Política de Privacidad

Esta política describe cómo IAMG Solutions, responsable del tratamiento, recoge, utiliza, comparte y protege tus datos personales en TatuARTE. Cumple con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

Versión
0.1 (borrador)
Última actualización
24 de mayo de 2026
Vigencia
Pendiente de validación jurídica

Borrador en revisión legal

Este texto es un borrador interno. Antes del lanzamiento en producción será revisado por asesoramiento jurídico externo (Lopez Hermoso Abogados) y por la figura de Delegado de Protección de Datos cuando aplique.

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de TatuARTE es IAMG Solutions, con domicilio en España.

IAMG Solutions actúa como responsable principal del tratamiento. Determinados proveedores tecnológicos detallados en la sección «Con quién compartimos tus datos» actúan como encargados o sub-encargados del tratamiento, conforme a contratos específicos firmados al amparo del artículo 28 RGPD.

2. Qué datos recogemos

Recogemos las categorías de datos estrictamente necesarias para prestar el servicio, garantizar su seguridad y mejorar la experiencia. Las categorías son:

2.1 Datos de cuenta e identificación

  • Email y, si aplica, identificador de OAuth (Apple, Google).
  • Hash de la contraseña (nunca almacenamos la contraseña en claro; utilizamos algoritmos de derivación criptográfica modernos como Argon2id).
  • Nombre de usuario o handle, nombre profesional, biografía, foto de perfil, ubicación declarada (ciudad/zona) y enlaces externos voluntariamente añadidos al perfil.
  • Para Tatuadores y Estudios: información profesional necesaria para verificar la actividad (certificados sanitarios, NIF en caso de transacciones en Fase 2).

2.2 Contenido subido

  • Fotos, vídeos, sketches, descripciones, etiquetas, comentarios, reseñas, posts, listings de marketplace y mensajes directos.
  • Información asociada al contenido: descripción, estilo, localización corporal, valor estimado, atribuciones a otros Usuarios.

2.3 Metadatos técnicos

  • Dirección IP, agente de usuario, tipo de dispositivo, sistema operativo y versión, idioma, zona horaria.
  • Identificadores de instalación (Expo push tokens, identificadores de aplicación), necesarios para enviar notificaciones push.
  • Datos de geolocalización, sólo cuando el Usuario otorga consentimiento explícito y para funcionalidades concretas (búsqueda por proximidad, mapa de tatuadores).
  • Metadatos de las imágenes: para proteger la privacidad, eliminamos automáticamente los metadatos EXIF (incluida la geolocalización embebida) de toda imagen subida antes de su almacenamiento.

2.4 Datos de comportamiento y uso

  • Eventos de producto (visualización de posts, likes, saves, búsquedas, tiempo de sesión) procesados por PostHog autoalojado en la UE para mejora del producto y entrenamiento del algoritmo de feed.
  • Logs técnicos del backend con identificadores de sesión y endpoints accedidos, conservados durante 14 días para fines de depuración y seguridad.
  • Errores y trazas anónimas a través de Sentry, sin información personal identificable en el cuerpo del evento (la redacción de campos sensibles está configurada por defecto).

2.5 Datos especialmente sensibles

TatuARTE ofrece una funcionalidad de try-on que permite al Cliente visualizar un diseño aplicado a una foto de su propio cuerpo mediante inteligencia artificial. Las imágenes corporales utilizadas para esta funcionalidad se consideran datos especialmente protegidos.

  • Sólo se procesan con consentimiento explícito recabado en el flujo de la propia funcionalidad.
  • No se utilizan para entrenar modelos de inteligencia artificial, ni propios ni de terceros.
  • Se almacenan exclusivamente el tiempo necesario para generar la previsualización y permitir al Usuario revisarla. El plazo máximo de retención es de 30 días, transcurrido el cual se eliminan de forma irreversible.
  • El Usuario puede solicitar la eliminación inmediata desde su panel de privacidad.

3. Bases legales del tratamiento (RGPD Art. 6)

Cada tratamiento de datos personales se basa en una o varias de las siguientes bases legales:

Finalidad Base legal Datos implicados
Creación y gestión de la cuenta del Usuario Ejecución del contrato (Art. 6.1.b RGPD) Email, hash de contraseña, datos de perfil
Publicación y distribución de Contenido en el feed Ejecución del contrato Contenido del Usuario, metadatos públicos
Mensajería interna entre Usuarios Ejecución del contrato Texto de los mensajes, identificadores de remitente y destinatario
Gestión de bookings, pujas y flash Ejecución del contrato Datos de la transacción
Generación try-on con IA Consentimiento explícito (Art. 9.2.a RGPD) Imágenes corporales del Cliente, diseño solicitado
Cookies de analítica y rendimiento Consentimiento (Art. 6.1.a + Art. 22 LSSI-CE) Eventos PostHog autoalojado, sin PII
Cookies de marketing (Fase 2) Consentimiento Identificadores publicitarios cuando aplique
Geolocalización para búsqueda por proximidad Consentimiento Ubicación aproximada del dispositivo
Notificaciones push transaccionales Ejecución del contrato Token de notificación, payload del evento
Notificaciones promocionales (Fase 2) Consentimiento Token de notificación + preferencias
Moderación de contenido y prevención del fraude Interés legítimo (Art. 6.1.f RGPD) Contenido, reportes, metadatos técnicos
Seguridad de la Plataforma y auditoría Interés legítimo + obligación legal Logs, IPs, sesiones
Cumplimiento de obligaciones fiscales (Fase 2 con pagos) Obligación legal (Art. 6.1.c RGPD) Datos fiscales del Tatuador, facturas

