Lumia Labs

Política de Privacidad

Última actualización: 21 de mayo de 2026

La presente Política de Privacidad explica cómo Lumia Labs B.V. («Lumia Labs», «nosotros») recoge, utiliza, comparte y protege los datos personales cuando usted visita lumia-labs.com, crea una cuenta o utiliza nuestra plataforma de fotografía de producto con IA (el «Servicio»). Está redactada para cumplir con el Reglamento General de Protección de Datos 2016/679 («RGPD»), la Ley de implementación neerlandesa del RGPD (UAVG) y la Ley Orgánica 3/2018 española de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

1. Responsable del Tratamiento

El responsable del tratamiento de sus datos personales es:

Lumia Labs B.V.

Heidelberglaan 8, 3584 CS Utrecht, Países Bajos

Contacto de privacidad: privacy@lumia-labs.com

Contacto general: info@lumia-labs.com

Lumia Labs B.V. opera la marca y la plataforma Lumia Labs. Las referencias a «nosotros» o «Lumia Labs» en esta Política se refieren a dicha entidad. No hemos designado formalmente un Delegado de Protección de Datos, dado que no estamos obligados a ello conforme al artículo 37 del RGPD; no obstante, todas las consultas sobre privacidad son gestionadas directamente por nuestros fundadores.

2. Categorías de Datos Personales

Recogemos y tratamos las siguientes categorías de datos personales:

2.1 Información de cuenta

  • Identificadores: nombre completo, nombre visible y foto de perfil (cuando inicia sesión a través de Google).
  • Datos de contacto: dirección de correo electrónico.
  • Datos de autenticación: identificador de usuario (UID) de Firebase Authentication, contraseña con hash (cuando se registra con correo y contraseña) y tokens de Google OAuth.
  • Preferencias de cuenta: idioma, rol, configuración de marca y permisos sobre funciones.

2.2 Contenido que sube o genera

  • Fotografías de productos de referencia que sube al Servicio.
  • Imágenes de modelos, entornos y estilos de referencia que sube a su biblioteca privada.
  • Indicaciones de texto (prompts), briefings e instrucciones que envía al pipeline de generación con IA.
  • Imágenes generadas por la IA, valoraciones y metadatos asociados a cada sesión fotográfica.

Estos materiales pueden contener incidentalmente datos personales (por ejemplo, la imagen de una persona representada en una fotografía de referencia). Usted es responsable de asegurarse de que tiene derecho a subir dicho material; consulte nuestros Términos del Servicio.

2.3 Datos de uso y de Lumens

  • Saldo de Lumens, transacciones e historial de consumo de créditos.
  • Historial de sesiones y generaciones (marcas de tiempo, prompts utilizados, modelos invocados y resultados producidos).
  • Eventos de uso de funcionalidades (por ejemplo: finalización del asistente, generación multiimagen, interacciones con el agente).

2.4 Metadatos de pago (una vez activado Stripe)

Cuando activemos los planes de pago, trataremos los metadatos transaccionales a través de Stripe Payments Europe, Ltd. (Irlanda): importe de la compra, divisa, plan, número de factura, últimos cuatro dígitos de la tarjeta, país de facturación y número de IVA. No almacenamos en nuestra propia infraestructura los números completos de tarjeta ni el CVV; estos datos son gestionados por Stripe bajo controles PCI-DSS de nivel 1.

2.5 Datos técnicos y de registro

  • Dirección IP, agente de usuario, tipo de dispositivo, sistema operativo e idioma del navegador.
  • Registros de servidor: rutas de las peticiones HTTP, códigos de respuesta, latencia y trazas de errores.
  • Eventos de seguridad: intentos de inicio de sesión, restablecimientos de contraseña y tráfico sospechoso.

2.6 Comunicaciones

Cuando se pone en contacto con nosotros a través del formulario web, por correo electrónico o mediante los canales de soporte, conservamos el mensaje, su dirección de correo electrónico y los adjuntos necesarios para poder responder.

3. Finalidades y Bases Jurídicas

Tratamos datos personales únicamente cuando contamos con una base jurídica conforme al artículo 6 del RGPD. La tabla siguiente resume cada finalidad, las categorías de datos implicadas y la base jurídica en la que nos apoyamos.

Prestación y operación del Servicio

Creación de cuenta, autenticación, generación de imágenes, almacenamiento de su biblioteca, contabilidad de Lumens y atención al cliente.

Base jurídica: Ejecución de un contrato (art. 6.1.b del RGPD).

