Política de Privacidad

v1.3.2 — 2026-06-05 · Contacto: privacy@ootdly.com

1. Responsable del Tratamiento

El responsable del tratamiento de tus datos personales es OOTDly (en adelante, "OOTDly" o "nosotros").

Contacto: privacy@ootdly.com

No estamos obligados a designar un Delegado de Protección de Datos (DPD) conforme al Art. 37 RGPD.

2. Datos que Recopilamos

  • Datos de cuenta: nombre, nombre de usuario, email, fecha de nacimiento, foto de perfil.
  • Contenido publicado: fotos, videos, comentarios, loops, historias.
  • Datos de uso: interacciones, preferencias, historial de actividad.
  • Datos económicos: balance GZL, historial de transacciones, ganancias de campañas.
  • Datos de pago para retiros: dependiendo del método elegido (SEPA, Wise o PayPal), recopilamos el IBAN, el email de Wise o de PayPal, además del nombre del titular y un teléfono opcional. Estos datos NO se envían a Stripe; los procesa manualmente el equipo de OOTDly desde sus propias cuentas Wise / PayPal hasta que se complete la integración automatizada. Cada pago se acompaña de un comprobante (imagen o PDF) que el usuario puede consultar en su historial. Stripe sí se utiliza para las compras de paquetes de GZL (in-app purchases), no para retiros.
  • Datos biométricos para Try-On virtual: foto del cuerpo (person_image_url) y vistas adicionales (body_views_json) que subes voluntariamente para usar la función de prueba virtual de prendas. Estas imágenes se procesan también en Fal.ai (proveedor externo) tal como se detalla en la sección 5.
  • Datos KYC (Conoce a tu Cliente): nombre completo legal, tipo y número de documento (DNI/NIE/CPF/passport) y dirección de residencia. Solo se solicitan cuando pides un retiro de GZL a EUR, en cumplimiento de la obligación legal de identificar al beneficiario (Art. 6.1.c RGPD y normativa antiblanqueo aplicable).
  • Handles sociales: nombres de usuario de Instagram y TikTok que introduces opcional y manualmente en tu perfil.
  • Mensajes directos (DMs): contenido de los mensajes privados entre usuarios. Se transmiten cifrados (HTTPS/TLS), pero se almacenan sin cifrado at-rest en nuestra base de datos. OOTDly solo accede a ellos para resolver disputas, investigar abusos o cumplir obligaciones legales.
  • Sesiones de inicio de sesión: dirección IP, user-agent, plataforma, versión de app, fecha y hora de cada login. Se conservan por motivos de seguridad (detección de accesos sospechosos) durante un máximo de 90 días.
  • Comprobante de pago: cuando OOTDly procesa manualmente un retiro, se sube un comprobante (imagen o PDF) que el usuario puede consultar desde su historial de transacciones.
  • Consentimiento de cesión de derechos de imagen: al aceptar una campaña de marca queda registrado tu consentimiento junto con tu nombre, documento, dirección y la fecha y hora de la firma. Este registro tiene valor probatorio y, una vez firmado, no se puede modificar (es inmutable por diseño).
  • Código de verificación de email: usado solo durante el registro.
  • Datos de publicidad: identificadores de dispositivo para Google AdMob y Facebook SDK (solo con consentimiento ATT en iOS).
  • Ubicación aproximada: ciudad y país (en texto) cuando creas un post o una historia. Se deriva de tus coordenadas GPS mediante geocoding inverso vía OpenStreetMap. No almacenamos tus coordenadas GPS.
  • Notificaciones push: token del dispositivo para enviarte notificaciones relevantes vía Expo Push.

3. Base Legal del Tratamiento

  • Ejecución del contrato (Art. 6.1.b): gestión de la cuenta, economía GZL, campañas, retiros y pagos.
  • Consentimiento (Art. 6.1.a): verificación de email, publicidad personalizada, acceso a ubicación, calendario y procesamiento de imágenes en Try-On. Puedes retirar tu consentimiento en cualquier momento.
  • Interés legítimo (Art. 6.1.f): prevención de fraude, seguridad de la plataforma, mejora del servicio y acceso a canales de campaña en caso de disputa.
  • Obligación legal (Art. 6.1.c): conservación de registros financieros, identificación KYC del beneficiario en retiros, conservación de consentimientos firmados y cumplimiento de requerimientos de autoridades competentes.