En todos los tratamientos basados en interés legítimo, hemos realizado el correspondiente análisis de ponderación entre dicho interés y los derechos del interesado. El Usuario podrá oponerse a esos tratamientos, según lo descrito en la sección «Tus derechos».

4. Cómo usamos tus datos

Tratamos los datos para las siguientes finalidades, cada una con la base legal indicada en la tabla anterior:

  • Prestar el servicio core: registro, perfil, feed, búsqueda, mensajería, mapa, marketplace, try-on, reseñas y notificaciones.
  • Mejorar el producto: análisis agregado de uso, entrenamiento del algoritmo de recomendación con eventos comportamentales (nunca con imágenes corporales o contenido identificable de terceros sin consentimiento).
  • Garantizar la seguridad: detección de fraude, acceso no autorizado, prevención de abusos, integridad de la plataforma.
  • Moderar el contenido mediante revisión automática (proveedores como Hive) y humana, con el objetivo de cumplir con la normativa aplicable y las Community Guidelines.
  • Comunicarnos contigo: envío de comunicaciones transaccionales necesarias para el servicio, así como comunicaciones comerciales si has prestado tu consentimiento previo.
  • Cumplir obligaciones legales: respuesta a requerimientos judiciales o administrativos, conservación de registros fiscales cuando proceda.

5. Con quién compartimos tus datos

Compartimos datos únicamente con los proveedores estrictamente necesarios para operar el servicio, todos ellos sujetos a contratos de encargo del tratamiento conforme al artículo 28 RGPD. Los principales sub-encargados son:

Proveedor Finalidad Ubicación / Transferencia Garantías
Cloudflare R2 Almacenamiento de imágenes y vídeos, CDN Global / Estados Unidos Cláusulas contractuales tipo (SCC) + Data Privacy Framework (DPF)
Mux Transcodificación y entrega de vídeo Estados Unidos SCC + DPF
Replicate Generación de imágenes try-on con IA Estados Unidos SCC + cláusulas adicionales prohibiendo uso para entrenamiento
OpenAI Extracción automática de metadatos por visión (estilo, motivo) Estados Unidos SCC + DPA con compromiso de no retención más allá del procesamiento
Hive Moderation Moderación automática de imágenes Estados Unidos SCC + DPF
Resend Envío de correos transaccionales Estados Unidos SCC + DPF
Sentry Monitorización de errores Estados Unidos SCC + redacción automática de PII en eventos
PostHog (self-host) Analytics de producto Unión Europea (instancia autoalojada en VPS UE) Sin transferencia internacional
Stripe (Fase 2) Procesamiento de pagos y Connect Estados Unidos / Irlanda SCC + DPF + PCI-DSS
Apple Push Notification Service Entrega de notificaciones push a iOS Estados Unidos SCC + DPF
Google Firebase Cloud Messaging Entrega de notificaciones push a Android Estados Unidos SCC + DPF
Better Stack Logs centralizados y uptime Unión Europea Sin transferencia internacional
Mapbox Mapas para el mapa de tatuadores Estados Unidos SCC + DPF

La lista anterior es la versión vigente a la fecha de actualización de este documento. Mantenemos un listado interno actualizado que ponemos a disposición del Usuario que lo solicite. Cualquier ampliación material de sub-encargados se comunicará con antelación.

No vendemos tus datos personales ni los cedemos a terceros para finalidades de marketing externo. Las únicas comunicaciones a terceros distintas de las anteriores son las requeridas por una autoridad competente en el marco de un proceso legal.

6. Transferencias internacionales de datos

Algunos de los sub-encargados anteriores están ubicados fuera del Espacio Económico Europeo, principalmente en Estados Unidos. Estas transferencias se realizan con las siguientes garantías:

  • Cláusulas contractuales tipo (SCC) aprobadas por la Comisión Europea (Decisión (UE) 2021/914), incorporadas a los contratos de encargo con cada proveedor.
  • Adhesión al EU-U.S. Data Privacy Framework de aquellos proveedores que han obtenido certificación, conforme a la Decisión de Adecuación de la Comisión Europea de 10 de julio de 2023.
  • Análisis de medidas técnicas y organizativas suplementarias (cifrado en tránsito y reposo, minimización de datos, seudonimización cuando es viable).

