Legal
Esta política explica cómo Pictro recopila, usa, almacena y protege datos personales conforme a la LGPD (Ley General de Protección de Datos de Brasil, Ley 13.709/2018) y, cuando aplica, al RGPD (Reglamento (UE) 2016/679) para titulares en el Espacio Económico Europeo.
Última actualización 19 de mayo de 2026
Versión 2, efectiva el 19 de mayo de 2026. La versión 1 (efectiva el 1 de octubre de 2025) se conserva como registro histórico para los usuarios que la aceptaron antes de esta fecha.
Esta es la versión 2 (v2) de la Política de Privacidad, vigente desde el 19 de mayo de 2026.
Cambios principales respecto a v1: (a) detalle de la base legal por actividad de tratamiento alineado con el Registro de Operaciones de Tratamiento (ROPA) del responsable; (b) descripción de la migración de la producción a GCP southamerica-east1 (São Paulo) y delimitación explícita de las transferencias internacionales a llamadas a proveedores de IA; (c) objetivo interno de hasta 48 horas para la notificación preliminar de incidentes de seguridad, sin perjuicio del plazo regulatorio definido por la ANPD (LGPD Art. 48); (d) ventanas de retención por clase de dato alineadas con el ROPA; (e) sección dedicada a los titulares en el Espacio Económico Europeo; (f) reafirmación verificada del control "MFA obligatorio en mutaciones sensibles de administrador", ahora aplicado por un gate `require_fresh_totp` del lado del servidor.
El texto histórico v1 está disponible bajo solicitud al Encargado en cvoalliance@cvoalliance.com.br.
Pictro es una plataforma de sesiones de fotos y restauración de imágenes con IA operada por CVO Alliance Ltda. (CNPJ brasileño 57.782.960/0001-78). Tratamos datos personales para entregar esas experiencias, gestionar cuentas, procesar pagos y cumplir las leyes aplicables.
Esta política aplica a todas las personas que interactúan con el servicio, incluyendo clientes, expertos, administradores, participantes de beta y visitantes del sitio.
Responsable: CVO Alliance Ltda., CNPJ brasileño 57.782.960/0001-78, situación registral activa desde 22/10/2024, CNAE principal 6319-4/00, con sede en Quadra CRS 516, Bloco B, Sala 66/69, Pavimento 1, Anexo Parte C0267 — Asa Sul — Brasília — DF, Brasil.
Encargado de Protección de Datos (DPO interno del responsable, en los términos del art. 41 de la LGPD y de la Resolución ANPD nº 18/2024): la propia CVO Alliance Ltda. actuando como Encargado interno. Canal oficial: cvoalliance@cvoalliance.com.br. El canal acepta solicitudes de titulares, comunicaciones formales de la Autoridad Nacional de Protección de Datos de Brasil (ANPD) y contacto del responsable.
Solo recopilamos los datos necesarios para prestar el servicio de forma efectiva y segura.
Información de cuenta: correo, nombre (opcional), hash de contraseña (Argon2id), idioma preferido, rol (cliente, experto, administrador), estado de verificación y aprobación.
Activos de la sesión o restauración: fotos de referencia que subes, prompts y parámetros de estilo, imágenes generadas por IA, metadatos técnicos del trabajo.
Datos de pago: correo e identificadores Stripe (sesión, intent, cliente). El número completo de la tarjeta (PAN) y el CVV nunca llegan a Pictro — los procesa directamente Stripe.
Datos de uso: información del dispositivo, logs de acceso (rutas y timestamps), métricas de engagement bajo consentimiento de analytics.
Datos de soporte: comunicaciones con nuestro soporte y expertos.
Características biométricas: rasgos faciales extraídos de las fotos que subes, usados exclusivamente para condicionar la generación de imágenes de ti mismo. NO realizamos identificación 1:N, autenticación por rostro, verificación de identidad, vigilancia ni cruce entre titulares.