Seguridad del Servicio, prevención del fraude y detección de abusos

Monitorización de registros, limitación de la frecuencia de peticiones, detección de subidas de contenido prohibido y protección frente a accesos no autorizados.

Base jurídica: Interés legítimo (art. 6.1.f del RGPD) en mantener la plataforma segura y fiable.

Mejora del Servicio y aseguramiento de la calidad

Análisis agregado de uso, revisión de ingeniería de prompts, evaluación de la calidad de las generaciones y depuración de sesiones fallidas.

Base jurídica: Interés legítimo (art. 6.1.f del RGPD) en mejorar el Servicio.

Facturación, emisión de facturas y cumplimiento tributario (una vez activos los planes de pago)

Procesamiento de pagos, emisión de facturas, declaración del IVA y llevanza de la contabilidad.

Base jurídica: Ejecución de un contrato (art. 6.1.b del RGPD) y cumplimiento de una obligación legal (art. 6.1.c del RGPD), en particular la normativa fiscal neerlandesa y de la Unión Europea.

Marketing, boletines y anuncios de producto

Envío de actualizaciones de producto, correos de bienvenida, anuncios de nuevas funcionalidades y ofertas puntuales.

Base jurídica: Consentimiento (art. 6.1.a del RGPD) cuando usted lo otorga. Para clientes existentes podemos ampararnos también en el soft opt-in del artículo 95 de la Directiva ePrivacy, ofreciendo siempre una opción fácil de baja en cada correo.

Analítica y medición de audiencia

Google Analytics 4 para comprender qué páginas y funcionalidades se utilizan más.

Base jurídica: Consentimiento (art. 6.1.a del RGPD), recabado mediante nuestro banner de cookies. Puede retirar su consentimiento en cualquier momento.

Reclamaciones legales y cumplimiento normativo

Atender requerimientos lícitos de las autoridades y ejercer o defender reclamaciones legales.

Base jurídica: Obligación legal (art. 6.1.c del RGPD) e interés legítimo (art. 6.1.f del RGPD).

4. Entradas y Salidas de la IA

Lumia Labs es, fundamentalmente, un servicio de IA. Creemos que usted merece información clara y específica sobre cómo se utilizan sus entradas.

4.1 Qué ocurre con sus entradas

Cuando sube una imagen de producto, una fotografía de referencia o un prompt de texto, dicho contenido se transmite a nuestro pipeline de generación. En función de la funcionalidad utilizada, sus entradas pueden enviarse a la familia de modelos Gemini de Google a través de la API de Google AI / Vertex AI para producir una imagen de salida. Google trata estas entradas conforme a sus condiciones empresariales.

No vendemos el contenido que usted sube ni lo utilizamos para entrenar modelos fundacionales de terceros. Google ha confirmado que las entradas y salidas de la API de pago de Gemini no se emplean para entrenar sus modelos de uso general.

4.2 Uso de las entradas para mejorar Lumia Labs

Podemos conservar una muestra de prompts y salidas (anonimizadas) para depurar generaciones fallidas, evaluar cambios en la ingeniería de prompts y mejorar nuestra orquestación interna. También podemos utilizar estadísticas agregadas y no identificativas para mejorar el Servicio. No utilizamos su biblioteca privada ni las imágenes de referencia que sube para entrenar ningún modelo ofrecido a otros clientes sin su consentimiento separado y explícito.

4.3 Titularidad de las salidas

Sujeto al cumplimiento de nuestros Términos del Servicio, usted ostenta los derechos comerciales sobre las salidas generadas por la IA producidas para usted, y puede utilizarlas para cualquier finalidad comercial lícita. No reclamamos titularidad alguna sobre sus salidas.

4.4 Tratamiento automatizado

El pipeline de generación de imágenes está totalmente automatizado, pero no produce decisiones con efectos jurídicos sobre usted ni le afecta de modo similarmente significativo en el sentido del artículo 22 del RGPD. Usted siempre conserva la decisión sobre si publicar o utilizar comercialmente una imagen generada.

