Política de Privacidad
Última actualización: 3 de mayo de 2026
Bai OS, Inc. — Delaware, USA
baios.ai · hey@baios.ai · hey@baios.ai
Resumen ejecutivo (lo importante en 30 segundos)
Esto no reemplaza la política completa, pero sí captura su esencia:
- Tú decides qué le cuentas a BAI. Lo que le confías se guarda como tu workspace personal.
- Tu memoria es tuya. Puedes consultarla, editarla, exportarla y borrarla en cualquier momento.
- Nunca usamos tus datos para entrenar modelos de IA, ni para análisis comercial, ni para publicidad dirigida, ni los vendemos a terceros.
- Tus datos sensibles (salud, finanzas, intimidad, religión, etc.) reciben las mismas protecciones reforzadas, sin excepciones.
- Cuando dejas BAI, tus datos se van contigo y luego se borran. Sin pago activo, se eliminan a los 90 días. Si cancelas, en 30 días.
- Trabajamos con proveedores serios y revisados (Anthropic, Google, WhatsApp, Stripe, Google Cloud, Resend) bajo contratos que limitan estrictamente lo que pueden hacer con tu información.
- Tienes derechos. Acceso, rectificación, supresión, portabilidad y oposición. Escríbenos a hey@baios.ai y respondemos.
La política completa que sigue desarrolla cada uno de estos puntos con el detalle que la ley exige.
1. Quiénes somos
Bai OS, Inc. es una sociedad constituida en Delaware (Estados Unidos), con dirección de contacto en hey@baios.ai y hey@baios.ai. Operamos el servicio BAI ("Servicio"), un workspace personal de gestión accesible por web y WhatsApp.
Para los efectos de esta Política, Bai OS, Inc. actúa como Responsable del Tratamiento (en términos del GDPR), Controlador (CCPA/CPRA), Responsable (Ley 1581 Colombia, LFPDPPP México), Controlador (LGPD Brasil) y figura equivalente en cada jurisdicción aplicable. Significa que somos quienes deciden cómo y para qué se tratan tus datos personales, dentro de los límites establecidos por la ley y por esta Política.
Para consultas sobre privacidad y para el ejercicio de tus derechos, contacta a nuestro Delegado de Protección de Datos (DPO) en hey@baios.ai.
2. A quién aplica esta Política
Esta Política aplica a:
- Usuarios del Servicio BAI (cuentas activas, en periodo de prueba o en cualquier estado de la relación contractual).
- Visitantes del sitio web baios.ai y subdominios asociados.
- Personas que se comuniquen con nosotros a través de los canales de contacto publicados.
No aplica a sitios web, aplicaciones o servicios de terceros enlazados desde BAI, los cuales se rigen por sus propias políticas.
3. Qué datos recopilamos
Recopilamos datos personales en tres categorías diferenciadas:
3.1 Datos que tú nos das directamente
Son los datos que decides compartir con nosotros, ya sea al registrarte, al usar el Servicio o al comunicarte con nosotros:
- Datos de registro y cuenta: nombre, dirección de correo electrónico, número de teléfono asociado a WhatsApp, idioma preferido, zona horaria y, en su caso, datos de facturación (procesados por Stripe — ver sección 6).
- Contenido que confías a BAI: mensajes de texto, audios, imágenes, archivos, enlaces y demás contenido que envíes al Servicio para que sea capturado, organizado y recordado. Esto constituye lo que llamamos tu memoria (sección 5).
- Comunicaciones con nosotros: mensajes que nos envíes a hey@baios.ai, hey@baios.ai u otros canales de soporte.
- Información de integraciones que autorices: cuando conectas BAI con Gmail, Google Calendar, Google Drive u otras herramientas, autorizas el acceso a la información estrictamente necesaria para la función contratada. Tú controlas qué integraciones conectas y puedes revocar el acceso en cualquier momento desde el workspace.
