Política de privacidad (RGPD)
Última actualización: 2 de julio de 2026
La presente política de privacidad describe la manera en que los datos de carácter personal son recogidos, utilizados, conservados y protegidos en el marco de la utilización del software en línea (SaaS) ThumbLead, accesible en la dirección https://thumblead.com (en adelante, el «Servicio»).
Se establece de conformidad con el Reglamento (UE) 2016/679 de 27 de abril de 2016 (en adelante, el «RGPD») y con la Ley n.º 78-17 de 6 de enero de 1978 modificada, relativa a la informática, los ficheros y las libertades (loi Informatique et Libertés) (en adelante, la «Ley de Protección de Datos»).
La utilización del Servicio implica el conocimiento y la aceptación de la presente política. Le invitamos a leerla atentamente.
Artículo 1 — Responsable del tratamiento
El responsable del tratamiento de los datos de carácter personal recogidos en el marco del funcionamiento del Servicio es el editor:
- Editor: Enzo Violante
- SIRET: 948 968 318 000 14
- Dirección: 6 rue Émile Barthe, 34500 Béziers, France
- N.º de IVA intracomunitario: TVA non applicable, article 293 B du CGI (franquicia de base del IVA)
- Contacto (datos personales): contact@thumblead.com
- Director de la publicación: Enzo Violante
En adelante designado «nosotros», «el editor» o «el responsable del tratamiento».
El editor actúa en calidad de responsable del tratamiento respecto de los datos que él determina (datos de cuenta, de facturación, tokens técnicos, registros, etc.). Un caso particular se aplica a los datos de los prospectos importados por el usuario, respecto de los cuales el editor actúa en calidad de encargado del tratamiento (véase el Artículo 9).
Artículo 2 — Datos de carácter personal recogidos
Recogemos únicamente los datos estrictamente necesarios para las finalidades descritas en el Artículo 3. Las categorías de datos tratados son las siguientes:
2.1 Datos de cuenta
- Nombre y/o apellidos (o nombre de uso indicado);
- Dirección de correo electrónico;
- Contraseña, almacenada de forma cifrada mediante hash (nunca en texto claro — véase el Artículo 7);
- En su caso, la información procedente de la conexión mediante una cuenta de Google («Google / OAuth»), tales como el identificador de la cuenta y la dirección de correo electrónico asociada.
2.2 Datos de facturación
- Nombre / razón social, dirección de facturación;
- En su caso, número SIRET y número de IVA intracomunitario;
- Historial de suscripciones, presupuestos, facturas y abonos;
- Identificadores técnicos asociados al proveedor de pago (véase 2.5).
Los datos de la tarjeta de pago (número de tarjeta, criptograma) nunca son recogidos ni almacenados por ThumbLead. Son tratados directamente por nuestro proveedor de pago Stripe (véase el Artículo 4). En cambio, si usted indica sus propios datos bancarios (IBAN/BIC) para que figuren en sus facturas, estos se conservan y se cifran en reposo (véase el Artículo 7).
2.3 Datos de contactos / CRM introducidos por el usuario
En el marco de las funcionalidades de CRM y de gestión comercial, el usuario puede crear y registrar fichas de contactos (clientes, prospectos), así como pedidos. Estos datos (nombre, correo electrónico, datos de contacto, notas, elementos relativos a los canales de YouTube prospectados, historial de pedidos) son introducidos y gestionados bajo la exclusiva responsabilidad del usuario. El régimen aplicable a estos datos se precisa en el Artículo 9.
2.4 Tokens de acceso OAuth de Google
Cuando el usuario conecta su cuenta de Google para la sincronización con Google Calendar (y, en su caso, otros servicios de Google), conservamos tokens de acceso y de actualización OAuth, cifrados en reposo (véase el Artículo 7) y utilizados únicamente para ejecutar las acciones solicitadas.
