Última actualización: 19 de junio de 2026
Esta Política de Privacidad explica cómo Exportlab recopila, utiliza, almacena, comparte y protege datos personales cuando usted utiliza Exportlab o cuando se tratan datos personales a través de Exportlab por cuenta de un cliente de Exportlab.
Esta Política se aplica a la aplicación web de Exportlab, sitios web, páginas públicas, portales de cliente, funciones de subida de invitados, formularios de asset collection, páginas de estado, flujos de autorizaciones de modelo, funciones de colaboración en equipo, APIs, plugins, integraciones, funciones de IA, funciones de reconocimiento facial, funciones de facturación, interacciones de soporte y servicios relacionados (en conjunto, el "Servicio").
1. Información del responsable
Para los datos personales que Exportlab trata para sus propios fines, el responsable es:
Exportlab
Adelgundenstrasse 1
80538 Munich
Germany
Email: hey@exportlab.io
2. Nuestro papel como responsable y encargado
Exportlab trata datos personales en distintos roles.
Exportlab actúa como responsable cuando determinamos los fines y medios del tratamiento, incluidos registro de cuenta, autenticación, facturación, soporte al cliente, seguridad, prevención de abuso, comunicaciones del servicio, operaciones del producto, cumplimiento legal y nuestra propia administración empresarial.
Exportlab normalmente actúa como encargado cuando los clientes utilizan el Servicio para subir, recopilar, gestionar, compartir, revisar, publicar o entregar datos personales de otras personas. Esto puede incluir datos personales en fotos, vídeos, archivos, galerías, subidas de invitados, formularios de asset collection, portales de cliente, perfiles públicos, páginas de estado, comentarios de revisión, mensajes de equipo, autorizaciones de modelo, flujos de firma, group shoots, flujos API e integraciones.
Si usted es cliente, invitado, modelo, firmante, participante, empleado, contratista, visitante, espectador de una galería, visitante de una página pública u otro usuario final que interactúa con un workspace de Exportlab controlado por un cliente de Exportlab, normalmente el cliente es el responsable de sus datos personales. En ese caso, las solicitudes de privacidad generalmente deben dirigirse a dicho cliente. Exportlab apoyará al cliente según lo exijan la ley y el contrato.
Cuando sea necesario, Exportlab pone a disposición de clientes empresariales un Acuerdo de Tratamiento de Datos ("DPA").
3. Datos personales que tratamos
Dependiendo de cómo se utilice el Servicio, podemos tratar las siguientes categorías de datos personales.
Datos de cuenta y workspace
Nombre, dirección de correo electrónico, nombre de empresa u organización, identificador de workspace o tenant, rol, permisos, información de onboarding, información del plan, información de perfil y ajustes de cuenta.
Datos de autenticación y seguridad
Información de login, identificadores de proveedores de autenticación, datos de inicio de sesión de Google o Apple si utiliza esos proveedores, datos de sesión, datos de MFA o 2FA cuando estén habilitados, eventos de seguridad, registros de acceso, direcciones IP, user agents, información del dispositivo, marcas de tiempo y señales de prevención de abuso.
Datos de perfil, marca y configuración
Activos de marca, ajustes de perfil público, información de portfolio, información de precios, referencias, testimonios, enlaces sociales, configuración de dominio, configuración de galerías, configuración de flujos de trabajo, identificadores de integraciones, identificadores de analítica y otros datos de configuración.
Datos de medios, contenido y proyectos
Fotos, vídeos, archivos, thumbnails, previews, transcodificaciones, activos HLS, archivos ZIP, galerías, carpetas, títulos, descripciones, etiquetas, metadatos técnicos como EXIF, IPTC o XMP, comentarios, anotaciones, decisiones de revisión, aprobaciones, versiones, historial de entrega, eventos de descarga e información de proyectos.
Datos relacionados con IA
Contenido, metadatos, prompts, captions generadas, palabras clave, clasificaciones, categorías, resúmenes, descripciones de escenas, interacciones con asistentes y metadatos generados por IA cuando habilite o utilice funciones de IA.
Datos biométricos
Face embeddings, plantillas biométricas o identificadores similares generados cuando se activa el reconocimiento facial opcional.
