Política de privacidad
Última actualización: 24 de abril de 2026
Esta Política de privacidad describe cómo Sofia («nosotros») trata los datos personales cuando utilizas la plataforma Sofia, incluido https://www.sofia-post.com, la aplicación web Sofia y la aplicación móvil Sofia para iOS y Android (en conjunto, el «Servicio»).
Sofia es una plataforma SaaS que ayuda a pymes a crear, planificar, publicar y medir contenido en redes sociales conectadas (incluidas cuentas de Instagram Business, páginas de Facebook, X, LinkedIn, TikTok y Snapchat) con asistencia de IA.
1. Quiénes somos
- Responsable del tratamiento: Badji Digital Services, operadora de Sofia — datos completos en el Aviso legal.
- Contacto: [email protected]
- Categoría: Productividad — gestión multi-canal de redes sociales para pymes
2. Alcance
Esta política aplica a todos los usuarios del Servicio, incluidos visitantes del sitio, usuarios con cuenta Sofia, y usuarios que conectan cuentas de redes sociales de terceros (incluidas cuentas de Meta / Instagram / Facebook) a su espacio de trabajo Sofia.
3. Datos personales que recopilamos
3.1 Datos que tú nos facilitas
| Categoría | Ejemplos | Finalidad |
|---|---|---|
| Cuenta | Email, nombre, contraseña (hash Argon2id), idioma | Crear y proteger tu cuenta |
| Marca | Nombre de empresa, sector, identidad de marca (logo, tono, colores) | Personalizar IA y analítica |
| Contenido | Posts, imágenes, vídeos, captions, hashtags, borradores, calendario | Producir y planificar publicaciones |
| Facturación | Dirección de facturación, IVA, método de pago (vía proveedor) | Gestión de suscripciones y facturas |
| Soporte | Mensajes enviados a soporte | Responder a tus solicitudes |
3.2 Datos al conectar una cuenta de Meta
Al conectar una cuenta de Meta mediante el flujo oficial de Facebook Login for Business, solicitamos los siguientes permisos y, con tu consentimiento explícito, accedemos a los datos correspondientes:
| Permiso de Meta | Datos accedidos | Finalidad |
|---|---|---|
| instagram_business_basic | ID de la cuenta Instagram Business, username, nombre, foto de perfil, número de seguidores | Mostrar la cuenta conectada en el panel de «Cuentas conectadas» |
| instagram_business_content_publish | Acceso de escritura para publicar el medio que has creado en Sofia | Publicar foto, carrusel, vídeo o Reel cuando pulsas Publicar o en el horario programado |
| instagram_business_manage_insights | Métricas por medio (impresiones, alcance, likes, comentarios, guardados, reproducciones, engagement) | Mostrar analítica de tus propios medios en el panel Performance |
| pages_show_list pages_manage_posts pages_read_engagement | Páginas de Facebook conectadas, posts y engagement | Cross-publicación y análisis de rendimiento de página |
landing.policy.privacy-policy.sections.2.blocks.5.text.0do not access your Instagram Direct inbox, private follower lists, or any content that is not owned by you. We store a short-lived access token and a refresh token encrypted at rest, used only to call Meta Graph API on your behalf for actions you explicitly requested.
3.3 Datos recopilados automáticamente
- Dispositivo y técnica: IP, user-agent, SO, modelo, logs de fallo (seguridad y fiabilidad).
- Uso: páginas vistas, funcionalidades usadas, eventos (post creado, programado, publicado), duración de sesión (mejora del servicio).
- Cookies: autenticación, idioma, consentimiento — consulta nuestra Política de cookies.
3.4 Datos que NO recopilamos
- Tu contraseña de Instagram o Facebook (gestionada por Meta).
- Tus mensajes privados de Instagram Direct.
- Datos sobre quienes te siguen, más allá de las métricas públicas de engagement.
- Datos sensibles (salud, religión, etc.) — por favor no subas este tipo de contenido.
4. Cómo utilizamos los datos
- Prestar el Servicio — cuenta, IA, publicación, analítica.
- Conexión de cuentas de terceros — flujos OAuth, refresco de tokens.
- Publicar en tu nombre — llamadas a Meta Graph API solo bajo tu disparo o tu programación.
- Analítica e insights — obtención de métricas de plataformas para tus paneles.
- Seguridad — detección de abuso, rate limiting, investigación de incidentes.
- Soporte, facturación, cumplimiento legal.
- Mejora del servicio — analítica agregada no identificable.
landing.policy.privacy-policy.sections.3.blocks.1.text.0do not use content from your connected Meta accounts to train any public AI model. AI sub-processors are contractually prohibited from training their own foundation models on your prompts (see section 6).
