Saltar al contenido principal

POLÍTICA DE PRIVACIDAD

1. RESPONSABLE DEL TRATAMIENTO

KINMU DIGITAL S.L., sociedad constituida conforme a leyes españolas, con domicilio social en Calle Teide, 4, 28703 Madrid, España, y Código de Identificación Fiscal B24996803 actúa en calidad de responsable del tratamiento de datos personales conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Para ejercicio de derechos relativos a protección de datos, puede dirigirse al Delegado de Protección de Datos de Kinmu en dpo@kinmu.app.

2. NATURALEZA DEL TRATAMIENTO Y CATEGORÍAS DE DATOS

Kinmu trata datos personales derivados del acceso y uso de la plataforma Kinmu (https://kinmu.app) y sus aplicaciones móviles asociadas. El tratamiento se realiza con la finalidad específica de: (i) proporcionar funcionalidades de control de horario y registro de asistencia; (ii) gestionar solicitudes de ausencia, permiso y descanso; (iii) mantener información de equipo, departamento y estructura organizativa; (iv) generar reportes e informes sobre asistencia y horarios; (v) proporcionar asistencia mediante chat de inteligencia artificial; (vi) cumplir con obligaciones legales de registro de jornada conforme a legislación laboral española; (vii) detectar y prevenir fraude, falsificación de datos, o conducta fraudulenta en control de asistencia; (viii) garantizar la seguridad y disponibilidad técnica de la plataforma; (ix) comunicarse con usuarios sobre su cuenta, cambios en políticas, actualizaciones de servicio, o cuestiones de soporte técnico; (x) analizar tendencias de uso y funcionamiento técnico únicamente en forma anonimizada.

Los datos personales tratados incluyen: nombre completo, dirección de correo electrónico, número de empleado asignado por la empresa cliente, registro de entrada y salida (fecha, hora, dispositivo desde el cual se realizó), historial de ausencias y su tipo (enfermedad, permiso, vacaciones, etc.), días de descanso semanal, horario contractual, departamento y equipo de asignación, fotografía de perfil si la proporciona el usuario, información de contacto (teléfono opcional), y datos de sesión técnica (dirección IP anonimizada, navegador, dispositivo, timestamp de acceso).

En caso de que el usuario opte por utilizar funcionalidades específicas, se tratan también: contenido de conversaciones con el chat de inteligencia artificial, datos de validación mediante código QR o biometría (facial recognition) si se implementa dicha funcionalidad, y datos de ubicación únicamente si el usuario autoriza explícitamente la función de geolocalización de check-in.

Kinmu no recopila, solicita ni trata: coordenadas GPS de ubicación exacta del dispositivo excepto si la empresa cliente activa explícitamente función de control de asistencia por geolocalización; datos de navegación fuera de la plataforma; historial de comunicaciones o datos de terceros sin consentimiento; datos biométricos como huellas dactilares o reconocimiento de iris excepto si se implementa la funcionalidad de reconocimiento facial opcional; datos de salud, datos genéticos, o datos que revelen origen étnico, opiniones políticas, creencias religiosas, afiliación sindical, o vida sexual del usuario.

3. BASE LEGAL DEL TRATAMIENTO

El tratamiento de datos personales realizado por Kinmu se fundamenta en las siguientes bases legales conforme a artículos 6 y 9 del Reglamento (UE) 2016/679:

Artículo 6.1.a) - Consentimiento: Kinmu trata datos de registro de entrada y salida, historial de ausencias, y datos de departamento en base a consentimiento explícito proporcionado por el usuario al crear su cuenta y aceptar estos Términos y Política de Privacidad. El usuario puede revocar este consentimiento en cualquier momento contactando a dpo@kinmu.app, siendo la revocación efectiva a partir de dicha solicitud sin afectar la legalidad del tratamiento anterior.

Artículo 6.1.c) - Cumplimiento de obligación legal: Kinmu trata datos para cumplimiento de obligaciones derivadas de la Ley del Estatuto de los Trabajadores, Real Decreto 1619/2012 sobre registro de jornada, normativa de Seguridad Social, y demás obligaciones de registro de jornada que pesan sobre empresas españolas. Estos tratamientos son obligatorios por ley siendo imposible la revocación sin vulneración de obligaciones legales de la empresa cliente.