7. Retención de datos

Conservamos los datos durante el tiempo estrictamente necesario para cumplir las finalidades descritas y, posteriormente, durante los plazos legales mínimos. Resumen orientativo:

Categoría Plazo de retención
Datos de cuenta activa Mientras la cuenta esté activa
Datos tras solicitud de baja Borrado lógico inmediato. Retención técnica de 90 días para reactivación y resolución de incidentes; transcurrido este plazo, borrado físico irreversible
Contenido publicado (UGC) Mientras la cuenta esté activa o hasta su eliminación por el Usuario
Imágenes corporales utilizadas para try-on Máximo 30 días desde la generación; eliminación inmediata bajo solicitud
Mensajes directos Mientras ambas partes mantengan la cuenta activa; borrado conjunto al cierre de cuenta
Logs técnicos del backend 14 días
Backups completos de la base de datos 30 días
Datos de moderación y reportes (con autor anonimizado al cabo del tiempo) 1 año
Datos fiscales y contables (Fase 2) El plazo mínimo legal aplicable, habitualmente 6 años

Determinados datos pueden conservarse durante plazos mayores cuando exista una obligación legal o una reclamación judicial en curso. En esos casos, los datos se bloquean y sólo son accesibles por motivos legales hasta la prescripción.

8. Tus derechos (RGPD Art. 15-22)

Como interesado, dispones de los siguientes derechos sobre tus datos personales:

  • Acceso a los datos personales que tratamos sobre ti.
  • Rectificación de los datos inexactos o incompletos.
  • Supresión (derecho al olvido) cuando los datos ya no sean necesarios o retires tu consentimiento.
  • Limitación del tratamiento en los supuestos del artículo 18 RGPD.
  • Portabilidad: obtener tus datos en un formato estructurado, de uso común y lectura mecánica.
  • Oposición a tratamientos basados en interés legítimo, en particular a la elaboración de perfiles para mejora del producto.
  • Retirada del consentimiento en cualquier momento para aquellos tratamientos basados en él, sin que ello afecte a la licitud del tratamiento previo.

Cómo ejercerlos

Tienes a tu disposición varios canales para ejercer estos derechos:

  • Desde la propia aplicación: Ajustes → Privacidad → Descargar mis datos (export) y Ajustes → Privacidad → Eliminar mi cuenta. Internamente, estos flujos invocan los endpoints GET /api/v1/me/export y DELETE /api/v1/me.
  • Mediante correo electrónico a olazaro@lopezhermoso-abogados.com, indicando el derecho que deseas ejercer y aportando un medio razonable de verificación de identidad.

Responderemos tu solicitud en un plazo máximo de un (1) mes desde su recepción, prorrogable por dos meses adicionales en caso de solicitudes especialmente complejas, comunicándote en todo caso los motivos de la prórroga.

9. Menores de edad

TatuARTE es una plataforma dirigida exclusivamente a personas mayores de 18 años. No se permite el registro de menores, dado que:

  • La actividad de tatuar requiere mayoría de edad en la mayoría de Comunidades Autónomas españolas.
  • El contenido publicado puede incluir representaciones corporales que no son apropiadas para menores.

Las medidas de control consisten en:

  • Declaración expresa de mayoría de edad en el registro, con advertencia legal sobre las consecuencias de su falsedad.
  • Algoritmos automáticos y revisión humana que evalúan indicios de minoría de edad en perfiles e imágenes.
  • Mecanismo de denuncia en la aplicación para que cualquier Usuario pueda alertarnos de la posible presencia de un menor.
  • Cierre inmediato de cualquier cuenta donde se constate que el titular es menor, con eliminación de todo su contenido.

10. Cookies

La PWA y el panel de administración utilizan cookies y tecnologías similares (localStorage, sessionStorage, identificadores de dispositivo en mobile). El detalle completo de categorías, proveedores y plazos puede consultarse en la Política de Cookies.

11. Cambios en esta política

Esta Política de Privacidad puede actualizarse periódicamente para reflejar cambios legales, nuevas funcionalidades o nuevos sub-encargados. Las modificaciones materiales se comunicarán al Usuario con una antelación mínima de treinta (30) días naturales a través de correo electrónico y aviso visible dentro de la aplicación.

Cuando un cambio implique la solicitud de un nuevo consentimiento, éste se recabará de forma específica antes de iniciar el tratamiento afectado.

12. Autoridad de control

Si consideras que el tratamiento de tus datos no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):

  • Sede electrónica: www.aepd.es
  • Dirección postal: C/ Jorge Juan, 6, 28001 Madrid
  • Teléfono: 901 100 099 / 912 663 517

Sin perjuicio de lo anterior, te invitamos a contactar primero con el Delegado de Protección de Datos (olazaro@lopezhermoso-abogados.com) para que podamos atender tu solicitud de forma directa.


Documento elaborado por el equipo de IAMG Solutions, pendiente de validación final por Lopez Hermoso Abogados antes de la publicación pública del servicio. Versión 0.1 — 24 de mayo de 2026.