3.2 Datos que generamos a partir de tu uso
Como parte del funcionamiento normal del Servicio:
- Representaciones técnicas internas: transcripciones de audios, embeddings vectoriales de tu contenido y resúmenes generados que permiten las funciones de búsqueda y recuperación.
- Notas, tareas, recordatorios, etiquetas y proyectos creados por ti o derivados automáticamente de tu contenido.
- Metadatos de uso: fechas de creación y edición, canal de origen (web/WhatsApp), identificadores internos de la cuenta.
- Datos técnicos y de seguridad: dirección IP, tipo de dispositivo, navegador, sistema operativo, logs de acceso y de eventos de seguridad. Estos datos se utilizan para operar el Servicio, prevenir fraude y cumplir obligaciones legales.
3.3 Datos que recibimos de terceros
- De Meta/WhatsApp: cuando conectas tu cuenta de WhatsApp por OTP, recibimos el número de teléfono verificado y los mensajes que envíes a BAI por ese canal. El uso de WhatsApp se rige adicionalmente por las políticas de WhatsApp Inc. y Meta Platforms, Inc.
- De Stripe: confirmaciones de pago, estado de la suscripción y metadatos de facturación. No recibimos ni almacenamos datos completos de tarjetas de crédito.
- De integraciones autorizadas por ti: los datos que las herramientas conectadas (Gmail, Google Calendar, Google Drive) compartan en virtud del alcance que tú autorices al conectar.
- De analítica web (con tu consentimiento): cuando aceptas cookies de analítica en baios.ai, Google Analytics nos da estadísticas agregadas y pseudonimizadas sobre el uso del sitio. Cuando aceptas cookies publicitarias, Meta Pixel nos permite medir la eficacia de nuestras campañas. Detalle en la sección 11.
4. Para qué usamos tus datos (finalidades y bases legales)
Solo tratamos tus datos para finalidades específicas, con una base legal identificada para cada una. La siguiente tabla resume el panorama (terminología GDPR; equivalentes locales aplican):
| Finalidad | Tipo de datos | Base legal |
|---|---|---|
| Prestar el Servicio (capturar, organizar, recordar, devolver) | Datos de cuenta + contenido del usuario + datos generados | Ejecución del contrato (art. 6.1.b GDPR) |
| Tratar datos sensibles que el usuario decida compartir | Datos sensibles (salud, finanzas, religión, etc.) | Consentimiento explícito (art. 9.2.a GDPR) |
| Procesar pagos y emitir facturas | Datos de facturación + metadatos de Stripe | Ejecución del contrato + obligación legal |
| Cumplir obligaciones fiscales y contables | Registros de transacciones | Obligación legal (art. 6.1.c GDPR) |
| Comunicaciones operativas (onboarding, recordatorios, novedades del Servicio, factura) | Email + número de WhatsApp + nombre | Ejecución del contrato |
| Email marketing promocional a usuarios existentes (lanzamientos, descuentos) | Email + nombre + uso | Interés legítimo, con derecho de oposición fácil |
| Analítica web del sitio baios.ai | Cookies, IP, navegador | Consentimiento (banner de cookies) |
| Publicidad en Meta/Google (Pixel, audiencias) | Cookies, eventos del sitio | Consentimiento explícito (banner) |
| Prevención de fraude, abuso y seguridad del Servicio | Logs, IP, patrones de uso | Interés legítimo + obligación legal |
| Atender ejercicio de derechos y solicitudes legales | Datos de identificación | Obligación legal |
| Mejora del Servicio (depuración, métricas agregadas) | Logs y datos pseudonimizados | Interés legítimo |
Lo que NO hacemos con tus datos, sin importar la finalidad:
- No los usamos para entrenar modelos de IA, ni propios ni de terceros. Esto está expresamente prohibido en nuestros contratos con Anthropic y Google.
- No los vendemos. No comercializamos datos personales bajo ninguna circunstancia.
- No hacemos publicidad dirigida basada en tu memoria. No usamos el contenido que confías a BAI para perfilar comercialmente ni para mostrarte anuncios personalizados.
