Política de Privacidad

1. Información General y Responsable del Tratamiento

Esta Política de Privacidad ("Política") explica cómo se recopilan, procesan, almacenan, transfieren y protegen los datos personales recopilados a través del sitio web hareki.com y la plataforma Hareki Studio ("Plataforma", "Servicio") operada por Hareki LLC ("Empresa", "nosotros"), que opera bajo la marca Hareki Studio.

Hareki LLC es una sociedad de responsabilidad limitada constituida bajo las leyes del Estado de Nuevo México, Estados Unidos de América. La Plataforma ofrece servicios de creación de contenido para redes sociales impulsados por IA (SaaS) y atiende a usuarios en Turquía, la Unión Europea y en todo el mundo.

Información sobre la persona jurídica que actúa como responsable del tratamiento de datos bajo la Ley N.º 6698 sobre la Protección de Datos Personales ("KVKK"), el Reglamento General de Protección de Datos de la Unión Europea ("GDPR", UE 2016/679) y la Ley de Privacidad del Consumidor de California ("CCPA"):

• Razón Social: Hareki LLC
• Lugar de Constitución: Nuevo México, Estados Unidos de América
• Sitio Web: hareki.com
• Correo Electrónico: privacy@hareki.com

Al usar la Plataforma o crear una cuenta, aceptas las prácticas de procesamiento de datos descritas en esta Política. Si no aceptas la Política, por favor no uses la Plataforma.

2. Definiciones

Los términos clave utilizados en esta Política tienen los siguientes significados:

• Datos Personales: Cualquier información relativa a una persona física identificada o identificable. (KVKK Art.3/1-d, GDPR Art.4/1)
• Datos Personales de Categoría Especial: Raza, origen étnico, opinión política, creencia filosófica, religión, vestimenta, membresía en asociaciones/fundaciones/sindicatos, salud, vida sexual, condenas penales, datos biométricos y genéticos. No recopilamos intencionalmente estos datos a través de la Plataforma.
• Responsable del Tratamiento: La persona física o jurídica que determina los fines y medios del tratamiento de datos personales — Hareki LLC bajo esta Política.
• Encargado del Tratamiento: La persona física o jurídica que procesa datos personales en nombre del responsable del tratamiento basándose en su autorización (ej. Stripe, Vercel, Supabase, OpenRouter).
• Titular de los Datos: La persona física cuyos datos personales se procesan — usuario de la Plataforma.
• Tratamiento de Datos: Cualquier operación realizada sobre datos personales: recopilación, registro, almacenamiento, alteración, reorganización, divulgación, transferencia, adquisición, puesta a disposición, clasificación o prevención de uso.
• Consentimiento Explícito: Consentimiento relativo a un asunto específico, basado en la información y expresado libremente.
• Anonimización: Hacer que los datos personales no puedan asociarse con una persona física identificada o identificable bajo ninguna circunstancia, incluso cuando se combinan con otros datos.
• Elaboración de Perfiles: Uso de datos personales mediante procesamiento automatizado para analizar o predecir las preferencias, intereses o comportamiento de una persona.

3. Datos Personales Recopilados

Hareki Studio recopila y procesa las siguientes categorías de datos personales para prestar sus servicios:

3.7 Datos Recopilados Automáticamente

La Plataforma recopila automáticamente los siguientes datos para mejorar la calidad del servicio y con fines de depuración:

• Registros del servidor (logs)
• Informes de errores (a través de Sentry)
• Métricas de rendimiento
• Datos de visualización de páginas

4. Finalidades del Tratamiento de Datos Personales

Tus datos personales se procesan para las siguientes finalidades:

5. Base Legal para el Tratamiento de Datos Personales

5.1 Base Legal bajo KVKK (Artículo 5)

Tus datos personales se procesan basándose en las siguientes bases legales del Artículo 5 de la Ley N.º 6698:

• Consentimiento explícito (Art.5/1): Comunicaciones de marketing, cookies de analítica y actividades de procesamiento de datos no obligatorias.
• Necesario para la ejecución de un contrato (Art.5/2-c): Creación de cuentas, prestación de servicios, generación de contenido, gestión de suscripciones.
• Obligación legal (Art.5/2-ç): Legislación fiscal, derecho comercial y requisitos regulatorios.
• Interés legítimo (Art.5/2-f): Mejora del servicio, medidas de seguridad, detección de fraude. Se tienen en cuenta los derechos fundamentales, las libertades y los intereses de los usuarios al realizar evaluaciones de interés legítimo.

