Aviso legal

Política de Privacidad

Última actualización: abril de 2026  ·  Fecha de entrada en vigor: 21 de abril de 2026

1. Introducción y Responsable del Tratamiento

Placewave («nosotros», «nuestro», «nos») es un asistente de viajes basado en inteligencia artificial operado por Boris Tomilin, empresario individual con sede en Georgia. La presente Política de Privacidad explica cómo recopilamos, utilizamos, almacenamos y protegemos sus datos personales cuando utiliza:

  • Nuestro bot de Telegram @WorldAudioGuideBot
  • Nuestro sitio web y aplicación web en placewave.pro
  • Cualquier bot de marca blanca impulsado por Placewave

Esta política cumple con el Reglamento General de Protección de Datos de la UE (RGPD) y la California Consumer Privacy Act (CCPA, Ley de Privacidad del Consumidor de California). Si reside en la UE/EEE o en California, le asisten derechos adicionales — véanse las Secciones 9 y 10.

Responsable del tratamiento: Boris Tomilin · placewave.info@gmail.com · @placewave_support_bot

2. Datos que Recopilamos

Recopilamos únicamente los datos necesarios para prestar el servicio. La tabla siguiente especifica cada categoría, su fuente, la ubicación de almacenamiento y el período de conservación:

Categoría de datos Fuente Almacenamiento Conservación
ID de usuario de Telegram API de Telegram (automático) PostgreSQL Mientras la cuenta esté activa
Nombre API de Telegram (automático) PostgreSQL Mientras la cuenta esté activa
Nombre de usuario de Telegram API de Telegram (si es público) PostgreSQL Mientras la cuenta esté activa
Preferencia de idioma API de Telegram / elección del usuario PostgreSQL Mientras la cuenta esté activa
Última ubicación conocida El usuario comparte voluntariamente su GPS PostgreSQL (PostGIS) Mientras la cuenta esté activa
Mensajes y consultas del chat Entrada del usuario en el bot Redis (en memoria) 1 hora (TTL de sesión)
Marca temporal del consentimiento El usuario acepta los Términos PostgreSQL Mientras la cuenta esté activa
Eventos de uso (analítica) Automatizado (pulsaciones de botones, visualizaciones de categorías) PostgreSQL 30 días, posteriormente anonimizados
Agregados mensuales Automatizado a partir de los eventos de uso PostgreSQL Indefinidamente (totalmente anonimizados)

No recopilamos números de tarjetas de pago, documentos de identidad oficiales, datos biométricos ni datos personales sensibles según se definen en el artículo 9 del RGPD.

3. Base Jurídica del Tratamiento (RGPD)

Para los usuarios de la UE/EEE, tratamos los datos personales con arreglo a las siguientes bases jurídicas previstas en el artículo 6 del RGPD:

  • Consentimiento (art. 6.1.a) — Datos de ubicación (usted comparte voluntariamente su GPS); aceptación de los Términos. Puede retirar su consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento previo.
  • Interés legítimo (art. 6.1.f) — Prestación de respuestas del bot, seguridad, prevención del fraude y mejora del servicio mediante analítica anonimizada. Hemos ponderado nuestros intereses frente a sus derechos y hemos concluido que no prevalecen sobre sus libertades fundamentales.
  • Ejecución de un contrato / medidas precontractuales (art. 6.1.b) — Almacenamiento de su ID de Telegram y su preferencia de idioma para operar el servicio que usted ha solicitado.

4. Cómo Utilizamos sus Datos

  • Para ofrecer recomendaciones personalizadas de restaurantes, atracciones y rutas basadas en su ubicación y preferencias.
  • Para procesar sus consultas a través de nuestro motor de IA (Groq LLaMA 3.3 70B) y devolver respuestas en su idioma preferido.
  • Para recordar su idioma y la ciudad preferida dentro de una sesión y entre sesiones.
  • Para enviar mensajes relacionados con el servicio dentro de Telegram (sin marketing sin consentimiento expreso).
  • Para detectar y prevenir abusos, spam y amenazas de seguridad (limitación de velocidad de las peticiones).
  • Para proporcionar a los socios B2B paneles con analítica agregada y anonimizada únicamente — los socios nunca reciben datos individuales de los usuarios.
  • Para cumplir con obligaciones legales.