Artículo 6.1.f) - Interés legítimo: Kinmu trata datos para detección de fraude en control de asistencia, detección de falsificación de registros horarios, investigación de conducta potencialmente fraudulenta, aseguramiento de seguridad técnica de la plataforma contra ataques cibernéticos, mejora técnica de disponibilidad y funcionamiento de la plataforma en forma anonimizada, y cumplimiento de derechos legales de Kinmu en procedimientos administrativos o judiciales. Estos tratamientos se basan en interés legítimo preponderante, siendo el usuario informado de dichos tratamientos y teniendo derecho a oposición.

Artículo 9 - Datos especiales: En caso excepcional de que usuario proporcione datos de salud (por ejemplo, para justificar ausencia médica), Kinmu trata únicamente con consentimiento explícito separado y exclusivamente para fines de gestión de ausencia de la empresa cliente, no siendo utilizado para otros propósitos.

4. SUBENCARGADOS DEL TRATAMIENTO Y TRANSFERENCIAS INTERNACIONALES

4.1 Autorización general para el uso de subencargados

El usuario autoriza expresamente a Kinmu a designar subencargados del tratamiento para la prestación de servicios específicos, de conformidad con el Artículo 28 del Reglamento (UE) 2016/679 (RGPD).

Kinmu declara haber realizado la debida diligencia en la selección de los subencargados que figuran a continuación, verificando que ofrecen garantías suficientes para aplicar medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con los requisitos del RGPD.

El usuario reconoce y acepta que:

  • El uso de subencargados es necesario para la prestación del servicio.
  • Kinmu ha suscrito o se ha adherido a los correspondientes Acuerdos de Procesamiento de Datos (DPA) con cada subencargado.
  • Los subencargados son responsables del cumplimiento de sus propias obligaciones en materia de protección de datos.

4.2 Lista de subencargados actuales

Subencargado Función Ubicación servidores Transferencias internacionales
DigitalOcean, LLC Alojamiento e infraestructura cloud Frankfurt, Alemania (UE) No aplica
Mistral AI Asistente conversacional (chat IA) París, Francia (UE) No aplica
Anthropic PBC Generación de políticas de empresa con IA Estados Unidos SCCs + DPF
Resend, Inc. Envío de correos electrónicos transaccionales Unión Europea No aplica
Stripe Payments Europe, Ltd. Procesamiento de pagos Irlanda (UE) No aplica
PostHog, Inc. Análisis de uso de producto Frankfurt, Alemania (UE) No aplica

4.3 Detalle de subencargados

DigitalOcean, LLC

  • Razón social: DigitalOcean, LLC
  • Dirección: 101 6th Ave, New York, NY 10013, Estados Unidos
  • Función: Servicios de alojamiento web e infraestructura cloud para la plataforma Kinmu.
  • Servidor: Frankfurt, Alemania (UE)
  • Datos tratados: Todos los datos almacenados en la plataforma.
  • Garantías: DPA conforme al RGPD; certificaciones SOC 2 Type II, ISO 27001.
  • Política de privacidad: https://www.digitalocean.com/legal/privacy-policy
  • Lista de subencargados: https://www.digitalocean.com/legal/subprocessor-list

Mistral AI

  • Razón social: Mistral AI
  • Dirección: 15 rue des Halles, 75001 París, Francia
  • Función: Proveedor del modelo de inteligencia artificial para el asistente conversacional de Kinmu. Procesa las conversaciones del chat para generar respuestas contextuales sobre horarios, ausencias y consultas del usuario.
  • Servidor: París, Francia (UE)
  • Datos tratados: Contenido de conversaciones con el asistente IA.
  • Garantías: DPA conforme al RGPD. Mistral AI se compromete contractualmente a no utilizar los datos de usuarios para el entrenamiento de sus modelos. Los datos permanecen en la Unión Europea y no se transfieren a terceros países.
  • Política de privacidad: https://mistral.ai/terms/

