Política de Privacidad

Última actualización: 29 de abril de 2026

Construimos xwish.ai con la privacidad como prioridad: los destinatarios nunca necesitan una cuenta, se admite la creación anónima de tarjetas y solo recopilamos lo necesario para operar el servicio. Esta política explica qué recopilamos, por qué y cuáles son tus derechos.

1. Responsable del Tratamiento de Datos

xwish.ai opera la plataforma de tarjetas de felicitación disponible en https://xwish.ai. A efectos de la legislación de protección de datos aplicable, xwish.ai es el responsable del tratamiento de tus datos personales.

xwish.ai

Email: support@xwish.ai

Sitio web: https://xwish.ai

Para solicitudes de privacidad, consultas o reclamaciones, utiliza los datos de contacto anteriores. Tratamos de responder en un plazo de 30 días.

2. Información que Recopilamos

2.1 Información que Proporcionas Directamente

Datos	Cuándo se recopila	¿Obligatorio?
Nombre / nombre visible	Creación de cuenta (mediante Google OAuth)	Sí, para cuentas
Correo electrónico	Creación de cuenta; envío de tarjetas por correo	Sí, para cuentas
URL de foto de perfil	Creación de cuenta (mediante Google OAuth)	No (puede estar vacío)
Nombre del remitente	Creación de tarjeta (anónima o registrado)	Sí, para todas las tarjetas
Nombre del destinatario	Creación de tarjeta	Sí, para todas las tarjetas
Contenido del mensaje	Creación de tarjeta (generado por IA a partir de tus datos)	Sí
Correo del destinatario	Función de envío por correo (opcional)	No
Detalle personal / contexto	Entrada opcional para la IA	No

2.2 Información Recopilada Automáticamente

Token anónimo — un UUID aleatorio almacenado en una cookie del navegador (anon_token) para usuarios que crean tarjetas sin cuenta. Se usa exclusivamente para permitirte acceder a las tarjetas que has creado sin iniciar sesión. Caduca al cabo de 1 año.
Preferencia de idioma — una cookie (xwish_lang_pref) que registra el idioma que has elegido. Caduca al cabo de 1 año.
Token de sesión — una cookie HttpOnly, SameSite=Lax almacenada tras el inicio de sesión. Caduca a los 7 días.
Datos de uso — incluye las tarjetas creadas, los créditos obtenidos y consumidos, los registros de inicio de sesión diarios y las interacciones con funciones. Se almacena en nuestra base de datos.
Dirección IP y metadatos de solicitud — procesados por Cloudflare como parte del funcionamiento de la infraestructura. No se almacenan en nuestra base de datos de aplicaciones.

2.3 Información de Pago

Si compras créditos, los datos de tu tarjeta de pago se introducen directamente en la interfaz segura de Stripe y nunca se transmiten ni se almacenan en nuestros servidores. Solo recibimos la confirmación del pago, el paquete adquirido y la referencia de transacción de Stripe.

2.4 Información sobre los Destinatarios

Si proporcionas la dirección de correo electrónico de un destinatario para entregar una tarjeta, almacenamos esa dirección para enviar el correo de entrega mediante Resend. Los destinatarios no están obligados a crear una cuenta y no los contactamos proactivamente para ningún fin que no sea entregar la tarjeta que les has dirigido.

3. Cómo Usamos Tu Información

Finalidad	Información utilizada
Prestación y operación del Servicio	Datos de cuenta, contenido de tarjeta, token de sesión, token anónimo
Generación de contenido de tarjeta con IA	Ocasión, nombres del remitente/destinatario, tono, detalle personal (enviados al modelo de IA; no se conservan tras la generación)
Entrega de tarjetas por correo electrónico	Correo del destinatario, nombre del remitente, enlace de la tarjeta
Procesamiento de pagos y gestión de créditos	Correo electrónico, confirmación de pago, registros de créditos
Envío de notificaciones transaccionales	Correo electrónico (alertas de caducidad de créditos, confirmaciones de pedido)
Prevención del fraude y seguridad	Patrones de uso, datos de sesión, IP (a través de Cloudflare)
Análisis y mejora del Servicio	Datos de uso agregados y anonimizados; Google Analytics (si está activado)
Cumplimiento legal	Registros de pago, datos de cuenta (según lo exija la ley)

No vendemos tu información personal a terceros. No usamos tu información personal para publicidad dirigida ni para crear perfiles publicitarios.