5.2 Base Legal bajo GDPR (Artículo 6)

Para los usuarios en el Espacio Económico Europeo ("EEE"), el tratamiento de datos personales se basa en las siguientes bases legales:

• Ejecución de un contrato (Art.6/1-b): Tratamiento de datos necesario para proporcionar las funciones principales de la Plataforma.
• Interés legítimo (Art.6/1-f): Mejora del servicio, seguridad, prevención de fraude. Se ha realizado una evaluación de interés legítimo (LIA) para cada actividad de tratamiento.
• Consentimiento (Art.6/1-a): Cookies no esenciales, comunicaciones de marketing. El consentimiento puede retirarse en cualquier momento.
• Obligación legal (Art.6/1-c): Obligaciones fiscales y contables, informes legales.

5.3 Alcance de la CCPA

Para residentes de California: no vendemos tu información personal. Tus derechos bajo la CCPA se detallan en la Sección 14 de esta Política.

6. Tratamiento de Datos con Inteligencia Artificial

Hareki Studio utiliza tecnologías de inteligencia artificial para generar contenido para redes sociales. Esta sección explica de manera transparente cómo se utilizan tus datos en los procesos de IA.

6.1 Generación de Contenido con IA

Durante la generación de contenido, los siguientes datos se envían a proveedores de IA de terceros (OpenRouter/OpenAI):

• Parámetros de voz y tono de marca
• Información de sector y tema
• Preferencias de tipo de contenido
• Textos de instrucciones (prompt) ingresados por el usuario

6.2 Anonimización

Los datos enviados a los proveedores de IA se anonimizan. La información de identificación personal del usuario (nombre, correo electrónico, dirección IP) no se incluye en las solicitudes de IA. Los datos enviados se utilizan únicamente para crear contexto para la generación de contenido.

6.3 Uso de Datos por Proveedores de IA

• Los proveedores de IA (OpenRouter, OpenAI) no utilizan los datos enviados a través de la API para entrenar sus propios modelos (bajo los Términos de Servicio de la API).
• Las solicitudes de IA se procesan en tiempo real; después de completarse la solicitud, los datos del lado del proveedor de IA están sujetos a la política de retención de datos del proveedor (generalmente 30 días con fines de seguridad).
• El contenido generado es almacenado por la Plataforma en la cuenta del usuario y es propiedad del usuario.

6.4 Análisis de Marca

Se realiza un análisis automático de marca a través de la URL del sitio web proporcionada por el usuario. Durante este proceso:

• Se rastrean las páginas de acceso público del sitio web (crawl)
• Se extraen elementos de identidad visual (logo, colores, tipografía)
• Se realiza un análisis de voz y tono de marca
• Los resultados del análisis se almacenan únicamente en la cuenta del usuario correspondiente

6.5 Entrenamiento de Modelos

Hareki LLC no utiliza datos de usuarios para entrenar sus propios modelos de IA o para el entrenamiento de modelos de terceros. Tus datos se procesan únicamente con el propósito de prestarte servicios.

7. Cookies y Tecnologías de Seguimiento

La Plataforma utiliza varios tipos de cookies y tecnologías similares:

7.1 Cookies Esenciales

Cookies necesarias para las funciones principales de la Plataforma que no se pueden deshabilitar:

• Cookie de sesión (Better Auth): Autenticación y gestión segura de sesiones
• Token CSRF: Protección contra falsificación de solicitudes entre sitios
• Cookies de seguridad: Limitación de velocidad y protección contra bots

7.2 Cookies Funcionales

• Preferencia de tema (modo claro/oscuro)
• Preferencia de idioma
• Preferencias de interfaz

7.3 Cookies de Analítica y Rendimiento

• Sentry: Seguimiento de errores y monitoreo de rendimiento. Las acciones del usuario se registran de forma anonimizada.

7.4 Gestión de Cookies

Puedes gestionar o deshabilitar todas las cookies excepto las esenciales desde la configuración de tu navegador. Sin embargo, deshabilitar algunas cookies puede afectar la funcionalidad de la Plataforma.