Anthropic PBC

  • Razón social: Anthropic PBC
  • Dirección: 548 Market St, San Francisco, CA 94104, Estados Unidos
  • Función: Proveedor del modelo de inteligencia artificial Claude, utilizado exclusivamente para la funcionalidad de configuración de políticas de empresa mediante lenguaje natural. Procesa las instrucciones del administrador para generar configuraciones de políticas laborales.
  • Servidor: Estados Unidos
  • Datos tratados: Instrucciones de configuración de políticas proporcionadas por administradores. No se procesan datos personales de empleados a través de este servicio.
  • Garantías: Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea; certificación bajo el EU-U.S. Data Privacy Framework (DPF). Anthropic se compromete contractualmente a no utilizar los datos para entrenamiento de modelos.
  • Política de privacidad: https://www.anthropic.com/privacy

Resend, Inc.

  • Razón social: Resend, Inc.
  • Dirección: 2261 Market Street #4324, San Francisco, CA 94114, Estados Unidos
  • Función: Envío de correos electrónicos transaccionales incluyendo confirmación de registro, recuperación de contraseña, notificaciones de cambios y avisos administrativos.
  • Servidor: Unión Europea
  • Datos tratados: Dirección de correo electrónico y nombre del destinatario.
  • Garantías: DPA conforme al RGPD; infraestructura alojada en la UE.
  • Política de privacidad: https://resend.com/legal/privacy-policy

Stripe Payments Europe, Ltd.

  • Razón social: Stripe Payments Europe, Limited
  • Dirección: 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irlanda
  • Función: Procesamiento seguro de pagos con tarjeta y gestión de suscripciones.
  • Servidor: Irlanda (UE)
  • Datos tratados: Datos de facturación y método de pago.
  • Garantías: DPA conforme al RGPD; certificación PCI-DSS Nivel 1; SOC 2 Type II. Kinmu no almacena, procesa ni tiene acceso a datos completos de tarjetas de crédito , siendo Stripe el único responsable del tratamiento de dichos datos sensibles.
  • Política de privacidad: https://stripe.com/es/privacy
  • Lista de subencargados: https://stripe.com/es/legal/service-providers

PostHog, Inc.

  • Razón social: PostHog, Inc.
  • Dirección: 2261 Market Street #4008, San Francisco, CA 94114, Estados Unidos
  • Función: Análisis de uso del producto para mejora de la experiencia de usuario.
  • Servidor: Frankfurt, Alemania (UE)
  • Datos tratados: Datos de navegación anonimizados, eventos de uso de la plataforma. PostHog está configurado para no recopilar datos personales identificables.
  • Garantías: DPA conforme al RGPD; infraestructura EU Cloud alojada en Alemania; SOC 2 Type II.
  • Política de privacidad: https://posthog.com/privacy

Proveedores de medición de la web pública

La web pública de marketing también puede utilizar, sujeto al consentimiento de cookies, Google Tag Manager y Google Analytics 4 (Google), Meta Pixel y, si se configura en el futuro, TikTok Pixel. Estos proveedores se utilizan únicamente para medir fuentes de tráfico, vistas de página, clics en llamadas a la acción y conversiones publicitarias en la web pública. No se utilizan para tratar registros autenticados de control horario dentro de la aplicación Kinmu.

4.4 Garantías de seguridad de los subencargados

Kinmu exige contractualmente a todos sus subencargados el cumplimiento de medidas de seguridad adecuadas, incluyendo:

  • Encriptación de datos en tránsito mediante TLS 1.2 o superior.
  • Encriptación de datos en reposo mediante AES-256 o equivalente.
  • Controles de acceso basados en roles y principio de mínimo privilegio.
  • Auditorías de seguridad periódicas y certificaciones reconocidas (SOC 2, ISO 27001).
  • Procedimientos documentados de respuesta ante incidentes de seguridad.
  • Compromiso de notificación de brechas de seguridad en plazos compatibles con el RGPD.