Cada actividad tiene una base legal específica. El detalle completo está en el Registro de Operaciones de Tratamiento (ROPA), disponible bajo solicitud al Encargado.
Generación de sesiones y restauraciones por IA — Ejecución de contrato (LGPD Art. 7, V) para la prestación del servicio, combinada con consentimiento específico, informado e inequívoco (Art. 11, I) para el tratamiento de las características faciales extraídas de tus fotos. El consentimiento queda registrado en una hash chain SHA-256 append-only y se vuelve a solicitar en cada cambio de versión de la política.
Registro y autenticación (alta, login, recuperación de contraseña) — Ejecución de contrato (Art. 7, V).
Pagos y facturación — Ejecución de contrato (Art. 7, V) y obligación legal fiscal (Art. 7, II); los webhooks de Stripe se conservan 10 años como evidencia fiscal y regulatoria.
Comunicaciones transaccionales (confirmación de registro, restablecimiento de contraseña, finalización de un trabajo, alerta de fraude) — Ejecución de contrato (Art. 7, V).
Telemetría y logs operativos — Interés legítimo del responsable (Art. 7, IX), con prueba de ponderación documentada; las IP se anonimizan tras 90 días para uso a largo plazo.
Conjunto seudonimizado para mejora de modelos (solo beta) — Consentimiento específico, informado y revocable (Art. 7, I). Estrictamente opcional, nunca condiciona el uso del servicio (LGPD Art. 8 §6).
Marketing e investigación de producto — Consentimiento (Art. 7, I), con opt-out en cualquier momento.
Operar la generación de sesiones y restauraciones con IA, incluyendo la extracción de características faciales para condicionar la generación y la revisión por expertos cuando aplica.
Cobrar los créditos consumidos y cumplir obligaciones fiscales.
Brindar soporte al cliente, onboarding, respuesta a incidentes y recuperación de cuenta.
Detectar fraude y abuso, aplicar límites de uso y proteger la integridad de la plataforma.
Realizar analytics agregado e investigación de producto, solo después del consentimiento explícito para cookies no esenciales.
El uso de copias seudonimizadas de tus fotos para mejorar los modelos de IA es una autorización opcional y separada (LGPD Art. 8 §6). Puedes usar el servicio normalmente sin concederla.
Durante tu período beta gratuito (7 días por cuenta), puedes autorizar de forma separada que copias seudonimizadas de tus fotos enviadas y de las sesiones/restauraciones generadas se utilicen para mejorar los modelos de IA de Pictro.
Seudonimizado significa que, antes de cualquier uso para entrenamiento, eliminamos nombre, correo, identificadores directos y cualquier metadato que pueda vincular la copia a tu cuenta. La copia se conserva en un bucket separado dedicado exclusivamente a entrenamiento, con IAM propio.
La autorización para entrenamiento NO es necesaria para usar Pictro. Si no la concedes, el servicio funciona igual y no se guarda ninguna copia para entrenamiento.
Al finalizar tu beta, si no revocaste la autorización, creamos la copia seudonimizada y a continuación borramos las fotos y resultados asociados a tu cuenta. Si no autorizaste, solo borramos las fotos y resultados asociados a tu cuenta.
Puedes revocar la autorización en cualquier momento desde tus ajustes de privacidad. Tras la revocación, todas las copias seudonimizadas existentes vinculadas a ti entran en cuarentena durante 30 días y se eliminan definitivamente al finalizar ese período.
La base legal para el tratamiento de entrenamiento es exclusivamente tu consentimiento (LGPD Art. 7, I), revocable en cualquier momento. El conjunto seudonimizado NUNCA se usa para identificación 1:N, autenticación biométrica, verificación de identidad, vigilancia, perfilado de terceros o cruce entre titulares.
La infraestructura de producción de Pictro está alojada en Brasil, en la región GCP southamerica-east1 (São Paulo). Los datos de cuenta, las fotos cargadas y las imágenes generadas se almacenan en Brasil. Las transferencias internacionales se limitan a llamadas a proveedores de IA, pago y correo transaccional.