Para el envío de sus secuencias de correos electrónicos de prospección, el usuario conecta su propia bandeja de correo electrónico (SMTP). Conservamos entonces sus credenciales de envío (dirección de correo electrónico y contraseña de aplicación), estando esta última cifrada en reposo (véase el Artículo 7) y utilizada únicamente para enviar los correos electrónicos que él programa, desde su propia dirección.
2.5 Identificadores de Stripe
Para la gestión de las suscripciones y de los pagos, conservamos los identificadores técnicos atribuidos por Stripe (por ejemplo, identificador de cliente, identificador de suscripción, identificador de medio de pago tokenizado). Estos identificadores permiten vincular una suscripción a una cuenta, sin dar nunca acceso a los datos bancarios completos.
2.6 Registros técnicos (logs)
Por razones de seguridad, de diagnóstico y de buen funcionamiento del Servicio, recogemos registros técnicos: dirección IP, fecha y hora de conexión, tipo de navegador / de dispositivo, páginas o funcionalidades consultadas, eventos de error y de seguridad.
Artículo 3 — Finalidades y bases jurídicas de los tratamientos
Cada tratamiento se basa en una base jurídica determinada de conformidad con el artículo 6 del RGPD.
| Finalidad | Datos afectados | Base jurídica |
|---|---|---|
| Creación y gestión de la cuenta de usuario, prestación del Servicio | Datos de cuenta, tokens OAuth de Google | Ejecución del contrato (art. 6.1.b) |
| Gestión de las suscripciones, pagos, presupuestos, facturas y abonos | Datos de facturación, identificadores de Stripe | Ejecución del contrato (art. 6.1.b) y obligación legal (art. 6.1.c — obligaciones contables y fiscales) |
| Funcionalidades de CRM, de agenda, de secuencias de correos electrónicos y de análisis de miniaturas mediante IA | Datos de cuenta, datos introducidos por el usuario, tokens OAuth de Google | Ejecución del contrato (art. 6.1.b) |
| Sincronización con Google Calendar | Tokens OAuth de Google | Consentimiento (art. 6.1.a — autorización OAuth, revocable en todo momento) |
| Envío de las secuencias de correos electrónicos desde la bandeja del usuario | Credenciales de la bandeja de envío (dirección + contraseña de aplicación, cifrada) | Ejecución del contrato (art. 6.1.b) |
| Seguridad del Servicio, prevención de fraudes y abusos, diagnóstico técnico | Registros técnicos | Interés legítimo (art. 6.1.f) |
| Mejora del Servicio y estadísticas de uso internas | Registros técnicos (datos agregados / minimizados) | Interés legítimo (art. 6.1.f) |
| Medición de audiencia mediante una herramienta de terceros (PostHog) | Datos de navegación y de uso | Consentimiento (art. 6.1.a — recabado mediante un banner, revocable en todo momento) |
| Respuesta a las solicitudes de contacto y al soporte | Datos de cuenta, contenido de los intercambios | Interés legítimo (art. 6.1.f) y/o ejecución del contrato |
| Envío de correos electrónicos transaccionales (confirmación, factura, información de servicio) | Dirección de correo electrónico | Ejecución del contrato (art. 6.1.b) |
| Cumplimiento de las obligaciones legales y respuesta a los requerimientos | Según la solicitud | Obligación legal (art. 6.1.c) |
Cuando el tratamiento se basa en el consentimiento, este puede retirarse en todo momento, sin que dicha retirada cuestione la licitud de los tratamientos efectuados con anterioridad. La retirada de la autorización OAuth de Google puede efectuarse, en particular, desde los ajustes de seguridad de la cuenta de Google del usuario y/o desde el Servicio.
Artículo 4 — Destinatarios y encargados del tratamiento
Los datos no se venden, ni se alquilan, ni se ceden a terceros con fines comerciales.
Pueden comunicarse a las siguientes categorías de destinatarios, estrictamente en la medida necesaria para las finalidades descritas anteriormente:
- El editor y, en su caso, las personas habilitadas que actúan bajo su autoridad;
- Los encargados del tratamiento enumerados a continuación, que actúan siguiendo nuestras instrucciones y que presentan garantías suficientes en el sentido del artículo 28 del RGPD;
- Las autoridades administrativas o judiciales habilitadas, previa solicitud legal.