- No tratamos tus datos sensibles para ningún fin distinto a la prestación del Servicio al propio usuario.
5. Memoria persistente — tu workspace
La memoria persistente es el corazón de BAI. Por su importancia, esta sección desarrolla con detalle cómo la tratamos.
5.1 Qué es
BAI almacena lo que decides confiarle para devolvértelo cuando lo necesites. Esto incluye mensajes que nos envías, transcripciones de tus audios, contenido derivado (notas, tareas, recordatorios) y representaciones técnicas internas (embeddings vectoriales, resúmenes) necesarias para que las funciones de búsqueda y recuperación funcionen.
5.2 Dónde vive
Tu memoria se almacena en infraestructura controlada por Bai OS, Inc. en Google Cloud Platform, región us-central (Estados Unidos), y eventualmente en otras regiones donde GCP opere si así se requiere para garantizar continuidad del servicio. Esto implica una transferencia internacional de datos cuando resides fuera de Estados Unidos — más detalle en la sección 7.
5.3 Quién la puede ver
- Tú — siempre, a través del workspace web.
- El equipo técnico de Bai OS, Inc., únicamente cuando sea estrictamente necesario para resolver incidencias técnicas, prevenir abuso o cumplir obligaciones legales. El acceso interno está sujeto a controles, registro de auditoría y obligación de confidencialidad.
- Los Proveedores de IA (Anthropic, Google), cuando procesan tus mensajes para generar respuestas, bajo contratos (DPA) que prohíben uso para entrenamiento y limitan el tratamiento al propósito de prestarte el servicio.
- Nadie más.
5.4 Por cuánto tiempo
Mientras tu cuenta esté activa y dentro del uso personal razonable definido en los Términos de Servicio, tu memoria se conserva sin un horizonte temporal predefinido. La promesa de continuidad ("recordar a través del tiempo") es parte esencial del producto. Detalles de los plazos en la sección 8.
5.5 Tu control
Puedes:
- Consultar la totalidad de tu memoria en cualquier momento, vía workspace.
- Editar notas, tareas, recordatorios y demás objetos.
- Borrar memorias específicas de manera granular, sin tener que cancelar la cuenta entera.
- Borrar la totalidad de tu memoria mediante la cancelación de la cuenta.
- Exportar tu memoria en formato estándar y portátil.
5.6 Continuidad ante cambios técnicos
Tu memoria es independiente del Proveedor de IA que utilicemos en cada momento. Si en el futuro cambiamos de Anthropic a otro Proveedor (o viceversa), tu contenido se mantiene íntegro. Lo que puede variar es el estilo, tono o características de las respuestas — no lo almacenado.
6. Datos sensibles
6.1 Qué consideramos sensible
Se entienden por datos sensibles aquellos que la normativa aplicable en tu jurisdicción defina como tales, incluyendo, sin limitación: datos de salud física o mental, vida sexual u orientación sexual, origen racial o étnico, convicciones religiosas, filosóficas o morales, opiniones políticas, afiliación sindical, datos biométricos y genéticos, e información financiera o crediticia.
6.2 Por qué BAI los puede recibir
Por la naturaleza del Servicio (un workspace personal con memoria), es previsible que decidas compartir voluntariamente datos sensibles con BAI. Por ejemplo:
- Recordatorios de medicamentos o citas médicas.
- Notas sobre sesiones con un terapeuta.
- Eventos religiosos o de comunidad.
- Información financiera personal o de inversiones.
- Contactos asociados a tu vida íntima.
Esto es uso legítimo del Servicio.
6.3 Tu consentimiento
Al usar BAI, otorgas consentimiento expreso e informado para que tratemos los datos sensibles que decidas compartir, exclusivamente con la finalidad de prestarte el Servicio: almacenarlos, organizarlos, recordártelos cuando los necesites y devolvértelos cuando los busques.
Puedes revocar este consentimiento en cualquier momento, lo cual implica que dejes de compartir esos datos con BAI o que los borres de tu memoria.