4a. Tratamiento por IA y Decisiones Automatizadas

Placewave utiliza grandes modelos de lenguaje (LLM) y otros sistemas de IA para generar recomendaciones de viaje personalizadas y para responder a sus preguntas en formato libre. Los siguientes proveedores actúan como encargados del tratamiento para la inferencia de IA:

  • Groq, Inc. (Estados Unidos) — LLaMA 3.3 70B para las respuestas principales del chat.
  • OpenAI, L.L.C. (Estados Unidos) — modelos de la clase GPT utilizados como recurso de respaldo o para tareas específicas de agentes cuando el modelo principal no está disponible.
  • Google LLC (Gemini 2.0 Flash) — utilizado como respaldo secundario cuando otros proveedores se encuentran limitados por cuotas de uso.

Los datos enviados a estos proveedores se limitan al texto de su consulta y a un contexto mínimo (el idioma y la ciudad seleccionados). No transmitimos su ID de Telegram, nombre, datos de contacto, datos de pago ni identificadores persistentes a los proveedores de IA como parte de la petición de inferencia.

Alcance del tratamiento automatizado. Nuestra IA genera recomendaciones, descripciones narrativas y respuestas de chat. Estos resultados pueden personalizarse en función de sus preferencias declaradas y de su ubicación compartida, lo cual puede considerarse elaboración de perfiles en el sentido del art. 4.4 del RGPD. No obstante:

  • Los resultados de la IA tienen carácter meramente informativo (sugerencias de restaurantes, puntos de interés, narración de audioguías).
  • No adoptamos decisiones que produzcan efectos jurídicos o efectos significativos similares sobre usted (no se realiza calificación crediticia, decisiones de empleo, denegaciones de acceso ni fijación automatizada de precios individuales) en el sentido del art. 22.1 del RGPD.
  • Le asiste el derecho previsto en el art. 21 del RGPD a oponerse en cualquier momento al tratamiento basado en el interés legítimo, incluida la elaboración de perfiles. Para ejercer este derecho, contáctenos a través de los canales indicados en la Sección 14. Cesaremos la actividad de elaboración de perfiles salvo que acreditemos motivos legítimos imperiosos que prevalezcan sobre sus intereses.
  • Puede deshabilitar en todo momento el uso compartido de ubicación en Telegram, cambiar el idioma del bot o dejar de utilizar las funciones de IA simplemente no interactuando con el chat — el bot continuará ofreciendo recomendaciones estáticas.

Precisión de la IA. Los resultados de los LLM pueden contener ocasionalmente errores fácticos o información desactualizada. Verifique siempre los horarios de apertura, los precios y la información de seguridad en fuentes oficiales antes de actuar sobre una recomendación.

5. Comunicación de Datos y Encargados del Tratamiento

No vendemos, alquilamos ni intercambiamos sus datos personales. Únicamente compartimos datos con los encargados del tratamiento enumerados a continuación, cada uno de ellos vinculado por los correspondientes acuerdos de tratamiento de datos:

Encargado Finalidad Datos compartidos Política de privacidad
Telegram Messenger Inc. Plataforma de entrega de mensajes Mensajes, perfil del usuario telegram.org/privacy
Groq, Inc. (EE. UU.) Inferencia de IA — LLaMA 3.3 70B Texto de las consultas del usuario (sin PII más allá del contenido de la consulta) groq.com/privacy-policy
Google LLC Datos de lugares (restaurantes, atracciones) Coordenadas de ubicación para la búsqueda de lugares policies.google.com/privacy
Amazon Web Services (AWS) Almacenamiento de audioguías (S3, eu-central-1) Sin datos personales — únicamente archivos de audio aws.amazon.com/privacy
Google Analytics 4 (Google LLC) Analítica del sitio web (se carga únicamente tras el consentimiento de cookies) Datos de uso anonimizados (páginas visitadas, eventos de clic) policies.google.com/privacy
GetYourGuide Enlaces de afiliación para reserva de tours Sin datos — únicamente enlaces (los clics los rastrea GYG) getyourguide.com/privacy
Tripster Enlaces de afiliación de tours (usuarios ru) Sin datos — únicamente enlaces tripster.ru/privacy

Los clientes B2B (hoteles, empresas turísticas que utilizan nuestra solución de marca blanca) reciben únicamente analítica agregada y anonimizada sobre sus usuarios. No reciben perfiles individuales de usuarios, ID de Telegram ni mensajes.