Tus datos personales — incluyendo correo electrónico, fotos cargadas, características faciales extraídas e imágenes generadas — se almacenan en servidores de Google Cloud Platform en la región southamerica-east1 (São Paulo, Brasil). Los registros operativos y los rastros de observabilidad generados por la aplicación se conservan, por defecto, en la misma región.
Excepción conocida (a cerrarse antes del cutover de producción): el bucket usado para el conjunto seudonimizado de entrenamiento (solo beta, bajo consentimiento opcional) permanece en una región fuera de Brasil durante la transición inicial; el ROPA registra esta excepción y su meta de migración a southamerica-east1 antes del cutover. Detalle en `docs/BRAZIL_DATA_RESIDENCY.md`.
Para generar tus imágenes, enviamos tus prompts y fotos de referencia a modelos de inteligencia artificial. Siempre que el modelo solicitado esté disponible en Brasil, procesamos tu solicitud en Vertex AI en southamerica-east1, sin transferencia internacional. Cuando el modelo solicitado aún no está disponible en Brasil, procesamos la solicitud en Vertex AI en una región de Google Cloud en Estados Unidos, y registramos ese hecho en nuestro registro de auditoría.
Adicionalmente, usamos OpenAI (Estados Unidos) como proveedor de generación de imágenes (modelo gpt-image-2) y para la moderación de contenido. OpenAI aún no ofrece procesamiento de datos en Brasil; por lo tanto, cada llamada a OpenAI constituye una transferencia internacional de datos. Estamos trabajando para inscribir nuestra cuenta de producción en el programa Zero Data Retention (ZDR) de OpenAI antes del cutover de producción; cuando el ZDR está activo, garantiza que tus prompts y respuestas no se utilizan para entrenar modelos de OpenAI y no se retienen durante el período predeterminado de hasta 30 días para auditoría interna de OpenAI, sujeto a las excepciones documentadas por OpenAI. Hasta verificar la activación del ZDR en la consola de OpenAI, deben considerarse vigentes las condiciones estándar de retención del proveedor.
Estas transferencias internacionales se realizan con base en el art. 33, inciso V de la LGPD (consentimiento específico y destacado del titular). Usted consiente estas transferencias al continuar utilizando Pictro después de esta pantalla. Puede revocar su consentimiento en cualquier momento contactando al Encargado de Protección de Datos: cvoalliance@cvoalliance.com.br.
Nunca vendemos datos personales. Las transferencias internacionales existen solo para llamadas a proveedores de IA, procesamiento de pagos y correo transaccional, cada una con sus propias salvaguardas.
Encargados que tratan datos por cuenta de Pictro:
• Google Cloud Platform (Brasil — southamerica-east1) — alojamiento, base de datos, almacenamiento. Encargado, con DPA de Google.
• Stripe Inc. (EE. UU.) — procesamiento de pagos. Encargado. PAN/CVV nunca llegan a Pictro. DPA de Stripe.
• Resend (EE. UU.) — envío de correo transaccional. Encargado. DPA de Resend.
• OpenAI (EE. UU.) — generación de imágenes por IA y moderación de contenido. Encargado. Cuenta inscrita en Zero Data Retention (ZDR): los prompts y completions no se retienen del lado de OpenAI. Sin entrenamiento de modelos sobre datos de la API de Pictro por defecto.
• Google Gemini / Vertex AI — preferimos llamar a Vertex AI en la región southamerica-east1 (Brasil). Cuando un modelo necesario aún no está disponible en la región BR, se realiza un fallback a la Gemini API externa (EE. UU.); cada uso del fallback emite un evento de auditoría interno `gemini_external_api_transfer` para la trazabilidad del Art. 33.
