Política de Privacidad

1.1 Información recopilada automáticamente

Geolocalización (solo a nivel de país)
Cuando visita el Servicio, detectamos su país aproximado mediante su dirección IP (a través de nuestro proveedor de hosting, Vercel). Almacenamos el código de país detectado en una cookie del navegador (flip-country) para mostrar el currículo correcto de su región y aplicar precios basados en la paridad del poder adquisitivo. No almacenamos su dirección IP, ciudad ni ubicación precisa.

Registros del servidor (Logs)
Nuestro proveedor de hosting (Vercel) recopila automáticamente datos estándar de registro del servidor, incluyendo direcciones IP, tipo de navegador, URLs de referencia, páginas visitadas y marcas de tiempo. Vercel mantiene estos registros de acuerdo con su política de privacidad para garantizar la seguridad de la infraestructura y el control del rendimiento.

Identificadores de límite de tasa (Rate-Limit)
Para prevenir el abuso y garantizar límites de uso justo, utilizamos Upstash Redis para almacenar direcciones IP cifradas (hashed) y, en el caso de usuarios autenticados, IDs de usuario. Estos identificadores se utilizan exclusivamente para la limitación de tasa y no están vinculados a la actividad de navegación ni a perfiles personales.

Seguimiento de generación anónima
Asignamos un identificador anónimo aleatorio (almacenado en la cookie flip-anon-id) para rastrear el número de misiones generadas antes de la creación de una cuenta. Este identificador no contiene información personal y se utiliza únicamente para aplicar los límites de generación anónima (se requieren 2 misiones antes de solicitar el registro).

1.2 Información que usted proporciona

Datos para la generación de Misiones
Al generar una Misión, usted proporciona una selección de tema curricular, una metodología de aprendizaje activo, el tamaño de la clase (número de alumnos) y el tiempo disponible (en minutos). Esta información se utiliza exclusivamente para generar su Misión y no está vinculada a ninguna identidad personal.

Información de la cuenta
Cuando crea una cuenta, recopilamos su nombre, dirección de correo electrónico, nombre del centro educativo o institución (opcional) y la URL de su avatar. La autenticación se gestiona mediante un enlace mágico (magic link) por correo electrónico o mediante el inicio de sesión único (SSO) de Google a través de Supabase Auth. Durante el registro, puede optar por recibir comunicaciones de marketing mediante una casilla de consentimiento explícito (desmarcada por defecto en la UE/EEE/Reino Unido y Brasil).

Información de pago
El procesamiento de los pagos es gestionado por Stripe. Almacenamos su ID de cliente de Stripe y el estado de su suscripción, pero no almacenamos su número completo de tarjeta de crédito, cuenta bancaria ni otras credenciales de pago sensibles en nuestros servidores. El tratamiento de sus datos de pago por parte de Stripe se rige por su propia política de privacidad.

Comunicaciones
Si contacta con nosotros en legal@flipeducation.ai o por cualquier otro canal, podremos recopilar su nombre, correo electrónico y el contenido de su mensaje.

Correo electrónico y Marketing
Recopilamos su dirección de correo electrónico al registrarse para comunicaciones transaccionales (verificación de cuenta, recibos de facturación, avisos de fallo en el pago). Con su consentimiento, también enviamos correos de marketing que incluyen contenidos sobre metodologías, actualizaciones del producto y contenido educativo. Puede darse de baja de los correos de marketing en cualquier momento mediante el enlace de baja con un solo clic.

1.3 Información almacenada en su dispositivo y en la nube

Para usuarios anónimos (no autenticados), las Misiones generadas se guardan en el almacenamiento local (local storage) de su navegador. Estos datos permanecen en su dispositivo y no se transmiten a nuestros servidores.