6.4 Lo que no hacemos con tus datos sensibles (compromiso reforzado)
Bai OS, Inc. no utiliza tus datos sensibles para:
- Entrenar modelos de IA, propios o de terceros.
- Análisis comercial, segmentación de mercado o perfiles publicitarios.
- Publicidad dirigida o recomendaciones comerciales.
- Cesión, venta o transferencia a terceros distintos de los proveedores técnicos estrictamente necesarios para la prestación del Servicio (sección 6 sobre subprocesadores).
- Cualquier finalidad distinta a la prestación del Servicio a ti.
6.5 Datos sensibles de terceros
Si compartes información sensible sobre otras personas (por ejemplo, anotas algo sobre la salud de un familiar), declaras que cuentas con base legal para ello — típicamente la excepción de uso doméstico o personal del artículo 2(2)(c) GDPR y disposiciones equivalentes. Tú eres responsable frente a esos terceros por la información que compartas con BAI.
6.6 Cumplimiento Circular Externa 002 de 2024 (SIC, Colombia)
El tratamiento de datos personales realizado por el Servicio se rige por los principios de idoneidad, necesidad, razonabilidad y proporcionalidad establecidos por la Circular Externa 002 de 2024 de la Superintendencia de Industria y Comercio de Colombia.
7. Con quién compartimos tus datos (subprocesadores)
Para operar BAI dependemos de un conjunto reducido de proveedores técnicos especializados ("Subprocesadores"). Cada uno trata tus datos bajo un contrato de procesamiento de datos (DPA) que limita estrictamente lo que pueden hacer con la información, prohíbe uso para entrenamiento de modelos sin tu consentimiento, y exige medidas de seguridad reforzadas.
7.1 Lista de subprocesadores actuales
| Proveedor | Finalidad | Datos tratados | Ubicación |
|---|---|---|---|
| Anthropic, PBC | Modelo de IA (procesamiento de mensajes para generar respuestas) | Contenido de mensajes que envíes al Servicio | Estados Unidos |
| Google LLC | Modelo de IA (Gemini) e integraciones (Gmail, Calendar, Drive cuando las autorices) | Contenido de mensajes + datos de las integraciones que conectes | Estados Unidos / multirregión |
| Google Cloud Platform | Infraestructura (servidores, base de datos, almacenamiento) | Toda la información del Servicio | us-central (EE.UU.) y otras regiones GCP cuando aplique |
| WhatsApp Inc. / Meta Platforms, Inc. | Canal de mensajería | Número de teléfono y mensajes enviados por ese canal | Estados Unidos / multirregión |
| Stripe, Inc. | Procesamiento de pagos | Datos de facturación, transacciones (tarjeta nunca pasa por nuestros sistemas) | Estados Unidos |
| Resend | Envío de emails transaccionales y comunicaciones operativas | Email, nombre, contenido del email enviado | Estados Unidos |
| Google Analytics (Google LLC) | Analítica del sitio web baios.ai | Cookies, IP truncada, navegador, eventos del sitio (solo con tu consentimiento) | Estados Unidos / multirregión |
| Meta Pixel (Meta Platforms, Inc.) | Medición de eficacia publicitaria y audiencias | Cookies, eventos del sitio (solo con tu consentimiento explícito) | Estados Unidos / multirregión |
7.2 Cómo se actualiza esta lista
Esta lista puede actualizarse cuando incorporemos o sustituyamos proveedores. Los cambios materiales se notificarán con al menos treinta (30) días de antelación. Puedes solicitar la versión más actualizada y los DPAs aplicables escribiendo a hey@baios.ai.
7.3 Lo que estos proveedores NO hacen con tus datos
Bajo los DPAs vigentes, ninguno de los Subprocesadores puede:
- Usar tus datos para entrenar modelos de IA propios sin consentimiento explícito.
- Usar tus datos para finalidades distintas a las contratadas por nosotros.