Encargados del tratamiento y proveedores
| Proveedor | Función / finalidad | Ubicación | Transferencia fuera de la UE |
|---|---|---|---|
| Railway Corporation | Alojamiento de la aplicación y de la base de datos PostgreSQL | Estados Unidos | Sí (véase el Artículo 5) |
| Stripe Payments Europe, Ltd. | Tratamiento de los pagos y gestión de las suscripciones | Irlanda (UE) | No |
| Google Ireland Ltd. | Análisis de miniaturas mediante IA (Google Gemini), conexión Google / OAuth, sincronización con Google Calendar | Irlanda (UE) | Véase el Artículo 5 |
| PostHog | Medición de audiencia y estadísticas de uso del Servicio (sobre la base del consentimiento del usuario) | Unión Europea (alojamiento UE) | No |
| Sentry (Functional Software, Inc.) | Detección y diagnóstico de los errores técnicos (monitorización de la aplicación) | Unión Europea (región de datos UE) | No |
| Resend y/o Gmail SMTP | Envío de correos electrónicos transaccionales y de facturas | Google (envío mediante la API de Gmail / Google Ireland Ltd., Irlanda) | No aplicable (proveedor situado en la Unión Europea) |
La dirección del proveedor de alojamiento es: Railway Corporation, 548 Market Street, San Francisco, CA 94104, Estados Unidos.
En lo que respecta a los datos transmitidos a Google (en particular, el contenido de las miniaturas analizadas mediante Gemini), su tratamiento está sujeto asimismo a las políticas de privacidad de Google. El Servicio solo utiliza estos accesos para ejecutar las acciones expresamente solicitadas por el usuario.
Artículo 5 — Transferencias de datos fuera de la Unión Europea
El alojamiento de la aplicación y de la base de datos PostgreSQL corre a cargo de Railway Corporation, sociedad establecida en los Estados Unidos. Por ello, determinados datos de carácter personal son objeto de una transferencia fuera del Espacio Económico Europeo (EEE).
Esta transferencia está sujeta a garantías apropiadas en el sentido del capítulo V del RGPD, a saber, la celebración de las cláusulas contractuales tipo (CCT) adoptadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021), completadas, en su caso, con medidas técnicas y organizativas adicionales.
En lo que respecta a Google, cuando el encargado del tratamiento contratante es Google Ireland Ltd. (UE), los datos se tratan en el marco europeo; cualquier eventual transferencia hacia infraestructuras situadas fuera del EEE está sujeta a las cláusulas contractuales tipo y a las garantías implementadas por Google.
Puede obtenerse una copia de las garantías aplicables previa solicitud a la dirección indicada en el Artículo 1.
Artículo 6 — Plazos de conservación
Los datos solo se conservan durante el tiempo estrictamente necesario para las finalidades para las que son tratados, y posteriormente se archivan o se suprimen de conformidad con los plazos que figuran a continuación:
| Categoría de datos | Plazo de conservación |
|---|---|
| Datos de cuenta | Durante toda la duración de la relación contractual y, posteriormente, supresión (o anonimización) en un plazo máximo de 3 meses tras el cierre de la cuenta |
| Tokens OAuth de Google | Hasta la revocación de la autorización por el usuario, la desconexión del servicio de Google o el cierre de la cuenta |
| Datos de facturación, facturas y documentos contables | 10 años a partir del cierre del ejercicio contable, de conformidad con el artículo L123-22 del Código de Comercio francés |
| Contactos de CRM y pedidos introducidos por el usuario | Durante toda la duración de la utilización del Servicio por el usuario; suprimidos con el cierre de la cuenta, sin perjuicio de la acción propia del usuario (véase el Artículo 9) |
| Registros técnicos (logs) | 12 meses de conformidad con las recomendaciones en materia de seguridad |
| Datos relativos a la gestión de las solicitudes de ejercicio de derechos | El tiempo necesario para tramitar la solicitud y, posteriormente, conservación a título probatorio dentro de los plazos de prescripción aplicables |
Al vencimiento de estos plazos, los datos se suprimen o se anonimizan de forma irreversible. Determinados datos pueden conservarse en archivo intermedio, con acceso restringido, para responder a una obligación legal o hacer valer un derecho ante la justicia.
