Política de retención de datos

1. Propósito y alcance

Esta Política de Retención y Destrucción de Datos («Política») describe cuánto tiempo Renji Labs, Inc. («Renji Labs», «nosotros», «nuestro» o «nos») conserva cada categoría de información personal procesada en relación con Kaiary, y cómo se elimina esa información de manera permanente cuando ya no se necesita.

Esta Política busca cumplir con nuestras obligaciones bajo las leyes aplicables, incluida la Norma de Protección de la Privacidad en Línea de los Niños (COPPA), que prohíbe la retención indefinida de la información personal de los niños; la Ley de Privacidad de la Información Biométrica de Illinois (BIPA), que exige un calendario público y por escrito de retención y destrucción de los identificadores biométricos; y obligaciones equivalentes bajo leyes biométricas estatales (CUBI de Texas, RCW 19.375 de Washington), la Ley de Privacidad del Consumidor de California (modificada por la CPRA) y el Reglamento General de Protección de Datos de la UE (RGPD).

Resumen sencillo: el contenido familiar permanece mientras tu cuenta esté activa y se elimina dentro de los 30 días posteriores al cierre de la cuenta. Los datos biométricos faciales se destruyen cuando desactivas el reconocimiento facial, eliminas las fotos subyacentes o cierras tu cuenta — lo que ocurra primero — y, en cualquier caso, se destruyen dentro de los tres años posteriores a tu última interacción con la función. Los registros y los datos de analítica se conservan por períodos limitados y definidos. Algunos registros financieros se conservan más tiempo cuando la ley fiscal lo exige. No conservamos ningún dato de manera indefinida.

2. Definiciones

Información personal. Según se define en nuestra Política de privacidad.
Contenido familiar. Entradas de diario, fotos, videos, grabaciones de audio, leyendas, eventos importantes y otro contenido que los usuarios crean o suben.
Datos biométricos. Vectores de geometría facial (incrustaciones faciales) extraídos de las fotos cuando un usuario opta por el reconocimiento facial. Las imágenes faciales en bruto se almacenan como contenido familiar común; solo la incrustación se considera dato biométrico a efectos de esta Política.
Información personal de menores. Información personal de cualquier persona menor de 18 años, incluidos imágenes, audio, nombres, fechas de nacimiento y datos biométricos de menores que aparezcan como sujetos en el contenido familiar. Los titulares de cuenta deben tener al menos 18 años; esta categoría se refiere por tanto a la información sobre menores que los usuarios adultos proporcionan.
Cuenta activa. Una cuenta que no ha sido eliminada, ya sea por el usuario o por nosotros conforme a nuestras condiciones.
Eliminación permanente. Eliminación de los sistemas de producción y de todos los respaldos retenidos dentro de los plazos indicados en esta Política, de manera que se impida la reconstrucción de los datos.

3. Principios de retención

Nuestras prácticas de retención se rigen por cuatro principios:

Limitación por finalidad. Conservamos la información personal solo el tiempo necesario para el propósito por el cual se recopiló, más cualquier período exigido o permitido por la ley.
Sin retención indefinida. Cada categoría de información personal tiene un período máximo de retención definido.
Control del usuario. Los usuarios pueden eliminar elementos de contenido individuales, desactivar funciones opcionales o eliminar toda su cuenta en cualquier momento.
Protección reforzada para categorías sensibles. La Información personal de menores y los Datos biométricos están sujetos a las ventanas de retención más breves posibles y a los requisitos de destrucción más estrictos.

4. Calendario de retención

La siguiente tabla especifica, para cada categoría de información personal, el evento que inicia el reloj de retención, el período máximo de retención y la base para ese período. Salvo que se indique lo contrario, todos los plazos corren desde el evento de inicio.

Categoría de datos

Período de retención

Evento de inicio y fundamento

Información de cuenta (nombre, correo, teléfono, credenciales de autenticación, perfil)

Durante la vida de la Cuenta activa; se elimina dentro de los 30 días posteriores a la eliminación de la cuenta.

Inicio: eliminación de la cuenta. Fundamento: necesario para prestar el servicio mientras la cuenta esté activa; período razonable de cierre tras la eliminación.