6. Conservación de los Datos

  • Datos del perfil del usuario (ID de Telegram, nombre, idioma, última ubicación) — se conservan mientras su cuenta permanezca activa. Se eliminan en un plazo de 30 días desde la recepción de una solicitud de supresión verificada.
  • Historial de chat — se almacena en Redis con un TTL de 1 hora. Se elimina automáticamente al finalizar la sesión.
  • Eventos de uso — se conservan durante 30 días y, transcurrido ese plazo, se eliminan de forma definitiva. Los agregados mensuales (totalmente anonimizados) se conservan indefinidamente con fines de informes empresariales.
  • Registros de consentimiento (terms_accepted_at) — se conservan mientras exista la cuenta, conforme a las obligaciones de responsabilidad proactiva del RGPD.

7. Transferencias Internacionales de Datos

Placewave se opera desde Georgia (que no es Estado miembro de la UE). Algunos de nuestros encargados del tratamiento se ubican fuera de la UE/EEE. La tabla siguiente resume el destino, el mecanismo jurídico en el que nos basamos y, cuando proceda, las medidas complementarias que aplicamos conforme a la sentencia del Tribunal de Justicia de la UE en el asunto Schrems II (C-311/18):

Encargado Destino Mecanismo de transferencia (art. 46 RGPD)
Groq, Inc. Estados Unidos Cláusulas Contractuales Tipo (CCT, art. 46.2.c) incorporadas por referencia en el Anexo de Tratamiento de Datos de Groq. Marco UE-EE. UU. de Privacidad de Datos cuando Groq esté autocertificado.
OpenAI, L.L.C. Estados Unidos CCT (art. 46.2.c) y Marco UE-EE. UU. de Privacidad de Datos (OpenAI está autocertificado).
Google LLC (Gemini, GA4, Maps) Estados Unidos / UE (Maps a través de API locales) CCT y Marco UE-EE. UU. de Privacidad de Datos (Google LLC está autocertificado).
Telegram Distribución global Regido por la propia política de privacidad y el DPA de Telegram. Limitado a los datos que controla la propia plataforma.
AWS S3 (eu-central-1) UE (Fráncfort) Sin transferencia fuera del EEE para los datos que almacenamos con este servicio.

7.1 Evaluación de Impacto de las Transferencias y Medidas Complementarias (Schrems II)

Para las transferencias a Estados Unidos hemos llevado a cabo una evaluación de impacto de las transferencias de conformidad con las Recomendaciones 01/2020 sobre medidas complementarias del Comité Europeo de Protección de Datos. Hemos concluido que, atendiendo a (a) la naturaleza limitada y no identificativa de los datos que transmitimos a los proveedores de IA, y (b) las salvaguardas contractuales y técnicas enumeradas a continuación, las CCT, combinadas con dichas medidas complementarias, proporcionan un nivel de protección esencialmente equivalente al garantizado dentro de la UE.

Medidas técnicas:

  • Todos los datos en tránsito hacia encargados ubicados en EE. UU. se cifran mediante TLS 1.2 o superior.
  • Aplicamos el principio de minimización de datos en la capa de aplicación: las peticiones de inferencia de IA contienen únicamente el texto de su consulta, el idioma de interfaz seleccionado y la ciudad seleccionada. No enviamos su ID de usuario de Telegram, su nombre, su nombre de usuario, datos de contacto ni identificadores únicos persistentes.
  • No solicitamos que los proveedores de IA conserven los prompts ni los resultados para entrenamiento (cuando el proveedor expone tal ajuste).
  • El audio y otros archivos multimedia generados en su nombre se almacenan en AWS S3 en eu-central-1 (Fráncfort), sin transferirse a almacenamiento en EE. UU.

