 RGPD). La IA formula sugerencias; las decisiones de acompañamiento las toma siempre el Líder humano.
El módulo de biometría neuro-emocional puede emitir alertas automáticas. Esas alertas son siempre:
- Informativas, nunca diagnósticas.
- Reversibles (puedes desactivarlas en cualquier momento).
- Sujetas a tu derecho de revisión humana (art. 22 RGPD).
- No discriminatorias: no afectarán al acceso a contenido ni a los precios.
6Consentimientos específicos
Además de aceptar esta política, te pediremos consentimientos separados y revocables en los siguientes momentos:
| Cuándo | Qué consientes |
|---|---|
| Al vincular tu cuenta con un Líder | Compartir tus datos con ese Líder y alimentar su IA personalizada. |
| Al enviar tu primer mensaje sensible | Tratamiento de categorías especiales (art. 9 RGPD). |
| Al subir un audio o vídeo personal | Tratamiento de huella vocal / características biométricas vocales. |
| Al activar el módulo de biometría | Tratamiento de señales fisiológicas y emisión de alertas. |
| Al suscribirte al boletín | Comunicaciones comerciales de Serclai. |
| Al participar en testimonios públicos | Uso de tu identidad, voz o historia con fines de comunicación pública. |
Puedes revocar cualquier consentimiento en cualquier momento sin que ello afecte a los tratamientos realizados antes de la revocación.
7Con quién compartimos tus datos
El Líder con el que decides trabajar
Corresponsable del tratamiento (ver apartado 1.3).
Encargados del tratamiento (proveedores)
Solo acceden a los datos estrictamente necesarios, bajo contrato art. 28 RGPD.
| Proveedor | País | Servicio |
|---|---|---|
| Hetzner Online GmbH | Alemania (UE) | Servidores principales y base de datos. |
| Cloudflare R2 | EEUU | Backups cifrados y medios estáticos. |
| OpenAI, L.L.C. | EEUU | Generación de respuestas de IA (LLM). |
| Pinecone Systems, Inc. | EEUU | Base de datos vectorial (IA personalizada del Líder). |
| Amazon Web Services (Transcribe) | EEUU / UE | Transcripción de audio. |
| Stripe Payments Europe / Stripe, Inc. | Irlanda + EEUU | Procesamiento de pagos y Stripe Connect. |
| Resend (o SMTP equivalente) | UE / EEUU | Emails transaccionales. |
| Google LLC (Drive API) | EEUU | Cuando el Líder conecta Google Drive. |
| Telegram / Meta (WhatsApp, Instagram) | EEUU / Irlanda | Cuando el Líder conecta esos canales. |
| Apple App Store / Google Play | EEUU | Distribución de apps móviles. |
| APIs de wearables | Diversos | Módulo de biometría neuro-emocional. |
Esta lista puede evolucionar. Si añadimos un encargado que afecte a tratamientos sensibles, te avisaremos antes. Nunca cedemos datos a autoridades públicas salvo obligación legal.
8Cuánto tiempo guardamos tus datos
| Categoría | Plazo |
|---|---|
| Datos de cuenta y perfil | Mientras la cuenta esté activa. Tras el cierre: 30 días + eliminación o anonimización irreversible. |
| Datos sensibles (acompañamiento) | Duración de la relación + 5 años adicionales (por analogía, normativa de historiales clínicos, Ley 41/2002). Después: eliminación. |
| Datos biométricos (cuando se activen) | Mientras dure la activación + máx. 24 meses desde la última lectura. |
| Facturas y registros contables | 6 años (art. 30 Código de Comercio + LGT). |
| Logs técnicos de seguridad | 90 días, salvo investigación activa de incidente. |
| Comunicaciones de soporte | Plazo de gestión + 2 años adicionales. |
9Transferencias internacionales
Algunos proveedores procesan datos fuera del Espacio Económico Europeo (principalmente en EEUU). Las transferencias se amparan en:
- Cláusulas Contractuales Tipo (SCC) — Decisión de Ejecución (UE) 2021/914.