4.5 Transferencias internacionales de datos

Los datos de usuario residen principalmente en territorio de la Unión Europea. Para los servicios que implican transferencia de datos a Estados Unidos, Kinmu garantiza un nivel de protección adecuado mediante:

  • Cláusulas Contractuales Tipo (SCCs): Módulos aprobados por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea.
  • Data Privacy Framework (DPF): Para proveedores certificados bajo el marco EU-U.S. Data Privacy Framework.
  • Evaluaciones de impacto de transferencias (TIA): Kinmu ha realizado las evaluaciones necesarias para verificar que las garantías ofrecidas son efectivas en la práctica.

Kinmu no realiza transferencias internacionales de datos fuera del marco de los subencargados indicados en esta política.

4.6 Modificación de subencargados

Kinmu se reserva el derecho de añadir, sustituir o eliminar subencargados cuando sea necesario para la prestación del servicio, siempre que:

  • El nuevo subencargado ofrezca garantías equivalentes o superiores a las del subencargado sustituido.
  • Se notifique a los usuarios con un mínimo de treinta (30) días de antelación mediante actualización de esta Política de Privacidad y, cuando proceda, comunicación por correo electrónico.
  • Se suscriba el correspondiente Acuerdo de Procesamiento de Datos con el nuevo subencargado.

El usuario que no esté de acuerdo con la incorporación de un nuevo subencargado podrá ejercer su derecho de oposición contactando a dpo@kinmu.app en el plazo de quince (15) días desde la notificación. Si la oposición resulta fundada y no es posible prestar el servicio sin dicho subencargado, el usuario podrá resolver el contrato sin penalización.

4.7 Responsabilidad respecto a subencargados

Kinmu responderá ante el usuario por el cumplimiento de las obligaciones de protección de datos de sus subencargados en los términos establecidos en el Artículo 28.4 del RGPD. No obstante, Kinmu no será responsable de:

  • Incumplimientos de los subencargados que excedan las instrucciones documentadas de Kinmu.
  • Decisiones autónomas de los subencargados que contravengan el DPA suscrito.
  • Brechas de seguridad en sistemas de subencargados que estos no hubieran comunicado a Kinmu en tiempo y forma.

En todo caso, la responsabilidad de Kinmu quedará limitada conforme a lo establecido en los Términos y Condiciones del servicio.

4.8 Exención de responsabilidad respecto a servicios de inteligencia artificial

El usuario reconoce y acepta expresamente que:

  • Las respuestas generadas por los servicios de inteligencia artificial (Mistral AI, Anthropic) son orientativas y no constituyen asesoramiento legal, laboral o profesional.
  • Kinmu no garantiza la exactitud, completitud o idoneidad de las respuestas generadas por la IA para un propósito específico.
  • El usuario es el único responsable de verificar y validar cualquier configuración de políticas o información proporcionada por el asistente de IA antes de su aplicación.
  • Los proveedores de IA procesan los datos exclusivamente para generar respuestas en tiempo real y se comprometen contractualmente a no utilizar dichos datos para el entrenamiento de sus modelos.

5. PERÍODO DE RETENCIÓN DE DATOS

Kinmu retiene datos personales durante períodos específicos determinados por obligación legal, necesidad operativa, o cumplimiento de obligaciones contractuales. Una vez alcanzado el término de retención establecido, los datos se eliminan de forma segura mediante destrucción criptográfica o eliminación física de soportes.

Datos de control de asistencia y registro de jornada se retienen durante cuatro años desde su creación, siendo este período requerido por legislación de Inspección de Trabajo española conforme a normativa de seguridad social.

Datos de solicitudes de ausencia, permiso y descanso se retienen durante cuatro años desde la fecha de conclusión de la ausencia, siendo requerido para justificación ante autoridades laborales de legalidad del registro de jornada.

Datos de estructura organizativa, equipo, departamento y jerarquía se retienen mientras la empresa cliente sea usuario activo de la plataforma, siendo eliminados treinta días tras cancelación de la suscripción.

Datos de conversación del chat de inteligencia artificial se retienen durante seis meses desde la conversación, siendo eliminados automáticamente sin intervención del usuario. El usuario puede solicitar eliminación inmediata de conversaciones contactando a dpo@kinmu.app.

Datos de sesión técnica (dirección IP anonimizada, navegador, timestamp) se retienen treinta días para propósitos de análisis de seguridad y detección de patrones de ataque.

