Política de Privacidad
Última actualización: 2026-04-17 · Idioma de referencia: Español (Argentina)
Aviso legal: Este resumen tiene la finalidad de orientar al comprador final + al merchant. El documento técnico/operacional completo (con referencias específicas a LGPD, Ley 25.326, LFPDPPP) vive en el repositorio privado de Vulcan; cualquier merchant que integre el widget recibe el DPA completo durante el onboarding.
1. Roles legales
- Merchant (la marca que integra el widget): es el controlador de los datos personales del comprador final.
- Vulcan: es el procesador. Operamos los datos en nombre del merchant, según las instrucciones del DPA firmado.
- Comprador final: es el titular de los datos.
2. Qué datos recolectamos del comprador
- Foto del comprador (subida voluntariamente para la prueba virtual).
- Atributos físicos: altura (cm), peso (kg), tipo corporal (somatotype). Auto-declarados, no validados.
- Identificadores técnicos: hash SHA-256 truncado de la IP (irreversible), user-agent, locale del browser. La IP plana NUNCA se persiste.
- Identificadores de sesión: UUID v4, sin vínculo a identidad real.
3. Propósito + base legal
Procesamos la foto + atributos físicos exclusivamente para generar la imagen try-on solicitada y recomendar el talle correcto. Base legal: consentimiento explícito del comprador (al tickear el checkbox antes del upload) + ejecución de servicio. No usamos los datos para entrenamiento de modelos, marketing, ni los compartimos con terceros más allá de los sub-procesadores listados abajo.
4. Retención
- Foto del comprador: 1 hora máximo (auto-borrado por bucket lifecycle).
- Imagen generada: 24 horas máximo.
- Atributos físicos + recomendación de talle: 90 días para mejorar el algoritmo de recomendación (anonimizados después).
- Sesión técnica (sin datos personales identificables): 18 meses para analytics agregadas.
5. Sub-procesadores
- Amazon Web Services (us-east-1): hosting de infraestructura, almacenamiento S3, base de datos.
- Google Cloud (Vertex AI): procesamiento de la imagen try-on. Las imágenes se envían a la API de Vertex y no se persisten en GCP más allá del processing inmediato.
6. Derechos del titular
El comprador tiene derecho a acceder, rectificar y borrar sus datos. Para ejercerlos:
- Borrado inmediato: el modal del widget guarda el sessionId. Una llamada a
DELETE /api/v1/tryon/<sessionId>elimina la foto + imagen generada de S3 y anonimiza la sesión en DB. Idempotente. - Solicitud manual: contactar privacy@vulcan.ai con el sessionId afectado.
7. Transferencias internacionales
Los datos se almacenan en AWS us-east-1 (Estados Unidos). Para procesamiento AI, las imágenes se envían a Vertex AI us-central1 (Estados Unidos). Estas transferencias se basan en cláusulas contractuales estándar y la decisión de adecuación de la Comisión Europea para el Marco UE-EE.UU. de Privacidad de Datos.
8. Seguridad
- TLS 1.2+ en todas las conexiones de transporte.
- AES-256-GCM para credenciales en reposo.
- SHA-256 + truncamiento para IPs (no reversibles).
- UUIDs v4 (128 bits) para identificadores de sesión.
- S3 con SSE-KMS, bucket policies con block-public-access.
- Auditoría mediante append-only logs.
9. Marcos regulatorios cubiertos
- Brasil · LGPD (Ley 13.709/2018): Vulcan actúa como operador; el merchant es controlador.
- Argentina · Ley 25.326: Vulcan actúa como responsable de tratamiento por cuenta del usuario.
- México · LFPDPPP: Vulcan actúa como encargado.
- Chile · Ley 19.628: Vulcan actúa como encargado.
10. Contacto
Privacy Officer: privacy@vulcan.ai
Para consultas sobre el procesamiento de datos como controlador, dirigirse al merchant que integró el widget en su storefront.