Medidas contractuales:

  • Cláusulas Contractuales Tipo incorporadas por referencia en el Anexo de Tratamiento de Datos de cada proveedor.
  • Cuando el proveedor está certificado bajo el Marco UE-EE. UU. de Privacidad de Datos, nos apoyamos adicionalmente en la Decisión de Ejecución (UE) 2023/1795 de la Comisión como base de adecuación.
  • Notificaciones de cambios de subencargado con derecho a oposición, según lo estipulado en nuestro DPA con los socios B2B.

Medidas organizativas:

  • El acceso a las credenciales de producción se restringe al responsable del tratamiento; los secretos se almacenan fuera del repositorio de código fuente y se enmascaran en los registros.
  • Documentamos las categorías de datos enviadas a cada proveedor y revisamos el mapeo cuando se incorpora un nuevo encargado.
  • Impugnaremos por las vías legales disponibles cualquier solicitud vinculante de acceso por parte de autoridades gubernamentales y notificaremos a los usuarios afectados cuando ello sea lícitamente posible.

Puede solicitar una copia de las CCT, del Anexo de Tratamiento de Datos aplicable o del resumen de nuestra evaluación de impacto de las transferencias contactándonos a través de los datos indicados en la Sección 14.

Al utilizar Placewave reconoce dichas transferencias. Si no desea que sus datos sean tratados en estas condiciones, puede dejar de utilizar el servicio y solicitar la supresión conforme al art. 17 del RGPD.

8. Seguridad de los Datos

  • Todos los datos en tránsito se cifran mediante HTTPS/TLS 1.2+.
  • El acceso a la base de datos está restringido a la red interna; las credenciales nunca se registran en los logs.
  • Los valores de configuración sensibles (claves de API, contraseñas) se enmascaran en todos los registros de la aplicación.
  • Se aplica limitación de la velocidad de las peticiones para prevenir abusos y proteger las cuentas de los usuarios.
  • Los datos de sesión de Redis se almacenan únicamente en memoria con TTL cortos — no se persisten en disco.

Ningún método de transmisión electrónica es 100 % seguro. No podemos garantizar una seguridad absoluta, pero implementamos medidas conformes a los estándares del sector y proporcionales al riesgo.

9. Sus Derechos — Residentes en la UE/EEE (RGPD)

Si se encuentra en la UE o el EEE, le asisten los siguientes derechos conforme al RGPD:

  • Derecho de acceso (art. 15) — Solicitar una copia de los datos personales que conservamos sobre usted.
  • Derecho de rectificación (art. 16) — Solicitar la corrección de datos inexactos o incompletos.
  • Derecho de supresión / «derecho al olvido» (art. 17) — Solicitar la eliminación de sus datos, sin perjuicio de las obligaciones legales de conservación.
  • Derecho a la limitación del tratamiento (art. 18) — Solicitar que limitemos el tratamiento de sus datos en determinadas circunstancias.
  • Derecho a la portabilidad de los datos (art. 20) — Recibir sus datos en un formato estructurado y de lectura mecánica.
  • Derecho de oposición (art. 21) — Oponerse al tratamiento basado en el interés legítimo, incluida la elaboración de perfiles.
  • Derecho a retirar el consentimiento — Retirar el consentimiento en cualquier momento cuando el tratamiento se base en él (p. ej., compartir la ubicación).
  • Derecho a presentar una reclamación — Presentar una reclamación ante la autoridad de protección de datos correspondiente (p. ej., en España, la Agencia Española de Protección de Datos – AEPD).

Para ejercer cualquiera de estos derechos, contáctenos en placewave.info@gmail.com. Responderemos en un plazo de 30 días. Es posible que debamos verificar su identidad antes de tramitar su solicitud.

10. Sus Derechos — Residentes en California (CCPA / CPRA)

Esta Sección se aplica si usted es residente en California. Complementa el resto de la presente Política de Privacidad y explica cómo la California Consumer Privacy Act, modificada por la California Privacy Rights Act de 2020 (en lo sucesivo, conjuntamente, la «CCPA»), afecta al tratamiento de su información personal.