5. Bases jurídicas (RGPD)
| Finalidad | Base jurídica (Art. 6 RGPD) |
|---|---|
| Prestación del Servicio, OAuth, publicaciones | Ejecución del contrato |
| Analítica e insights configurados | Ejecución del contrato |
| Seguridad, prevención del fraude | Interés legítimo |
| Analítica de producto agregada | Interés legítimo (puedes oponerte) |
| Emails de marketing | Consentimiento (opt-in) |
| Facturación, contabilidad | Obligación legal |
| Cookies no esenciales | Consentimiento |
6. Destinatarios y subencargados
Compartimos datos solo con prestadores que actúan como encargados del tratamiento bajo un acuerdo (DPA). Subencargados actuales:
| Subencargado | Rol | Localización |
|---|---|---|
| Railway | Hosting de la aplicación (backend & frontend) | EE. UU. (CCT) |
| Cloudflare Inc. | CDN y almacenamiento de objetos R2 (medios) | Red global / UE |
| Resend Inc. | Email transaccional | EE. UU. (CCT) |
| OpenAI LLC | Funciones de IA generativa (modo sin retención activado) | EE. UU. (CCT) |
| Meta Platforms Ireland Ltd | Recibe las publicaciones que envías explícitamente a Instagram / Facebook | Irlanda |
| Google Ireland Ltd | Email interno (Workspace) | Irlanda |
Las actualizaciones se publican aquí y se notifican por email a los clientes existentes al menos 30 días antes de incorporar un nuevo subencargado que cambie sustancialmente los flujos. No vendemos datos personales.
7. Transferencias internacionales
Cuando se transfieren datos fuera del Espacio Económico Europeo, nos basamos en las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea y en medidas adicionales (cifrado en reposo y en tránsito, control de accesos).
8. Conservación
| Dato | Plazo |
|---|---|
| Cuenta y perfil | Hasta eliminación de la cuenta + 30 días de gracia |
| Tokens OAuth (Meta, etc.) | Hasta desconexión o eliminación de la cuenta Sofia |
| Metadatos de contenido publicado | Hasta eliminación, o 90 días tras eliminar la cuenta |
| Borradores y contenido programado | Hasta publicación o eliminación |
| Insights agregados | Hasta 24 meses |
| Registros contables | 10 años (ley francesa) |
| Logs y eventos de seguridad | 13 meses máximo |
| Conversaciones con soporte | 3 años |
9. Tus derechos
Conforme al RGPD, tienes derecho a:
- Acceso a los datos personales que tenemos sobre ti;
- Rectificación de datos inexactos;
- Supresión («derecho al olvido»);
- Limitación del tratamiento;
- Portabilidad — recibir tus datos en formato legible por máquina;
- Oposición a tratamientos basados en interés legítimo;
- Retirada del consentimiento en cualquier momento, sin afectar tratamientos previos;
- Reclamación ante una autoridad de control (en Francia: CNIL — cnil.fr).
Cómo ejercerlos
- La mayoría de acciones (desconectar Meta, exportar, eliminar) están en autoservicio en Sofia → Ajustes → Privacidad.
- Para cualquier otra solicitud, escribe a [email protected] desde el email de tu cuenta. Respondemos en 30 días.
- Para eliminar tu cuenta, sigue las instrucciones de eliminación.
10. Derechos específicos Meta / Instagram
Si revocas los permisos de Sofia desde Facebook (Configuración → Integraciones de empresa → Sofia → Eliminar), Sofia:
- Recibe un callback Deauthorize de Meta;
- Invalida y elimina los tokens OAuth correspondientes;
- Cancela cualquier publicación programada para esa cuenta;
- En 30 días, elimina los datos en caché (perfil, insights) de esa conexión.
Puedes hacer lo mismo desde Sofia → Ajustes → Cuentas conectadas → Desconectar Instagram.
11. Seguridad
- TLS 1.2+ para todo el tráfico en tránsito.
- Cifrado en reposo de bases de datos, almacenamiento de objetos y tokens OAuth.
- Contraseñas con hash Argon2id; JWT de corta duración con rotación de refresh tokens.
- Mínimo privilegio para accesos de empleados; análisis de vulnerabilidades periódicos.
- Procedimiento de respuesta a incidentes con notificación en 72 h cuando proceda.
12. Menores
Sofia es un producto B2B. El Servicio no está dirigido a menores de 16 años. No recopilamos datos de menores conscientemente. Si crees que un menor nos ha facilitado datos, contacta con [email protected] y los eliminaremos.
13. Decisiones automatizadas
Sofia usa IA para generar texto y sugerencias. Tú revisas todas las sugerencias antes de publicar; Sofia no toma decisiones automatizadas con efectos jurídicos o significativos sobre ti.
15. Cambios
Podemos actualizar esta política. Los cambios materiales se notifican por email a usuarios activos y mediante banner in-app. La fecha de «Última actualización» refleja la versión vigente.
16. Contacto
Sofia — [email protected] — datos completos en el Aviso legal.