Política de Privacidad

Última actualización: 2026-04-17 · Idioma de referencia: Español (Argentina)

Aviso legal: Este resumen tiene la finalidad de orientar al comprador final + al merchant. El documento técnico/operacional completo (con referencias específicas a LGPD, Ley 25.326, LFPDPPP) vive en el repositorio privado de Vulcan; cualquier merchant que integre el widget recibe el DPA completo durante el onboarding.

1. Roles legales

• Merchant (la marca que integra el widget): es el controlador de los datos personales del comprador final.
• Vulcan: es el procesador. Operamos los datos en nombre del merchant, según las instrucciones del DPA firmado.
• Comprador final: es el titular de los datos.

2. Qué datos recolectamos del comprador

• Foto del comprador (subida voluntariamente para la prueba virtual).
• Atributos físicos: altura (cm), peso (kg), tipo corporal (somatotype). Auto-declarados, no validados.
• Identificadores técnicos: hash SHA-256 truncado de la IP (irreversible), user-agent, locale del browser. La IP plana NUNCA se persiste.
• Identificadores de sesión: UUID v4, sin vínculo a identidad real.

3. Propósito + base legal

Procesamos la foto + atributos físicos exclusivamente para generar la imagen try-on solicitada y recomendar el talle correcto. Base legal: consentimiento explícito del comprador (al tickear el checkbox antes del upload) + ejecución de servicio. No usamos los datos para entrenamiento de modelos, marketing, ni los compartimos con terceros más allá de los sub-procesadores listados abajo.

4. Retención

• Foto del comprador: 1 hora máximo (auto-borrado por bucket lifecycle).
• Imagen generada: 24 horas máximo.
• Atributos físicos + recomendación de talle: 90 días para mejorar el algoritmo de recomendación (anonimizados después).
• Sesión técnica (sin datos personales identificables): 18 meses para analytics agregadas.

5. Sub-procesadores

• Amazon Web Services (us-east-1): hosting de infraestructura, almacenamiento S3, base de datos.
• Google Cloud (Vertex AI): procesamiento de la imagen try-on. Las imágenes se envían a la API de Vertex y no se persisten en GCP más allá del processing inmediato.

6. Derechos del titular

El comprador tiene derecho a acceder, rectificar y borrar sus datos. Para ejercerlos:

• Borrado inmediato: el modal del widget guarda el sessionId. Una llamada a DELETE /api/v1/tryon/<sessionId> elimina la foto + imagen generada de S3 y anonimiza la sesión en DB. Idempotente.
• Solicitud manual: contactar privacy@vulcan.ai con el sessionId afectado.

7. Transferencias internacionales

Los datos se almacenan en AWS us-east-1 (Estados Unidos). Para procesamiento AI, las imágenes se envían a Vertex AI us-central1 (Estados Unidos). Estas transferencias se basan en cláusulas contractuales estándar y la decisión de adecuación de la Comisión Europea para el Marco UE-EE.UU. de Privacidad de Datos.

8. Seguridad

• TLS 1.2+ en todas las conexiones de transporte.
• AES-256-GCM para credenciales en reposo.
• SHA-256 + truncamiento para IPs (no reversibles).
• UUIDs v4 (128 bits) para identificadores de sesión.
• S3 con SSE-KMS, bucket policies con block-public-access.
• Auditoría mediante append-only logs.

9. Marcos regulatorios cubiertos

• Brasil · LGPD (Ley 13.709/2018): Vulcan actúa como operador; el merchant es controlador.
• Argentina · Ley 25.326: Vulcan actúa como responsable de tratamiento por cuenta del usuario.
• México · LFPDPPP: Vulcan actúa como encargado.
• Chile · Ley 19.628: Vulcan actúa como encargado.

10. Contacto

Privacy Officer: privacy@vulcan.ai

Para consultas sobre el procesamiento de datos como controlador, dirigirse al merchant que integró el widget en su storefront.