Datos de portal de cliente
Nombres de clientes, direcciones de correo electrónico, datos de login, permisos de acceso, contenido compartido, historial de proyectos, actividad del portal y registros de comunicación o acceso relacionados.
Datos de subidas de invitados y asset collection
Direcciones de correo electrónico de invitados cuando se recopilen, archivos enviados, medios enviados, respuestas de formularios, mensajes, registros de subida, eventos de verificación, eventos de confirmación y metadatos relacionados con eventos.
Datos de perfil público y leads
Solicitudes de contacto, envíos de formularios, nombres, direcciones de correo electrónico, mensajes, marcas de tiempo, datos de navegador y dispositivo, referrers, interacciones de perfil y asociaciones con proyectos, contratos o relaciones con clientes.
Datos de páginas de estado
Suscripciones a páginas de estado, direcciones de correo electrónico de suscriptores, referencias de proyecto, preferencias de notificación, eventos de entrega de notificaciones y marcas de tiempo relacionadas.
Datos de autorizaciones de modelo y firma
Nombres, datos de contacto, información de rol, alcance de autorización, uso permitido, territorio, duración, datos de tutor o representante legal cuando corresponda, imágenes de firma, marcas de tiempo, direcciones IP, información del dispositivo, versiones de documentos, eventos de audit trail y adjuntos relacionados.
Datos de group shoots y check-ins
Datos de participantes, identificadores de invitados o empleados, campos de formulario, estado de check-in, información de paquetes o favoritos, información de shooting day, estadísticas, referencias API y asociaciones con galerías o proyectos.
Datos de integraciones, plugins, API y webhooks
Claves API o referencias, alcances de acceso, eventos webhook, versiones de plugins, ajustes de integración, identificadores de cuentas conectadas, estado de subida, estado de entrega, registros de errores, información de compatibilidad, metadatos de solicitudes y datos intercambiados con servicios externos conectados cuando se activa una integración.
Datos de uso, dispositivo y operación
Dirección IP, tipo de navegador, tipo de dispositivo, sistema operativo, páginas visitadas, acciones realizadas, marcas de tiempo, referrer, ubicación aproximada derivada de datos técnicos, uso de almacenamiento, uso de ancho de banda, registros de procesamiento, datos de conexión WebSocket, registros de auditoría y eventos del sistema.
Datos de comunicaciones y soporte
Solicitudes de soporte, emails, mensajes de chat con soporte, feedback, adjuntos, informes de errores, informes de abuso y otras comunicaciones con Exportlab.
Datos de facturación
Nombre de facturación, dirección de facturación, información fiscal, plan, estado de suscripción, información de factura, estado de pago, ID de cliente de Stripe y referencias limitadas de método de pago, como los últimos cuatro dígitos de una tarjeta cuando los proporcione el procesador de pagos. Los datos completos de pago son tratados por Stripe o el proveedor de pagos correspondiente.
4. Categorías especiales de datos personales
Exportlab no recopila intencionalmente categorías especiales de datos personales para sus propios fines salvo que sea necesario para una función que usted active o contenido que suba.
Las categorías especiales de datos personales pueden estar incluidas en contenido de clientes, como fotos, vídeos, formularios, autorizaciones de modelo o funciones biométricas. Cuando Exportlab trate dichos datos como encargado, el cliente es responsable de garantizar que exista una base legal válida.
Los datos biométricos utilizados para identificación única están sujetos a requisitos legales especiales. Solo debe habilitar el reconocimiento facial cuando se hayan obtenido todos los avisos, consentimientos y bases legales requeridos.
5. Fines del tratamiento
Tratamos datos personales para:
- proporcionar, operar, mantener y proteger el Servicio;
- crear y gestionar cuentas, workspaces, planes, roles y permisos;
- autenticar usuarios y proteger cuentas;
- subir, almacenar, tratar, transcodificar, previsualizar, organizar, compartir, revisar y entregar medios y archivos;
- operar galerías, portales de cliente, subidas de invitados, formularios de asset collection, perfiles públicos, páginas de estado, autorizaciones de modelo, colaboración en equipo, group shoots, check-ins y flujos de proyectos;
- proporcionar funciones de IA cuando estén habilitadas o solicitadas;
- proporcionar reconocimiento facial cuando esté habilitado o solicitado;
- procesar pagos, suscripciones, facturas, impuestos, renovaciones, cancelaciones, créditos y complementos;
- proporcionar soporte al cliente y responder consultas;
- enviar emails transaccionales, invitaciones, confirmaciones, avisos del servicio, avisos de facturación, actualizaciones de estado y alertas de seguridad;
- operar APIs, plugins, webhooks e integraciones;
- supervisar límites de uso, límites de almacenamiento, saldos de tokens y uso justo;
- detectar, prevenir e investigar fraude, abuso, spam, incidentes de seguridad, contenido ilegal e infracciones de derechos;
- solucionar errores, mantener registros, mejorar la fiabilidad y desarrollar el Servicio;
- cumplir obligaciones legales y hacer valer derechos legales.
