Dreamuna

Política de Privacidad

Última actualización: 17 de abril de 2026

Dreamuna («nosotros», «nos», «nuestro») opera dreamuna.com, un servicio de interpretación de sueños con IA por suscripción. Esta Política de Privacidad explica qué información recogemos sobre ti, por qué la recogemos, con quién la compartimos, cuánto la guardamos y qué derechos tienes sobre ella. Está escrita en lenguaje claro. Donde la ley exige formulaciones específicas, las usamos; en el resto, buscamos ser legibles. Léela junto con nuestros Términos de Servicio.

§ 1. Quiénes somos

Dreamuna es un producto digital independiente operado desde Chipre, Unión Europea. Actuamos como responsable del tratamiento de los datos personales descritos en esta política. No mantenemos una oficina pública registrada; toda correspondencia va a hello@dreamuna.com, donde una persona real responde en un día laborable.

Esta política cubre la aplicación web de Dreamuna, el sitio de marketing, los correos transaccionales y las páginas públicas de compartir en /d/[slug]. Los servicios de terceros que usamos tienen sus propias políticas; enlazamos a ellas en el § 4.

§ 2. Qué información recogemos

Recogemos el mínimo necesario para operar el servicio, agrupado en cuatro categorías:

§ 2.1 Información de cuenta

Correo electrónico, hash de la contraseña, nombre mostrado, URL de avatar opcional, idioma preferido y preferencia de correos de marketing. Si inicias sesión con un proveedor OAuth (Google, Apple), también recibimos el ID del proveedor y los campos básicos de perfil que ese proveedor comparte.

§ 2.2 Información de pago

Estado de la suscripción, plan, fechas de prueba/renovación, país de facturación, metadatos parciales de la tarjeta (marca + últimos cuatro) e IDs de cliente/pedido de Lemon Squeezy. Los números completos de tarjeta y CVV nunca tocan nuestros servidores — van directamente a Lemon Squeezy, nuestro comerciante registrado. Consulta la política de privacidad de Lemon Squeezy sobre cómo manejan los datos de pago.

§ 2.3 Contenido que tú creas

Descripciones de sueños que envías, respuestas del quiz (estado de ánimo, etapa de vida, frecuencia, personas, emociones), interpretaciones generadas, imágenes de sueño generadas por IA, mensajes de chat posteriores con Dreamuna, narraciones de audio sintetizadas y cualquier etiqueta o nota que añadas. Este contenido se cifra en tránsito y se almacena en una base de datos en la región UE.

§ 2.4 Información técnica y de dispositivo

Dirección IP, cadena user-agent, tipo de dispositivo, geolocalización aproximada (país/región deducida de la IP), marcas de tiempo de inicios de sesión y acciones significativas, y un identificador de sesión anónimo (un UUID que generamos para que tu diario te siga entre dispositivos antes de iniciar sesión). También registramos telemetría estándar del servidor (rutas, códigos de estado, latencia) durante un período corto por motivos operativos y de seguridad.

§ 3. Cómo usamos tu información

Usamos los datos recogidos para los siguientes fines, cada uno vinculado a una base legal del artículo 6 del RGPD donde aplique:

  • Para prestar el servicio — generar tu interpretación, mostrar tu diario, llevar el chat, enviar los correos de la serie de revelación y preservar tus sueños entre dispositivos. Base legal: ejecución de un contrato (art. 6(1)(b)).
  • Para procesar pagos — cobrar tu tarjeta vía Lemon Squeezy, gestionar pruebas y renovaciones, y emitir recibos. Base legal: ejecución de un contrato (art. 6(1)(b)) y, para la retención de registros fiscales, obligación legal (art. 6(1)(c)).
  • Para mantener el servicio seguro — prevenir fraude, abuso y accesos no autorizados; limitar la tasa de llamadas API; detectar anomalías. Base legal: interés legítimo en un producto seguro (art. 6(1)(f)), ponderado frente a tus derechos.
  • Para mejorar el producto — observar tendencias de uso agregadas y no identificativas (por ejemplo, cuántas personas terminan el quiz en móvil). Base legal: interés legítimo (art. 6(1)(f)).
  • Para comunicarnos contigo — correos transaccionales (recibos, restablecimiento de contraseña, alertas de seguridad) por necesidad contractual; correos de marketing solo con tu consentimiento (art. 6(1)(a)), que puedes retirar desde tu página de Cuenta o con el enlace de baja de cada correo de marketing.
  • Para cumplir la ley y defender nuestros derechos — responder a requerimientos legales, prevenir fraude, defender reclamaciones. Base legal: obligación legal (art. 6(1)(c)) e interés legítimo (art. 6(1)(f)).