Para usuarios autenticados, las Misiones se almacenan tanto localmente en su navegador como en nuestra base de datos en la nube (Supabase). El almacenamiento en la nube permite el acceso desde múltiples dispositivos y la persistencia de los datos más allá del almacenamiento del navegador. Puede eliminar Misiones individuales de su cuenta en cualquier momento.

Puede borrar los datos almacenados localmente en cualquier momento limpiando el almacenamiento local de su navegador.

Utilizamos la información recopilada para:

• Prestar el Servicio: generar Misiones basadas en su asignatura, metodología y parámetros del aula.
• Gestionar su cuenta: autenticar su identidad, mantener su suscripción y sincronizar sus Misiones entre dispositivos.
• Procesar pagos: gestionar la facturación, suscripciones y precios por paridad de poder adquisitivo a través de Stripe.
• Mejorar el Servicio: analizar patrones de uso agregados y anonimizados para mejorar nuestros modelos de IA, ampliar la cobertura curricular y desarrollar nuevas funciones.
• Comunicarnos con usted: responder a sus consultas, enviar correos transaccionales (enlaces mágicos, recibos, avisos de pago, confirmaciones de eliminación de cuenta) y (con su consentimiento) enviar correos de marketing.
• Garantizar la seguridad: detectar y prevenir fraudes, abusos y problemas técnicos mediante la limitación de tasa y protección contra bots.
• Cumplir con obligaciones legales: satisfacer los requisitos legales, regulatorios y contractuales aplicables.

No utilizamos su información para:

• Vender sus datos personales a terceros.
• Servir publicidad ni permitir anuncios de terceros en el Servicio.
• Crear perfiles de comportamiento individuales con fines de marketing.
• Tomar decisiones automatizadas que produzcan efectos legales que le afecten.

3.1 Cómo se utiliza la IA

El núcleo de nuestro Servicio utiliza inteligencia artificial (específicamente, el modelo de lenguaje Gemini de Google, accedido a través de la API de OpenRouter) para generar el contenido de las Misiones. Al generar una Misión, se envía la siguiente información no personal al modelo de IA:

• Título del tema curricular, descripción, preguntas clave y códigos de alineación con los estándares (competencias)
• Nombre de la metodología de aprendizaje activo, descripción y parámetros
• Tamaño de la clase, curso, tiempo disponible y contexto del país

3.2 Qué NO se envía a la IA

No enviamos nada de lo siguiente a los proveedores de IA: su nombre, correo electrónico o cualquier identificador personal; nombres de alumnos o cualquier dato del alumnado; nombre del centro educativo o detalles institucionales; su dirección IP o información del dispositivo.

3.3 Imágenes, medios y contenido multimodal generado por IA

El Servicio puede generar imágenes educativas, ilustraciones, diagramas y otros contenidos visuales o multimedia utilizando modelos de generación de IA (actualmente a través de la API de OpenRouter). Solo se envía al modelo un "prompt" de texto que describe el contenido educativo deseado. No se incluye ningún dato personal (incluyendo nombres, rasgos físicos, información de alumnos o detalles institucionales) en ninguna solicitud de generación de medios.

Los medios generados por IA pueden ser almacenados temporalmente en caché o registrados por el proveedor de IA de acuerdo con sus términos de procesamiento de datos. Flip Education no almacena de forma persistente estos medios en sus propios servidores; el contenido generado se entrega a su navegador y se almacena localmente en su dispositivo o en su cuenta en la nube (ver Sección 1.3).

A medida que introduzcamos nuevas capacidades de IA (que pueden incluir audio, vídeo o contenido interactivo), se aplicarán los mismos principios de minimización de datos: enviamos solo la información mínima no personal necesaria y ningún dato personal se incluye en las solicitudes, independientemente del tipo de contenido o modelo de IA utilizado.

3.4 Proveedores de IA externos

Nuestro procesamiento de IA lo realizan proveedores externos. Los datos enviados a estos proveedores están sujetos a sus propias políticas de privacidad. Seleccionamos proveedores de IA que se comprometen a no entrenar sus modelos con las entradas de nuestra API. No obstante, le recomendamos revisar directamente las políticas de privacidad de dichos proveedores.