6. Bases legales cuando Exportlab es responsable
Cuando se aplica el RGPD y Exportlab actúa como responsable, nos basamos en las siguientes bases legales.
Ejecución de contrato
Tratamos datos cuando es necesario para crear cuentas, proporcionar el Servicio, gestionar suscripciones, entregar funciones, prestar soporte y ejecutar nuestro acuerdo con usted.
Consentimiento
Nos basamos en el consentimiento cuando sea necesario, incluido para cierta analítica opcional, ciertas comunicaciones de marketing, ciertas integraciones y ciertos contextos de tratamiento de IA o biométrico cuando Exportlab actúa como responsable y se requiere consentimiento.
Puede retirar el consentimiento en cualquier momento con efectos futuros.
Intereses legítimos
Tratamos datos basados en intereses legítimos cuando sea adecuado, incluida la seguridad del servicio, prevención de abuso, prevención de fraude, registros de auditoría, solución de problemas, mejora del producto, defensa legal, integridad de la plataforma, entregabilidad de emails y administración empresarial.
Puede oponerse al tratamiento basado en intereses legítimos cuando se cumplan los requisitos legales.
Obligaciones legales
Tratamos datos cuando es necesario para cumplir obligaciones legales, fiscales, contables, regulatorias, de protección de datos y de autoridades.
7. Cuando Exportlab es encargado
Cuando Exportlab actúa como encargado, tratamos datos personales por cuenta del cliente y bajo sus instrucciones documentadas. El cliente es responsable de determinar los fines y la base legal del tratamiento, proporcionar avisos de privacidad requeridos, obtener consentimientos requeridos, configurar accesos, responder a solicitudes de interesados y decidir cuándo deben eliminarse los datos.
Exportlab apoya a los clientes en estas obligaciones según lo exijan la ley y el contrato.
8. Tratamiento de IA
Las funciones de IA son opcionales y habilitadas o iniciadas por el usuario.
Cuando la indexación con IA o la asistencia con IA están habilitadas, el contenido y los metadatos relevantes pueden enviarse a proveedores externos de IA, incluidos OpenAI y AWS, para generar captions, etiquetas, palabras clave, clasificaciones, resúmenes, descripciones, recomendaciones, respuestas de asistente o resultados similares.
Los metadatos generados por IA pueden almacenarse en Exportlab para apoyar búsqueda, filtrado, descubrimiento, organización y automatización de flujos de trabajo.
Si las funciones de IA no están habilitadas o solicitadas, no enviamos intencionalmente sus medios a proveedores de IA para esas funciones de IA.
Los resultados de IA pueden ser inexactos o incompletos. Los usuarios son responsables de revisar los resultados antes de confiar en ellos.
9. Reconocimiento facial y datos biométricos
El reconocimiento facial es opcional.
Si se habilita, AWS Rekognition o un proveedor similar puede tratar fotos para generar face embeddings o plantillas biométricas comparables. Estas se utilizan para comparar rostros entre fotos o proyectos.
Los clientes son responsables de obtener todos los avisos, consentimientos y bases legales requeridos de las personas representadas en el contenido antes de habilitar el reconocimiento facial.
Los datos biométricos se conservan hasta que el cliente los elimine, desactive la función correspondiente, elimine el contenido relacionado o cierre la cuenta, salvo que un periodo de conservación más largo sea requerido o permitido por la ley.
Exportlab no vende datos biométricos.
10. Páginas públicas, visitantes y analítica
Los clientes pueden crear páginas públicas o semipúblicas de Exportlab, incluidos perfiles públicos, galerías, páginas de estado, enlaces de entrega, enlaces de revisión, enlaces de subida de invitados, enlaces de asset collection o recursos de portal de cliente.