Datos de usuarios eliminados se conservan de forma anonimizada durante dos años para análisis estadístico de uso de plataforma en forma que no permite identificación directa o indirecta de la persona.

Datos relacionados con procedimientos administrativos, demandas judiciales, o investigaciones de fraude se retienen durante duración del procedimiento más seis años conforme a legislación de plazo de prescripción.

6. MEDIDAS DE SEGURIDAD

Kinmu implementa medidas técnicas, organizativas y jurídicas para asegurar protección de datos personales contra acceso no autorizado, revelación accidental o intencional, alteración, destrucción, o daño. Las medidas de seguridad incluyen: encriptación de datos en tránsito mediante protocolo TLS (Transport Layer Security) versión 1.3 o superior para todas las comunicaciones entre cliente y servidores de Kinmu; encriptación de datos en reposo mediante algoritmo AES-256 para todos los registros almacenados en bases de datos; hashing irreversible mediante algoritmo bcrypt para almacenamiento de contraseñas, siendo imposible recuperación de contraseña original; segmentación de red mediante firewalls, siendo acceso a datos restringido a sistemas autorizados; autenticación multifactor opcional para usuarios, siendo posibilidad de activar segundo factor mediante aplicación autenticadora; control de acceso basado en roles (Role-Based Access Control - RBAC) limitando acceso a datos solo a personal autorizado de Kinmu; auditoría de acceso mediante logging detallado de todas las operaciones sobre datos sensibles con timestamp, usuario responsable, y acción realizada; respuesta ante incidentes de seguridad con protocolo de escalada a responsable de seguridad en tiempo real.

Cookies y tokens de autenticación se transmiten con atributos de seguridad: bandera HttpOnly previniendo lectura mediante JavaScript y eliminando vectores de ataque XSS; bandera Secure limitando transmisión únicamente a conexiones HTTPS encriptadas; atributo SameSite previniendo envío de cookies en peticiones cross-site y eliminando vectores de ataque CSRF; expiración automática de sesiones tras treinta minutos de inactividad; renovación automática de tokens JWT cada seis horas.

Acceso administrativo a infraestructura está protegido mediante autenticación de dos factores, siendo imposible el acceso con una sola credencial; bastion hosts intermedios para acceso a servidores de base de datos; prohibición absoluta de almacenamiento de credenciales en código fuente o configuración de aplicaciones; auditoría de todos los accesos administrativos.

7. NOTIFICACIÓN DE BRECHAS DE SEGURIDAD

En caso de que Kinmu detecte una Brecha de Seguridad que comprometa datos personales del usuario, incluyendo acceso no autorizado, revelación accidental, alteración o destrucción de datos, Kinmu procederá conforme a Artículo 33 del Reglamento (UE) 2016/679. Kinmu notificará a la Autoridad de Control de Protección de Datos (Agencia Española de Protección de Datos - AEPD) dentro del plazo de setenta y dos horas desde la detección de la brecha. Kinmu suministrará a AEPD: descripción de naturaleza de la brecha, estimación de número de personas afectadas, descripción de datos comprometidos, probable consecuencia de la brecha, medidas adoptadas para contener la brecha, y medidas propuestas para mitigar impacto.

Si la brecha de seguridad supone riesgo alto para los derechos y libertades de usuario (incluyendo riesgo de discriminación, daño financiero, robo de identidad, o revelación pública de datos sensibles), Kinmu notificará al usuario afectado sin dilación injustificada mediante correo electrónico a la dirección registrada, siendo comunicación clara, comprensible, y en español. Notificación al usuario incluirá: descripción de naturaleza de la brecha, tipo de datos compromometidos, medidas técnicas adoptadas para contención, medidas recomendadas al usuario para autoprotección, y contacto de referencia en Kinmu para consultas adicionales (dpo@kinmu.app).

Kinmu mantendrá registro documentado de todas las brechas de seguridad, incluso si no requieren notificación por bajo riesgo, siendo registro disponible para revisión por AEPD en caso de investigación.