Artículo 7 — Seguridad de los datos
Aplicamos medidas técnicas y organizativas apropiadas a fin de garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD. Estas medidas comprenden, en particular:
- El hash de las contraseñas mediante el algoritmo bcrypt (las contraseñas nunca se almacenan ni se transmiten en texto claro);
- El cifrado en reposo de los datos sensibles (en particular, los datos bancarios de tipo IBAN utilizados para la facturación, los tokens de acceso de Google y la contraseña de aplicación de la bandeja de envío) mediante un cifrado AES-256;
- El cifrado de las comunicaciones en tránsito mediante el protocolo HTTPS/TLS;
- El control de los accesos y la limitación de las habilitaciones a lo estrictamente necesario;
- El registro de los eventos de seguridad;
- El recurso a encargados del tratamiento que presentan garantías de seguridad conformes al artículo 28 del RGPD.
En caso de violación de datos de carácter personal que pueda entrañar un riesgo para los derechos y libertades de las personas afectadas, nos comprometemos a notificarlo a la CNIL en las condiciones y plazos previstos en el artículo 33 del RGPD y, en su caso, a informar de ello a las personas afectadas de conformidad con el artículo 34 del RGPD.
Dado que ningún sistema ofrece una seguridad absoluta, se invita al usuario a contribuir a la protección de sus datos, en particular eligiendo una contraseña robusta y manteniéndola confidencial.
Artículo 8 — Derechos de las personas afectadas
De conformidad con el RGPD y con la Ley de Protección de Datos (loi Informatique et Libertés), toda persona afectada dispone de los siguientes derechos sobre sus datos de carácter personal:
- Derecho de acceso (art. 15 RGPD): obtener la confirmación de que se están tratando datos que le conciernen y recibir una copia de estos;
- Derecho de rectificación (art. 16 RGPD): hacer corregir datos inexactos o incompletos;
- Derecho de supresión (art. 17 RGPD): obtener la supresión de sus datos, sin perjuicio de las obligaciones legales de conservación (en particular, contables y fiscales);
- Derecho a la portabilidad (art. 20 RGPD): recibir los datos facilitados en un formato estructurado, de uso común y de lectura mecánica, y transmitirlos a otro responsable del tratamiento;
- Derecho de oposición (art. 21 RGPD): oponerse, por motivos relacionados con su situación particular, a un tratamiento basado en el interés legítimo;
- Derecho a la limitación del tratamiento (art. 18 RGPD): solicitar la congelación temporal del uso de sus datos en determinados casos;
- Derecho a retirar su consentimiento en todo momento, cuando el tratamiento se base en este;
- Derecho a establecer directrices relativas al destino de sus datos tras su fallecimiento (art. 85 de la Ley de Protección de Datos, loi Informatique et Libertés).
Cómo ejercer sus derechos
Estos derechos pueden ejercerse dirigiendo una solicitud a la dirección de contacto indicada en el Artículo 1: contact@thumblead.com, o por correo postal a la dirección postal del editor.
Con el fin de tramitar la solicitud, podrá solicitarse la acreditación de la identidad. Se dará respuesta en el plazo de un mes a partir de la recepción de la solicitud, prorrogable en dos meses en caso de complejidad o de un número elevado de solicitudes, informándose de ello a la persona afectada.
Reclamación ante la CNIL
Si, tras haberse puesto en contacto con el editor, la persona afectada considera que sus derechos no se respetan, puede presentar una reclamación ante la Comisión Nacional de Informática y Libertades (Commission nationale de l'informatique et des libertés, CNIL):
- CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Sitio web: https://www.cnil.fr
Artículo 9 — Caso particular: datos de los prospectos importados por el usuario
El Servicio permite al usuario importar, crear y gestionar datos relativos a prospectos (canales de YouTube y sus responsables, contactos comerciales, datos de contacto, notas, historial de intercambios), en particular en el marco de las funcionalidades de prospección, de CRM y de secuencias de correos electrónicos.