Para información más detallada sobre cookies, consulta nuestra Política de Cookies.

8. Transferencia de Datos Personales

Tus datos personales se comparten con los siguientes proveedores de servicios de terceros en la medida necesaria para la prestación del servicio. Se han firmado acuerdos de procesamiento de datos (DPA) apropiados con cada proveedor:

8.1 Infraestructura y Alojamiento

• Vercel Inc. (EE. UU./UE) — Alojamiento de aplicaciones web, CDN y funciones edge. Servidores en regiones de EE. UU. y UE.
• Supabase Inc. (EE. UU.) — Alojamiento de base de datos, almacenamiento de archivos y operaciones de datos en tiempo real. Implementado Row Level Security (RLS) con base de datos PostgreSQL.

8.2 Procesamiento de Pagos

• Stripe Inc. (EE. UU.) — Procesamiento de pagos, gestión de suscripciones y facturación. Stripe cumple con PCI DSS Nivel 1. Tu información de tarjeta de crédito es procesada directamente por Stripe y no es almacenada por nosotros.

8.3 Proveedores de IA

• OpenRouter / OpenAI (EE. UU.) — Generación de contenido impulsada por IA. Se envían parámetros de marca y contenido anonimizados. No se comparte información de identificación personal.

8.4 Seguimiento de Errores y Analítica

• Sentry (EE. UU.) — Seguimiento de errores de aplicación y monitoreo de rendimiento. Los informes de errores pueden contener direcciones IP e información del navegador.

8.5 Servicios de Correo Electrónico

• Resend (EE. UU.) — Correos electrónicos transaccionales (restablecimiento de contraseña, notificaciones). Se comparten dirección de correo electrónico y nombre.

8.6 No Venta de Datos

Tus datos personales nunca se venden, alquilan ni comparten con terceros con fines de marketing. Tus datos solo se comparten con los proveedores de servicios mencionados anteriormente y solo en la medida necesaria para la prestación del servicio.

8.7 Casos de Obligación Legal

Tus datos personales pueden compartirse con instituciones y organizaciones autorizadas en los siguientes casos:

• Órdenes judiciales u obligaciones legales
• Solicitudes legales de instituciones y organizaciones públicas autorizadas
• Cuando sea necesario para proteger la vida o integridad física del usuario u otros
• Solicitudes legales para la prevención o investigación de delitos

9. Transferencias Internacionales de Datos

Hareki LLC tiene su sede en los Estados Unidos y nuestros proveedores de servicios se encuentran en EE. UU. y la UE. Tus datos personales pueden transferirse a países fuera de Turquía y/o el EEE.

9.1 Mecanismos de Transferencia

Implementamos los siguientes mecanismos de protección para transferencias internacionales de datos:

• Cláusulas Contractuales Tipo (SCC): Cláusulas estándar de protección de datos aprobadas por la Comisión Europea, aplicadas para todas las transferencias fuera de la UE/EEE.
• Decisiones de Adecuación: Transferencias a países que la Comisión Europea ha determinado que tienen un nivel adecuado de protección de datos.
• Marco de Privacidad de Datos UE-EE. UU. (DPF): Cuando nuestros proveedores de servicios tienen certificación DPF, las transferencias se realizan bajo este marco.
• Adecuación KVKK: Transferencias a países con protección adecuada bajo el Art.9 de la KVKK o a través de mecanismos autorizados por la Junta de Protección de Datos Personales.

9.2 Ubicaciones de Servidores

• Vercel: Regiones de EE. UU. y UE (servidor edge más cercano según la ubicación geográfica del usuario)
• Supabase: EE. UU.
• Stripe: EE. UU. (infraestructura compatible con PCI DSS Nivel 1)
• Sentry: EE. UU.