- Subcontratar a terceros sin nuestro consentimiento previo.
- Retener tus datos más allá del periodo necesario para la prestación del servicio contratado.
7.4 Otros destinatarios
Además de los Subprocesadores, podemos compartir datos personales en circunstancias específicas:
- Asesores profesionales (abogados, auditores, contadores) bajo deber de confidencialidad, cuando sea necesario.
- Autoridades competentes cuando seamos legalmente requeridos (orden judicial, requerimiento administrativo, obligación regulatoria). En estos casos, salvo prohibición legal, te informaremos.
- En caso de operación corporativa (fusión, adquisición, reestructuración): aplica lo establecido en los Términos de Servicio (sección 11.6) — notificación con 90 días de antelación, herramientas de exportación, no transferencia automática sin consentimiento renovado.
7.5 Acuerdo con Stripe (DPA y transferencias)
Stripe procesa los pagos bajo un acuerdo de procesamiento de datos (Data Processing Agreement) firmado con la Compañía. Una copia del DPA está disponible para usuarios bajo solicitud a hey@baios.ai.
Las transferencias de datos personales a Stripe, Inc. (Estados Unidos) se realizan con base en las Cláusulas Contractuales Tipo (Standard Contractual Clauses) aprobadas por la Comisión Europea, y/o en cualquier otro mecanismo de transferencia internacional admitido por la legislación aplicable. Ver §8.2 para el marco general de salvaguardas.
8. Transferencias internacionales de datos
8.1 Por qué hay transferencias internacionales
Como Bai OS, Inc. es una empresa de Delaware (EE.UU.) y nuestra infraestructura principal está en Google Cloud Platform región us-central (EE.UU.), la mayoría de tus datos son tratados en Estados Unidos. Esto constituye una transferencia internacional desde tu jurisdicción de residencia (especialmente si estás en la Unión Europea, Reino Unido, Colombia, México, Brasil, Argentina, Chile u otros países con normativa específica de protección de datos).
8.2 Salvaguardas aplicadas
Estas transferencias se realizan bajo las siguientes salvaguardas:
- Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (Decisión 2021/914), aplicables a transferencias desde el Espacio Económico Europeo y desde jurisdicciones que reconozcan este mecanismo.
- Acuerdos de Procesamiento de Datos (DPAs) con cada Subprocesador, que reproducen los estándares europeos de protección.
- Cumplimiento de los requisitos de transferencia internacional establecidos por las normativas aplicables en cada país (Ley 1581 + Decreto 1377 Colombia, LFPDPPP México, LGPD Brasil, Ley 25.326 Argentina, etc.).
- Transferencias específicas a Stripe: adicionalmente a lo anterior, las transferencias a Stripe, Inc. (Estados Unidos) se rigen por el DPA y las SCCs detallados en §7.5.
8.3 Países y regiones de tratamiento habituales
- Estados Unidos: infraestructura principal (GCP us-central), Anthropic, Stripe, Resend.
- Multirregión Google: servicios de Google que pueden replicar datos en distintas regiones según su arquitectura.
- Otras regiones GCP: eventualmente, si se requiere por continuidad del servicio.
Al usar BAI, otorgas consentimiento informado para estas transferencias internacionales en los términos descritos. Puedes solicitar información detallada sobre las salvaguardas aplicadas en hey@baios.ai.
9. Cuánto tiempo conservamos tus datos
Aplicamos el principio de limitación del plazo de conservación del artículo 5.1.e) del GDPR y disposiciones equivalentes: solo conservamos tus datos por el tiempo necesario para cumplir las finalidades descritas en esta Política.
