Aplicación Metamorfon — Tratamiento de datos personales
Vigente desde el 20 de junio de 2026
La presente sección describe los datos personales recogidos y tratados en el marco de la utilización de la aplicación de escritorio Metamorfon y de los servicios de autenticación y gestión de suscripción asociados (API Cloud). Complementa la política de privacidad del sitio metamorfon.com.
Datos recogidos por la aplicación
Al crear una cuenta y durante la utilización del Servicio, los siguientes datos son recogidos y tratados por el Editor (véase Aviso legal) a través de su API Cloud alojada en servidores IONOS situados dentro de la Unión Europea:
| Dato | Finalidad | Base legal | Plazo de conservación |
|---|---|---|---|
| Dirección de correo electrónico | Autenticación, comunicación del servicio | Ejecución del contrato | Duración de la suscripción + 12 meses |
| Contraseña (con hash, no legible) | Seguridad de la cuenta | Ejecución del contrato | Duración de la suscripción + 12 meses |
| Identificador de cliente Stripe | Gestión de la suscripción y de la facturación | Ejecución del contrato | Duración de la suscripción + 12 meses |
| Idioma de la interfaz | Personalización del Servicio | Interés legítimo | Duración de la suscripción + 12 meses |
| Versión de la aplicación y sistema operativo | Soporte técnico, compatibilidad | Interés legítimo | Duración de la suscripción + 12 meses |
| Fecha de última conexión | Seguridad, detección de inactividad | Interés legítimo | Duración de la suscripción + 12 meses |
| Identificador de dispositivo (UUID) | Limitación a 3 dispositivos por cuenta | Interés legítimo | Duración de la suscripción + 12 meses |
Todos estos datos se suprimen a más tardar 12 meses después de la rescisión de la suscripción.
Comunicaciones automáticas con la API Cloud
Para garantizar el correcto funcionamiento del Servicio, la aplicación establece dos comunicaciones automáticas con la API Cloud del Editor:
- Verificación de actualización: al iniciar y periódicamente durante la sesión, la aplicación consulta el servidor para comprobar la disponibilidad de una nueva versión. Esta solicitud transmite la versión instalada de la aplicación y el sistema operativo utilizado.
- Validación de la suscripción: la aplicación verifica periódicamente la validez de la suscripción en curso transmitiendo el identificador de la cuenta y el identificador de dispositivo (UUID).
Estas comunicaciones son estrictamente técnicas y necesarias para la prestación del Servicio (base legal: ejecución del contrato). Los datos transmitidos son los ya enumerados en la tabla anterior; no se transmite ninguna información adicional (contenido de las sesiones, prompts, respuestas de los modelos, claves API o datos de comportamiento) en estos intercambios.
Lo que la aplicación no recoge
- Las claves API de los proveedores de modelos de IA (AI21, Anthropic, Cohere, DeepSeek, Google, Mistral, Moonshot, OpenAI, Qwen, xAI, etc.): son introducidas por el usuario y almacenadas únicamente de forma local en su dispositivo. No transitan nunca por los servidores del Editor.
- El contenido de las sesiones (prompts, respuestas de los modelos de IA, exportaciones): estos datos permanecen en el dispositivo del usuario y no se transmiten al Editor.
- Ningún dato de navegación web ni telemetría comportamental: la aplicación es un software de escritorio, no utiliza cookies y no integra ningún servicio de análisis de comportamiento, telemetría de producto ni informe de fallos automático.
Modelos de inteligencia artificial de terceros
La aplicación orquesta llamadas a modelos de IA de proveedores terceros utilizando las claves API propias del usuario. Estos intercambios se producen directamente entre el dispositivo del usuario y el proveedor de IA correspondiente, sin intermediación del Editor. Cada proveedor es responsable de sus propios tratamientos de datos. Se invita al usuario a consultar las políticas de privacidad de estos proveedores.
En determinados modos de orquestación, la aplicación puede utilizar la respuesta de un modelo de IA como contexto de entrada para la solicitud a otro modelo. Este tratamiento se efectúa de forma transitoria en la memoria viva del dispositivo del usuario y no es almacenado por el Editor. Algunos proveedores de modelos de IA tratan datos en servidores situados fuera de la Unión Europea, en particular en los Estados Unidos. Estas transferencias se rigen por las cláusulas contractuales tipo (CCT) o decisiones de adecuación aplicables a cada proveedor. Se invita al usuario a consultar las políticas de privacidad de estos proveedores para conocer las modalidades aplicables.
Proveedor de pago: Stripe
La gestión de las suscripciones y de los pagos la realiza Stripe, Inc. (185 Berry Street, San Francisco, CA 94107, Estados Unidos), certificada PCI-DSS. Stripe recoge y trata los datos de pago según su propia política de privacidad, disponible en: https://stripe.com/es/privacy.
