Draft notice. This document is the company's first draft and is subject to counsel review before relying on it for compliance. Last edit: 2026-05-29.

Política de Privacidad

Fecha de vigencia: 29-05-2026 · Última actualización:29-05-2026 · Versión 1.0

Aviso de versión. Esta es una traducción informativa al español de nuestra Política de Privacidad. En caso de discrepancia, prevalece la versión en inglés, que es la legalmente vinculante.

1. Quiénes somos

Acts 2 es un servicio de traducción y clonación de voz con IA generativa operado por iKingdom LLC(“Acts 2”), una sociedad de responsabilidad limitada de Delaware. Esta política describe cómo recopilamos, usamos, almacenamos, divulgamos y protegemos información personal de visitantes de acts2.io y clientes de la familia de productos Acts 2 (Free, Pro, Business y Gov).

Para consultas de privacidad o ejercer derechos, escriba a contact@acts2.iocon “Privacidad” en el asunto.

2. Qué datos recopilamos

  • Datos de cuenta: nombre, correo electrónico, organización, rol, país y hash de contraseña. Opcionales: teléfono, denominación, afiliación ministerial.
  • Datos de facturación: ID de cliente Stripe, plan, últimos cuatro dígitos de tarjeta (nunca el número completo), dirección de facturación, identificador fiscal.
  • Datos biométricos de voz (categoría especial): grabaciones de audio, embeddings de voz, modelos de voz clonada y audio sintetizado.
  • Contenido del cliente: audio fuente, transcripciones, traducciones, subtítulos, doblajes y metadatos.
  • Datos de uso: registros en la tabla usage_event con par de idiomas, duración del audio, versión del modelo y marcas de tiempo.
  • Datos técnicos: dirección IP, agente de usuario, tipo de dispositivo, identificadores de sesión (cookie de primera parte pk_session) y marcas de tiempo.
  • Registros de consentimiento y auditoría: afirmación de consentimiento de voz, IP, agente de usuario, hash del audio.
  • Datos de soporte: información compartida al contactar a soporte.

3. Datos biométricos de voz — manejo especial

Los datos biométricos de voz son datos personales sensibles bajo el GDPR Art. 9, BIPA (Illinois), CUBI/TRAIGA (Texas), LGPD Art. 11 (Brasil), LFPDPPP (México, reformada 2025) y la DPDPA 2023 (India).

  1. Consentimiento explícito, informado y por escrito antes de procesar cualquier muestra de voz para clonar.
  2. Registro de procedencia de voz— texto del consentimiento, IP, agente de usuario, marca de tiempo, hash de muestra, duración, idioma y versión de modelo.
  3. Sin entrenamiento de modelos— no usamos su audio, huella de voz ni voz clonada para entrenar modelos fundacionales sin una autorización separada, escrita y voluntaria.
  4. Sin identificación biométrica.
  5. Retención: 30 días desde el último uso (Free); por la duración de la suscripción + 30 días de gracia (pago).
  6. Marca de agua y procedencia: el audio sintetizado lleva una marca de agua inaudible y manifiesto C2PA, en alineación con la Ley de IA de la UE Art. 50 (2 de agosto de 2026) y SB 942 de California.
  7. Revocación: puede retirar el consentimiento en cualquier momento.

4. Cómo usamos los datos

  • Entrega del servicio (transcripción, traducción, clonación, doblaje, subtítulos, transmisión en vivo).
  • Facturación y contabilidad (Stripe, retención fiscal 7 años).
  • Operación del servicio (confiabilidad, seguridad, prevención de abuso, soporte).
  • Comunicación transaccional (recibos, alertas, anuncios). Marketing sólo con opt-in.
  • Cumplimiento legal (subpoenas, órdenes judiciales).

No vendemos su información personal. No la compartimos con redes publicitarias ni intermediarios de datos.

5. Base jurídica (GDPR / UK GDPR)

  • Art. 6(1)(b) — contrato.
  • Art. 6(1)(c) — obligación legal.
  • Art. 6(1)(f) — interés legítimo (seguridad, anti-fraude).
  • Art. 6(1)(a) + Art. 9(2)(a)— consentimiento explícito para procesamiento biométrico.