4. Uso de los Datos

Utilizamos tus datos para: proporcionar el servicio, personalizar tu experiencia, gestionar la economía GZL, procesar pagos y retiros, mostrar publicidad relevante, enviar notificaciones transaccionales, prevenir fraude y mejorar la plataforma.

5. Servicios de Terceros y Transferencias Internacionales

  • Stripe (EE.UU.): procesamiento de in-app purchases (compra de paquetes de GZL). No se usa para retiros. Cláusulas Contractuales Tipo de la UE.
  • Wise (Reino Unido / EEE): procesamiento manual de retiros internacionales. Sujeto a las propias políticas de privacidad de Wise.
  • PayPal (Luxemburgo / EE.UU.): procesamiento manual de retiros vía PayPal personal. Sujeto a las propias políticas de privacidad de PayPal.
  • Fal.ai (EE.UU.): procesamiento de imágenes para la función Try-On virtual. Recibe la foto del cuerpo del usuario y la imagen del garment y devuelve la imagen combinada. La imagen del cuerpo puede contener datos biométricos (categoría especial RGPD Art. 9). Requiere tu consentimiento expreso e informado antes del primer uso, mediante un cuadro de diálogo separado que debes aceptar marcando la casilla correspondiente. Puedes retirar tu consentimiento en cualquier momento desde Ajustes > Datos y Privacidad, lo que desactiva la función. Cláusulas Contractuales Tipo de la UE. No conservamos la imagen tras el procesamiento: se elimina inmediatamente de los servidores de Fal.ai (retención < 24 h).
  • Resend (EE.UU.): envío de emails transaccionales (verificación de email, recordatorios, alertas de moderación). Cláusulas Contractuales Tipo de la UE.
  • Google AdMob (EE.UU.): publicidad rewarded en la app. Requiere tu consentimiento ATT en iOS.
  • Google Sign-In (OAuth): login social. El backend valida el token; no guardamos tu contraseña de Google.
  • Apple Sign-In: login social en iOS. Validamos el token con Nimbus JOSE JWT; no guardamos tu contraseña de Apple.
  • Facebook SDK (Meta) (EE.UU.): solo para medición de publicidad. Sujeto a tu consentimiento ATT en iOS.
  • Hetzner Object Storage (Alemania, UE): almacenamiento de fotos, videos y otros archivos subidos. Al estar en la UE, no existe transferencia internacional.
  • RevenueCat / Apple / Google: gestión de compras en la app.
  • Giphy / Pixabay: búsqueda de GIFs e imágenes.
  • AudD: reconocimiento musical en historias. Recibe únicamente un fragmento corto de audio (≤ 12 s) y devuelve metadatos de la pista identificada (título, artista, álbum). No recibimos ni almacenamos huellas acústicas. El fragmento no se conserva en AudD tras la respuesta. Transferencia internacional al amparo de las Cláusulas Contractuales Tipo (Art. 46 RGPD).
  • OpenStreetMap (Nominatim): geocoding inverso (coordenadas → nombre de ciudad).
  • Expo Push: entrega de notificaciones push a dispositivos iOS y Android.

Las transferencias internacionales fuera del EEE se amparan en las Cláusulas Contractuales Tipo (Art. 46 RGPD).

No vendemos tus datos a terceros.

6. Tus Derechos (RGPD)

  • Acceso (Art. 15): obtener confirmación de si tratamos tus datos.
  • Rectificación (Art. 16): corregir datos inexactos.
  • Supresión (Art. 17): solicitar la eliminación de tus datos.
  • Limitación (Art. 18): solicitar que restrinjamos el tratamiento.
  • Portabilidad (Art. 20): recibir tus datos en formato estructurado.
  • Oposición (Art. 21): oponerte al tratamiento basado en interés legítimo.
  • Retirada del consentimiento: en cualquier momento, sin afectar a la licitud del tratamiento previo.

Puedes ejercer estos derechos desde Ajustes > Datos y Privacidad, o en privacy@ootdly.com.