No vendemos tus datos personales. No entrenamos modelos de IA de terceros con el contenido de tus sueños. No usamos tus sueños para publicidad.

§ 4. Con quién compartimos la información

Compartimos solo lo que cada subencargado necesita para hacer su trabajo, y les vinculamos mediante acuerdos de tratamiento de datos. Nuestros subencargados actuales son:

  • Supabase (región UE) — alojamiento de base de datos y autenticación. Almacena tu cuenta, sueños, mensajes de chat y metadatos de suscripción. Los datos residen en infraestructura de la UE. Política de privacidad de Supabase.
  • OpenAI (Estados Unidos) — inferencia de IA para interpretaciones, respuestas de chat e imágenes de sueño. Las llamadas a la API funcionan bajo un acuerdo de retención cero: OpenAI no almacena prompts ni respuestas y no entrena sus modelos con datos de la API. Política de privacidad de OpenAI.
  • Lemon Squeezy (Estados Unidos) — comerciante registrado para pagos, impuesto sobre ventas y portal de facturación. Maneja los datos de tu tarjeta de extremo a extremo; nosotros solo vemos tokens y metadatos. Política de privacidad de Lemon Squeezy.
  • Resend (Estados Unidos) — entrega de correos transaccionales y de la serie de revelación. Recibe tu correo y el contenido de los mensajes. Política de privacidad de Resend.
  • Vercel (Estados Unidos, edge en la UE) — alojamiento de la aplicación web y entrega en el borde. Procesa metadatos de solicitud (IP, user-agent, ruta) para enrutamiento, caché y protección DDoS. Política de privacidad de Vercel.
  • Cloudflare (global) — si se usa para DNS y protección DDoS delante de nuestro dominio. Procesa metadatos de solicitud en tránsito. Política de privacidad de Cloudflare.

También podemos revelar información cuando la ley lo requiera (una orden judicial válida, un requerimiento regulatorio o para proteger la vida o la propiedad). Cuando lo hagamos, te lo decimos salvo que el requerimiento prohíba la notificación.

§ 5. Tus derechos

Según dónde vivas, tienes los derechos de abajo. Puedes ejercer cualquiera de ellos gratis escribiendo a hello@dreamuna.com o usando las herramientas de tu página de Cuenta. Respondemos en 30 días (la mayoría de respuestas llegan en un día laborable).

§ 5.1 Residentes en UE / EEE / Reino Unido — arts. 12–23 RGPD

  • Acceso (art. 15) — solicita una copia de los datos personales que tenemos de ti. Toca «Exportar mis datos» en tu página de Cuenta para descargar un JSON al instante.
  • Rectificación (art. 16) — corrige datos inexactos o incompletos.
  • Supresión / derecho al olvido (art. 17) — elimina tu cuenta y datos asociados. Usa el flujo de confirmación por escritura en Cuenta → Zona peligrosa, o escríbenos.
  • Limitación (art. 18) — pídenos pausar el tratamiento mientras se resuelve una disputa.
  • Portabilidad (art. 20) — recibe tus datos en formato JSON estructurado y legible por máquina; la herramienta de exportación lo proporciona.
  • Oposición (art. 21) — oponte al tratamiento basado en intereses legítimos, incluida cualquier elaboración de perfiles. Escríbenos y lo detenemos, salvo que existan motivos legítimos que prevalezcan.
  • Retirar el consentimiento (art. 7(3)) — retira en cualquier momento el consentimiento para correos de marketing o cookies no esenciales; esto no afecta la licitud del tratamiento previo.
  • Reclamar ante una autoridad de control (art. 77) — presenta una reclamación ante tu autoridad local de protección de datos. Para Chipre es la Oficina del Comisionado de Protección de Datos Personales. La lista completa está en la web del EDPB.

§ 5.2 Residentes en California — CCPA / CPRA

Tienes derecho a saber, eliminar, corregir y limitar el uso de tu información personal, y a optar por no participar en la «venta» o el «compartido» de datos personales según los define la CPRA. No vendemos tu información personal ni la compartimos para publicidad conductual entre contextos. Verificamos las solicitudes haciendo coincidir el correo de la solicitud con el de la cuenta. También puedes designar un agente autorizado.

§ 5.3 Otras jurisdicciones

Si vives en Brasil (LGPD), Canadá (PIPEDA), Australia (Privacy Act), el Reino Unido (UK GDPR), Suiza (FADP) u otra jurisdicción con legislación de protección de datos comparable, tienes derechos sustancialmente similares. Escríbenos y los respetaremos.

§ 6. Retención de datos

Guardamos los datos solo el tiempo necesario para el fin por el que se recogieron y luego los borramos o anonimizamos.