6. Dónde almacenamos los datos

Acts 2 opera principalmente desde infraestructura en Estados Unidos. Base de datos primaria: Supabase (us-east). Síntesis de voz: ElevenLabs (EE. UU.). Transcripción: Deepgram (EE. UU.). Enrutamiento en vivo: LiveKit (EE. UU.). Hosting de audio: Mux (EE. UU.). Facturación: Stripe (EE. UU., PCI DSS).

7. Subprocesadores

  • Supabase, Inc. — base de datos, autenticación, almacenamiento.
  • ElevenLabs, Inc. — clonación de voz y TTS.
  • Deepgram, Inc. — speech-to-text.
  • Mux, Inc. — video y audio.
  • LiveKit, Inc. — audio en vivo.
  • Anthropic, PBC — traducción vía Claude.
  • OpenAI, L.L.C. — transcripción opcional vía Whisper.
  • Stripe, Inc. — pagos.
  • Vercel, Inc. — hosting y edge.
  • Resend, Inc. — correo transaccional.

Notificación previa de 30 días ante cambios materiales de subprocesador.

8. Transferencias internacionales

Para datos del EEE/Reino Unido/Suiza nos basamos en las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión 2021/914) y el Addendum del Reino Unido (UK IDTA). Hay una Evaluación de Impacto de Transferencia (TIA) disponible bajo solicitud.

9. Sus derechos

  • Acceso (GDPR Art. 15; LGPD Art. 18; DPDPA s. 11).
  • Rectificación (Art. 16).
  • Supresión / derecho al olvido (Art. 17).
  • Limitación (Art. 18).
  • Portabilidad (Art. 20).
  • Oposición (Art. 21).
  • No estar sujeto a decisiones automatizadas (Art. 22).
  • Presentar reclamación ante su autoridad de control.

Para ejercer estos derechos: contact@acts2.io (asunto: Data Request). Respondemos en 30 días.

10. Retención

  • Clones de voz (Free): 30 días.
  • Clones de voz (pago): duración de la suscripción + 30 días.
  • Subtítulos y transcripciones: 30 días.
  • Eventos de uso: 12 meses.
  • Consentimiento y auditoría: 7 años.
  • Pagos: 7 años (requisitos fiscales).
  • Logs de seguridad: 12 meses en caliente, hasta 7 años en frío.

11. Seguridad

  • TLS 1.2+ en tránsito; AES-256 en reposo.
  • RLS en Postgres; claves API por servicio.
  • SSO + MFA para producción.
  • Logs de auditoría tamper-evident.
  • Escaneos mensuales de vulnerabilidades; SLA de 30 días para parches críticos.
  • Plan de respuesta a incidentes con ejercicio anual.
  • SOC 2 Tipo II en preparación [verificar con asesor].

Notificamos brechas según ley aplicable: GDPR Art. 33 (72 horas); HIPAA (60 días); CCPA (sin demora indebida).

12. Menores

Acts 2 no está dirigido a menores. No recopilamos a sabiendas datos de menores de 13 (COPPA, EE. UU.) o 16 (GDPR).

13. California (CCPA / CPRA)

Residentes de California tienen los derechos de Saber, Eliminar, Corregir, Limitar el Uso de Información Sensible y a la No-Discriminación. Acts 2 no vende ni comparte información personal según las definiciones del CPRA.

14. Brasil (LGPD)

La Ley General de Protección de Datos (LGPD, Ley 13.709/2018) le otorga derechos de acceso, rectificación, anonimización, eliminación, portabilidad y revocación del consentimiento. Datos biométricos de voz son datos sensibles bajo el Art. 11. Canal LGPD: contact@acts2.io; puede también presentar reclamación ante la ANPD.

15. Cambios

Notificaremos cambios materiales por correo o banner con al menos 30 días de antelación.

16. Contacto

Acts 2 / iKingdom LLC — Delaware, Estados Unidos
Correo: contact@acts2.io

Questions about this document?

Email us at contact@acts2.io. For data-subject requests (GDPR, CCPA, LGPD, DPDPA) please put “Data Request” in the subject line and include the email address associated with your account.

Acts 2 / iKingdom LLC · Delaware, United States