Contenido familiar (fotos, videos, entradas de diario, grabaciones de audio, leyendas, eventos importantes)

Durante la vida de la Cuenta activa, o hasta que el usuario elimine el elemento; se elimina dentro de los 30 días posteriores a la eliminación de la cuenta.

Inicio: eliminación del elemento por el usuario o eliminación de la cuenta. Fundamento: propósito principal del servicio.

Datos biométricos (incrustaciones faciales)

Hasta lo que ocurra primero entre: (a) el usuario desactiva el reconocimiento facial, (b) el usuario elimina las fotos asociadas, (c) eliminación de la cuenta o (d) tres (3) años después de la última interacción del usuario con la función de reconocimiento facial. Se destruyen dentro de los 30 días posteriores a cualquiera de estos eventos.

Inicio: cualquiera de (a)–(d). Fundamento: BIPA (máximo de 3 años desde la última interacción), leyes biométricas estatales y nuestro propio compromiso de privacidad.

Información personal de menores (imágenes, audio, nombres, datos biográficos, datos biométricos que muestren a menores)

Igual que la categoría subyacente (Contenido familiar o Datos biométricos), pero nunca más tiempo que la Cuenta activa del usuario; se elimina dentro de los 30 días posteriores a la eliminación de la cuenta.

Inicio: eliminación por el usuario o eliminación de la cuenta. Fundamento: prohibición de COPPA contra la retención indefinida; principio de minimización de datos para menores.

Tokens de notificaciones push

Durante la vida de la Cuenta activa o hasta que se desactiven las notificaciones push; se eliminan dentro de los 30 días.

Inicio: desactivación de notificaciones push o eliminación de la cuenta. Fundamento: necesario para enviar las notificaciones solicitadas.

Datos de ubicación precisa (vinculados a entradas de diario)

Durante la vida de la entrada, o hasta que el usuario la elimine o revoque el permiso de ubicación. Vinculado a la retención del Contenido familiar.

Inicio: eliminación de la entrada, revocación del permiso o eliminación de la cuenta. Fundamento: funcionalidad de la característica.

Registros de suscripción, facturación y compras

Hasta siete (7) años después de la transacción o del fin de la suscripción.

Inicio: fin de la transacción o suscripción. Fundamento: requisitos de conservación de registros fiscales federales y estatales de los EE. UU.

Registros de auditoría de autenticación y seguridad

Hasta doce (12) meses.

Inicio: creación del registro. Fundamento: investigaciones de seguridad, detección de fraude y respuesta a incidentes.

Registros de aplicación e infraestructura (no relacionados con seguridad)

Hasta 90 días.

Inicio: creación del registro. Fundamento: depuración operativa.

Datos de diagnóstico de fallos y rendimiento (Sentry)

Hasta 90 días.

Inicio: captura del evento. Fundamento: investigación de errores y calidad del producto.

Eventos de analítica de producto (PostHog)

Hasta veinticuatro (24) meses.

Inicio: captura del evento. Fundamento: analítica longitudinal de producto; minimización de datos más allá de esta ventana.

Datos de atribución publicitaria y conversión compartidos con socios publicitarios (Google Ads, Meta, AppsFlyer)

Según la política de retención publicada por cada socio (típicamente entre 90 días y 540 días). En nuestros sistemas, los registros de eventos de conversión se conservan hasta veinticuatro (24) meses.

Inicio: captura del evento. Fundamento: medición e informes de campañas.

Listas de correo de marketing

Hasta que el usuario se dé de baja. Los registros de baja se conservan de manera indefinida según se requiera para evitar volver a contactar.

Inicio: cancelación de suscripción. Fundamento: CAN-SPAM, artículo 17 del RGPD y requisitos equivalentes de listas de supresión.

Tickets y correspondencia de soporte al cliente

Hasta tres (3) años después de la resolución.

Inicio: resolución del ticket. Fundamento: resolución de disputas y mejora de la calidad.

Registros de consentimiento (aceptación de la política de privacidad, consentimiento biométrico)

Durante la vida de la Cuenta activa, más cinco (5) años después de la eliminación de la cuenta o de la revocación del consentimiento.

