Vigente desde: 2026-06-01 · Versión 2.1
Esta página es una traducción de cortesía. En caso de conflicto, prevalece la versión en inglés.
Esta Política de Privacidad explica cómo Parhelion Software SRL ("Sydium", "nosotros", "nos") recopila, utiliza, comparte y protege sus datos personales cuando usted utiliza la plataforma Sydium en sydium.com y los servicios relacionados. Estamos comprometidos con una transparencia en lenguaje claro sobre lo que hacemos con sus datos.
1. Quién es responsable de sus datos
El responsable del tratamiento de los datos personales tratados en relación con el Servicio es:
Parhelion Software SRL
Domicilio social: România, Galați, str. Vânători nr. 35
Registro mercantil: J17/67/2013
IVA: RO31105708
Contacto de privacidad: privacy@sydium.com
Delegado de Protección de Datos: No hemos nombrado un DPO formal conforme al art. 37 del RGPD porque nuestro tratamiento no lo requiere. Para todas las cuestiones de protección de datos, contacte con privacy@sydium.com.
Representante en la UE: No aplicable - Parhelion Software SRL está establecida en Rumanía y, por tanto, dentro de la UE.
2. Qué información recopilamos
Recopilamos datos personales en las categorías que se indican a continuación. Cuando usted aporta los datos directamente, le informamos en la interfaz correspondiente de qué es obligatorio y qué es opcional.
- Información de la cuenta. Dirección de correo electrónico, nombre, hash de la contraseña (o token de inicio de sesión social de Google), URL de la foto de perfil. Aportados por usted al registrarse. También generamos identificadores técnicos (ID de usuario, ID de equipo, identificadores de sesión) automáticamente.
- Información de facturación. Plan de suscripción, intervalo de facturación, estado del pago, historial de facturas. Los números de tarjeta y los datos bancarios son recopilados y custodiados por nuestro procesador de pagos (Stripe); nosotros únicamente recibimos un identificador tokenizado y metadatos.
- Cuentas de redes sociales conectadas. Cuando conecta una cuenta social, almacenamos la credencial que nos permite actuar en su nombre (publicar, leer analíticas, leer mensajes): en la mayoría de las plataformas es un token de acceso OAuth y, en Bluesky, una contraseña específica de aplicación que usted genera. Nunca almacenamos la contraseña principal de su plataforma. Los datos que después leemos incluyen: contenido de las publicaciones que ha publicado, métricas de interacción, agregados de audiencia y (para las funcionalidades de bandeja de entrada) mensajes directos y comentarios en sus cuentas.
- Contenido que usted crea. Borradores, publicaciones programadas, entradas de calendario, archivos multimedia (imágenes, vídeo, audio), contenido generado por IA, material de entrenamiento de Brand Voice y cualquier texto que escriba en el Servicio.
- Datos de Brand Voice. Documentos que usted sube y publicaciones que leemos de cuentas conectadas para entrenar su Brand Voice. Extraemos parámetros de estilo; no republicamos el material en bruto. Consulte el calendario de conservación más abajo.
- Datos de bandeja de entrada e interacción. Para las funcionalidades de bandeja de entrada, recibimos copias de mensajes directos y comentarios en cuentas conectadas. Se almacenan para proporcionar la interfaz de bandeja de entrada y calcular las funcionalidades de interacción.
- Comunicaciones de soporte. Correos electrónicos, mensajes de chat y envíos de formularios que usted nos envía, además de nuestras respuestas.
- Datos de uso y de dispositivo. Páginas vistas, funcionalidades utilizadas, métricas de rendimiento, dirección IP (truncada cuando es posible), tipo de navegador, sistema operativo, identificadores de dispositivo. Recopilados automáticamente por sistemas de analítica y seguimiento de errores.
- Cookies y almacenamiento similar. Consulte la Sección 8 más abajo para el inventario completo.
