Documento legal

Política de privacidad

Última actualización: 1 de junio de 2026 · Versión 1.1

En ōrbita nos importa tu privacidad y la de las personas cuyos datos nos confías. Este documento explica de forma clara qué datos tratamos, con qué finalidad, durante cuánto tiempo, con quién los compartimos y cómo puedes ejercer tus derechos. Está redactado conforme al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la Ley 34/2002 (LSSI-CE).

Contenidos

Responsable del tratamiento
Qué datos recogemos
Para qué usamos tus datos
Base legal de cada tratamiento
Cuánto tiempo los conservamos
Con quién los compartimos
Transferencias internacionales
Conexión con redes sociales (datos de terceros)
Decisiones automatizadas e inteligencia artificial
Tus derechos
Medidas de seguridad
Menores de edad
Cambios en esta política

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es:

Titular: Mónica Lorenzo González (autónoma)
NIF: 38131132F
Domicilio: C/ Garcilaso 26, 3º 1ª, 08027 Barcelona, España
Email de contacto: orbita@orbitasolutions.org
Web: www.orbitasolutions.org

Nota: ōrbita es actualmente un proyecto en fase de startup operado bajo el régimen de trabajadora autónoma. Cuando se constituya la sociedad mercantil correspondiente, este documento se actualizará con los nuevos datos registrales y se notificará a los usuarios a través de la web y por correo electrónico.

2. Qué datos recogemos

2.1 Cuenta de usuario

Al crear una cuenta en ōrbita y utilizar el servicio podemos recoger:

Datos de identificación: nombre completo, email, dirección postal, teléfono.
Datos de la empresa: nombre comercial, datos fiscales, datos de contacto, sector, web.
Información proporcionada para redactar el plan de marketing: descripción de la empresa, productos, servicios, propuesta de valor, público objetivo y cualquier otra información que el usuario decida compartir.
Datos de pago: tratados directamente por Stripe (ōrbita no almacena el número completo de tarjeta).
Datos de uso del producto: cuándo accedes, qué funcionalidades utilizas, errores y métricas de rendimiento.
Contenido que el usuario suba o genere: textos, imágenes (incluido el acceso al catálogo de fotos del dispositivo si lo autoriza), audio dictado por micrófono cuando lo active.

2.2 Datos de redes sociales conectadas

Cuando un usuario conecta sus cuentas de redes sociales (Meta, TikTok, X, Pinterest, LinkedIn, YouTube, Google Business Profile…), ōrbita almacena los identificadores y tokens necesarios para publicar y obtener métricas, así como datos públicos y de rendimiento (seguidores, interacciones, alcance). No almacenamos contraseñas: la autenticación se realiza mediante OAuth, igual que herramientas como Metricool o Loomly.

2.3 Lista de espera (registros anteriores al lanzamiento)

Antes de abrir el registro mantuvimos una lista de espera. Si te apuntaste, conservamos tu nombre, email, nombre de empresa, sector y la fecha y hora de registro hasta que solicites la baja. Este canal ya no está activo: hoy puedes crear tu cuenta y empezar a usar ōrbita directamente.

3. Para qué usamos tus datos

Lista de espera (registros previos): a quienes se apuntaron antes del lanzamiento, enviarles novedades del producto hasta que soliciten la baja.
Cuenta de usuario: prestarte el servicio contratado, gestionar tu cuenta, dar soporte y emitir facturas.
Plan de marketing y contenidos: redactar tu plan, generar contenido y publicar en tus redes cuando lo autorices.
Mejora del producto: análisis agregado de uso, detección de errores, métricas de rendimiento.
Comunicaciones comerciales: enviarte información sobre nuevas funcionalidades, ofertas o contenido relevante (puedes oponerte en cualquier momento).
Cumplimiento legal: obligaciones contables, fiscales y de protección al consumidor.

4. Base legal de cada tratamiento

Lista de espera (registros previos) y comunicaciones comerciales: tu consentimiento (art. 6.1.a RGPD).
Cuenta de usuario y prestación del servicio: ejecución de un contrato (art. 6.1.b RGPD).
Facturación y obligaciones contables: cumplimiento de obligación legal (art. 6.1.c RGPD).
Mejora del producto, prevención del fraude y seguridad: interés legítimo (art. 6.1.f RGPD).
Cookies analíticas y de marketing: tu consentimiento (art. 22 LSSI-CE).