5. Plazos de Conservación

Conservamos sus datos personales únicamente durante el tiempo necesario para las finalidades indicadas anteriormente. En concreto:

  • Datos de cuenta: mientras la cuenta esté activa y hasta doce (12) meses tras su eliminación o inactividad prolongada, transcurridos los cuales el registro de cuenta se suprime de forma permanente.
  • Imágenes generadas, bibliotecas e historial de sesiones: hasta que usted las elimine o suprima su cuenta, lo que ocurra primero.
  • Registros técnicos y eventos de seguridad: noventa (90) días, tras los cuales se rotan fuera de nuestro sistema de logs.
  • Muestras de prompts conservadas con fines de aseguramiento de la calidad: hasta doce (12) meses, en forma seudonimizada.
  • Facturas y registros fiscales: siete (7) años, conforme exige el artículo 52 de la Ley General Tributaria neerlandesa (Algemene wet inzake rijksbelastingen).
  • Registros de consentimiento de marketing: hasta que usted retire su consentimiento, más un periodo razonable de archivo para acreditar el cumplimiento.
  • Correspondencia de soporte: hasta veinticuatro (24) meses tras el cierre del asunto.

Cuando finaliza un plazo de conservación, eliminamos los datos o los anonimizamos de forma irreversible para que no puedan asociarse a usted.

6. Destinatarios y Subencargados

Nos apoyamos en un número reducido de proveedores cuidadosamente seleccionados («subencargados») para prestar el Servicio. Cada subencargado está vinculado por un Acuerdo de Tratamiento de Datos que cumple los requisitos del artículo 28 del RGPD.

Proveedor Finalidad Región
Google Ireland Ltd. / Google LLC (Firebase Authentication, Firestore, Cloud Storage, Cloud Run, Cloud Functions) Autenticación, base de datos, almacenamiento de archivos y alojamiento de la aplicación. UE (principal), con posibles transferencias a EE. UU.
Google LLC (API de Gemini / Vertex AI) Generación de imágenes con IA y orquestación de prompts. UE/EE. UU., según la región seleccionada.
Google LLC (Google Analytics 4) Analítica de audiencia y uso, únicamente previo consentimiento. UE/EE. UU.
Namecheap Inc. (Private Email SMTP) Envío de correos transaccionales (cuenta, notificaciones, soporte). Estados Unidos.
Stripe Payments Europe, Ltd. (previsto) Procesamiento de pagos, facturación y prevención del fraude. Se activará cuando se lancen los planes de pago. Irlanda (UE), con transferencias limitadas a Stripe Inc. (EE. UU.).

También podremos comunicar datos personales a asesores profesionales (abogados, contables, auditores), a autoridades públicas competentes cuando exista obligación legal, y a una entidad sucesora en el contexto de una fusión, adquisición o venta de activos, en cuyo caso le informaremos con antelación.

7. Transferencias Internacionales

Algunos de nuestros subencargados están establecidos fuera del Espacio Económico Europeo, en particular en Estados Unidos. Cuando se transfieren datos personales fuera del EEE, nos apoyamos en las garantías adecuadas previstas en el Capítulo V del RGPD:

  • Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) firmadas con Google LLC, Namecheap y otros proveedores estadounidenses.
  • Cuando proceda, la certificación del destinatario en el marco del EU-US Data Privacy Framework adoptado por la Comisión Europea el 10 de julio de 2023.
  • Medidas técnicas complementarias como el cifrado en tránsito (TLS 1.2 o superior) y el cifrado en reposo.

Puede solicitar una copia de las garantías aplicadas escribiendo a privacy@lumia-labs.com.

8. Sus Derechos

Conforme al RGPD, usted dispone de los siguientes derechos respecto de sus datos personales:

  • Derecho de acceso (art. 15 del RGPD): obtener confirmación de si tratamos sus datos y, en su caso, una copia de ellos.
  • Derecho de rectificación (art. 16 del RGPD): corregir los datos inexactos o incompletos que le conciernan.
  • Derecho de supresión (art. 17 del RGPD): el «derecho al olvido», sujeto a las obligaciones legales de conservación.
  • Derecho a la limitación del tratamiento (art. 18 del RGPD): limitar el uso de sus datos en determinadas situaciones.
  • Derecho a la portabilidad de los datos (art. 20 del RGPD): recibir sus datos en un formato estructurado, de uso común y de lectura mecánica, y transmitirlos a otro responsable.
  • Derecho de oposición (art. 21 del RGPD): oponerse al tratamiento basado en nuestros intereses legítimos, incluido el marketing directo.
  • Derecho a retirar el consentimiento (art. 7.3 del RGPD): en cualquier momento, sin que ello afecte a la licitud del tratamiento previo a la retirada.
  • Derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o le afecten de modo similarmente significativo (art. 22 del RGPD).