3. Por qué tratamos sus datos y con qué base jurídica
Conforme al RGPD, toda actividad de tratamiento necesita una base jurídica. Esta es la nuestra, por finalidad:
| Finalidad | Base jurídica |
|---|---|
| Prestar el Servicio - servir la aplicación, almacenar y programar su contenido, ejecutar las funcionalidades de IA, publicar en plataformas conectadas, ofrecer analíticas | Contrato (Art. 6(1)(b)) - ejecución de nuestros Términos del Servicio con usted |
| Creación de cuenta, autenticación, restablecimiento de contraseña, seguridad | Contrato (Art. 6(1)(b)) e interés legítimo (Art. 6(1)(f)) para seguridad y prevención del fraude |
| Facturación, emisión de facturas, impuestos | Contrato (Art. 6(1)(b)) y obligación legal (Art. 6(1)(c)) - normativa contable/fiscal |
| Correos transaccionales (verificación, restablecimiento de contraseña, notificaciones de facturación, actualizaciones importantes del servicio) | Contrato (Art. 6(1)(b)) y obligación legal cuando proceda |
| Analítica de producto y grabación de sesiones (PostHog) | Interés legítimo (Art. 6(1)(f)) para visitantes fuera de UE/Reino Unido; consentimiento (Art. 6(1)(a)) para visitantes de UE/Reino Unido a través del banner de cookies |
| Analítica del sitio de marketing (Google Analytics) | Consentimiento (Art. 6(1)(a)) para visitantes de UE/Reino Unido; interés legítimo con opción de exclusión en otras zonas |
| Boletín opcional de producto o correos de marketing | Consentimiento (Art. 6(1)(a)) - solo opt-in, revocable en cualquier momento mediante el enlace para darse de baja |
| Seguimiento de errores y monitorización de rendimiento (Sentry) | Interés legítimo (Art. 6(1)(f)) - mantener la fiabilidad y seguridad del Servicio |
| Atención al cliente | Contrato e interés legítimo |
| Cumplimiento de requerimientos legales, defensa de acciones legales, aplicación de nuestros Términos | Obligación legal (Art. 6(1)(c)) e interés legítimo (Art. 6(1)(f)) |
4. Cómo utilizamos su información (resumen)
- Para proporcionar y mantener la plataforma Sydium
- Para programar y publicar contenido en sus cuentas de redes sociales conectadas en su nombre
- Para generar contenido asistido por IA (incluido en su Brand Voice)
- Para calcular y mostrar analíticas sobre su rendimiento en redes sociales
- Para enviar mensajes de servicio importantes (seguridad, facturación, cuenta)
- Para mejorar funcionalidades y experiencia de usuario
- Para detectar, prevenir y abordar problemas de seguridad y fraude
- Para cumplir con obligaciones legales
5. Subencargados del tratamiento y comunicación de datos
No vendemos sus datos personales. No los compartimos para publicidad conductual entre contextos. Compartimos datos únicamente con las categorías de destinatarios indicadas a continuación, y solo en lo necesario para prestar el Servicio. Todos los subencargados están vinculados por acuerdos de tratamiento de datos por escrito que cumplen con los requisitos del Art. 28 del RGPD.
Categorías de destinatarios
- Plataformas de redes sociales que conecta. Enviamos y recibimos datos a través de sus APIs oficiales (OAuth 2.0) para publicar contenido y leer analíticas/mensajes en su nombre.
- Proveedores de IA. OpenAI (generación de texto y transcripción de audio para subtítulos), Anthropic (generación de texto) y fal.ai (generación de imágenes y vídeo). Solo enviamos los prompts, el contenido multimedia y el contexto necesarios para la generación; no compartimos datos de cuenta ni de facturación. Los proveedores actuales no utilizan por defecto las entradas de clientes empresariales/API para entrenar sus modelos.
- Proveedores de infraestructura. Google Cloud / Firebase (base de datos, almacenamiento, autenticación, hosting) y Cloudflare (CDN en el borde, Workers, almacenamiento de objetos, seguridad).
- Procesador de pagos. Stripe gestiona la facturación de las suscripciones y los impuestos. Nunca vemos sus datos completos de tarjeta o bancarios.