También puedes reclamar ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

7. Retención de Datos

  • Datos de cuenta y contenido: hasta que elimines tu cuenta (borrado en 30 días).
  • Datos biométricos (foto del cuerpo para Try-On): se eliminan inmediatamente al desactivar Try-On o al eliminar la cuenta.
  • Registros financieros: 5 años (obligación legal).
  • Comprobantes de pago: 5 años, en paralelo a los registros financieros que documentan.
  • Consentimientos de cesión de derechos de imagen: durante toda la vigencia del consentimiento y 5 años adicionales tras su expiración, para sostener cualquier auditoría legal posterior.
  • Logs de seguridad y sesiones de login: máximo 90 días.
  • Códigos de verificación: 15 minutos o hasta su uso.

8. Seguridad

Implementamos cifrado de contraseñas (bcrypt), tokens de sesión seguros, certificate pinning para la API, y comunicaciones cifradas (HTTPS/TLS).

9. Publicidad y App Tracking Transparency

En iOS, solicitamos tu permiso antes de mostrar anuncios personalizados mediante el sistema ATT de Apple. Este consentimiento también controla si el Facebook SDK puede recopilar datos publicitarios. Puedes cambiar tu preferencia en Ajustes > Privacidad y seguridad > Seguimiento.

10. Mensajes en Canales de Campaña y Mensajes Directos

Los mensajes en canales de campaña, así como los mensajes directos (DMs) entre usuarios, pueden ser revisados por OOTDly únicamente para resolver disputas, investigar conductas prohibidas o cumplir obligaciones legales (Art. 6.1.b y 6.1.f RGPD). El acceso queda registrado y restringido a personal autorizado.

11. Validación Automática de Contenido

Antes de publicar una foto o un video, el servidor ejecuta dos modelos ONNX locales:

  • Detección de persona: rechaza uploads donde no se detecta una persona. No almacenamos datos biométricos derivados de esta detección; el modelo solo retorna si hay persona o no.
  • Detección NSFW: rechaza contenido explícito.

Ambos modelos se ejecutan en el servidor de OOTDly (Hetzner, UE) usando ONNX local. No se envía la imagen a ningún tercero para esta validación. Solo Fal.ai recibe la imagen cuando el usuario activa explícitamente la función Try-On (sección 5).

Son filtros técnicos sin efectos legales sobre tu cuenta — no constituyen una decisión automatizada del Art. 22 RGPD.

12. Calendario

Si reservas una consultoría de estilo, ofrecemos añadir el evento a tu calendario del dispositivo (vía expo-calendar). Este acceso es opcional y lo controlas desde los ajustes del sistema operativo.

13. Menores de Edad y Autorización Parental en Campañas

OOTDly no está dirigido a menores de 14 años. Conforme al Art. 8 RGPD y la normativa española (LOPDGDD), la edad mínima para prestar consentimiento al tratamiento de datos personales en España es de 14 años.

No recopilamos intencionadamente datos de menores de 14 años. Si detectamos que un usuario tiene menos de 14 años, eliminaremos su cuenta y sus datos de forma inmediata.

Participación de menores en campañas comerciales remuneradas: los usuarios entre 14 y 17 años pueden usar OOTDly normalmente, pero su participación en campañas remuneradas requiere autorización del tutor legal mediante el siguiente proceso:

  • La marca debe haber habilitado expresamente el flag "Aceptar menores" en su campaña.
  • Las campañas con productos restringidos a adultos (alcohol, tabaco, vapeo, juego, contenido adulto) tienen prohibido aceptar menores sin posibilidad de excepción.
  • Cuando la marca acepta la aplicación del menor, el sistema solicita los datos de contacto del tutor legal y le envía un email con un enlace único de autorización válido 48 horas.
  • El tutor abre el enlace, lee el documento completo y marca las casillas de confirmación. Sólo entonces el sistema habilita al menor para esa campaña concreta.
  • La autorización es específica para una sola campaña. Otra campaña requiere nueva autorización.
  • El tutor puede revocar la autorización en cualquier momento; los usos ya realizados antes de la revocación permanecen válidos.

Bloqueo total de retiro de dinero real para menores: independientemente de cualquier autorización parental, los menores de 18 años no pueden retirar saldo GZL ni saldo EUR como dinero real. Pueden únicamente canjear su saldo por giftcards en el catálogo de la plataforma. Esta limitación no es discutible ni puede ser anulada por autorización del tutor.