Bases legales de las transferencias internacionales (LGPD Art. 33): cláusulas contractuales tipo y DPAs con cada encargado; consentimiento específico para el uso de tus datos en llamadas a proveedores de IA (Art. 33, V), prestado durante la aceptación de estos Términos y de esta Política de Privacidad.
No compartimos datos personales con terceros con fines de marketing o venta. Los encargados anteriores actúan exclusivamente para prestar el servicio.
Cada categoría de dato tiene una ventana de retención definida; al finalizar la ventana, los datos se eliminan de forma duradera o se anonimizan, según corresponda.
Datos de cuenta (correo, nombre, hash de contraseña) — se conservan mientras la cuenta esté activa. Tras la eliminación (DSAR), anonimización o borrado en hasta 30 días, salvo retención requerida por ley.
Fotos de referencia subidas — vinculadas a la cuenta y entregadas por sesión autenticada; eliminadas por el `erasure_log` duradero al eliminar la cuenta, al finalizar el beta sin consentimiento de entrenamiento, o por las políticas de ciclo de vida del bucket (configuración actual visible en `docs/BRAZIL_DATA_RESIDENCY.md`; la ventana efectiva en producción sigue el valor configurado en la infraestructura como código).
Imágenes generadas — vinculadas a la cuenta y entregadas por sesión autenticada; eliminadas por el `erasure_log` duradero al eliminar la cuenta o por las políticas de ciclo de vida del bucket de salida (misma fuente canónica anterior).
Características biométricas extraídas — vinculadas a la cuenta; se eliminan junto con la cuenta en una DSAR de eliminación.
Copias seudonimizadas para entrenamiento (solo beta con consentimiento) — se retienen mientras el consentimiento siga activo; cuarentena de 30 días tras la revocación; hard-delete inmediato ante una DSAR de eliminación.
Logs de aplicación y telemetría operativa — 90 días (rotados por sweepers diarios).
Logs de auditoría administrativos y de seguridad — 12 meses, con rotación anual.
Webhooks de Stripe (cumplimiento fiscal) — 10 años, inmutables, conforme a las reglas fiscales y regulatorias brasileñas.
Outbox de correo transaccional (Resend) — 90 días por evento de entrega.
Puedes ejercer los derechos siguientes a través del canal del Encargado (cvoalliance@cvoalliance.com.br) o desde el centro de privacidad en la app. Nuestro objetivo interno es atender solicitudes válidas en hasta 15 días hábiles, prorrogables conforme al Art. 19 §3 de la LGPD; el procesamiento puede tomar más tiempo en casos complejos o que dependan de operadores externos, y esa extensión será comunicada al titular.
Confirmación de la existencia del tratamiento y acceso a los datos (Art. 18, I y II) — entregamos un paquete DSAR en formato estructurado (JSON) con el mapeo de las operaciones que mantenemos sobre ti.
Corrección de datos incompletos, inexactos o desactualizados (Art. 18, III) — disponible desde el perfil; las correcciones no cubiertas por la UI pueden solicitarse al Encargado.
Anonimización, bloqueo o eliminación de datos innecesarios, excesivos o tratados en disconformidad con la LGPD (Art. 18, IV).
Portabilidad de los datos (Art. 18, V) — paquete DSAR en JSON estructurado e interoperable.
Eliminación de los datos tratados con base en consentimiento (Art. 18, VI) — procesada por el servicio `ErasureService` con `erasure_log` duradero y reintentos; la cuenta permanece en estado `erasure_pending` hasta que todas las entradas concluyan.
Información sobre entidades públicas y privadas con las que compartimos datos (Art. 18, VII) — Sección 7 de esta política.
Información sobre la posibilidad de no otorgar consentimiento y sobre sus consecuencias (Art. 18, VIII).
Revocación del consentimiento (Art. 18, IX) — disponible directamente en la app para el consentimiento de entrenamiento; los demás consentimientos pueden revocarse mediante el canal del Encargado.