- Proveedor de correo transaccional. Brevo (UE) envía correos de verificación, restablecimiento de contraseña, facturación y notificación en nuestro nombre.
- Observabilidad. Sentry (errores), PostHog (analítica de producto, grabación de sesiones, instancia en la UE).
- Analítica del sitio de marketing. Google Analytics (GA4) para medición agregada. Se ejecuta únicamente en el sitio público de marketing, requiere consentimiento para visitantes de UE/Reino Unido y no está activo cuando usted ha iniciado sesión en la app.
- Asesores profesionales, autoridades y sucesores. Nuestros abogados, contables y auditores bajo confidencialidad. Autoridades públicas o tribunales cuando lo exija la ley. Una entidad sucesora en relación con una fusión, adquisición o venta sustancial de nuestros activos (con protección continuada conforme a esta Política).
A continuación se incluye la lista completa actual de subencargados. Actualizaremos esta lista antes de añadir un nuevo subencargado con acceso a sus datos personales. Puede suscribirse a las actualizaciones de subencargados escribiendo a privacy@sydium.com.
| Subencargado | Finalidad | Ubicación | Mecanismo de transferencia |
|---|---|---|---|
| Google Cloud Platform (Firebase) | Authentication, database (Firestore), file storage, push messaging, app hosting | United States | Standard Contractual Clauses |
| Cloudflare, Inc. | Edge CDN, Workers compute, R2 object storage, DNS, WAF / AI Crawl Control | Global edge / United States | Standard Contractual Clauses |
| OpenAI, L.L.C. | Text generation and audio transcription for captions (prompts, media, and outputs only; no account data) | United States | Standard Contractual Clauses + OpenAI DPA |
| Anthropic, PBC | Text generation (prompts and outputs only; no account data) | United States | Standard Contractual Clauses + Anthropic DPA |
| fal.ai (Features and Labels, Inc.) | AI image and video generation | United States | Standard Contractual Clauses |
| Brevo (Sendinblue SAS) | Transactional email (verification, password reset, notifications) | European Union (France) | EU-resident processor |
| Stripe Payments Europe, Ltd. | Subscription billing, invoicing, tax (Stripe Tax) | Ireland (EU) + United States | Standard Contractual Clauses |
| Sentry (Functional Software, Inc.) | Error tracking and performance monitoring | United States | Standard Contractual Clauses |
| PostHog Inc. | Product analytics, session recording (EU-hosted instance) | European Union (Germany) | EU-resident processor |
| Google Analytics (Google Ireland Ltd.) | Aggregate marketing-site analytics (consent-gated for EU/UK visitors) | Ireland (EU) + United States | Standard Contractual Clauses |
| Meta Platforms, Inc. | Publishing to Facebook and Instagram; reading audience analytics via Graph API | United States / Ireland (EU) | Standard Contractual Clauses + Meta DPA |
| Google LLC (YouTube) | Publishing to YouTube; reading analytics via YouTube Data API | United States | Standard Contractual Clauses |
| TikTok Information Technologies UK Ltd. | Publishing to TikTok; reading analytics via Content Posting API | Ireland (EU) + United States | Standard Contractual Clauses + TikTok DPA |
| LinkedIn Ireland Unlimited Company | Publishing to LinkedIn; reading analytics via Marketing Developer Platform | Ireland (EU) + United States | Standard Contractual Clauses |
| X Corp. (Twitter) | Publishing to X; reading analytics via X API | United States | Standard Contractual Clauses |
| Pinterest Europe Ltd. | Publishing to Pinterest; reading analytics via Pinterest API | Ireland (EU) | EU-resident processor |
| Bluesky PBC | Publishing to Bluesky via AT Protocol | United States | Standard Contractual Clauses |
| Mastodon gGmbH (and federated instances) | Publishing to Mastodon instances the user connects | Instance-dependent | Per-instance terms |
6. Transferencias internacionales de datos
Algunos de nuestros subencargados se encuentran fuera del Espacio Económico Europeo, principalmente en Estados Unidos.