9.1 Plazos por tipo de dato
| Tipo de dato | Plazo de conservación |
|---|---|
| Memoria del usuario en cuenta activa con pago al día | Mientras la cuenta esté activa, sin horizonte predefinido (ver Sección 4.3 del T&C) |
| Memoria del usuario en cuenta sin pago activo (mora) | Hasta 90 días desde el inicio de la mora; avisos a los 30, 60 y 75 días; eliminación al día 91 |
| Memoria del usuario tras cancelación voluntaria | Eliminación en 30 días desde la solicitud, salvo solicitud expresa de eliminación inmediata |
| Memoria del usuario tras terminación por incumplimiento | Eliminación en 15 días, con periodo previo de exportación |
| Borrado manual de memorias específicas | Inmediato en producción; copias de respaldo se purgan en hasta 90 días |
| Datos de facturación y registros de transacciones | Plazo legal aplicable (típicamente entre 5 y 10 años, según jurisdicción fiscal) |
| Logs de seguridad y auditoría | Hasta 12 meses, salvo exigencias legales mayores |
| Comunicaciones de soporte | Hasta 24 meses tras cierre del caso |
| Datos en cookies (web) | Según finalidad — detalle en sección 11 |
La retención de datos de facturación y registros de transacciones prevalece sobre el derecho de supresión del usuario en virtud del artículo 17(3)(b) del GDPR (cumplimiento de obligaciones legales) y disposiciones equivalentes de las normativas locales.
9.2 Eliminación segura
Cuando un dato cumple su plazo, se elimina mediante procedimientos seguros que incluyen borrado lógico inmediato en producción y rotación completa de copias de respaldo. La retención mínima legal tras la eliminación se limita estrictamente a registros necesarios para cumplimiento fiscal, contable o de seguridad informática — no incluye el contenido de tu memoria.
10. Tus derechos
Tienes derechos sobre tus datos personales. La extensión exacta depende de tu jurisdicción de residencia, pero el conjunto base que reconocemos universalmente para todos los usuarios incluye:
10.1 Derechos universales (los reconocemos a todos los usuarios)
- Acceso: saber qué datos tuyos tenemos, cómo los usamos y a quién los compartimos.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión / "derecho al olvido": pedir la eliminación de tus datos cuando ya no sean necesarios o retires tu consentimiento.
- Portabilidad: recibir tus datos en formato estándar y portátil, o pedirnos que los enviemos a otro proveedor.
- Oposición: oponerte al tratamiento basado en interés legítimo o para fines de marketing directo.
- Limitación del tratamiento: pedir que congelemos el uso de tus datos mientras se resuelve una disputa.
- Revocación del consentimiento: retirar consentimientos en cualquier momento, sin afectar la licitud de tratamientos previos.
- No ser sometido a decisiones automatizadas con efectos jurídicos significativos: aplica art. 22 GDPR. BAI no toma decisiones de este tipo (ver sección 3.5 del T&C).
- Presentar reclamación ante la autoridad de control de tu país (lista en sección 13).
10.2 Derechos específicos por jurisdicción
| Jurisdicción | Normativa | Derechos adicionales o particularidades |
|---|---|---|
| Unión Europea / EEE | GDPR (Reglamento 2016/679) | Conjunto base completo + reclamación ante autoridad nacional |
| Reino Unido | UK GDPR + Data Protection Act 2018 | Equivalentes a GDPR; reclamación ante ICO |
| Colombia | Ley 1581/2012, Decreto 1377/2013, Circular 002/2024 SIC | Habeas Data, consulta, reclamo, revocación; reclamación ante SIC |
| México | LFPDPPP y Reglamento | Derechos ARCO (acceso, rectificación, cancelación, oposición); reclamación ante INAI |
| Brasil | LGPD (Lei 13.709/2018) | Conjunto base completo; reclamación ante ANPD |
| Argentina | Ley 25.326 | Acceso, rectificación, supresión, confidencialidad; reclamación ante AAIP |
| Chile | Ley 19.628 (y Ley 21.719 cuando aplique) | Equivalentes; reclamación ante autoridad competente |
| California, EE.UU. | CCPA / CPRA | Derecho a saber, eliminar, corregir, opt-out de venta/compartición, no discriminación; reclamación ante CPPA |
10.3 Cómo ejercer tus derechos
Para ejercer cualquiera de estos derechos:
- 1. Escríbenos a hey@baios.ai,
indicando:
- Tu solicitud específica (acceso, rectificación, supresión, etc.).