Cuando los visitantes interactúan con estas páginas, Exportlab puede tratar datos técnicos, registros de acceso, envíos de formularios, solicitudes de contacto, eventos de descarga, suscripciones de estado y otros datos de interacción.
Cuando esas páginas son operadas por un cliente para sus propios fines, normalmente el cliente es el responsable y Exportlab actúa como encargado. Exportlab puede tratar separadamente datos técnicos, de seguridad y operativos como responsable cuando sea necesario para operar y proteger el Servicio.
Las páginas públicas y el contenido público pueden ser indexados o almacenados en caché por motores de búsqueda u otros terceros si se hacen públicos.
Si los clientes activan servicios de analítica, como Google Analytics, dicho proveedor puede tratar datos adicionales. Los clientes son responsables de configurar la analítica lícitamente y obtener cualquier consentimiento requerido.
11. Autorizaciones de modelo y flujos de firma
Cuando los clientes utilizan flujos de autorizaciones de modelo, documentos, formularios o firmas, Exportlab puede tratar los datos introducidos en el documento o generados por el flujo, incluidos nombres, datos de contacto, alcance de la autorización, datos de tutor, imágenes de firma, marcas de tiempo, direcciones IP, información del dispositivo, versiones de documentos y eventos de audit trail.
Estos datos se tratan para generar, ejecutar, documentar, almacenar, recuperar y gestionar el flujo correspondiente.
Exportlab no proporciona asesoramiento legal y no determina si un documento o firma específico es legalmente suficiente para el uso previsto por el cliente.
12. Group shoots, check-ins, formularios y asset collection
Cuando los clientes utilizan funciones de group shoot, check-in, formularios o asset collection, Exportlab puede tratar datos de participantes, información de check-in, respuestas de formularios, contenido subido, mensajes acompañantes, favoritos, estadísticas, referencias API, referencias de importación HR y asignaciones de proyectos o galerías.
Este tratamiento se utiliza para proporcionar técnicamente, documentar, gestionar y administrar el flujo correspondiente. Normalmente el cliente es responsable del fin, licitud, necesidad y conservación de esos datos.
13. Integraciones, plugins, APIs y webhooks
Si activa integraciones, plugins, APIs o webhooks, Exportlab puede intercambiar datos con el servicio externo conectado para proporcionar la funcionalidad solicitada.
Esto puede incluir identificadores de cuenta, identificadores de proyecto, datos de eventos, estado de subida, comentarios, archivos, metadatos, registros de errores, datos de solicitud API, datos de autenticación e información de configuración.
Las integraciones de terceros pueden incluir proveedores de software creativo, plataformas de automatización, herramientas de mensajería, proveedores de analítica, proveedores de autenticación, proveedores de pago, proveedores de firma u otros servicios seleccionados por usted.
Los proveedores externos tratan datos conforme a sus propias condiciones y políticas de privacidad cuando actúan de forma independiente.
14. Cookies, local storage y tecnologías similares
Exportlab puede utilizar cookies, localStorage, sessionStorage, almacenamiento en memoria, almacenamiento del dispositivo y tecnologías similares para proporcionar autenticación, continuidad de sesión, seguridad, preferencias, routing de tenant, ajustes de interfaz, subidas, funciones en tiempo real y otra funcionalidad del Servicio.
Algunos almacenamientos o accesos pueden ser estrictamente necesarios para proporcionar el Servicio solicitado por el usuario. Las tecnologías opcionales de analítica, tracking o marketing se utilizan solo cuando están habilitadas y cuando se ha obtenido el consentimiento legalmente requerido.
Una Política de Cookies separada o interfaz de consentimiento puede proporcionar más detalles sobre tecnologías específicas, fines, proveedores y opciones.
15. Proveedores de servicios y destinatarios
No vendemos ni alquilamos datos personales.
