Política de Privacidad

1. Quiénes somos

Social Coworker (accesible en socialcoworker.com, en adelante, "el Servicio") forma parte de la familia de aplicaciones Anycoworker.

El Servicio está operado por Comartinvi S.L. (comartinvi.com), sociedad limitada con CIF B56550833 y domicilio social en Avenida de Roma 153, ático 1, 08011 Barcelona, España. Comartinvi S.L. es la responsable del tratamiento de los datos personales conforme al Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales.

Para cualquier consulta sobre privacidad o ejercicio de derechos, escríbenos a hola@comartinvi.com.

2. Qué datos recopilamos

Recopilamos únicamente los datos imprescindibles para prestar el Servicio:

• Datos de cuenta: tu dirección de email y una contraseña que estableces tú (la guardamos cifrada con bcrypt vía Supabase Auth, nunca en claro).
• Datos de cuentas sociales conectadas: cuando vinculas tu cuenta de Instagram, LinkedIn, X o TikTok mediante OAuth, almacenamos el token de acceso (cifrado AES-256-GCM), tu identificador público en esa red, tu nombre de usuario y los permisos otorgados. No accedemos a tus contraseñas en ningún momento.
• Contenidos generados o cargados: textos, imágenes y vídeos que generas o subes para publicar.
• Posts existentes en tu red al conectar: cuando vinculas Instagram o X (Twitter), importamos automáticamente los últimos 20 posts publicados en tu cuenta (texto + URL pública del media + fecha) para que el generador IA aprenda tu estilo y adapte el contenido nuevo a tu voz. Solo posts ya públicos en la red — no leemos mensajes directos, borradores, posts privados, seguidores ni analítica. Puedes borrar estos datos importados en cualquier momento desconectando la cuenta o escribiéndonos para una eliminación inmediata.
• Metadatos de proyecto: nombre del proyecto, configuración, programación, historial de publicaciones.
• Logs técnicos mínimos: errores de ejecución, sin datos personales más allá de lo estrictamente necesario para diagnosticar.

No usamos cookies de seguimiento ni herramientas de analítica de terceros. La única cookie que dejamos en tu navegador es la de sesión de Supabase (autenticación), estrictamente necesaria.

3. Para qué usamos tus datos

Usamos los datos exclusivamente para:

• Prestarte el Servicio de generar y publicar contenido en tus redes sociales.
• Programar y ejecutar publicaciones automáticas según la configuración que tú definas.
• Mostrar el historial y estado de tus publicaciones en el panel.
• Enviarte notificaciones operativas (errores, confirmaciones de publicación). No usamos tu email para marketing salvo que lo autorices expresamente.

No vendemos, alquilamos ni compartimos tus datos con terceros con fines comerciales.

4. Datos que recibimos de Meta (Instagram)

Cuando conectas tu cuenta de Instagram Business a través de Instagram Business Login, solicitamos exclusivamente los permisos siguientes:

• instagram_business_basic: nos permite leer tu identificador de cuenta (user_id) y tu nombre de usuario público (username). Usamos el user_id para dirigir las llamadas de publicación a tu cuenta y mostramos el username en el panel para que confirmes qué cuenta tienes conectada. No accedemos a tu lista de publicaciones, foto de perfil, mensajes ni comentarios.
• instagram_business_content_publish: nos permite publicar contenido en tu cuenta. Solo lo ejercemos cuando tú apruebas explícitamente un post desde el panel del Servicio.

Puedes revocar el acceso en cualquier momento desde la configuración de tu cuenta de Instagram (Configuración > Apps y sitios web) o desde el panel de Social Coworker. Cuando revocas, Meta nos notifica vía nuestro Deauthorize Callback y marcamos el token como revocado al instante; los detalles operativos están en la página de Eliminación de datos.