- Tu país de residencia habitual.
- Datos suficientes para identificarte como titular de la cuenta (verificaremos tu identidad para evitar suplantaciones).
- 2. Plazo de respuesta:
- GDPR/UK GDPR: un mes, prorrogable a tres meses en casos complejos.
- Colombia (Habeas Data): consulta hasta 10 días hábiles, reclamo hasta 15 días hábiles.
- México (ARCO): 20 días hábiles, prorrogable a 20 días adicionales.
- Brasil (LGPD): 15 días.
- Argentina: 10 días para acceso, 5 días para rectificación.
- CCPA/CPRA: 45 días, prorrogable a 90.
- 3. Costo: el ejercicio de tus derechos es gratuito. Solo en casos de solicitudes manifiestamente infundadas o excesivas (especialmente repetitivas) podríamos cobrar un coste razonable o negarnos a actuar — esto es excepcional.
- 4. Apelación: si no estás conforme con nuestra respuesta, puedes presentar reclamación ante la autoridad de control de tu país (lista en sección 13).
11. Cookies y tecnologías similares
11.1 Qué son
Cookies son pequeños archivos que un sitio web guarda en tu dispositivo para recordar información entre visitas. Tecnologías similares incluyen píxeles, almacenamiento local del navegador y SDKs.
11.2 Qué cookies usamos
| Categoría | Finalidad | Proveedores | Base legal | Duración típica |
|---|---|---|---|---|
| Estrictamente necesarias | Sesión, idioma, autenticación, seguridad básica | Bai OS | Ejecución del contrato (no requieren consentimiento) | Sesión / hasta 12 meses |
| Analíticas | Estadísticas agregadas de uso del sitio | Google Analytics | Consentimiento (banner) | Hasta 14 meses |
| Publicitarias | Medición de campañas, audiencias custom, remarketing | Meta Pixel, Google Ads (cuando aplique) | Consentimiento explícito (banner) | Hasta 13 meses |
11.3 Cómo gestionar tus preferencias
Al visitar baios.ai por primera vez verás un banner de cookies que te permite:
- Aceptar todas las cookies.
- Rechazar todas las no necesarias.
- Configurar preferencias por categoría (analíticas / publicitarias).
Las cookies estrictamente necesarias siempre están activas — sin ellas el sitio no funciona. Las demás solo se cargan si das tu consentimiento.
Puedes cambiar tus preferencias en cualquier momento desde el enlace "Configurar cookies" disponible en el pie de página del sitio.
También puedes:
- Configurar tu navegador para bloquear o eliminar cookies.
- Usar mecanismos como Global Privacy Control (GPC) o Do Not Track, que respetamos cuando son técnicamente identificables.
- Optar por no participar en Google Analytics: tools.google.com/dlpage/gaoptout
- Optar por no participar en publicidad de Meta: facebook.com/settings/?tab=ads
12. Seguridad de tus datos
Aplicamos medidas técnicas y organizativas razonables para proteger tus datos:
- Cifrado en tránsito (TLS 1.2+) y en reposo para todos los datos almacenados en GCP.
- Controles de acceso interno basados en principio de mínimo privilegio: solo el personal estrictamente necesario tiene acceso a producción, con autenticación reforzada.
- Registro de auditoría de accesos a sistemas que contengan datos personales.
- Aislamiento de cuentas: la memoria de un usuario nunca es accesible por otro usuario.
- Selección rigurosa de Subprocesadores: solo trabajamos con proveedores que cumplan estándares equivalentes (SOC 2, ISO 27001 u homólogos).
- Procedimiento de respuesta a incidentes con notificación a la autoridad de control en menos de 72 horas desde el conocimiento de una brecha que afecte tus datos personales (art. 33 GDPR), y notificación directa a usuarios afectados cuando la brecha suponga alto riesgo para sus derechos y libertades.