Para las transferencias de datos personales a países no pertenecientes al EEE que no hayan sido declarados adecuados por la Comisión Europea, nos basamos en las Cláusulas Contractuales Tipo adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión (las "CCT de 2021"), complementadas cuando proceda con medidas técnicas y organizativas adicionales (cifrado en tránsito y en reposo, controles de acceso, obligaciones del encargado).
Hemos realizado evaluaciones de impacto de transferencias para nuestros principales subencargados estadounidenses conforme a las Recomendaciones 01/2020 del CEPD (post-Schrems II). La decisión de adecuación del Marco de Privacidad de Datos UE-EE. UU. de 2023 ofrece una garantía adicional cuando el subencargado se autocertifica bajo dicho marco.
Puede solicitar una copia de las CCT o un resumen de nuestra evaluación de impacto de transferencias escribiendo a privacy@sydium.com.
7. Cómo protegemos sus datos
- Cifrado en tránsito (TLS 1.2+) en todas las conexiones hacia y desde el Servicio
- Cifrado en reposo (AES-256) para los datos almacenados en Google Cloud y Cloudflare R2
- Tokens OAuth emitidos por la plataforma para las conexiones sociales (o, en el caso de Bluesky, una contraseña específica de aplicación que usted genera): nunca recibimos ni almacenamos la contraseña principal de sus redes sociales
- Cookies de sesión firmadas y de corta duración (JWT, HS256, TTL deslizante de 14 días) con registro de revocación de sesiones
- Controles de acceso que limitan el acceso a datos de producción al personal que lo necesita, con registro de auditoría
- Monitorización rutinaria de seguridad a través de Sentry y del WAF de Cloudflare
- Revisión periódica de prácticas de seguridad y subencargados
Ningún sistema es perfectamente seguro. Aunque trabajamos arduamente para proteger sus datos, no podemos garantizar una seguridad absoluta. Usted es responsable de mantener la confidencialidad de sus credenciales de cuenta y de notificarnos sin demora cualquier sospecha de uso no autorizado.
8. Cookies, tecnologías similares y consentimiento
Utilizamos cookies y almacenamiento local del navegador para: (a) mantener su sesión iniciada (esenciales); y (b) medir cómo se utiliza el Servicio para poder mejorarlo (analítica, sujeta a consentimiento en UE/Reino Unido).
Si visita nuestro sitio de marketing o la app desde la UE, EEE o Reino Unido, las cookies y rastreadores no esenciales están bloqueados hasta que los acepte mediante el banner de consentimiento. Puede cambiar su decisión en cualquier momento:
- En el sitio de marketing (sydium.com): utilice el enlace "Preferencias de cookies" en el pie de página.
- En la app: abra la configuración de su cuenta y haga clic en "Gestionar preferencias" en la tarjeta de preferencias de cookies.
La retirada del consentimiento no afecta a la licitud del tratamiento realizado antes de la retirada.
Respetamos las señales Global Privacy Control (GPC) a nivel de navegador, cuando es técnicamente viable, tratándolas como una solicitud de rechazo de cookies no esenciales.
| Cookie / almacenamiento | Finalidad | Categoría | Conservación |
|---|---|---|---|
__sydium_session | Authenticated session (HS256 JWT) | Esencial | 14 days (sliding) |
__sydium_oauth | OAuth state during Google sign-in flow | Esencial | 10 minutes |
sydium_geo_eu | Records whether visitor is EU/EEA/UK for consent gating | Esencial | 1 day |
sydium_cookie_consent (localStorage) | Stores your consent choices | Esencial | Until you clear browser storage or revoke |
sydium_active_team_id (localStorage) | Remembers the team you were last viewing | Esencial | Until you clear browser storage or switch teams |
ph_phc_*_posthog (localStorage + cookie) | PostHog product analytics and session recording | Analítica | 1 year |
_ga, _ga_* | Google Analytics (GA4) aggregate measurement | Analítica | 2 years |
Para algunos rastreadores de analítica, hay opciones adicionales de exclusión disponibles por parte del proveedor: la exclusión de PostHog se aplica automáticamente cuando rechaza la analítica; puede excluirse de Google Analytics en https://tools.google.com/dlpage/gaoptout/.