El Editor no tiene acceso a los datos bancarios del usuario. Únicamente se conserva un identificador de cliente Stripe (stripe_customer_id) en la API Cloud para vincular la suscripción a la cuenta.
Encargado del tratamiento (alojamiento)
Los datos recogidos por la API Cloud son alojados por IONOS SE (7 Place de la Gare, 57200 Sarreguemines, Francia), cuyos servidores se sitúan dentro de la Unión Europea. IONOS actúa en calidad de encargado del tratamiento en el sentido del RGPD.
Seguridad de los datos
El Editor implementa medidas técnicas y organizativas destinadas a garantizar un nivel de seguridad adecuado en relación con los riesgos asociados al tratamiento:
- Cifrado en tránsito: el conjunto de las comunicaciones entre la aplicación y la API Cloud está cifrado mediante TLS 1.2 o superior.
- Hash de las contraseñas: las contraseñas no se almacenan nunca en claro. Se aplican mediante el algoritmo bcrypt con una sal criptográfica única generada para cada usuario, haciendo su reconstitución técnicamente inviable.
- Cifrado en reposo: los datos sensibles almacenados por la API Cloud están cifrados en reposo en los servidores del proveedor de alojamiento.
- Acceso restringido: el acceso a los servidores y a las bases de datos está estrictamente limitado a las personas autorizadas y queda registrado.
- Autenticación basada en token: el acceso a la cuenta está protegido por un token de autenticación temporal renovable (JWT), distinto de la contraseña.
- Protección contra fuerza bruta: las solicitudes hacia los puntos de acceso sensibles (autenticación, restablecimiento de contraseña) están sometidas a una limitación de tasa (rate limiting).
Copias de seguridad: se realizan copias de seguridad periódicas y se conservan dentro de la Unión Europea, sometidas a las mismas medidas de protección que los datos primarios.
Uso por menores
La aplicación Metamorfon no está destinada a personas menores de 16 años. El Editor no recoge conscientemente datos personales de menores de esta franja de edad. Si usted es padre, madre o tutor legal y constata que un menor de 16 años nos ha facilitado datos personales, póngase en contacto con nosotros en contact@metamorfon.com para que procedamos a la eliminación de estos datos y de la cuenta asociada.
Contacto en materia de protección de datos
Para cualquier cuestión relativa al tratamiento de sus datos personales o al ejercicio de sus derechos, puede contactar con el punto de contacto dedicado del Editor en la dirección: contact@metamorfon.com.
Sus derechos
De conformidad con el Reglamento General de Protección de Datos (RGPD — UE 2016/679), dispone de los siguientes derechos respecto a sus datos tratados en el marco de la aplicación:
- Derecho de acceso: obtener una copia de los datos que le conciernen
- Derecho de rectificación: corregir datos inexactos
- Derecho de supresión: solicitar la eliminación de su cuenta y de sus datos
- Derecho a la portabilidad: recibir sus datos en un formato estructurado
- Derecho de oposición: oponerse a un tratamiento fundamentado en el interés legítimo
Para ejercer estos derechos, dirija su solicitud a: contact@metamorfon.com.
En caso de reclamación no resuelta, puede presentar una reclamación ante una autoridad de control competente. Al estar el Editor establecido en Francia, la autoridad principal es la autoridad francesa de protección de datos CNIL (Commission Nationale de l’Informatique et des Libertés — www.cnil.fr). De conformidad con el artículo 77 del RGPD, también puede presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual, lugar de trabajo o lugar de la presunta infracción. En España, dicha autoridad es la Agencia Española de Protección de Datos (AEPD — www.aepd.es).
Notificación de violaciones de datos
De conformidad con los artículos 33 y 34 del RGPD, en caso de violación de datos personales que pueda suponer un riesgo para sus derechos y libertades, el Editor se compromete a informarle sin demora indebida, por correo electrónico a la dirección asociada a su cuenta y/o mediante notificación en la aplicación. Cuando la normativa lo exija, también se enviará una notificación a la autoridad de control principal (CNIL) en un plazo de 72 horas desde el momento en que se tenga conocimiento de la violación.
Modificaciones de la presente política
El Editor se reserva el derecho de modificar la presente política de privacidad para reflejar la evolución del Servicio, del marco legal aplicable o de las buenas prácticas en materia de protección de datos. La fecha de efecto de cada versión figura al inicio del presente documento.
En caso de modificación sustancial (en particular, adición de una nueva finalidad de tratamiento, una nueva categoría de destinatarios o modificación de los plazos de conservación), será informado al menos 30 días antes de la entrada en vigor de las modificaciones, por correo electrónico a la dirección asociada a su cuenta y mediante notificación en la aplicación. Su continuación en el uso del Servicio tras la entrada en vigor constituirá aceptación de la nueva versión. En su defecto, podrá rescindir su suscripción sin cargo.