14. Documentos Firmados y Cesión de Derechos de Imagen

Cuando un creador entrega contenido para una campaña, firma electrónicamente un documento de cesión de derechos de imagen que autoriza a la marca a usar dicho contenido en los términos pactados (duración, territorio, modalidades).

Características del documento:

  • Duración por defecto: 12 meses desde la firma. La marca puede pactar duraciones mayores (3 años, 5 años o perpetuo) que el creador acepta explícitamente.
  • Alcance limitado: el uso queda limitado a la campaña específica. La marca NO puede ceder la imagen a terceros ni reutilizarla en otras campañas sin nueva autorización expresa.
  • Revocabilidad: el documento es revocable por el creador en cualquier momento desde su sección "Mis derechos cedidos". La revocación produce efectos desde su registro: la marca pierde el derecho de uso futuro, pero los usos ya realizados antes de la revocación permanecen válidos.
  • Integridad criptográfica: el documento incluye sello SHA-256 y queda almacenado en formato PDF descargable por ambas partes. Una vez firmado, no se puede modificar (es inmutable por diseño).
  • Audit trail: queda registrado tu nombre, documento, dirección y la fecha y hora de la firma con valor probatorio.

Queda prohibido el uso de la imagen del creador en contextos perjudiciales, difamatorios u ofensivos, así como en asociación a contenidos que vulneren la legislación vigente.

15. OOTDly como Intermediario en Campañas Comerciales

OOTDly actúa exclusivamente como plataforma tecnológica intermediaria que facilita la colaboración entre creadores y marcas. La responsabilidad por el cumplimiento de las normas publicitarias, de defensa del consumidor y de protección del menor aplicables en cada jurisdicción recae sobre la marca contratante.

OOTDly no es responsable del uso comercial final que la marca haga del contenido fuera de la plataforma. OOTDly se reserva el derecho de suspender, rechazar o terminar la participación de cualquier usuario en una campaña cuando sea necesario para proteger la integridad de la plataforma o la seguridad de sus usuarios.

La participación de un creador en campañas no constituye relación laboral alguna entre OOTDly, el creador, el menor (si aplica) o la marca. Se trata de colaboraciones puntuales de creación de contenido.

16. Eliminación de Cuenta y Saldo

Puedes eliminar tu cuenta en cualquier momento desde Ajustes. Al hacerlo:

  • El saldo GZL queda eliminado y no puede ser convertido a dinero real ni transferido a otro usuario.
  • El saldo EUR de campañas se retiene durante 30 días tras la solicitud de borrado para permitir su retirada al método de pago previamente registrado (SEPA / Wise / PayPal). Si transcurridos 30 días no has solicitado el retiro, el saldo se pierde definitivamente.
  • Las transacciones financieras históricas (compras de GZL, retiros, comisiones de campañas) se conservan durante 5 años conforme a obligaciones fiscales (LGT art. 66) aunque la cuenta esté eliminada. Estos registros se anonimizan en lo posible.
  • El contenido publicado (posts, loops, stories) se borra. El contenido de campañas ya entregado a marcas con derechos de imagen vigentes se mantiene visible para esas marcas según el documento de cesión firmado.

Si quieres descargar tus datos antes de eliminar la cuenta, puedes ejercer tu derecho de portabilidad escribiendo a privacy@ootdly.com.

17. Aplicabilidad a Usuarios fuera del EEE

Aunque OOTDly opera bajo el marco del RGPD (UE), respetamos también los derechos equivalentes para los usuarios fuera del EEE:

  • Brasil (LGPD): los usuarios brasileños tienen derechos equivalentes de acceso, rectificación, eliminación, portabilidad y oposición conforme a los Arts. 18-22 de la LGPD.
  • Reino Unido (UK GDPR): aplicación equivalente al RGPD tras el Brexit.
  • Otros países: si la legislación local de tu país concede derechos más protectores que los descritos en esta política, prevalecen esos derechos.

Puedes ejercer cualquiera de estos derechos contactando privacy@ootdly.com.

18. Contacto y Reclamaciones

Para cualquier consulta o ejercicio de derechos sobre privacidad: privacy@ootdly.com

Si no quedas satisfecho con nuestra respuesta, tienes derecho a presentar reclamación ante la AEPD: www.aepd.es

19. Cambios en esta Política

Te notificaremos de cambios significativos con al menos 15 días de antelación. La versión actual siempre estará disponible en la app y en esta página.