Ninguna medida de seguridad es infalible. Si detectas o sospechas un incidente de seguridad relacionado con tu cuenta, contáctanos inmediatamente en hey@baios.ai.
13. Datos de menores
El Servicio no está dirigido a menores de 18 años. No recopilamos conscientemente datos personales de menores. Si descubrimos que un menor ha creado una cuenta, procederemos a su eliminación.
Si eres padre, madre o tutor y crees que un menor a tu cargo ha compartido datos con BAI, contacta a hey@baios.ai y procederemos a la eliminación inmediata.
14. Comunicaciones que te enviamos
Te enviamos distintos tipos de comunicaciones, con distinto régimen:
- Comunicaciones operativas (onboarding, recordatorios funcionales, factura, avisos sobre tu cuenta, notificaciones de seguridad, cambios materiales en T&C o Privacidad): forman parte del Servicio. No puedes desuscribirte de estas mientras tengas cuenta activa, salvo cancelando la cuenta.
- Comunicaciones de producto (novedades, mejoras, lanzamientos): te las enviamos en virtud de interés legítimo. Puedes desuscribirte en cualquier momento desde el enlace al final de cada email o escribiéndonos a hey@baios.ai.
- Marketing promocional (descuentos, campañas, contenidos): te las enviamos en virtud de interés legítimo de mantener informados a usuarios existentes, con derecho de oposición fácil. Puedes desuscribirte en cualquier momento desde el enlace al final de cada email o escribiéndonos a hey@baios.ai. La desuscripción de marketing no afecta a las comunicaciones operativas.
15. Autoridades de control y reclamaciones
Si consideras que tratamos tus datos de forma incorrecta, te animamos a contactarnos primero en hey@baios.ai — la mayoría de las situaciones se resuelven en conversación directa. Si no quedas satisfecho, tienes derecho a presentar reclamación ante la autoridad de control de tu país:
- Colombia: Superintendencia de Industria y Comercio (SIC) — sic.gov.co
- México: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) — inai.org.mx
- Brasil: Autoridade Nacional de Proteção de Dados (ANPD) — gov.br/anpd
- Argentina: Agencia de Acceso a la Información Pública (AAIP) — argentina.gob.ar/aaip
- Chile: Consejo para la Transparencia (y autoridad equivalente bajo Ley 21.719 cuando aplique) — consejotransparencia.cl
- España: Agencia Española de Protección de Datos (AEPD) — aepd.es
- Otros países UE/EEE: autoridad nacional respectiva (lista en edpb.europa.eu)
- Reino Unido: Information Commissioner's Office (ICO) — ico.org.uk
- California: California Privacy Protection Agency (CPPA) — cppa.ca.gov
16. Cambios en esta Política
Podemos modificar esta Política para reflejar cambios en el Servicio, en nuestros proveedores, o en la normativa aplicable.
- Cambios no materiales (correcciones de estilo, aclaraciones): entran en vigor con la publicación en baios.ai/es/politica-de-privacidad.
- Cambios materiales (nuevas finalidades, nuevos subprocesadores, cambios en tus derechos): te notificamos con al menos 30 días de antelación por email y/o WhatsApp. Si no estás de acuerdo, puedes cancelar tu cuenta sin penalización antes de la entrada en vigor.
Cada versión de esta Política indica su número y fecha. Versiones anteriores están disponibles bajo solicitud a hey@baios.ai.
17. Cómo contactarnos
Para cualquier asunto relacionado con privacidad y protección de datos:
- Delegado de Protección de Datos (DPO): hey@baios.ai
- Soporte general (no privacidad): hey@baios.ai
- Empresa: Bai OS, Inc.
- Jurisdicción de constitución: Delaware, Estados Unidos
- Sitio web: baios.ai
Para el ejercicio de derechos, escribe a hey@baios.ai indicando tu solicitud y país de residencia habitual. Respondemos en los plazos legales aplicables a tu jurisdicción.