10.1 Categorías de Información Personal que Recopilamos

En los últimos 12 meses hemos recopilado las siguientes categorías de información personal de consumidores de California:

Categoría CCPA (Cal. Civ. Code § 1798.140(v)) Ejemplos en nuestro servicio ¿Recopilada?
A. Identificadores ID de usuario de Telegram, nombre de usuario de Telegram, nombre
B. Información personal según Cal. Civ. Code § 1798.80(e) Nombre (coincide con la categoría A) Sí — únicamente el nombre
C. Características de clasificaciones protegidas Raza, religión, género, edad, etc. No
D. Información comercial Nivel de suscripción del socio B2B y estado de facturación (únicamente socios, no usuarios finales) Sí — únicamente socios
E. Información biométrica Huellas dactilares, huellas vocales, etc. No
F. Actividad en Internet u otras redes electrónicas Pulsaciones de botones, visualizaciones de categorías, consultas que usted introduce en el bot
G. Datos de geolocalización Últimas coordenadas GPS compartidas (únicamente cuando usted comparte voluntariamente la ubicación) Sí — con consentimiento
H. Información sensorial (audio, vídeo, etc.) Grabaciones de voz o de vídeo No
I. Información profesional o relacionada con el empleo Cargo, empleador No
J. Información educativa Registros amparados por FERPA No
K. Inferencias extraídas de lo anterior Preferencias de viaje inferidas (p. ej., interés por gastronomía frente a museos) utilizadas para personalizar las recomendaciones
L. Datos personales sensibles (Cal. Civ. Code § 1798.140(ae)) La geolocalización precisa es la única categoría sensible que tratamos; no recopilamos número de la seguridad social (SSN), documentos de identidad oficiales, credenciales de cuentas financieras, origen racial o étnico, religión, afiliación sindical, contenido de correo postal/electrónico/mensajes de texto, ni datos genéticos, biométricos o de salud. Únicamente geolocalización, con consentimiento

10.2 Fuentes de la Información Personal

  • Directamente de usted — los mensajes y las ubicaciones que envía en el bot de Telegram y los ajustes que elige.
  • De Telegram de forma automática — su ID de Telegram, nombre, nombre de usuario e idioma de interfaz como parte de cada mensaje.
  • De su dispositivo de forma automática — eventos de uso (pulsaciones de botones, visualizaciones de páginas) cuando interactúa con el bot o el sitio web.

10.3 Finalidades Comerciales o Empresariales

  • Prestación, mantenimiento y mejora del servicio Placewave.
  • Personalización de recomendaciones y respuestas de IA.
  • Detección de incidentes de seguridad y prevención del fraude y los abusos.
  • Elaboración de analítica agregada y anonimizada para los socios B2B.
  • Cumplimiento de obligaciones legales.

10.4 Categorías de Terceros a los que Divulgamos Información

Comunicamos información personal a las categorías de destinatarios enumeradas en la Sección 5 (Telegram, Groq, OpenAI, Google, AWS, socios de reservas de afiliación) estrictamente para las finalidades descritas en dicha Sección. No autorizamos a estos destinatarios a utilizar la información para sus propios fines de marketing.

10.5 Ausencia de «Venta» y de «Comunicación» de Información Personal

No vendemos su información personal a cambio de dinero ni de otra contraprestación valiosa. Tampoco «comunicamos» información personal con fines de publicidad conductual entre contextos, según se definen estos términos en la CCPA. No lo hemos hecho en los últimos 12 meses y no tenemos intención de hacerlo. Dado que no vendemos ni comunicamos información, no se requiere ningún mecanismo de exclusión de tipo «Do Not Sell or Share My Personal Information»; usted ejerce esta protección por defecto.

Asimismo, no utilizamos ni divulgamos información personal sensible (geolocalización precisa) para ningún fin distinto de los permitidos por el Cal. Civ. Code § 1798.121(a) y de los explicados en esta política. Por tanto, no necesita presentar una solicitud independiente de «Limit the Use of My Sensitive Personal Information», pero, en cualquier caso, puede pedirnos que dejemos de utilizar su geolocalización retirando el consentimiento en el bot o contactándonos.