Podemos cambiar, añadir o sustituir proveedores de IA con el tiempo según evolucione la tecnología. Al hacerlo, aplicamos los mismos criterios de selección: deben ofrecer términos que prohíban el entrenamiento con nuestros datos, admitir cifrado en tránsito y cumplir con los estándares de protección de datos aplicables. Actualizaremos la tabla de proveedores en la Sección 5.1 para reflejar cambios significativos.

3.5 Seguridad del contenido y gobernanza de la IA

Implementamos medidas de seguridad comercialmente razonables en todos los resultados generados por IA, incluyendo filtros de contenido y criterios de selección de modelos. Estas medidas están diseñadas para reducir (pero no pueden eliminar por completo) el riesgo de que la IA genere contenido sesgado, estereotipado o culturalmente inapropiado.

Mantenemos un proceso interno de gobernanza de IA para evaluar nuevos modelos antes de su despliegue, revisar informes de seguridad enviados por los usuarios (ver nuestros Términos de Servicio, Sección 6.5) y actualizar nuestras medidas de seguridad según evolucionen las mejores prácticas y los requisitos regulatorios.

Si encuentra contenido generado por IA que considere inapropiado, sesgado o perjudicial, por favor infórmenos en feedback@flipeducation.ai.

4.1 Cookies que utilizamos

4.2 Cookies de terceros

Cuando usted consiente el uso de cookies analíticas (o en países donde el consentimiento no es requerido por ley), se pueden instalar las siguientes cookies de terceros:

• Google Analytics 4 (_ga, _ga_*): Utilizadas para analítica web agregada. Desplegadas a través de Google Tag Manager con integración de Google Consent Mode v2.
• PostHog: Utilizada para analítica de producto y reproducción de sesiones. Los datos de PostHog se alojan en la UE. Las entradas de formularios se ocultan automáticamente en las grabaciones de sesión.

Ambos servicios de analítica están sujetos a consentimiento en los países bajo el RGPD y la LGPD. No se instalan cookies analíticas hasta que usted otorgue su consentimiento.

4.3 Consentimiento de cookies

Utilizamos un modelo de consentimiento de tres zonas:

• Cookies esenciales: Siempre activas. Necesarias para el funcionamiento del Servicio (autenticación, detección de país, almacenamiento de consentimiento).
• Cookies funcionales: Admiten funciones como el seguimiento de generación anónima. No se utilizan para publicidad.
• Cookies analíticas: Sujetas a consentimiento. Solo se instalan tras aceptar las analíticas en el banner de consentimiento.

Se muestra un banner de consentimiento de cookies a los visitantes en países con requisitos legales (RGPD: ES, FR, DE, IT, etc.; LGPD: BR). Puede aceptar o rechazar las cookies analíticas. En países sin requisitos específicos, las analíticas funcionan con recopilación de datos anonimizados y agregados.

Nos integramos con Google Consent Mode v2, lo que significa que las etiquetas de Google respetan sus opciones de consentimiento automáticamente.

4.4 Sus opciones sobre las cookies

Puede gestionar sus preferencias mediante el banner de consentimiento o a través de los ajustes de su navegador. Tenga en cuenta que desactivar las cookies esenciales puede impedir que el Servicio funcione correctamente.

No vendemos, alquilamos ni comercializamos su información personal. Podemos compartir información en las siguientes circunstancias limitadas:

5.1 Proveedores de servicios

5.2 Requerimientos legales

Podemos divulgar su información si así lo exige la ley, una orden judicial o una regulación gubernamental, o si creemos de buena fe que dicha acción es necesaria para: (a) cumplir con una obligación legal; (b) proteger y defender nuestros derechos o propiedad; (c) prevenir fraudes o proteger contra amenazas de seguridad; o (d) proteger la seguridad personal de los usuarios o del público.