Si Google Analytics está activado en nuestro sitio, Google puede recopilar datos de uso tal como se describe en la Política de Privacidad de Google. Puedes excluirte en Google Analytics Opt-out.

4. Base Jurídica del Tratamiento (RGPD)

Para los usuarios del Espacio Económico Europeo (EEE) y del Reino Unido, tratamos tus datos personales bajo las siguientes bases legales:

Actividad de tratamiento	Base legal
Creación y gestión de cuentas	Contrato (Art. 6(1)(b) RGPD)
Prestación de servicios de creación y entrega de tarjetas	Contrato (Art. 6(1)(b) RGPD)
Procesamiento de pagos	Contrato (Art. 6(1)(b) RGPD)
Correos transaccionales (confirmaciones de pedido, caducidad de créditos)	Contrato / Intereses legítimos (Art. 6(1)(f) RGPD)
Seguridad, prevención del fraude y detección de abusos	Intereses legítimos (Art. 6(1)(f) RGPD)
Análisis y mejora del Servicio	Intereses legítimos (Art. 6(1)(f) RGPD)
Cumplimiento legal (registros fiscales, obligaciones financieras)	Obligación legal (Art. 6(1)(c) RGPD)
Consentimiento de cookies (no esenciales)	Consentimiento (Art. 6(1)(a) RGPD)

Cuando nos basamos en intereses legítimos, los hemos ponderado frente a tus derechos e intereses. Puedes oponerte al tratamiento basado en intereses legítimos en cualquier momento (véase el Apartado 9).

5. Compartir Tu Información

Compartimos información personal únicamente en las siguientes circunstancias:

Proveedores de Servicios (Encargados del Tratamiento)

Proveedor	Finalidad	Ubicación	Política de Privacidad
Cloudflare, Inc.	Infraestructura, computación perimetral, base de datos, almacenamiento, modelos de IA	Global (incl. UE)	Enlace
Google LLC	Autenticación OAuth 2.0; análisis opcionales	EE.UU. / Global	Enlace
Stripe, Inc.	Procesamiento de pagos (donde esté habilitado)	EE.UU. / Global	Enlace
Lemon Squeezy LLC	Procesamiento de pagos y recaudación de impuestos (Comerciante de Registro)	EE.UU.	Enlace
Paddle.com Market Ltd	Procesamiento de pagos y recaudación de impuestos (Comerciante de Registro)	Reino Unido / Global	Enlace
Resend, Inc.	Entrega de correo electrónico transaccional	EE.UU.	Enlace

Todos los proveedores de servicios están sujetos a acuerdos de tratamiento de datos y tienen prohibido usar tu información personal para sus propios fines.

Divulgaciones Legales

Podemos divulgar información personal si así lo exige la ley, una orden judicial o una autoridad gubernamental, o cuando creamos de buena fe que la divulgación es necesaria para proteger los derechos, la propiedad o la seguridad de xwish.ai, nuestros usuarios o el público.

Transferencias Empresariales

En caso de fusión, adquisición o venta de la totalidad o parte sustancial de nuestros activos, la información personal puede transferirse como parte de dicha operación. Te notificaremos por correo electrónico o mediante un aviso destacado en el Servicio antes de que tus datos sean transferidos y queden sujetos a una política de privacidad diferente.

6. Transferencias Internacionales de Datos

Nuestra infraestructura es proporcionada por Cloudflare, que opera una red global que incluye centros de datos dentro del Espacio Económico Europeo. Sin embargo, algunos de nuestros proveedores de servicios (Google, Stripe, Resend) tienen su sede en los Estados Unidos o operan a nivel global.

Para las transferencias de datos personales del EEE/Reino Unido a países que no tienen una decisión de adecuación de la Comisión Europea, nos basamos en Cláusulas Contractuales Estándar (CCE) aprobadas por la Comisión Europea, o en mecanismos de transferencia equivalentes conforme al RGPD del Reino Unido.