Podemos compartir datos personales con proveedores de servicios y destinatarios de confianza cuando sea necesario para proporcionar, proteger, operar, apoyar o mejorar el Servicio, incluidos:
- AWS, incluidos servicios como hosting, almacenamiento, bases de datos, colas, entrega de contenido, infraestructura operativa, AWS Cognito, AWS SES y AWS Rekognition cuando esté habilitado;
- OpenAI y otros proveedores de IA cuando las funciones de IA estén habilitadas;
- Stripe u otros proveedores de pago para facturación y procesamiento de pagos;
- Google y Apple para inicio de sesión opcional;
- Google Analytics o proveedores de analítica similares cuando estén habilitados;
- Slack, Microsoft Teams, Make, Zapier o proveedores de integraciones similares cuando estén habilitados;
- proveedores de entrega de email, logging, monitorización, seguridad, soporte, analítica, firma o infraestructura;
- asesores legales, fiscales, contables, de cumplimiento y profesionales cuando sea necesario;
- autoridades, tribunales, reguladores o cuerpos de seguridad cuando lo exija la ley o sea necesario para proteger derechos, seguridad e integridad.
16. Transferencias internacionales de datos
Exportlab está ubicado en la Unión Europea y procura almacenar y tratar datos principalmente dentro de la UE o el EEE cuando sea razonablemente posible.
Algunos proveedores o integraciones pueden tratar datos fuera del Espacio Económico Europeo, incluido Estados Unidos. Cuando se produzcan transferencias internacionales, utilizamos mecanismos legales de transferencia como decisiones de adecuación, Cláusulas Contractuales Tipo u otras garantías válidas cuando sea necesario.
17. Conservación de datos
Conservamos datos personales solo durante el tiempo necesario para los fines descritos en esta Política, salvo que la ley exija o permita un periodo más largo.
Los periodos típicos de conservación incluyen:
- Datos de cuenta y workspace: se conservan mientras la cuenta esté activa y durante un periodo limitado después del cierre cuando sea necesario para fines legales, de facturación, soporte, seguridad o disputa.
- Contenido subido y metadatos: se conservan hasta que sean eliminados por el cliente, eliminados a través del Servicio o se cierre la cuenta, sujetos a ciclos de backup y requisitos legales.
- Datos de portal de cliente, subida de invitados, asset collection, perfil público, página de estado, revisión y group shoot: se conservan hasta que sean eliminados por el cliente, termine el proyecto correspondiente o se cierre la cuenta, sujetos a requisitos legales.
- Datos de autorizaciones de modelo y firma: se conservan hasta que sean eliminados por el cliente o hasta el cierre de la cuenta, salvo que sea necesaria una conservación más larga por fines legales, contractuales o de defensa.
- Datos biométricos: se conservan hasta que sean eliminados, se desactive la función, se elimine el contenido relacionado o se cierre la cuenta, salvo que una conservación más larga sea requerida o permitida por la ley.
- Sesiones de asistente de IA: normalmente se conservan hasta 30 días para fines operativos salvo que se indique otra cosa.
- Datos de WebSocket y conexión en tiempo real: normalmente se conservan temporalmente, por ejemplo hasta 24 horas, cuando sea necesario para operación, seguridad o solución de problemas.
- Registros de auditoría: normalmente se conservan hasta 365 días salvo que un periodo más largo sea necesario por razones de seguridad, cumplimiento o legales.
- Registros de facturación y facturas: se conservan durante los periodos legalmente requeridos, comúnmente de 7 a 10 años dependiendo de la ley aplicable.
- Listas de supresión de email y registros de abuso: se conservan mientras sea necesario para mantener la entregabilidad, prevenir abuso, cumplir obligaciones legales o proteger el Servicio.
Los datos eliminados pueden permanecer en backups durante un periodo limitado hasta que se complete la rotación o purga de backups.
18. Seguridad
Exportlab utiliza medidas técnicas y organizativas diseñadas para proteger datos personales contra acceso no autorizado, pérdida, uso indebido, alteración y divulgación.
Estas medidas pueden incluir cifrado TLS/HTTPS en tránsito, cifrado en reposo mediante proveedores de infraestructura, controles de acceso, permisos basados en roles, separación de tenants, URLs firmadas, gestión de secretos, registros de auditoría, monitorización, gestión de vulnerabilidades, backups, procedimientos de respuesta a incidentes y acceso según necesidad para personal autorizado.
Ningún sistema puede garantizar seguridad absoluta. Los usuarios son responsables de proteger sus cuentas, utilizar autenticación fuerte, gestionar permisos de equipo, proteger claves API y notificar a Exportlab sobre sospechas de compromiso.