5.3 Transferencias de negocio

Si Flip Education participa en una fusión, adquisición, venta de activos o quiebra, su información podría ser transferida como parte de esa transacción. Le notificaremos antes de que su información pase a estar sujeta a una política de privacidad diferente.

Correos transaccionales

Enviamos los siguientes correos transaccionales necesarios para el funcionamiento de su cuenta, los cuales no incluyen opción de baja:

• Correos de inicio de sesión mediante enlace mágico
• Recibos de facturación y confirmaciones de pago
• Notificaciones de fallo en el pago
• Confirmaciones de eliminación de cuenta

Correos de marketing

Con su consentimiento, enviamos correos de marketing. Estos correos:

• Requieren su consentimiento explícito (la casilla de marketing está desmarcada por defecto durante el registro en la UE/EEE/Reino Unido, Brasil y Canadá)
• Incluyen un enlace de baja con un solo clic en cada mensaje
• Pueden gestionarse mediante el interruptor de consentimiento de marketing en los Ajustes de Cuenta
• Cumplen con los requisitos de la LOPDGDD/RGPD (España/UE), CAN-SPAM (EE. UU.), CASL (Canadá) y LGPD (Brasil)

Datos tratados

Para las comunicaciones de marketing directo dirigidas a responsables de centros educativos, tratamos las siguientes categorías de datos personales: nombre completo, dirección de correo electrónico profesional (dominio institucional/escolar), cargo o función profesional y nombre del centro educativo. No tratamos direcciones de correo personal, números de teléfono ni datos relativos a alumnos o menores.

Origen de los datos

Obtenemos los datos de contacto profesionales exclusivamente de registros públicos oficiales de educación:

• España: Registro Estatal de Centros Docentes no Universitarios, publicado por el Ministerio de Educación
• Reino Unido: Get Information About Schools (GIAS), publicado por el Department for Education
• Francia: Annuaire de l’éducation nationale, publicado por el Ministère de l’Éducation nationale
• Italia: Scuola in Chiaro, publicado por el Ministero dell’Istruzione (MIUR)
• Países Bajos: DUO Open Data, publicado por el Dienst Uitvoering Onderwijs

Base jurídica

Tratamos estos datos conforme al artículo 6(1)(f) del RGPD — interés legítimo. Nuestro interés legítimo consiste en promocionar un producto de tecnología educativa entre los profesionales a los que está destinado. Hemos realizado una evaluación de interés legítimo (LIA) que confirma que este tratamiento es necesario, proporcionado y que nuestros intereses no prevalecen sobre los derechos y libertades de los interesados. Puede solicitar una copia de esta evaluación contactando con privacy@flipeducation.ai.

Conservación

Conservamos los datos de marketing directo durante un máximo de 3 años desde la última interacción. En caso de baja o solicitud de eliminación, sus datos se retiran inmediatamente del uso activo y su dirección de correo se añade permanentemente a nuestra lista de supresión.

Baja

Cada correo de marketing incluye un mecanismo de baja. También puede darse de baja en cualquier momento contactando con privacy@flipeducation.ai. Las solicitudes de baja se procesan en un plazo de 24 horas.

Transferencias internacionales

Los correos de marketing se envían a través de Instantly.ai, un servicio de entrega de correo electrónico con sede en Estados Unidos. Esta transferencia se rige por las Cláusulas Contractuales Tipo (CCT) de la UE. No se realizan otras transferencias internacionales de datos de marketing directo.