5. Cuánto tiempo los conservamos

Lista de espera (registros previos): hasta que solicites la baja.
Cuenta de usuario: mientras mantengas la cuenta activa. Tras la baja, los datos identificativos y los relacionados con facturación se conservan durante los plazos legalmente exigibles (hasta 6 años por obligaciones contables y fiscales, art. 30 Código de Comercio y normativa tributaria).
Logs técnicos: el tiempo máximo permitido legalmente, con un mínimo necesario para fines de seguridad, auditoría y cumplimiento (Ley 25/2007 cuando aplique).
Datos de redes sociales conectadas: mientras mantengas la conexión activa. Cuando desconectes la cuenta o solicites su supresión, los datos asociados se eliminan.
Cookies: según se detalla en nuestra Política de cookies.

6. Con quién los compartimos

Para prestarte el servicio trabajamos con proveedores que actúan como encargados del tratamiento. Solo acceden a los datos estrictamente necesarios y bajo contrato de encargo (art. 28 RGPD). Estos son:

Proveedor	Finalidad	Ubicación
Supabase	Base de datos y autenticación	UE (eu-west-1)
Netlify	Hosting y entrega de la aplicación	EE. UU. (con SCC y EU-U.S. DPF)
Google Cloud	Infraestructura cloud	UE
Stripe	Procesamiento de pagos	EE. UU. (con SCC)
Resend, Loops	Email transaccional	UE / EE. UU. (con SCC)
Mailchimp, Brevo, Beehiiv, ActiveCampaign	Email marketing	UE cuando esté disponible / EE. UU. (con SCC)
Google Analytics 4, Mixpanel	Analítica de uso	EE. UU. (con SCC)
OneSignal	Notificaciones push de la aplicación (avisos de actividad de tu cuenta)	EE. UU. (con SCC)
Meta Platforms Ireland Ltd. (Facebook, Instagram, Threads)	Publicación en redes sociales conectadas vía OAuth (Graph API, Threads API) y, cuando aplique, pixels publicitarios	Irlanda / EE. UU. (con SCC y EU-U.S. DPF)
LinkedIn Ireland Unlimited Company	Publicación en perfil personal y/o páginas de empresa vía OAuth (Posts API, Community Management API) y, cuando aplique, conversion tracking	Irlanda / EE. UU. (con SCC y EU-U.S. DPF)
TikTok Technology Limited (Irlanda) y TikTok Information Technologies UK Limited	Publicación de contenido vía OAuth (Content Posting API) y, cuando aplique, pixels publicitarios	Irlanda / Reino Unido / Singapur / EE. UU. (con SCC)
X Corp., Pinterest, Google (YouTube, Google Business Profile)	Publicación en redes sociales conectadas y/o pixels publicitarios cuando se integren	EE. UU. / Internacional (con SCC)
HubSpot	CRM y soporte	UE / EE. UU. (con SCC)
Intercom, Crisp	Atención al cliente y chat	UE / EE. UU. (con SCC)
OpenAI, Anthropic, Google Vertex AI	Generación de contenido con IA	EE. UU. / UE según modelo (con SCC)

Cuando exista una obligación legal, también podemos compartir datos con autoridades públicas competentes (Agencia Tributaria, jueces, fuerzas y cuerpos de seguridad).

No vendemos ni cedemos tus datos a terceros con fines comerciales.

7. Transferencias internacionales

Algunos de nuestros proveedores tienen sede o servidores fuera del Espacio Económico Europeo, principalmente en Estados Unidos. En todos los casos garantizamos un nivel de protección adecuado mediante:

Adhesión del proveedor al EU-U.S. Data Privacy Framework cuando esté disponible.
Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea.
Selección preferente de regiones europeas siempre que el proveedor lo permita.
Medidas técnicas adicionales como cifrado y minimización de datos.