19. Sus derechos
Cuando Exportlab actúa como responsable y se cumplen los requisitos legales, usted puede tener los siguientes derechos:
- acceso a sus datos personales;
- rectificación de datos personales inexactos;
- eliminación de datos personales;
- restricción del tratamiento;
- portabilidad de datos;
- oposición al tratamiento basado en intereses legítimos;
- retirada del consentimiento con efectos futuros;
- reclamación ante una autoridad de control.
Puede ejercer estos derechos contactando hey@exportlab.io.
Respondemos sin demora indebida y generalmente dentro de un mes tras recibir su solicitud. Este plazo puede ampliarse cuando lo permita la ley, según la complejidad y el número de solicitudes.
Cuando Exportlab actúa como encargado para un cliente, dirija su solicitud al cliente que controla el workspace o página correspondiente. Exportlab asistirá al cliente cuando sea necesario.
20. Comunicaciones por email y lista de supresión
Exportlab envía emails transaccionales como emails de cuenta, login, invitaciones, confirmaciones de subida, notificaciones del portal de cliente, notificaciones de estado, avisos de facturación, alertas de seguridad y comunicaciones del servicio.
Para mantener la entregabilidad y prevenir abuso, Exportlab puede mantener listas de supresión para direcciones de correo electrónico que generen hard bounces, soft bounces repetidos, bajas cuando corresponda o quejas de spam. Las direcciones suprimidas pueden dejar de recibir ciertos emails.
Puede contactar hey@exportlab.io si cree que una dirección ha sido suprimida incorrectamente.
21. Decisiones automatizadas
Exportlab no utiliza decisiones automatizadas que produzcan efectos jurídicos o de importancia similar en el sentido del artículo 22 del RGPD.
Ciertas restricciones del servicio pueden aplicarse automáticamente basadas en criterios objetivos como límites de plan, límites de almacenamiento, saldo de tokens, estado de pago fallido, estado de prueba, señales de abuso o reglas de seguridad. Puede contactar soporte si cree que una restricción automática es incorrecta.
22. Niños y menores
Las cuentas de Exportlab no están destinadas a ser creadas o administradas por menores.
Los menores pueden aparecer en contenido subido por clientes o flujos de trabajo de clientes, como fotos, vídeos, subidas de invitados, group shoots, autorizaciones de modelo o formularios relacionados con tutores. En esos casos, el cliente es responsable de obtener todos los consentimientos, aprobaciones de tutores, avisos y bases legales requeridos.
Si cree que los datos personales de un menor han sido tratados ilícitamente a través de Exportlab, contacte al cliente correspondiente o contáctenos en hey@exportlab.io para que podamos ayudar cuando corresponda.
23. Portabilidad de datos y solicitudes de eliminación
Los clientes pueden descargar archivos de medios y exportar ciertos datos mediante la funcionalidad disponible del Servicio. Puede solicitar asistencia adicional en hey@exportlab.io.
Algunos datos, como face embeddings, registros operativos, registros de seguridad o datos derivados del sistema, pueden no ser portables en un formato comúnmente utilizable.
Las solicitudes de eliminación se gestionan conforme a la ley aplicable, instrucciones del cliente, ciclos de backup, requisitos legales de conservación, requisitos de conservación de facturación y obligaciones de seguridad.
24. Cambios en esta Política
Podemos actualizar esta Política de Privacidad para reflejar cambios en el Servicio, tecnología, proveedores, requisitos legales u operaciones empresariales.
Cuando los cambios sean materiales, proporcionaremos aviso adecuado, como por email, aviso dentro de la aplicación o aviso destacado en el sitio web cuando sea necesario.
La fecha de "Última actualización" muestra cuándo se revisó por última vez esta Política.
25. Contacto y reclamaciones
Para preguntas, inquietudes o solicitudes relacionadas con esta Política de Privacidad o datos personales, contacte:
Exportlab
Attn: Privacy
Adelgundenstrasse 1
80538 Munich
Germany
Email: hey@exportlab.io
También puede presentar una reclamación ante una autoridad de protección de datos competente, incluida la autoridad de su lugar de residencia, lugar de trabajo o lugar de la presunta infracción. Para Baviera, esto puede incluir la Autoridad Bávara de Protección de Datos (BayLDA).