Al usar el Servicio desde fuera de los Estados Unidos, reconoces que tu información puede ser transferida, almacenada y tratada en los Estados Unidos y otros países donde nuestros proveedores de servicios tienen instalaciones.

7. Cookies y Tecnologías de Seguimiento

Cookies que Utilizamos

Cookie	Finalidad	Tipo	Duración
`session`	Mantiene tu sesión de inicio de sesión	Esencial	7 días
`anon_token`	Identifica las tarjetas que has creado sin cuenta	Esencial (funcional)	1 año
`xwish_lang_pref`	Recuerda tu preferencia de idioma	Funcional	1 año
Google Analytics (`_ga`, `_ga_*`)	Análisis de uso (si GA está configurado)	Analítica	2 años

Gestión de Cookies

Las cookies esenciales son necesarias para que el Servicio funcione y no se pueden desactivar sin afectar significativamente a tu experiencia. Puedes gestionar las cookies funcionales y de análisis a través de la configuración de tu navegador. La mayoría de los navegadores permiten rechazar o eliminar cookies; consulta la documentación de ayuda de tu navegador para obtener instrucciones.

Si te encuentras en el EEE, el Reino Unido u otra jurisdicción que requiera consentimiento previo para las cookies no esenciales, solicitaremos tu consentimiento antes de instalar cookies de análisis.

8. Conservación de Datos

Datos	Período de conservación	Motivo
Datos del perfil de la cuenta	Hasta la eliminación de la cuenta + 30 días	Operación del servicio
Tarjetas (contenido, metadatos)	Hasta que el creador las elimine, o 2 años tras la última visualización	Operación del servicio
Registros de créditos y puntos	3 años desde la transacción	Cumplimiento de auditoría financiera
Registros de pedidos de pago	7 años desde la transacción	Obligación fiscal y legal
Correos entregados (dirección del destinatario)	90 días tras la entrega	Confirmación de entrega
Tokens anónimos (cookies)	1 año desde el último uso	Funcional (acceso a tarjetas)

Transcurrido el período de conservación, eliminamos o anonimizamos los datos. Puedes solicitar la eliminación anticipada de tu cuenta y los datos asociados (véase el Apartado 9).

9. Tus Derechos de Privacidad

Según tu ubicación, tienes los siguientes derechos en relación con tu información personal. Para ejercer cualquiera de estos derechos, contáctanos en support@xwish.ai. Responderemos en un plazo de 30 días (o el período legal aplicable).

Todos los Usuarios

Acceso — solicita una copia de la información personal que tenemos sobre ti.
Rectificación — solicita que corrijamos información inexacta o incompleta.
Supresión — solicita la eliminación de tu información personal, sujeto a las obligaciones de conservación legal.
Reclamación — presenta una reclamación ante tu autoridad local de protección de datos.

Usuarios del EEE / Reino Unido (RGPD / UK GDPR)

Derecho a la limitación — solicita que limitemos el tratamiento de tus datos en determinadas circunstancias.
Derecho a la portabilidad — recibe tus datos personales en un formato estructurado y legible por máquina.
Derecho de oposición — oponte al tratamiento basado en intereses legítimos o con fines de marketing directo.
Derecho a retirar el consentimiento — cuando el tratamiento se base en el consentimiento, puedes retirarlo en cualquier momento sin que ello afecte al tratamiento anterior.
Tienes derecho a presentar una reclamación ante tu autoridad supervisora nacional. En la UE, encuentra tu autoridad en edpb.europa.eu. En el Reino Unido, contacta con el ICO.

Residentes en California (CCPA / CPRA)

Derecho a saber — solicita la divulgación de las categorías y piezas específicas de información personal que recopilamos, usamos y compartimos.
Derecho a eliminar — solicita la eliminación de la información personal que hemos recopilado (sujeto a ciertas excepciones).
Derecho a corregir — solicita la corrección de información personal inexacta.
Derecho a oponerse a la venta / intercambio — xwish.ai no vende ni comparte tu información personal para publicidad conductual de contexto cruzado. No es necesario ejercer la exclusión voluntaria.
Derecho a la no discriminación — no te discriminaremos por ejercer ningún derecho CCPA.