8. DERECHOS DEL USUARIO

Conforme a Artículos 15 a 22 del Reglamento (UE) 2016/679, el usuario tiene reconocidos los siguientes derechos sobre sus datos personales:

Derecho de acceso (Artículo 15): El usuario tiene derecho de obtener confirmación de si Kinmu está tratando sus datos personales, y en caso afirmativo, recibir copia de dichos datos en formato estructurado, comúnmente utilizado, y legible por máquina, siendo derecho ejercitable una vez cada mes calendario sin costo. El usuario que desee ejercer derecho de acceso contactará a dpo@kinmu.app indicando "Solicitud de Acceso conforme a Artículo 15 RGPD" siendo Kinmu responsable de suministrar copia completa de datos en plazo máximo de treinta días.

Derecho de rectificación (Artículo 16): El usuario tiene derecho de solicitar corrección de datos inexactos o incompletos. El usuario puede actualizar información de perfil directamente desde la plataforma (nombre, correo electrónico, fotografía) siendo cambios efectivos inmediatamente. Datos de registro de asistencia no son rectificables por el usuario mismo sino por administrador de empresa cliente o por solicitud al servicio de soporte de Kinmu.

Derecho de supresión (Artículo 17): El usuario tiene derecho de solicitar eliminación de sus datos personales en circunstancias específicas, incluyendo si datos ya no son necesarios para fines para los cuales fueron recopilados, si el usuario revoca consentimiento en el cual se basa el tratamiento, o si tratamiento es ilícito. Sin embargo, Kinmu puede retener datos si existe obligación legal de retención (cumplimiento de legislación laboral) o si existe interés legítimo preponderante (defensa de derechos legales en litigio). El usuario que desee ejercer derecho de supresión contactará a dpo@kinmu.app siendo Kinmu responsable de evaluar procedencia y comunicar respuesta en plazo treinta días.

Derecho de limitación (Artículo 18): El usuario tiene derecho de solicitar limitación del tratamiento de sus datos, siendo datos almacenados pero no procesados para fines específicos. Esta solicitud es útil cuando usuario disputa exactitud de datos (limitación durante investigación), cuando usuario considera tratamiento ilícito pero se opone a eliminación, o cuando usuario ejerce derecho de oposición. Datos limitados solo se procesarán para defensa de derechos legales de Kinmu, cumplimiento de obligación legal, o con consentimiento explícito del usuario.

Derecho de portabilidad (Artículo 20): El usuario tiene derecho de recibir sus datos personales en formato estructurado (típicamente JSON o CSV) y transmitirlos a otro responsable del tratamiento. Este derecho permite al usuario cambiar de plataforma llevando consigo sus datos históricos. El usuario contactará a dpo@kinmu.app indicando "Solicitud de Portabilidad conforme a Artículo 20 RGPD" siendo Kinmu responsable de suministrar datos en formato electrónico estructurado en plazo máximo de treinta días. Datos exportados incluyen: perfil de usuario, histórico de asistencia, solicitudes de ausencia, configuración de equipo/departamento, y conversaciones de chat de IA.

Derecho de oposición (Artículo 21): El usuario tiene derecho de oponerse a tratamiento de sus datos en base a interés legítimo de Kinmu. Derechos específicos de oposición incluyen: oposición a tratamiento para detección de fraude (siendo tratamiento suspendido aunque con riesgo de no detectarse comportamiento fraudulento), oposición a análisis de patrones de uso para mejora técnica de plataforma, oposición a comunicaciones comerciales o de marketing de Kinmu. Sin embargo, usuario no puede oponerse a tratamientos obligatorios por ley.

Derecho a no ser sometido a decisión automatizada (Artículo 22): El usuario tiene derecho a no ser sometido a decisiones que produzcan efectos jurídicos o afecten significativamente al usuario cuando tales decisiones se basan únicamente en tratamiento automatizado (incluyendo creación de perfiles). Sin embargo, Kinmu actualmente no implementa decisiones automatizadas que afecten al usuario más allá de recomendaciones técnicas, siendo todas las decisiones laborales (aprobación de ausencias, disciplina, cambios de contrato) responsabilidad de persona física representante de empresa cliente.