  • Cuenta + contenido — mientras tu cuenta esté activa. Al eliminarla, los datos personales se borran inmediatamente de la capa de aplicación y en 30 días de las copias de seguridad cifradas.
  • Cuentas inactivas — si no has iniciado sesión en 24 meses, enviamos un correo de aviso y, sin respuesta, eliminamos la cuenta 30 días después.
  • Registros de transacciones — retenidos durante el período exigido por la legislación fiscal y contable (normalmente de 6 a 10 años según la jurisdicción, por ejemplo 6 años en Chipre).
  • Registros de seguridad — 90 días, luego agregados o borrados.
  • Analítica agregada — los números anónimos (usuarios activos diarios, tasas de embudo) pueden conservarse indefinidamente porque ya no identifican a nadie.

§ 7. Transferencias internacionales de datos

Tus datos principales viven en la Unión Europea (región UE de Supabase). Algunos subencargados están en EE. UU. (OpenAI, Lemon Squeezy, Resend, Vercel). Las transferencias a ellos se basan en el Marco de Privacidad de Datos UE–EE. UU. cuando el encargado está certificado, y en las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea en el resto de los casos, conforme al Capítulo V del RGPD. Puedes solicitar una copia de las salvaguardas de transferencia en hello@dreamuna.com.

§ 8. Cookies y almacenamiento local

Usamos un número pequeño de cookies. En la primera visita ves un banner de consentimiento; solo establecemos cookies no esenciales tras tu aceptación.

  • Cookie de sesión (esencial) — te mantiene autenticado. Expira con la sesión o a los 30 días.
  • Cookie de sesión anónima (esencial) — un UUID opaco para que tu diario te siga antes de iniciar sesión. Se borra al iniciar sesión y fusionamos los datos con tu cuenta.
  • Cookie de idioma (esencial) — recuerda tu idioma preferido para que las páginas carguen en la locale correcta al volver.
  • Cookies de consentimiento y puerta de edad (esenciales) — registran que has aceptado el banner y la autodeclaración de 16+ para no preguntarte de nuevo.
  • Cookies no esenciales — si alguna vez añadimos cookies de analítica o marketing, solo se activan tras un consentimiento afirmativo. Puedes cambiar tu elección borrando las cookies y recargando el sitio.

§ 9. Niños y adolescentes (solo 16+)

Dreamuna está destinado a personas de 16 años en adelante. Antes del quiz de sueños requerimos una autodeclaración de 16+. No recogemos conscientemente datos de menores de 16. Si eres padre, madre o tutor y crees que un menor nos ha dado sus datos, escribe a hello@dreamuna.com y los eliminaremos de inmediato.

§ 10. Seguridad

Nos tomamos la seguridad en serio. Medidas técnicas y organizativas: cifrado TLS 1.2+ en tránsito, cifrado en reposo de la base primaria y de los backups, contraseñas con hash Argon2, acceso mínimo necesario para el equipo, tokens de acceso de corta duración, cabeceras HTTP de seguridad (CSP, HSTS, X-Content-Type-Options), escaneo automatizado de dependencias y procedimientos de respuesta a incidentes. Ningún sistema es perfectamente seguro; si detectamos una brecha que pueda perjudicarte, notificamos a la autoridad de control en 72 horas y a los usuarios afectados sin dilación indebida, como exigen los arts. 33–34 del RGPD.

§ 11. Decisiones automatizadas e IA

Tu interpretación de sueño la genera un sistema de IA (API de OpenAI). No es una decisión automatizada jurídicamente significativa en el sentido del art. 22 del RGPD — no afecta tus derechos, estatus legal ni acceso a bienes o servicios. Siempre tienes la opción de no usarla. Conforme al art. 50 del Reglamento de IA de la UE, divulgamos claramente que las interpretaciones, respuestas del chat, correos de la serie de revelación e imágenes de sueño son generadas por IA.

§ 12. Cambios en esta política

Podemos actualizar esta política a medida que evolucione el servicio o cambie la ley. Los cambios sustanciales — por ejemplo, una nueva categoría de subencargado o una nueva finalidad de tratamiento — se anuncian por correo y por un banner del sitio con al menos 14 días de antelación. Las ediciones no sustanciales (aclaraciones, erratas) se hacen en silencio; la fecha de «Última actualización» arriba refleja siempre el último cambio.

§ 13. Contáctanos

¿Preguntas, solicitudes o inquietudes? Escribe a hello@dreamuna.com — una persona real responde en un día laborable. Para solicitudes formales del RGPD incluye por favor el correo de tu cuenta para que podamos verificar tu identidad.