8. Conexión con redes sociales (datos de terceros)

8.1 Cómo se establece la conexión

Cuando conectas tus cuentas de redes sociales empresariales a ōrbita, la autenticación se realiza mediante el protocolo estándar OAuth 2.0. ōrbita nunca recibe ni almacena tu contraseña: la red social te identifica directamente y nos devuelve un token de acceso. Ese token se almacena cifrado en nuestra base de datos y se utiliza únicamente para las acciones que tú autorices (publicar contenido, leer métricas, refrescar permisos). Puedes revocar la conexión en cualquier momento desde ōrbita o desde la propia red social, lo que invalida el token de forma inmediata.

8.2 Doble papel jurídico de ōrbita

Respecto a los datos de tu propia cuenta (nombre público, foto de perfil, identificadores que la red nos devuelve al autenticarte), ōrbita actúa como responsable del tratamiento, por la base legal de ejecución del contrato (art. 6.1.b RGPD).

Respecto a los datos personales de tus seguidores, contactos o personas que interactúan con tus publicaciones (nombres públicos, comentarios, métricas agregadas), tú eres responsable del tratamiento y ōrbita actúa como encargada de tratamiento por cuenta tuya. Al activar la conexión y aceptar nuestros Términos y Condiciones se firma automáticamente un Acuerdo de Encargo de Tratamiento (DPA) que regula esta relación conforme al art. 28 RGPD.

8.3 Datos que recibimos de cada plataforma

Los datos exactos que ōrbita recibe dependen de los scopes (permisos) que autorices al conectar y de las funcionalidades de cada red. A continuación resumimos los principales para cada plataforma soportada.

Meta (Facebook Pages, Instagram Business/Creator, Threads): identificador y nombre público de tu página o cuenta, foto de perfil, token de acceso con permisos limitados (típicamente pages_show_list, pages_manage_posts, instagram_basic, instagram_content_publish, threads_basic, threads_content_publish y equivalentes), métricas agregadas de publicaciones y datos públicos de comentarios cuando proceda. Meta nos identifica como aplicación verificada y nos envía notificaciones automáticas si eliminas la app, conforme a su procedimiento Data Deletion Callback.
LinkedIn (perfil personal y páginas de empresa): identificador y nombre público, foto de perfil pública, token de acceso con permisos limitados (típicamente openid, profile, email, w_member_social para publicar como persona, y w_organization_social / r_organization_social para gestionar páginas de empresa cuando aplique). No accedemos a tu red de contactos ni a mensajes privados.
TikTok: identificador, nombre público y avatar, token de acceso con permisos limitados (típicamente user.info.basic, video.publish y/o video.upload). No accedemos a tus mensajes privados ni a la lista de cuentas que sigues.
Google (YouTube, Google Business Profile), X (Twitter), Pinterest: identificador, nombre público, token de acceso con los permisos mínimos necesarios para las funcionalidades activadas, cuando estas redes se integren en ōrbita.

8.4 Para qué usamos esos datos

Publicar contenido en tu nombre, cuando tú lo programes o autorices.
Mostrar tus métricas agregadas dentro de ōrbita (alcance, interacciones, audiencia).
Renovar los tokens de acceso de forma automática para que no tengas que reconectar continuamente.
Detectar errores técnicos en la integración y registrarlos en logs internos con retención mínima.

No usamos estos datos para publicidad de terceros, no los vendemos y no los compartimos con otros usuarios de ōrbita.

8.5 Cuánto tiempo conservamos los datos de redes

Mientras la conexión esté activa, conservamos los datos descritos arriba. Cuando desconectas una red (desde ōrbita o desde la propia plataforma) o eliminas tu cuenta, eliminamos los tokens, identificadores y métricas asociadas en un plazo máximo de 30 días, conforme a lo descrito en nuestras Instrucciones de eliminación de datos.

8.6 Eliminación de datos desde la red social (Meta)

Si eliminas ōrbita desde Facebook, Instagram o Threads (Configuración → Apps y sitios web → ōrbita → Eliminar), Meta nos envía automáticamente un Data Deletion Callback. Procesamos esa notificación y eliminamos los datos asociados a esa conexión, devolviendo un código de confirmación que puedes consultar desde la propia plataforma de Meta. Esta integración cumple con los requisitos de Meta para apps de terceros y forma parte de nuestro protocolo de eliminación de datos.