Para ejercer cualquier derecho, el usuario contactará a dpo@kinmu.app proporcionando identificación clara de solicitud, datos personales afectados, y fundamentación de derecho ejercido. Kinmu respondará en plazo máximo de treinta días. Si solicitud es particularmente compleja o requiere verificación de identidad adicional, Kinmu puede ampliar plazo hasta sesenta días con comunicación justificada.

9. DATOS DE MENORES

La plataforma Kinmu no está diseñada ni dirigida a menores de dieciocho años. Kinmu no recopila deliberadamente datos personales de usuarios menores de dieciocho años. En caso excepcional de que menor acceda a la plataforma, Kinmu requiere consentimiento de padre, madre o tutor legal para cualquier tratamiento de datos. Si Kinmu descubre que datos personales han sido recopilados de menor sin consentimiento requerido, procederá a eliminación inmediata de tales datos sin demora injustificada.

10. COMUNICACIONES Y MARKETING

Kinmu utilizará datos de correo electrónico del usuario para enviar comunicaciones transaccionales esenciales para funcionamiento del servicio, incluyendo: confirmación de registro de cuenta, recuperación de contraseña, notificaciones de cambios en política o términos de servicio, avisos de seguridad, notificaciones de suspensión o cancelación de cuenta, y respuestas a consultas de soporte técnico.

Kinmu no utiliza datos personales de usuario para marketing, publicidad, o comunicaciones comerciales proactivas dirigidas a usuario de forma individual. Kinmu no vende, cede, o comercia con datos personales del usuario a terceros para fines de marketing o publicidad. Si en futuro Kinmu implementara envío de comunicaciones de marketing (boletines informativos, actualizaciones de productos, promociones), Kinmu requeriría consentimiento explícito y separado previo al envío, siendo usuario capaz de desuscribirse en cualquier momento mediante enlace incluido en cada comunicación o contactando a dpo@kinmu.app.

11. CONSENTIMIENTO PARA CHAT DE INTELIGENCIA ARTIFICIAL

El uso de funcionalidad de chat de inteligencia artificial es opcional y requiere consentimiento explícito y separado del usuario, siendo distinto del consentimiento general para uso de plataforma. El usuario será informado explícitamente antes de activar chat de IA que: (i) conversaciones serán procesadas mediante tercero especializado (Mistral AI) conforme a Acuerdo de Procesamiento de Datos; (ii) Mistral AI no utiliza datos de conversaciones para entrenamiento de modelos; (iii) conversaciones son privadas y no accesibles a manager o administrador de empresa; (iv) respuestas del chat son orientativas y no constituyen garantía de exactitud legal o laboral; (v) usuario puede revocar consentimiento desactivando funcionalidad en cualquier momento sin penalización.

Datos de conversación se conservan durante seis meses siendo eliminados automáticamente. Usuario puede solicitar eliminación inmediata contactando a dpo@kinmu.app.

12. CAMBIOS EN ESTA POLÍTICA

Kinmu se reserva el derecho de modificar esta Política de Privacidad en cualquier momento para adaptarse a cambios legislativos, nuevas prácticas de seguridad, implementación de nuevas funcionalidades, o cambios en arquitectura técnica. Modificaciones sustanciales serán comunicadas por correo electrónico con mínimo treinta días de anticipación, siendo usuario capaz de cancelar suscripción durante período de notificación sin penalización si no acepta cambios.

La versión actualmente vigente será siempre accesible en https://kinmu.app/privacidad. La continuación en uso de plataforma tras entrada en vigor de modificaciones constituye aceptación de modificaciones.

13. JURISDICCIÓN Y AUTORIDADES DE CONTROL

Esta Política de Privacidad se rige por legislación española y europea de protección de datos, siendo Autoridad de Control competente la Agencia Española de Protección de Datos (AEPD). El usuario tiene derecho de presentar reclamación ante AEPD si considera que tratamiento de sus datos por Kinmu vulnera legislación aplicable, siendo reclamación dirigida a: www.aepd.es o por correo a: C/ Jorge Juan, 6, 28001 Madrid.

Kinmu Digital S.L.
Calle Teide, 4
28703 Madrid, España
CIF: B24996803
https://kinmu.app