4 bis. Datos que recibimos de TikTok

Cuando conectas tu cuenta de TikTok mediante el Login Kit oficial, solicitamos exclusivamente los permisos siguientes:

• user.info.basic: nos permite leer tu identificador (open_id), un union_id opcional, tu display_name y la URL de tu avatar. Usamos el open_id para dirigir las llamadas de subida de vídeo a tu cuenta y mostramos el display_name y avatar en el panel para que confirmes qué cuenta tienes conectada. No accedemos a tu lista de vídeos, seguidores, seguidos, mensajes ni comentarios.
• video.publish (y video.upload como reserva): nos permite publicar en tu feed de TikTok los vídeos que tú has aprobado previamente en Social Coworker. Solo publicamos el contenido y el momento que tú apruebas explícitamente; nunca modificamos el vídeo ni añadimos marcas o pies de página.

El access_token de TikTok dura 24h y el refresh_token 365 días; ambos los almacenamos cifrados con AES-256-GCM y solo se desencriptan en memoria en el momento de subir un vídeo aprobado por ti.

Puedes revocar el acceso en cualquier momento desde la app móvil de TikTok (Configuración y privacidad → Seguridad y acceso → Gestionar permisos de aplicaciones) o desde el panel de Social Coworker (Proyecto → Canales → Gestionar → Desconectar). Los detalles operativos están en Eliminación de datos.

5. Dónde se almacenan tus datos

Tus datos se almacenan en infraestructura situada en la Unión Europea:

• Supabase (base de datos y almacenamiento de imágenes/vídeos): Frankfurt, Alemania.
• Hetzner Cloud (motor de automatización n8n): Helsinki, Finlandia.
• Render (alojamiento de la aplicación web): Frankfurt, Alemania.

6. Encargados del tratamiento (terceros)

Compartimos datos estrictamente necesarios con los siguientes proveedores, todos sujetos a sus propias políticas y RGPD-compatibles:

• Supabase Inc. — base de datos, autenticación, almacenamiento.
• Render Services Inc. — alojamiento de la app web.
• Hetzner Online GmbH — alojamiento del motor de automatización.
• Google LLC — modelo de IA (Gemini) para generar textos e imágenes a partir de tus prompts.
• Meta Platforms, Inc., LinkedIn Corp., X Corp., TikTok Pte. Ltd. — APIs de las redes sociales en las que publicas; les enviamos únicamente el contenido que tú apruebas para publicar.
• Cloudflare Inc. — registrar/CDN de Dondominio en algunos supuestos.

Los modelos de IA (Gemini) reciben los prompts y contextos que tú escribas para generar contenido, sujetos a la política de Google.

7. Cuánto tiempo conservamos tus datos

Conservamos tus datos mientras mantengas tu cuenta activa. Cuando solicites la eliminación de tu cuenta (escribiendo a hola@comartinvi.com), procederemos al borrado de todos tus datos en un plazo máximo de 30 días, salvo obligaciones legales que requieran retención (por ejemplo, datos fiscales si has hecho un pago).

8. Tus derechos (RGPD)

Como usuario en la UE tienes derecho a:

• Acceder a los datos que tenemos sobre ti.
• Rectificar datos inexactos.
• Solicitar la supresión ("derecho al olvido").
• Limitar u oponerte al tratamiento.
• Portabilidad: recibir tus datos en formato estructurado.
• Presentar reclamación ante la Agencia Española de Protección de Datos (AEPD).

Para ejercer cualquiera de estos derechos, escríbenos a hola@comartinvi.com. Responderemos en un plazo máximo de 30 días.

9. Seguridad

Aplicamos medidas técnicas y organizativas razonables: cifrado en tránsito (HTTPS), cifrado en reposo de los tokens de redes sociales (AES-256-GCM), control de acceso por usuario (Row Level Security en Supabase), y backups regulares.

10. Cambios en esta política

Si modificamos esta política te avisaremos por email con al menos 14 días de antelación. La fecha de la última actualización aparece arriba.

11. Contacto

Para cualquier duda relacionada con privacidad o protección de datos: hola@comartinvi.com.