9. Cuánto tiempo conservamos sus datos
Conservamos los datos personales únicamente durante el tiempo necesario para la finalidad para la que se recopilaron, más cualquier periodo exigido por ley.
| Categoría de datos | Conservación |
|---|---|
| Registro de cuenta (correo, perfil) | Mientras la Cuenta esté activa. Eliminado en un plazo de 30 días desde la solicitud de eliminación de la Cuenta, salvo en las copias de seguridad (purgadas en la rotación estándar de copias de seguridad, máximo 90 días). |
| Contenido (borradores, publicaciones programadas, medios, calendario) | Mientras la Cuenta esté activa. Eliminado junto con la Cuenta, en el mismo plazo anterior. |
| Material en bruto de entrenamiento de Brand Voice | Mientras exista la Brand Voice. Eliminado en un plazo de 30 días cuando elimine la Brand Voice o la Cuenta. Los parámetros de estilo derivados se eliminan junto con la propia Brand Voice. |
| Mensajes de bandeja de entrada y comentarios | Conservados mientras la cuenta social conectada esté vinculada, hasta 12 meses. Los mensajes más antiguos se eliminan automáticamente. |
| Tokens de acceso de plataformas sociales conectadas | Hasta que desconecte la plataforma o elimine la Cuenta. Revocados al desconectarse. |
| Registros de facturación y facturas | 10 años desde la emisión, conforme exige la Ley rumana 82/1991 (contabilidad). |
| Correos y chats de soporte | 3 años desde la última interacción, salvo que una disputa requiera más tiempo. |
| Registros de sesiones (sesiones activas, registro JTI) | Sesión activa: 14 días deslizantes. Sesiones revocadas: 90 días para auditoría. |
| Registros de acceso al servidor (con IP truncadas) | 30 días. |
| Analítica de producto (PostHog) | Por defecto 1 año (retención de la instancia europea de PostHog). |
| Seguimiento de errores (Sentry) | 90 días para eventos individuales; métricas agregadas durante más tiempo. |
| Analítica de marketing (GA4) | 14 meses (valor por defecto de Google Analytics para nuestra propiedad). |
| Copias de seguridad | Rotación estándar, máximo 90 días. Después, las copias de seguridad se sobrescriben. |
10. Sus derechos
Si se encuentra en la UE, EEE o Reino Unido, el RGPD (y el RGPD del Reino Unido) le otorga los siguientes derechos:
- Acceso. Una copia de los datos personales que tenemos sobre usted (Art. 15).
- Rectificación. Corrección de datos inexactos o incompletos (Art. 16).
- Supresión. Eliminación de sus datos, con sujeción a las limitaciones aplicables (Art. 17).
- Limitación. Limitación del tratamiento en determinadas situaciones (Art. 18).
- Portabilidad. Recibir sus datos en un formato estructurado y legible por máquina y derecho a transmitirlos a otro responsable (Art. 20).
- Oposición. Oposición al tratamiento basado en el interés legítimo, incluida la mercadotecnia directa (Art. 21).
- Retirada del consentimiento. Cuando el tratamiento se base en el consentimiento, puede retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo (Art. 7(3)).
- Decisiones automatizadas. Derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos o le afecte significativamente. Actualmente no tomamos tales decisiones.
- Reclamación ante la autoridad de control. Derecho a presentar una reclamación ante su autoridad local de protección de datos. En Rumanía es la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), https://www.dataprotection.ro.
Si reside en California, la CCPA (modificada por la CPRA) le otorga derechos adicionales:
- Derecho a saber. Qué información personal recopilamos, las fuentes, las finalidades y las categorías de destinatarios.
- Derecho a eliminar. Eliminación de la información personal recopilada de usted, con sujeción a las excepciones legales.
- Derecho a rectificar. Corrección de información personal inexacta.
- Derecho a excluirse de la venta o intercambio. No vendemos información personal ni la compartimos para publicidad conductual entre contextos, por lo que no se requiere ninguna exclusión - pero si envía una señal GPC la trataremos como una exclusión confirmatoria.