• Logs del servidor: Retenidos por Vercel de acuerdo con su política de retención.
• Almacenamiento local del navegador: Permanece en su dispositivo hasta que lo borre. No tenemos control ni acceso a estos datos locales.
• Misiones en la nube: Se conservan mientras la cuenta esté activa. Tras la eliminación de la cuenta, los datos de las misiones se borran permanentemente en un plazo de 30 días.
• Datos de la cuenta: Se conservan mientras la cuenta esté activa. Al eliminarla, los datos se borran de todos nuestros sistemas (Supabase, Stripe, PostHog) en un plazo de 30 días, salvo imperativo legal. La eliminación se registra en una tabla de auditoría interna.
• Retención de copias de seguridad: Las copias de seguridad de la base de datos pueden contener sus datos hasta 30 días después de la eliminación.
• Cookie de consentimiento: Se almacena durante 365 días desde su elección.
• Cookie de país: Ámbito de sesión (se borra al cerrar el navegador).
• Datos analíticos: Retenidos según las políticas de los proveedores (GA4: 14 meses; PostHog: 1 año).

Implementamos medidas administrativas, técnicas y físicas razonables para proteger su información, incluyendo cifrado en tránsito (TLS/HTTPS) para todos los datos, cifrado en las llamadas API a proveedores de IA, infraestructura de hosting segura a través de Vercel, políticas de seguridad a nivel de fila en nuestra base de datos (Supabase) y acceso limitado a datos personales solo al personal que lo necesite.

Ningún método de transmisión por Internet o almacenamiento electrónico es 100% seguro. Aunque nos esforzamos por proteger su información, no podemos garantizar su seguridad absoluta.

Flip Education tiene su sede en Canadá. Nuestra infraestructura de hosting (Vercel) puede procesar datos en Estados Unidos y otros países. Nuestro proveedor de analítica PostHog aloja los datos en la UE. Cuando su información se transfiere internacionalmente, garantizamos las salvaguardas adecuadas, incluyendo cláusulas contractuales tipo (según el RGPD), acuerdos de procesamiento de datos y cumplimiento de los mecanismos de transferencia aplicables.

Al utilizar el Servicio, reconoce que su información puede ser procesada en países distintos al suyo, que pueden tener leyes de protección de datos diferentes.

9.1 Requisito de edad

El Servicio está dirigido a docentes y profesionales de la educación de 16 años o más. No recopilamos conscientemente información personal de menores de 16 años. Si es menor de 16, por favor, no utilice el Servicio ni proporcione datos personales.

Si detectamos que hemos recopilado datos de un menor de 16 años, los eliminaremos de inmediato. Si cree que esto ha podido ocurrir, contacte con nosotros en legal@flipeducation.ai.

9.2 Datos del alumnado

Flip Education no recopila, almacena ni procesa datos de los alumnos.

Nuestro Servicio está diseñado para profesores, y todas las interacciones ocurren entre el docente y la plataforma. Los alumnos no tienen cuentas, no interactúan con la plataforma y no son identificados de ninguna manera. Las Misiones se diseñan para que el profesor las imparta en el aula mediante actividades físicas y desconectadas. No se requiere ninguna información del alumno para generar, ver, imprimir o realizar una Misión.

9.3 Cumplimiento de COPPA (EE. UU.)

Dado que no recopilamos información de menores de 13 años (ni de ningún menor), las obligaciones de consentimiento parental de la COPPA no se aplican a nuestro Servicio. Nuestra garantía arquitectónica de cero recopilación de datos de alumnos elimina la necesidad de mecanismos específicos de COPPA.

9.4 Cumplimiento de FERPA (EE. UU.)

Flip Education no actúa como “funcionario escolar” bajo la FERPA y no accede ni almacena expedientes educativos de alumnos. Los profesores utilizan Flip Education para generar materiales didácticos de forma independiente a cualquier sistema de registro de alumnos.

Dependiendo de su ubicación, puede tener derechos específicos sobre su información personal. Respetamos estos derechos independientemente de su ubicación y haremos esfuerzos razonables para atender todas las solicitudes válidas.