8.7 YouTube API Services y datos de Google

La integración de ōrbita con YouTube utiliza los YouTube API Services. Al conectar tu canal aceptas quedar vinculado por los Términos de Servicio de YouTube, y el tratamiento de los datos que Google nos facilita se rige además por la Política de Privacidad de Google.

A través de los YouTube API Services, ōrbita accede únicamente a los datos necesarios para las funcionalidades que actives: el identificador y el nombre de tu canal y un token de autorización para subir y programar, en tu nombre y con tu consentimiento, los vídeos que tú mismo programas. Usamos esos datos exclusivamente para publicar el contenido que tú programes y para mostrarte el estado de tus publicaciones dentro de ōrbita. ōrbita no lee mensajes ni datos privados de otros canales ni de terceros. El uso que hacemos de la información obtenida de las API de Google cumple la Política de Datos de Usuario de los Servicios de las API de Google (Google API Services User Data Policy), incluidos sus requisitos de Uso Limitado (Limited Use). No utilizamos estos datos para publicidad, no los vendemos y no los empleamos para entrenar modelos de inteligencia artificial.

Cuando conectas tu ficha de Google Business Profile, ōrbita accede al identificador de tu ficha y a un token de autorización para publicar, en tu nombre y con tu consentimiento, las publicaciones (posts) que tú programes. No accedemos a reseñas privadas ni a otros datos de tu cuenta de Google más allá de lo necesario para esa funcionalidad. Este tratamiento se rige igualmente por la Política de Privacidad de Google y por la Política de Datos de Usuario de los Servicios de las API de Google.

Puedes revocar el acceso de ōrbita a tus datos de YouTube, de Google Business Profile y de Google en general en cualquier momento, desde la propia ōrbita o desde la página de permisos de seguridad de tu cuenta de Google. Al revocar el acceso, los tokens e identificadores almacenados se eliminan conforme a la sección 8.5 y a nuestras Instrucciones de eliminación de datos.

9. Decisiones automatizadas e inteligencia artificial

ōrbita utiliza modelos de inteligencia artificial (proveedores: OpenAI, Anthropic, Google Vertex AI, entre otros) para generar contenido, sugerencias y planes de marketing. Esta generación se realiza siempre bajo solicitud o autorización del usuario: tú decides qué se redacta, qué se publica y cuándo.

Las decisiones automatizadas individuales que pudieran producir efectos jurídicos significativos están supervisadas por intervención humana (revisión y aprobación del usuario antes de publicar). Si en algún momento implementáramos un tratamiento que entrara en el ámbito del art. 22 RGPD, te informaríamos previamente y solicitaríamos consentimiento explícito.

Importante: los datos que envíes a estos modelos pueden ser tratados por proveedores fuera del EEE (principalmente EE. UU.). Aplicamos las garantías descritas en la sección 7 y, cuando es posible, configuramos los servicios para que no se utilicen tus datos para entrenar modelos (modos "no training" o equivalentes).

Procesamiento de la URL de tu empresa. Al introducir la dirección web de tu empresa durante el onboarding, autorizas a ōrbita a acceder al contenido público de esa URL y a procesarlo (incluyendo su envío a proveedores de IA bajo las condiciones descritas más arriba) con el único fin de precargar tu plan de marketing, catálogo de productos, preguntas frecuentes de tus clientes y elementos de marca dentro de tu cuenta. Este contenido no se utiliza para otros clientes, no se publica, y no se conserva más allá de lo necesario para construir esos elementos. Nuestro acceso a tu web se identifica con el User-Agent Orbita-Bot/1.0 para que puedas reconocerlo en tus logs.

9.1 Cumplimiento del Reglamento (UE) 2024/1689 — AI Act

ōrbita actúa como responsable del despliegue ("deployer") de sistemas de IA de propósito general según el Reglamento (UE) 2024/1689 (AI Act). No somos proveedor (provider) de modelos fundacionales, sino que integramos modelos de proveedores reconocidos.