9.3 Garantías Adicionales

Adicionalmente proporcionamos las siguientes garantías para transferencias internacionales:

• Evaluación de impacto de transferencia (TIA) antes de la transferencia
• Aplicación del principio de minimización de datos
• Cifrado de datos transferidos en tránsito y en reposo
• Acuerdos de Procesamiento de Datos (DPA) firmados con proveedores de servicios

10. Medidas de Seguridad de Datos

Implementamos medidas técnicas y administrativas integrales para proteger tus datos personales contra acceso no autorizado, alteración, divulgación o destrucción:

10.1 Medidas Técnicas

• Cifrado (Tránsito): Toda la comunicación de datos se cifra con TLS 1.2+ / HTTPS
• Cifrado (Reposo): Cifrado AES-256 en áreas de base de datos y almacenamiento de archivos
• Seguridad de Contraseñas: Las contraseñas de usuario se hashean con el algoritmo bcrypt; nunca se almacenan como texto plano
• Row Level Security (RLS): Políticas de seguridad a nivel de fila en la base de datos que garantizan que cada usuario solo pueda acceder a sus propios datos
• Rate Limiting: Prevención de abuso mediante limitación de velocidad de solicitudes en puntos de acceso de API
• Protección CSRF: Protección basada en tokens contra falsificación de solicitudes entre sitios
• Validación Zod: Validación de datos en tiempo de ejecución en todos los puntos de entrada de API
• OAuth 2.0: Autenticación segura a través de Google, Apple, Microsoft y LinkedIn
• Gestión Segura de Sesiones: Gestión segura de sesiones basada en JWT con infraestructura Better Auth

10.2 Medidas Administrativas

• Principio de mínimo privilegio: Solo el personal que lo necesita puede acceder a los datos
• Evaluaciones de seguridad regulares y revisiones de código
• Escaneos de seguridad de dependencias y actualizaciones
• Plan de respuesta ante violaciones de datos
• Monitoreo del cumplimiento de seguridad de los proveedores de servicios

10.3 Notificación de Violación de Datos

En caso de violación de datos personales, de conformidad con los requisitos legales aplicables:

• KVKK: Se notifica a la Junta de Protección de Datos Personales lo antes posible y en todo caso dentro de las 72 horas; los usuarios afectados son informados lo antes posible.
• GDPR: Se notifica a la autoridad de supervisión competente dentro de las 72 horas; los usuarios son informados directamente en caso de violaciones de alto riesgo.
• CCPA: Se notifica a la Fiscalía General de California y a los consumidores afectados dentro de los plazos legales.

11. Períodos de Retención de Datos

Tus datos personales se conservan durante el período requerido por las finalidades del tratamiento y de conformidad con las obligaciones legales:

Los datos cuyo período de retención ha expirado se eliminan o anonimizan de manera segura mediante procesos de destrucción automáticos o periódicos. En casos de obligación legal, los datos continúan almacenándose durante el período prescrito por la legislación correspondiente.

12. Derechos del Usuario — KVKK

Según el Artículo 11 de la Ley N.º 6698, tienes los siguientes derechos con respecto a tus datos personales:

• Derecho a saber: Saber si tus datos personales están siendo procesados.
• Derecho a solicitar información: Solicitar información sobre tus datos personales procesados.
• Derecho a conocer la finalidad: Conocer la finalidad del procesamiento de tus datos personales y si se utilizan de acuerdo con dicha finalidad.
• Derecho a conocer terceros: Conocer los terceros a quienes se han transferido tus datos personales, a nivel nacional o internacional.
• Corrección: Solicitar la corrección de tus datos personales si se han procesado de forma incompleta o inexacta.
• Eliminación / destrucción: Solicitar la eliminación o destrucción de tus datos personales bajo las condiciones establecidas en el Artículo 7 de la KVKK.
• Notificación de corrección/eliminación: Solicitar que las operaciones de corrección y eliminación se notifiquen a los terceros a quienes se han transferido tus datos personales.
• Objeción al análisis automatizado: Objetar un resultado en tu contra derivado del análisis de datos procesados exclusivamente mediante sistemas automatizados.
• Compensación: Solicitar compensación por daños sufridos debido al procesamiento ilegal de tus datos personales.

Método de Solicitud

Para ejercer tus derechos bajo la KVKK, puedes presentar una solicitud escrita a privacy@hareki.com junto con información para verificar tu identidad. Tu solicitud se resolverá de forma gratuita dentro de un máximo de 30 días. Si el proceso requiere un costo adicional, se aplica la tarifa determinada por la Junta de Protección de Datos Personales.