10.6 Sus Derechos bajo la CCPA

  • Derecho a Saber — Solicitar la divulgación de las categorías y los elementos concretos de información personal que hayamos recopilado sobre usted, las fuentes, las finalidades de uso y las categorías de terceros con quienes la compartimos. Puede presentar esta solicitud dos veces en cualquier período de 12 meses.
  • Derecho a Corregir — Solicitar la corrección de la información personal inexacta que mantengamos sobre usted.
  • Derecho a Eliminar — Solicitar la eliminación de la información personal que hayamos recopilado, con sujeción a las excepciones previstas en el Cal. Civ. Code § 1798.105(d) (p. ej., para completar operaciones, garantizar la seguridad o cumplir obligaciones legales).
  • Derecho a Excluirse de la Venta o Comunicación — Como se explica anteriormente, no vendemos ni comunicamos su información personal; este derecho queda, por tanto, satisfecho por defecto.
  • Derecho a Limitar el Uso de la Información Personal Sensible — Como se explica anteriormente, utilizamos información personal sensible únicamente para fines permitidos, por lo que este derecho queda satisfecho por defecto. En cualquier caso, puede pedirnos que dejemos de utilizar su geolocalización en cualquier momento.
  • Derecho a la No Discriminación — No le denegaremos el servicio, cobraremos un precio diferente ni proporcionaremos una calidad distinta de servicio por haber ejercido cualquiera de sus derechos bajo la CCPA.

10.7 Cómo Ejercer sus Derechos bajo la CCPA

Presente una solicitud en placewave.info@gmail.com o a través de @placewave_support_bot. Para proteger su privacidad, necesitaremos verificar su identidad, normalmente confirmando el ID de Telegram desde el que contactó con el bot y un dato adicional que únicamente el titular de la cuenta pueda conocer. Responderemos en un plazo de 45 días; podremos prorrogar dicho plazo por un período adicional de 45 días cuando sea razonablemente necesario y le notificaremos toda prórroga.

Representantes autorizados. Puede designar a un representante autorizado para presentar una solicitud en su nombre. El representante deberá aportar autorización escrita y firmada por usted, y podríamos exigirle a usted que verifique directamente su identidad o que confirme que ha conferido al representante dicha autoridad.

Menores. No vendemos ni comunicamos a sabiendas la información personal de consumidores menores de 16 años y exigimos un consentimiento de inclusión (opt-in) que no resulta pertinente para nuestro servicio, dado que no realizamos tales actividades.

Si considera que no hemos atendido adecuadamente su solicitud, puede contactar con el Fiscal General de California.

11. Almacenamiento de Sesión y Cookies

El bot de Telegram de Placewave no utiliza cookies del navegador. El estado de la sesión se almacena del lado del servidor en Redis con un TTL de 1 hora y se elimina automáticamente.

Nuestro sitio web (placewave.pro) utiliza únicamente cookies técnicamente necesarias para prestar la aplicación web (p. ej., tokens de sesión de autenticación para el panel de socios). No utilizamos cookies publicitarias ni de seguimiento. Si utiliza el panel de socios, se establece una cookie de sesión durante el tiempo que dure su inicio de sesión, que se elimina al cerrar sesión.

12. Privacidad de los Menores

Placewave no está dirigido a menores de 13 años (ni de 16 en determinados Estados miembros de la UE). No recopilamos a sabiendas datos personales de menores. Si considera que hemos recopilado inadvertidamente datos de un menor, contáctenos de inmediato y procederemos a su eliminación con la mayor brevedad.

13. Modificaciones de esta Política

Podremos actualizar la presente Política de Privacidad de tiempo en tiempo para reflejar cambios en nuestras prácticas, en la tecnología o en los requisitos legales. Cuando introduzcamos cambios sustanciales, actualizaremos la fecha de «Última actualización» en la parte superior de esta página. Cuando la legislación así lo exija, también notificaremos a los usuarios directamente a través del bot de Telegram. La continuación del uso del servicio tras la fecha de entrada en vigor constituye aceptación de la política actualizada.

14. Contacto y Responsable del Tratamiento

Para cualquier pregunta, solicitud o reclamación relativa a la privacidad:

Los residentes en la UE/EEE que no estén satisfechos con nuestra respuesta tienen derecho a presentar una reclamación ante su autoridad nacional de protección de datos.