Para ejercer cualquier derecho, escribe a cvoalliance@cvoalliance.com.br o usa el centro de privacidad en la app. En caso de insatisfacción con la respuesta, puedes peticionar a la Autoridad Nacional de Protección de Datos de Brasil (ANPD).
Aplicamos controles técnicos y administrativos alineados con el ROPA, con postura fail-closed por defecto.
Autenticación: hashing de contraseñas con Argon2id, TOTP (RFC 6238) con almacenamiento Fernet en reposo y rate-limit dedicado, recovery codes HMAC-SHA256 con pepper y de uso único.
Sesión: cookies httpOnly + Secure + SameSite=Lax, CSRF por HMAC vinculado a la sesión, rotación de refresh tokens con detección de reuso y revocación de familia.
Control de acceso por rol (RBAC), aplicado del lado del servidor en cada ruta protegida.
MFA obligatorio para administradores y reautenticación TOTP fresca exigida en mutaciones sensibles de administrador (concesión y deducción de créditos, cambio de rol o estado de cuenta, edición de precios, cambios de prompt en producción, flujo DSAR, kill-switch, entre otras). El gate se aplica mediante la dependencia de servidor `require_fresh_totp` y se verifica con una prueba de cobertura que recorre todo el árbol de rutas administrativas en cada ejecución del conjunto. La lista completa de endpoints cubiertos vive en el documento interno `docs/ADMIN_REAUTH_COVERAGE.md`.
Cifrado en tránsito (TLS) y en reposo para datos sensibles y secretos (Fernet, con rotación de clave).
Validación de carga con verificación de magic bytes, re-encoding seguro y eliminación de EXIF.
Defensa anti-SSRF; normalización NFKC y eliminación de caracteres zero-width en todos los endpoints públicos; validación de webhooks firmados con protección anti-replay.
Moderación de contenido en múltiples capas (L1 OpenAI Omni Moderation, L2 clasificador LLM con fallback Gemini→OpenAI, L3 prompts contextualizados por rol) con política fail-closed y recurrence trap SHA-256.
Monitoreo continuo vía OpenTelemetry + Cloud Logging/Trace + Managed Prometheus, con alertas para fallos de firma de Stripe, picos de rate-limit y tasa de reintentos de workers, según `docs/RUNBOOK_MONITORING.md`.
En caso de incidente de seguridad que pueda generar riesgo o daño relevante a los titulares, notificaremos a la ANPD y a los titulares afectados en un plazo razonable definido por la Autoridad, con un objetivo interno de hasta 48 horas a partir de la confirmación interna del incidente.
La comunicación al titular contendrá, como mínimo: descripción de la naturaleza de los datos afectados, información sobre los titulares involucrados, indicación de las medidas técnicas y de seguridad utilizadas, riesgos relacionados al incidente, motivos de la demora cuando no haya sido inmediata y medidas adoptadas o por adoptar para revertir o mitigar los efectos.
Runbook operativo: `docs/INCIDENT_RESPONSE_RUNBOOK.md`.
Pictro está destinado a personas adultas. Al aceptar estos Términos confirmas que tienes al menos 18 años cumplidos. No tratamos intencionalmente datos de menores de 18 años.
Si tomamos conocimiento de que recopilamos datos de un menor de 18 años, cerraremos la cuenta y eliminaremos los datos asociados.
Para los titulares en el Espacio Económico Europeo (EEE) aplicamos el Reglamento (UE) 2016/679 (RGPD) además de la LGPD.
Bases legales (RGPD Art. 6) — ejecución del contrato, consentimiento, interés legítimo y cumplimiento de obligación legal, según la actividad descrita en la Sección 4.
Categorías especiales (RGPD Art. 9): las características faciales extraídas de tus fotos se tratan sobre la base del consentimiento explícito.
Derechos RGPD del titular — acceso, rectificación, supresión, limitación, portabilidad, oposición y derecho a no ser objeto de decisiones automatizadas. Se ejercen por los mismos canales descritos en la Sección 9.