10.1 Controles de privacidad de autoservicio

Proporcionamos las siguientes herramientas para ejercer sus derechos:

• Acceso y Portabilidad: Descargue una copia de sus datos en formato JSON desde los Ajustes de Cuenta, o vía GET /api/account/export.
• Rectificación: Edite su información de perfil (nombre, centro, avatar) directamente en los Ajustes de Cuenta.
• Supresión: Elimine su cuenta desde los Ajustes de Cuenta. La eliminación es permanente y se orquesta en Supabase, Stripe y PostHog.
• Oposición a Analíticas: Rechace las cookies analíticas en el banner o desactive el consentimiento de marketing en los Ajustes de Cuenta.

10.2 Derechos bajo la ley canadiense (PIPEDA / Alberta PIPA)

Si reside en Canadá, tiene derecho a acceder a su información, solicitar correcciones, retirar el consentimiento y presentar reclamaciones ante las autoridades competentes.

10.3 Derechos bajo el Reglamento General de Protección de Datos (RGPD) y LOPDGDD

Si se encuentra en el Espacio Económico Europeo (incluyendo España), tiene derecho a: acceso, rectificación, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad, oposición y a retirar el consentimiento.

Nuestra base legal es el interés legítimo (prestar y mejorar el Servicio), la ejecución de un contrato y el consentimiento (para marketing o cookies analíticas).

Para ejercer sus derechos, use las herramientas de autoservicio o contacte con legal@flipeducation.ai. Responderemos en un plazo de 30 días. También tiene derecho a reclamar ante la Agencia Española de Protección de Datos (AEPD).

10.4 Derechos bajo la ley de California (CCPA / CPRA)

Si reside en California, tiene derecho a conocer qué información recopilamos, solicitar su eliminación, optar por la no venta (nosotros no vendemos datos) y a la no discriminación.

10.5 Derechos bajo la ley brasileña (LGPD)

Si reside en Brasil, tiene derecho a confirmar el tratamiento, acceder, corregir, anonimizar o eliminar datos, así como a la portabilidad y a revocar el consentimiento.

10.6 Otros derechos (India y Latinoamérica)

Respetamos los derechos ARCO en México, y las normativas vigentes en Chile (Ley 19.628), Colombia (Ley 1581) e India (DPDP Act 2023).

En caso de una brecha de seguridad que suponga un riesgo para sus derechos, le notificaremos conforme a la legislación aplicable:

• RGPD (España/UE): Notificaremos a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas tras tener conocimiento de la brecha. Si el riesgo es alto para usted, le informaremos sin demora indebida.
• Otras jurisdicciones: Cumpliremos con los plazos de la LGPD (Brasil), DPDP Act (India), CCPA (EE. UU.) y PIPEDA (Canadá).

Si sospecha de una brecha que afecte a su información, contáctenos de inmediato en legal@flipeducation.ai.

En países donde se requiere consentimiento (RGPD y LGPD), las analíticas no se activan sin su permiso explícito, lo que respeta eficazmente las señales Do Not Track (DNT) y Global Privacy Control (GPC). No realizamos seguimiento entre sitios.

El Servicio puede contener enlaces a sitios de terceros. No somos responsables de sus prácticas de privacidad. Le recomendamos revisar sus políticas.

Podemos actualizar esta Política periódicamente. Publicaremos la versión actualizada y cambiaremos la fecha de “Última actualización”.

Si realizamos cambios sustanciales, avisaremos de forma destacada (banner o email) antes de que entren en vigor.

El uso continuado del Servicio tras cualquier cambio constituye la aceptación de la nueva Política.

Si tiene preguntas, desea ejercer sus derechos o tiene alguna queja, por favor contacte con nosotros:

Si no está satisfecho con nuestra respuesta, puede contactar con la autoridad de control correspondiente:

• España: Agencia Española de Protección de Datos (aepd.es)
• Canadá: Office of the Privacy Commissioner (priv.gc.ca)
• Brasil: ANPD (gov.br/anpd)
• Estados Unidos: California Attorney General (oag.ca.gov)