- Derecho a limitar el uso de información personal sensible. No utilizamos información personal sensible para finalidades que activen este derecho.
- Derecho a la no discriminación. No le denegaremos, no le cobraremos precios diferentes ni le ofreceremos un nivel de servicio distinto por haber ejercido sus derechos CCPA.
Para ejercer cualquiera de estos derechos, escriba a privacy@sydium.com. Responderemos en un plazo de 30 días (ampliable hasta 60 días adicionales para solicitudes complejas, previa notificación). No cobramos por solicitudes razonables; podemos rechazar solicitudes manifiestamente infundadas o excesivas, indicando los motivos. Verificaremos su identidad antes de atender una solicitud (normalmente confirmando el control de la dirección de correo electrónico de su Cuenta).
Cuando lo permita la ley, podrá utilizar un agente autorizado para presentar una solicitud en su nombre. Requeriremos prueba de la autorización.
11. Menores
El Servicio no está dirigido a, y no recopilamos conscientemente datos personales de, ninguna persona menor de 16 años (o la edad superior de consentimiento digital en su país, cuando corresponda). Si cree que un menor de 16 años nos ha proporcionado datos personales, contacte con privacy@sydium.com y los eliminaremos.
Actualmente no utilizamos tecnología de verificación de edad; nos basamos en la autodeclaración en el momento del registro y podemos adoptar medidas adicionales si se nos alerta sobre un usuario más joven.
12. Notificación de violaciones de datos
Si tenemos conocimiento de una violación de datos personales que pueda suponer un alto riesgo para sus derechos y libertades, le notificaremos sin demora indebida y, en cualquier caso, conforme a nuestras obligaciones del Art. 34 del RGPD. La notificación describirá la naturaleza de la violación, las categorías y el número aproximado de registros afectados, las posibles consecuencias, las medidas que hemos adoptado o que proponemos adoptar y un punto de contacto para obtener más información.
13. Decisiones automatizadas e IA
Utilizamos IA para ayudarle a crear contenido (texto, imágenes, ideas). Estas funcionalidades de IA generan sugerencias; usted decide si publicarlas, editarlas o descartarlas. No utilizamos IA para tomar decisiones sobre usted que produzcan efectos jurídicos o le afecten significativamente de forma similar (por ejemplo, no utilizamos IA para puntuación crediticia, bloqueo automático de fraude sin revisión humana o decisiones de moderación de contenido que cancelen su Cuenta).
14. Cambios en esta política
Podemos actualizar esta Política de Privacidad de vez en cuando. Para cambios materiales (cualquier cosa que afecte significativamente a cómo tratamos sus datos personales) le enviaremos un correo electrónico a la dirección de su Cuenta con al menos 30 días de antelación a la entrada en vigor del cambio y mostraremos un aviso dentro del producto. La fecha "Vigente" en la parte superior de la página siempre refleja la versión más reciente.
15. Contacto
Para preguntas, solicitudes o reclamaciones de privacidad, contacte con nuestro equipo de privacidad en privacy@sydium.com. Por correo postal:
Parhelion Software SRL - Privacidad
Dirección: România, Galați, str. Vânători nr. 35
16. Historial de versiones
- v2.1 - 2026-06-01 - Se eliminó RB2B (desanonimización de visitantes B2B) como subencargado y la categoría de cookies de marketing; se aclaró el almacenamiento de credenciales (contraseñas de aplicación de Bluesky); se divulgaron la transcripción de audio (OpenAI Whisper) y la generación de vídeo (fal.ai); se actualizaron la lista de subencargados y las divulgaciones de cookies.
- v2.0 - 2026-05-27 - Reescritura sustancial: datos del responsable, lista completa de subencargados, tabla de bases jurídicas, calendario de conservación, tabla de cookies, sección CCPA, notificación de violaciones, decisiones automatizadas.
- v1.0 - 2026-03-20 - Versión inicial.
Al utilizar Sydium, reconoce que ha leído y comprendido esta Política de Privacidad.