Limitación del tratamiento (RGPD Art. 18) — la LGPD no tiene un análogo directo a este derecho. Para los titulares del EEE (y como cortesía regulatoria para los titulares en Brasil), el análogo operativo combina tres acciones: (a) revocar el consentimiento de uso de tus datos para el entrenamiento de modelos en el panel de Preferencias de Privacidad; (b) revocar el consentimiento de correo de marketing en el mismo panel o mediante el enlace de cancelación de suscripción presente en cada correo de marketing; y (c) solicitar la supresión (DSAR) si deseas terminar el tratamiento por completo. Los detalles operativos figuran en `docs/LGPD_ROPA.md` Sección 11.
Transferencias internacionales (RGPD Capítulo V) — cuando los datos de un titular del EEE se tratan por encargados fuera del EEE (Stripe, Resend, OpenAI, fallback externo Gemini), aplicamos Cláusulas Contractuales Tipo (SCC), donde estén ejecutadas, con cada encargado. La ejecución de las SCC con cada encargado y la evaluación Schrems II siguen en curso y son requisito previo para marketing activo dirigido al EEE.
Representante en la Unión Europea (RGPD Art. 27): la designación formal del representante en la UE para los titulares del EEE está en curso. Hasta la publicación del representante nominal, los contactos pueden dirigirse al Encargado en cvoalliance@cvoalliance.com.br.
Autoridad de control: los titulares del EEE pueden reclamar ante su autoridad nacional de protección de datos.
Los titulares en el Espacio Económico Europeo u otra jurisdicción RGPD pueden oponerse en cualquier momento al tratamiento de datos personales basado en el interés legítimo del responsable (RGPD Art. 6(1)(f)).
Si te encuentras en el Espacio Económico Europeo o en otra jurisdicción sujeta al RGPD, tienes derecho a oponerte en cualquier momento al tratamiento de tus datos personales cuando dicho tratamiento se base en nuestros intereses legítimos (RGPD Art. 6(1)(f)).
Actualmente recurrimos al interés legítimo únicamente para: (a) seguridad del servicio y prevención de fraude — incluyendo rate-limiting, análisis de señales anómalas de sesión y avisos para activar la autenticación multifactor; y (b) tratamiento preparatorio de marketing antes del consentimiento explícito — reservado para el escenario en que ofrezcamos comunicaciones de marketing en el EEE, hoy desactivadas (la activación depende de TASK-36-E1).
Para ejercer el derecho de oposición, contacta al Encargado de Protección de Datos en cvoalliance@cvoalliance.com.br o utiliza el centro de privacidad en la app. Tras recibir la oposición, detendremos el tratamiento en cuestión, salvo que acreditemos motivos legítimos imperiosos para el tratamiento que prevalezcan sobre tus intereses, derechos y libertades, o que el tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones — en cuyo caso justificaremos por escrito el mantenimiento del tratamiento.
Cuando la oposición se refiera al tratamiento con fines de marketing directo (incluyendo cualquier elaboración de perfiles asociada), el tratamiento se interrumpirá sin necesidad de ponderación adicional (RGPD Art. 21(2)-(3)).
Notificaremos a los titulares por correo y por alertas en la app antes de que cambios materiales entren en vigor.
Cuando la versión de la política avanza, la app solicita la re-aceptación de los términos en el siguiente acceso autenticado mediante un diálogo bloqueante; hasta que aceptes, puedes salir por la opción "Cerrar sesión" sin registrar la aceptación. Detalles del flujo de transición en `docs/PRIVACY_POLICY_V2_MIGRATION.md`.
La fecha de "Última actualización" en la parte superior de esta página refleja la revisión más reciente.
Para dudas, ejercicio de derechos o reclamaciones, contacta al Encargado: cvoalliance@cvoalliance.com.br.
También puedes peticionar a la Autoridad Nacional de Protección de Datos de Brasil (ANPD) si crees que tus derechos fueron vulnerados.