Inicio: eliminación de la cuenta o revocación del consentimiento. Fundamento: defensibilidad legal del consentimiento bajo BIPA, RGPD y leyes biométricas estatales.

Registros de eliminación de cuenta (el hecho de que una cuenta fue eliminada, más metadatos mínimos)

Hasta doce (12) meses.

Inicio: eliminación de la cuenta. Fundamento: prevención de fraude y auditoría.

Respaldos cifrados (base de datos y almacenamiento)

Retención rotativa de 30 días. Los datos eliminados de un usuario pueden persistir en los respaldos hasta 30 días después de la eliminación.

Inicio: creación del respaldo. Fundamento: continuidad del negocio, recuperación ante desastres y límites prácticos del «derecho al olvido».

Datos agregados y anonimizados que no pueden vincularse a una persona

Pueden conservarse de manera indefinida para analítica, investigación y mejora del producto.

Inicio: anonimización. Fundamento: los datos ya no son información personal.

5. Métodos de destrucción

Cuando termina un período de retención, eliminamos los datos correspondientes mediante métodos apropiados al medio de almacenamiento:

Registros de base de datos. Se eliminan físicamente de la base de datos de producción. La eliminación suave no se utiliza como estado final.
Almacenamiento de objetos (fotos, videos, audio). Se eliminan de Amazon S3 de manera que los objetos ya no puedan recuperarse. Las copias de objetos versionadas se purgan en el mismo calendario.
Incrustaciones biométricas. Se eliminan del índice pgvector en PostgreSQL.
Copias en caché y de la red de distribución de contenido. Se invalidan y purgan de CloudFront.
Registros. Caducan del almacenamiento de registros conforme a las ventanas de retención indicadas arriba.
Respaldos. Los respaldos cifrados que contienen datos eliminados se rotan dentro de la ventana documentada de retención de respaldos. Las claves de cifrado de los respaldos retirados también se destruyen.
Procesadores externos. Cuando los datos están en manos de un proveedor (p. ej., Sentry, PostHog, AppsFlyer, RevenueCat, SendGrid), propagamos las solicitudes de eliminación al proveedor y nos basamos en su proceso de eliminación documentado. Las ventanas de retención de los proveedores se indican arriba cuando difieren de las nuestras.

6. Eliminación iniciada por el usuario

6.1 Eliminar contenido individual

Puedes eliminar fotos, videos, grabaciones de audio, entradas de diario y otros elementos individuales en cualquier momento dentro de la aplicación. Los elementos eliminados se retiran de los sistemas activos de inmediato y de los respaldos dentro de la ventana estándar de rotación de 30 días.

6.2 Eliminar datos biométricos

Puedes desactivar el reconocimiento facial o eliminar tus datos de reconocimiento facial en cualquier momento desde Ajustes > Cuenta > Reconocimiento facial. Eliminar los datos biométricos no elimina las fotos subyacentes. La eliminación biométrica se propaga dentro de 30 días.

6.3 Eliminar tu cuenta

La eliminación de cuenta está disponible en Ajustes > Cuenta > Eliminar cuenta. El flujo de eliminación guía a los propietarios a través de las decisiones de transferencia de propiedad o eliminación de la familia, y requiere confirmación explícita. Una vez confirmada, toda la información personal asociada con tu cuenta — incluido el Contenido familiar, los Datos biométricos y los metadatos de la cuenta — se elimina de los sistemas activos y se propaga a través de los respaldos en un plazo de 30 días.

También puedes solicitar la eliminación por correo a privacy@kaiary.ai o support@kaiary.ai.

7. Disposiciones especiales para los Datos biométricos

De conformidad con la Ley de Privacidad de la Información Biométrica de Illinois (740 ILCS 14/) y leyes estatales análogas, Renji Labs se compromete a lo siguiente con respecto a los datos de geometría facial:

Propósito. Los datos biométricos se recopilan con el único fin de etiquetar automáticamente los rostros y organizar las fotos dentro del grupo familiar del usuario.
Retención. Los datos biométricos se conservan hasta lo que ocurra primero entre (a) el usuario desactiva el reconocimiento facial, (b) el usuario elimina las fotos asociadas, (c) eliminación de la cuenta o (d) tres años desde la última interacción del usuario con la función de reconocimiento facial.
Destrucción. Cuando ocurre cualquiera de los eventos anteriores, los datos biométricos se destruyen dentro de 30 días utilizando los métodos descritos en la Sección 5.
Sin venta. No vendemos, ni venderemos, arrendaremos, intercambiaremos ni obtendremos beneficios de los datos biométricos.
Sin intercambio con terceros. Los datos biométricos se procesan exclusivamente en la infraestructura auto-alojada de Renji Labs y no se comparten con ningún tercero, incluidos socios publicitarios, proveedores de analítica o servicios de IA de terceros.
Registro de auditoría. El consentimiento para la recopilación biométrica se registra con marca temporal, dirección IP, agente de usuario, fuente del consentimiento y los reconocimientos específicos otorgados.

8. Disposiciones especiales para la Información personal de menores

Aunque las cuentas de Kaiary solo pueden ser creadas por personas mayores de 18 años, el contenido familiar incluye con frecuencia imágenes, audio y datos biográficos sobre menores. De conformidad con la Norma de Protección de la Privacidad en Línea de los Niños, aplicamos las siguientes prácticas de retención reforzadas:

Sin retención indefinida. La Información personal de menores nunca se conserva de forma indefinida. La retención se rige por la regla de Cuenta activa anterior y por la eliminación iniciada por el usuario.
Eliminación a solicitud del padre o tutor. El titular adulto de la cuenta puede eliminar cualquier elemento que muestre a su hijo o hija — o todos esos elementos — en cualquier momento desde la aplicación. El adulto también puede solicitar la eliminación a través de privacy@kaiary.ai.
Sin uso publicitario o de analítica. La Información personal de menores nunca se comparte con socios publicitarios o de analítica.
Solo procesamiento auto-alojado. Las funciones de IA que procesan contenido en el que aparecen menores — reconocimiento facial, leyendas, búsqueda — se ejecutan exclusivamente en la infraestructura de Renji Labs. Ningún servicio de IA de terceros recibe imágenes, audio o video que muestren a menores.

9. Excepción por retención legal

Si la ley nos exige preservar datos — por ejemplo, en respuesta a una citación válida, una orden judicial o una solicitud regulatoria —, los datos afectados pueden conservarse más allá de los períodos indicados en esta Política durante la duración de la retención legal. Minimizamos el alcance de cualquier retención legal y reanudamos la eliminación normal tan pronto como termina la obligación.

10. Respaldos y el «derecho al olvido»

Los respaldos cifrados son esenciales para la recuperación ante desastres. Cuando eliminas datos o cierras tu cuenta, esos datos se retiran de los sistemas activos de inmediato, pero pueden permanecer copias en los respaldos rutinarios hasta 30 días. Los respaldos están cifrados, son objeto de control de acceso y se utilizan únicamente para operaciones de recuperación. No restauramos datos de usuario eliminados desde los respaldos, salvo en el caso de un incidente documentado de recuperación ante desastres, y cualquier dato restaurado se vuelve a eliminar tan pronto como se resuelve el incidente.

11. Transferencias internacionales de datos

Los datos se almacenan en los Estados Unidos. Si transferimos datos fuera de su país de origen, lo hacemos utilizando mecanismos lícitos de transferencia (como las Cláusulas Contractuales Tipo para transferencias desde el Espacio Económico Europeo). Los períodos de retención de esta Política se aplican sin importar dónde se almacenen los datos.

12. Revisión y modificación de la Política

Esta Política se revisa al menos una vez al año y se actualiza cuando hay un cambio sustantivo en nuestras actividades de procesamiento, infraestructura, relaciones con proveedores o leyes aplicables. La fecha de «Última actualización» en la parte superior de este documento refleja la revisión más reciente. Los cambios sustantivos se resumen en nuestra Política de privacidad y pueden comunicarse a los usuarios a través de la aplicación o por correo electrónico.

13. Contacto

Para preguntas sobre esta Política o para ejercer tus derechos de eliminación, comunícate con:

Privacidad

Renji Labs, Inc.

2093 Philadelphia Pike #6689

Claymont, DE 19703

Correo electrónico: privacy@kaiary.ai