Respecto de estos datos, el reparto de funciones es el siguiente:
- El usuario es el responsable del tratamiento de sus propios prospectos. Él determina las finalidades y los medios del tratamiento de estos datos, elige a las personas prospectadas y decide los mensajes que se les dirigen.
- El editor (ThumbLead) actúa en calidad de encargado del tratamiento en el sentido del artículo 28 del RGPD: trata estos datos únicamente siguiendo las instrucciones del usuario y por cuenta de este, con la única finalidad de proporcionar las funcionalidades del Servicio.
Por ello, corresponde al usuario, en su calidad de responsable del tratamiento de sus prospectos:
- disponer de una base jurídica válida para la prospección (en particular, el cumplimiento de las normas aplicables a la prospección en materia B2B y B2C, de la Directiva «sobre la privacidad y las comunicaciones electrónicas», del artículo L34-5 del Código de Correos y de las Comunicaciones Electrónicas francés y de las directrices de la CNIL);
- informar a las personas prospectadas y respetar sus derechos (acceso, oposición, supresión, etc.);
- recabar, cuando así se requiera, el consentimiento previo de las personas;
- velar por la licitud de las fuentes de las que proceden los datos importados.
El editor, en tanto que encargado del tratamiento, se compromete a tratar estos datos únicamente de conformidad con las instrucciones documentadas del usuario, a garantizar su confidencialidad y seguridad, y a suprimirlos o restituirlos al término de la prestación, en las condiciones previstas por las condiciones generales del Servicio y, en su caso, por un acuerdo de encargo del tratamiento (DPA) distinto. Por otra parte, el editor ha celebrado acuerdos de tratamiento de datos (DPA) con sus propios encargados del tratamiento (Railway, Stripe, Google).
Artículo 10 — Cookies y rastreadores
El Servicio utiliza esencialmente cookies técnicas, estrictamente necesarias para su funcionamiento:
- cookies de sesión y de autenticación (que permiten mantener al usuario conectado);
- cookies de preferencias (memorización de opciones de interfaz).
Al ser estas cookies estrictamente necesarias para la prestación del Servicio expresamente solicitado, están exentas del requisito de consentimiento de conformidad con el artículo 82 de la Ley de Protección de Datos (loi Informatique et Libertés) y con las directrices de la CNIL.
El Servicio no recurre a cookies publicitarias de terceros ni a rastreo con fines de segmentación publicitaria.
Para más detalles sobre la naturaleza de las cookies utilizadas y su gestión, conviene remitirse a la Política de cookies del Servicio: https://thumblead.com/politique-cookies.
Artículo 11 — Menores
El Servicio se dirige a profesionales (autónomos, trabajadores por cuenta propia) y no está destinado a menores. No recogemos conscientemente datos relativos a personas menores de 15 años. Si llegáramos a tener conocimiento de la recogida de tales datos sin el consentimiento requerido, procederíamos a su supresión en el plazo más breve posible. Se invita a toda persona que considere que un menor nos ha comunicado datos a informarnos de ello en la dirección indicada en el Artículo 1.
Artículo 12 — Modificaciones de la presente política
La presente política de privacidad puede ser modificada en todo momento, en particular con el fin de tener en cuenta la evolución legal, reglamentaria, jurisprudencial o técnica, o la evolución del Servicio.
La versión aplicable es la que esté en vigor en la fecha de acceso al Servicio, figurando la fecha de última actualización en el encabezado del presente documento. En caso de modificación sustancial, los usuarios podrán ser informados de ello por un medio apropiado (por ejemplo, correo electrónico o notificación dentro del Servicio). La continuación de la utilización del Servicio tras la entrada en vigor de las modificaciones equivale al conocimiento de estas.