Puede ejercer estos derechos escribiendo a privacy@lumia-labs.com o, en el caso de la supresión, directamente a través del flujo de eliminación en la propia aplicación en /profile/delete. Responderemos en el plazo de un mes desde la recepción de su solicitud, conforme al artículo 12.3 del RGPD. Podremos pedirle que verifique su identidad antes de tramitar la solicitud.

Si considera que nuestro tratamiento de sus datos personales infringe el RGPD, tiene derecho a presentar una reclamación ante una autoridad de control. Las autoridades competentes para Lumia Labs son:

  • Autoriteit Persoonsgegevens (Autoridad neerlandesa de Protección de Datos) — https://autoriteitpersoonsgegevens.nl.
  • Agencia Española de Protección de Datos (AEPD) — https://www.aepd.es — para usuarios residentes en España.
  • La autoridad de control de su lugar de residencia, lugar de trabajo o del lugar en el que se haya producido la presunta infracción.

9. Cookies y Analítica

Utilizamos un conjunto mínimo de cookies y tecnologías similares. Esta sección actúa como nuestra Política de Cookies.

9.1 Cookies estrictamente necesarias

Utilizamos una cookie de sesión denominada __session, establecida por Firebase Hosting, para mantenerle conectado y conservar el estado de sesión de Flask en Firestore. Esta cookie es esencial para el funcionamiento del Servicio; sin ella, tendría que iniciar sesión en cada página. No se requiere consentimiento para las cookies estrictamente necesarias conforme al artículo 5.3 de la Directiva ePrivacy.

9.2 Cookies de analítica

Utilizamos Google Analytics 4 (cookies que comienzan por _ga) para medir el tráfico agregado y el uso de las funcionalidades. Estas cookies solo se instalan después de que usted otorgue su consentimiento mediante el banner de cookies. Puede retirar su consentimiento en cualquier momento borrando las cookies de su navegador o utilizando el enlace de ajustes de cookies del pie de página.

9.3 Sin cookies publicitarias

No utilizamos cookies publicitarias de terceros ni cookies de seguimiento entre sitios.

10. Medidas de Seguridad

Aplicamos las medidas técnicas y organizativas adecuadas, conforme exige el artículo 32 del RGPD, para garantizar un nivel de seguridad apropiado al riesgo. Entre ellas se incluyen:

  • TLS 1.2 o superior para todo el tráfico entre su navegador y nuestros servidores.
  • Cifrado en reposo para todos los datos almacenados en Firestore y en Firebase Cloud Storage.
  • Gestión de identidades y accesos basada en el principio de mínimo privilegio, mediante Firebase IAM y cuentas de servicio de Cloud Run.
  • Hashing de contraseñas gestionado por Firebase Authentication mediante algoritmos estándar del sector.
  • Segregación de entornos de producción y desarrollo, con credenciales y proyectos de Firestore separados.
  • Registro continuo, monitorización de anomalías y revisión periódica de los accesos por parte de nuestro equipo de ingeniería.
  • Formación obligatoria en seguridad para el personal con acceso a los sistemas de producción.

En caso de violación de la seguridad de datos personales que pueda entrañar un riesgo para sus derechos y libertades, notificaremos a la autoridad de control competente en un plazo de 72 horas, conforme al artículo 33 del RGPD, e informaremos a los usuarios afectados sin dilación indebida cuando así lo exija el artículo 34 del RGPD.

11. Niños y Menores

El Servicio está destinado exclusivamente a empresas y a profesionales mayores de edad. No recogemos a sabiendas datos personales de menores de 18 años. Si tiene conocimiento de que un menor nos ha facilitado datos personales, póngase en contacto con privacy@lumia-labs.com y los eliminaremos sin demora.

12. Cambios en esta Política

Podemos actualizar esta Política de Privacidad de vez en cuando para reflejar cambios en el Servicio, en la legislación aplicable o en nuestras prácticas empresariales. La fecha de «Última actualización» que figura al inicio de esta página indica cuándo se publicó la versión más reciente. Cuando los cambios sean sustanciales, le informaremos por correo electrónico o mediante un aviso en la aplicación con al menos 30 días de antelación a su entrada en vigor.

13. Contacto

Para cualquier consulta sobre esta Política de Privacidad o sobre el modo en que tratamos sus datos personales, escríbanos a privacy@lumia-labs.com o por correo postal a Lumia Labs B.V., Heidelberglaan 8, 3584 CS Utrecht, Países Bajos.

Gracias por confiar su trabajo creativo a Lumia Labs.