- EU-US Data Privacy Framework — cuando el proveedor esté certificado.
- Tu consentimiento explícito (art. 49.1.a) — cuando corresponda.
Puedes solicitar información detallada sobre las garantías aplicables en hola@serclai.com.
10Tus derechos
Puedes ejercer en cualquier momento, de forma gratuita:
| Derecho | Qué significa |
|---|---|
| Acceso (art. 15) | Saber qué datos tenemos sobre ti y obtener una copia. |
| Rectificación (art. 16) | Corregir datos inexactos o incompletos. |
| Supresión / «derecho al olvido» (art. 17) | Eliminar tus datos cuando ya no sean necesarios o revocas tu consentimiento. |
| Limitación (art. 18) | Pausar el tratamiento activo mientras se resuelve una controversia. |
| Oposición (art. 21) | Oponerte a tratamientos basados en interés legítimo o a comunicaciones comerciales. |
| Portabilidad (art. 20) | Recibir tus datos en formato estructurado y legible por máquina. |
| No decisiones automatizadas (art. 22) | Solicitar revisión humana de cualquier alerta o conclusión generada por IA. |
| Revocar consentimiento | En cualquier momento, para cualquier tratamiento basado en él. |
| Revocar acceso al Líder | Pedir que dejemos de compartir tus datos con un Líder concreto y que su IA deje de usarlos. |
Cómo ejercerlos
- Email: hola@serclai.com, asunto «Ejercicio de derechos RGPD».
- Escrito: a la dirección del apartado 1.1 o al representante en la UE.
- Desde la plataforma: Configuración → Privacidad.
Responderemos en un plazo máximo de 1 mes (ampliable a 2 meses en casos complejos).
Reclamación ante la AEPD
Si no obtienes respuesta satisfactoria, puedes reclamar ante la Agencia Española de Protección de Datos — www.aepd.es — o ante la autoridad de tu país de residencia.
11Seguridad
- TLS 1.3 obligatorio en todas las APIs y webhooks.
- AES-256 para cifrado en reposo de bases de datos y volúmenes.
- Contraseñas en hash bcrypt; nunca almacenadas en claro.
- Verificación de email con OTP de un solo uso (TTL 15 min, máx. 5 intentos, anti-replay).
- Acceso a servidores por SSH con clave; UFW + fail2ban activos.
- Backups cifrados en Cloudflare R2 con clave separada.
- Aislamiento lógico de bases vectoriales y datos por Líder.
- Notificación de brechas a la AEPD en máx. 72 horas y, cuando proceda, a las personas afectadas.
Ninguna medida es absoluta. Te pedimos que uses contraseñas únicas y no compartas tu acceso con terceros.
12Menores
Serclai está dirigido a personas mayores de 14 años. Si detectamos cuentas de menores de 14 años sin consentimiento parental verificable, las suspenderemos. Escríbenos a hola@serclai.com si eres tutor legal y tienes alguna preocupación al respecto.
13Cookies y tecnologías similares
El uso de cookies y tecnologías equivalentes se describe en la Política de Cookies disponible en /cookies. Para tratamientos no estrictamente necesarios pediremos tu consentimiento mediante banner conforme a la LSSI-CE.
14Cambios en esta política
Los cambios sustanciales se notificarán por email y/o aviso en la plataforma con al menos 30 días de antelación, salvo que la ley exija aplicación inmediata. Si no estás de acuerdo, puedes cerrar tu cuenta antes de que entren en vigor.
15Contacto
Representante en la UE: Jordi Gallén Renau · España · hola@serclai.com
Dirección postal: LUZA HOLDINGS LLC · 407 Lincoln Road, Suite 708 · Miami Beach, FL 33139, USA
Autoridad de control: AEPD — www.aepd.es