13. Derechos del Usuario — GDPR

Si resides en el Espacio Económico Europeo (EEE), tienes los siguientes derechos bajo el GDPR:

• Derecho de acceso (Artículo 15): Solicitar una copia de tus datos personales y obtener información sobre las condiciones de procesamiento.
• Derecho de rectificación (Artículo 16): Solicitar la corrección de datos personales inexactos o incompletos.
• Derecho de supresión / Derecho al olvido (Artículo 17): Solicitar la eliminación de tus datos personales bajo ciertas condiciones.
• Derecho a la limitación del tratamiento (Artículo 18): Solicitar la restricción del procesamiento de tus datos personales en determinadas situaciones.
• Derecho a la portabilidad de datos (Artículo 20): Recibir tus datos personales en un formato estructurado, de uso común y legible por máquina (JSON) y transferirlos a otro responsable del tratamiento.
• Derecho de oposición (Artículo 21): Oponerte al procesamiento de datos basado en interés legítimo. En caso de oposición, el procesamiento se detiene a menos que se demuestren motivos legítimos imperiosos para continuarlo.
• Derecho a no ser objeto de decisiones automatizadas (Artículo 22): No estar sujeto a decisiones basadas únicamente en el procesamiento automatizado que produzcan efectos legales o similarmente significativos.
• Derecho a retirar el consentimiento: Retirar tu consentimiento en cualquier momento para actividades de procesamiento de datos basadas en el consentimiento. La retirada no afecta la legalidad del procesamiento realizado antes de la misma.

Plazo de Respuesta

Las solicitudes bajo el GDPR se responden dentro de un (1) mes como máximo. Este plazo puede extenderse dos (2) meses adicionales dependiendo de la complejidad o el número de solicitudes; en ese caso, serás informado dentro del primer mes junto con el motivo de la extensión.

14. Derechos del Usuario — CCPA (California)

Si resides en California, tienes los siguientes derechos bajo la Ley de Privacidad del Consumidor de California (CCPA/CPRA):

• Derecho a saber: Conocer qué categorías de información personal se han recopilado en los últimos 12 meses, las fuentes de recopilación, el propósito de la recopilación y los terceros con quienes se ha compartido la información.
• Derecho de acceso: Solicitar una copia de tu información personal recopilada.
• Derecho de eliminación: Solicitar la eliminación de tu información personal recopilada (sujeto a excepciones legales).
• Derecho de corrección: Solicitar la corrección de información personal inexacta.
• Derecho a rechazar la venta: Oponerte a la venta o el intercambio de tu información personal. Nota: Hareki LLC no vende ni comparte tu información personal con fines de marketing.
• No discriminación: No ser objeto de discriminación en calidad de servicio, precios o acceso por ejercer tus derechos bajo la CCPA.

Categorías de Información Recopiladas bajo la CCPA

• Identificadores (nombre, correo electrónico, dirección IP)
• Información comercial (historial de suscripciones, registros de pago)
• Actividad en Internet o redes electrónicas (tipo de navegador, visualizaciones de páginas)
• Información profesional (nombre de marca, sector, profesión)
• Contenido proporcionado por el usuario (datos de marca, contenido generado)

Solicitud

Para ejercer tus derechos bajo la CCPA, puedes contactar a privacy@hareki.com. Después de la verificación de identidad, tu solicitud será respondida dentro de 45 días.

15. Privacidad de los Niños

La Plataforma Hareki Studio no está destinada a personas menores de 18 años. No recopilamos intencionalmente datos personales de personas menores de 18 años.

Si notas que una persona menor de 18 años nos ha proporcionado datos personales, notifícalo inmediatamente a privacy@hareki.com. Tras su verificación, los datos en cuestión serán eliminados lo antes posible.

Bajo el GDPR, se requiere el consentimiento de los padres o tutores para el procesamiento de datos de niños menores de 16 años. Bajo la KVKK, el procesamiento de datos de menores de 18 años requiere el consentimiento de los padres/tutores. En ambos casos, la Plataforma aplica el límite de edad de 18 años.

16. Toma Automatizada de Decisiones y Elaboración de Perfiles

Hareki Studio realiza ciertas actividades de procesamiento automatizado en el curso de la prestación de servicios:

16.1 Generación de Contenido Impulsada por IA

Los modelos de IA generan sugerencias de contenido basadas en los parámetros de voz de tu marca y tus preferencias. Este es un mecanismo de toma automatizada de decisiones; sin embargo:

• Todo contenido generado es revisado y aprobado por el usuario
• El usuario tiene derecho a editar, revisar o rechazar el contenido generado
• La decisión final de publicación siempre corresponde al usuario

16.2 Puntuación de Calidad del Contenido

La Plataforma asigna puntuaciones de calidad automáticas al contenido generado. Estas puntuaciones son solo con fines informativos y no restringen el acceso del usuario al servicio.