Los residentes en California pueden enviar solicitudes por correo electrónico a support@xwish.ai con «California Privacy Request» en el asunto.

Residentes en Canadá (PIPEDA)

Según la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA), tienes derecho a acceder a tu información personal y a cuestionar su exactitud. Para hacer una solicitud, contáctanos en support@xwish.ai.

Residentes en Australia

Según la Ley de Privacidad de 1988 (Cth) y los Principios Australianos de Privacidad, tienes derecho a acceder y corregir tu información personal. También puedes presentar una reclamación ante la Oficina del Comisionado de Información de Australia (OAIC) si crees que se han vulnerado tus derechos de privacidad.

Residentes en Brasil (LGPD)

Según la Lei Geral de Proteção de Dados de Brasil (LGPD), tienes derechos que incluyen acceso, rectificación, anonimización, portabilidad, supresión e información sobre el intercambio de datos. También puedes presentar reclamaciones ante la Autoridade Nacional de Proteção de Dados (ANPD).

Oriente Medio y Otras Regiones

Respetamos las leyes de protección de datos aplicables en todas las jurisdicciones en las que operamos, incluida la Ley de Protección de Datos Personales de los Emiratos Árabes Unidos (Decreto Ley Federal N.º 45 de 2021) y la Ley de Protección de Datos Personales de Arabia Saudí (PDPL). Los residentes en estas regiones pueden ejercer sus derechos de acceso y rectificación contactándonos en support@xwish.ai.

10. Privacidad de los Menores

El Servicio no está dirigido a menores de 13 años. No recopilamos conscientemente información personal de menores de 13 años. Si te encuentras en el Espacio Económico Europeo, los usuarios menores de 16 años deben contar con el consentimiento parental verificable antes de crear una cuenta o proporcionar información personal.

Si crees que un menor que no cumple la edad mínima aplicable nos ha proporcionado información personal sin el consentimiento apropiado, contáctanos inmediatamente en support@xwish.ai. Tomaremos medidas inmediatas para eliminar dicha información.

11. Seguridad

Implementamos medidas técnicas y organizativas para proteger tu información personal contra el acceso no autorizado, alteración, divulgación o destrucción. Estas incluyen:

Cifrado HTTPS para todos los datos en tránsito;
Cookies de sesión HttpOnly, SameSite;
Infraestructura de Cloudflare con protección DDoS integrada y WAF;
Controles de acceso que limitan el acceso a la base de datos a la capa de aplicación;
Datos de pago procesados exclusivamente a través del entorno PCI-DSS de Stripe.

Ningún método de transmisión por internet o almacenamiento electrónico es 100% seguro. Aunque nos esforzamos por usar medios comercialmente aceptables para proteger tu información personal, no podemos garantizar su seguridad absoluta.

Si descubres o sospechas una vulnerabilidad de seguridad, contáctanos inmediatamente en support@xwish.ai.

12. Cambios en Esta Política

Podemos actualizar esta Política de Privacidad de vez en cuando. Cuando realicemos cambios materiales, actualizaremos la fecha de «Última actualización» en la parte superior de esta página y, en la medida de lo posible, notificaremos a los usuarios registrados por correo electrónico o mediante un aviso en la aplicación al menos 14 días antes de que los cambios entren en vigor.

Tu uso continuado del Servicio tras la fecha de entrada en vigor de una Política revisada constituye tu aceptación de los cambios. Te recomendamos revisar esta Política periódicamente.

Las versiones anteriores de esta Política están disponibles previa solicitud.

13. Contáctanos

Para cualquier pregunta, solicitud o inquietud sobre esta Política de Privacidad o nuestras prácticas de datos, contáctanos:

xwish.ai — Privacidad

Email: support@xwish.ai

Sitio web: https://xwish.ai

Tratamos de responder a todas las solicitudes de privacidad en un plazo de 30 días. Para solicitudes complejas, o cuando lo exija la legislación aplicable, podemos ampliar este plazo en otros 30 días adicionales, con previo aviso.

Si no estás satisfecho con nuestra respuesta, tienes derecho a presentar una reclamación ante tu autoridad supervisora de protección de datos local.