Clasificación de riesgo: los usos que damos a la IA en ōrbita (generación de planes y contenido de marketing bajo supervisión humana) se clasifican como riesgo limitado. No utilizamos IA para sistemas de alto riesgo (Anexo III) ni para prácticas prohibidas (art. 5 AI Act): manipulación subliminal, scoring social, reconocimiento emocional en el trabajo, etc.
Transparencia (art. 50 AI Act): en la interfaz del producto, todo contenido generado o asistido por IA está claramente identificado como tal antes de su revisión por el Usuario.
Marcado de contenido generado: cuando el proveedor del modelo lo soporta, las salidas se entregan con marcadores técnicos (metadatos o marcas de agua) que permiten identificar su origen artificial, conforme al art. 50.2 AI Act.
Supervisión humana: el Usuario revisa y aprueba todo contenido antes de su publicación. ōrbita no publica de forma totalmente automatizada sin intervención humana.
Sin deepfakes ni biometría: ōrbita no genera audio, vídeo o imagen sintética que represente a personas reales de forma realista (deepfakes, art. 50.4 AI Act). Las imágenes utilizadas son las que el Usuario aporta o las que selecciona de catálogos lícitos.
No entrenamiento con tus datos: contratamos los servicios en modos que impiden el uso de los inputs/outputs del Usuario para entrenar modelos, cuando el proveedor lo permite.

El Usuario es informado en todo momento de qué partes del producto utilizan IA y conserva el derecho a no usarlas. Las obligaciones del Usuario respecto a la transparencia hacia su propia audiencia (cuando publica contenido asistido por IA) se detallan en los Términos y Condiciones.

10. Tus derechos

Como titular de los datos puedes ejercer los siguientes derechos en cualquier momento:

Acceso: saber qué datos tuyos tratamos.
Rectificación: corregir datos inexactos o incompletos.
Supresión ("derecho al olvido"): eliminar tus datos cuando ya no sean necesarios.
Oposición: oponerte a ciertos tratamientos basados en interés legítimo o marketing.
Limitación: restringir el tratamiento mientras se verifica una reclamación.
Portabilidad: recibir tus datos en formato estructurado y legible por máquina.
Retirada de consentimiento: en cualquier momento, sin afectar a la licitud del tratamiento previo.
No ser objeto de decisiones individuales automatizadas con efectos jurídicos significativos.

Para ejercer cualquiera de estos derechos, escríbenos a orbita@orbitasolutions.org indicando el derecho que deseas ejercer. Solo te solicitaremos un documento que acredite tu identidad si existen dudas razonables sobre quién realiza la solicitud, conforme al art. 12.6 RGPD.

Si consideras que no hemos atendido correctamente tu solicitud, puedes presentar reclamación ante la Agencia Española de Protección de Datos (AEPD): C/ Jorge Juan, 6, 28001 Madrid · www.aepd.es.

11. Medidas de seguridad

Aplicamos medidas técnicas y organizativas apropiadas al riesgo: cifrado en tránsito (HTTPS/TLS) y en reposo, control de accesos por roles, copias de seguridad, registro de actividades, autenticación de doble factor para personal con acceso a datos y revisiones periódicas de seguridad. Todos nuestros proveedores cumplen estándares equivalentes (ISO 27001, SOC 2 o similares).

12. Menores de edad

ōrbita no se dirige a menores de 16 años. No recogemos conscientemente datos de menores de esa edad. Si detectamos que se han recogido datos de un menor sin consentimiento parental, los eliminamos a la mayor brevedad. Si crees que un menor nos ha facilitado datos, escríbenos a orbita@orbitasolutions.org.

13. Cambios en esta política

Podemos actualizar esta política para reflejar cambios legales, técnicos o de producto. Cuando los cambios sean sustanciales, te lo comunicaremos por email o mediante un aviso destacado en la web con al menos 15 días de antelación. La fecha de la última actualización aparece al inicio de este documento.

¿Tienes alguna duda? Escríbenos a orbita@orbitasolutions.org y te respondemos en menos de 5 días hábiles.