16.3 Análisis de Voz de Marca

Durante el análisis de marca, la IA analiza los datos públicos de tu sitio web para crear un perfil de voz de marca. El usuario puede editar este perfil en cualquier momento.

16.4 Tus Derechos

Bajo el Art.11 de la KVKK y el Art.22 del GDPR, tienes derecho a oponerte a decisiones basadas únicamente en el procesamiento automatizado (incluida la elaboración de perfiles) que produzcan efectos legales o te afecten significativamente. En caso de tu objeción, se realizará una evaluación con intervención humana.

17. Cambios en la Política

Esta Política de Privacidad puede revisarse periódicamente de acuerdo con requisitos legales, cambios en el servicio o actualizaciones en las prácticas de procesamiento de datos.

17.1 Métodos de Notificación

Para cambios en la política:

• Cambios significativos: Se envía notificación a tu dirección de correo electrónico registrada con al menos 30 días de antelación
• Actualizaciones menores: Se anuncian mediante notificación dentro de la plataforma
• La Política actual siempre se publica en hareki.com/privacy
• La fecha de cada actualización aparece en la parte superior e inferior de la página

17.2 Renovación del Consentimiento

Para cambios significativos que amplíen el alcance del procesamiento de datos, se puede solicitar nuevamente el consentimiento explícito de acuerdo con los requisitos legales. Si no aceptas los cambios, tu derecho a cerrar tu cuenta queda reservado.

18. Contacto con el Responsable del Tratamiento

Puedes utilizar los siguientes canales para cualquier pregunta, solicitud y aplicación relacionada con tus datos personales:

18.1 Información de Contacto

• Responsable del Tratamiento: Hareki LLC
• Correo Electrónico: privacy@hareki.com
• Web: hareki.com/privacy

18.2 Requisitos de Solicitud

Tu solicitud debe contener la siguiente información para ser evaluada:

• Nombre y apellido
• Dirección de correo electrónico registrada
• Asunto de la solicitud (qué derecho deseas ejercer)
• Descripción detallada de la solicitud
• Información necesaria para la verificación de identidad (la dirección de correo electrónico asociada a tu cuenta es suficiente)

18.3 Tiempos de Respuesta

• KVKK: Dentro de 30 días como máximo
• GDPR: Dentro de 1 mes como máximo (extensible hasta 2 meses)
• CCPA: Dentro de 45 días como máximo (extensible 45 días adicionales)

19. Derecho de Queja

Si tus solicitudes relacionadas con el procesamiento de tus datos personales no son atendidas o no estás satisfecho con la respuesta, tu derecho a presentar una queja ante las autoridades de supervisión correspondientes queda reservado:

19.1 Turquía — KVKK

Si tu solicitud al responsable del tratamiento es rechazada, la respuesta es considerada insuficiente o no se recibe respuesta en 30 días, puedes presentar una queja ante la Junta de Protección de Datos Personales:

• Institución: Autoridad de Protección de Datos Personales (KVKK)
• Web: kvkk.gov.tr
• Dirección: Nasuh Akar Mah. Ziyabey Cad. 1407. Sok. No: 4, 06520 Balgat-Çankaya / Ankara, Turquía

19.2 Unión Europea — GDPR

Si resides en el EEE, puedes presentar una queja ante la autoridad de protección de datos (Supervisory Authority / Data Protection Authority) de tu país. Puedes acceder a la lista de autoridades de protección de datos de la UE en el sitio web del Comité Europeo de Protección de Datos (EDPB):

• Institución: European Data Protection Board (EDPB)
• Web: edpb.europa.eu

19.3 California — CCPA

Los residentes de California pueden contactar a la Fiscalía General de California sobre violaciones de derechos de privacidad:

• Institución: California Attorney General — Office of Privacy Protection
• Web: oag.ca.gov/privacy

19.4 Recurso Judicial

Además de los recursos administrativos anteriores, tu derecho a acudir a los tribunales competentes para la compensación de daños causados por el procesamiento ilegal de tus datos personales queda reservado.