Última actualización: 26 de abril de 2026
En cumplimiento de lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por el que se deroga la Directiva 95/46/CE (en adelante, «Reglamento General de Protección de Datos» o «RGPD»), así como en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, «LOPD-GDD»), se informa al usuario de que el responsable del tratamiento de los datos personales que se recaben a través de la plataforma Clonio y de la extensión de navegador Clonio para Google Chrome (en adelante, conjuntamente, «los Servicios») es Yoan Lopez, persona física que opera en régimen de trabajador autónomo, con domicilio profesional en Innogune Coworking, Mundaitz Kalea 50, 20012 Donostia San Sebastian, Guipuzkoa, España, y dirección de correo electrónico contact@clonio.es, a la cual podrá dirigirse el usuario para el ejercicio de cualquiera de los derechos reconocidos por la normativa vigente en materia de protección de datos de carácter personal. El Responsable no ha designado Delegado de Protección de Datos (DPO), por no concurrir ninguno de los supuestos de designación obligatoria previstos en el artículo 37 del RGPD; las consultas relativas a protección de datos se atenderán por el propio Responsable a través de la dirección indicada.
A través de los Servicios se recaban y tratan las siguientes categorías de datos personales del usuario, de conformidad con las finalidades y bases jurídicas que a continuación se detallan: (i) datos de cuenta, fundamentalmente la dirección de correo electrónico proporcionada durante el proceso de registro y la contraseña asociada, que se almacena exclusivamente en formato cifrado mediante algoritmos de hash unidireccional; (ii) datos vinculados a la cuenta de LinkedIn del usuario, tales como el token de acceso OAuth 2.0, el nombre público del perfil, el identificador único de usuario en LinkedIn y, en su caso, las métricas públicas de rendimiento de las publicaciones, datos todos ellos proporcionados voluntariamente por el usuario al conectar su cuenta de LinkedIn con la Plataforma mediante el flujo de autorización estándar de OAuth; (iii) datos recopilados por la extensión de navegador Clonio, incluyendo exclusivamente datos del propio perfil del usuario (nombre, titular profesional, descripción, fotografía de perfil, número de seguidores y conexiones, URL del perfil), así como datos de las publicaciones propias del usuario (contenido textual, tipo de contenido, fecha de publicación, imágenes asociadas y métricas de rendimiento tales como reacciones, comentarios, republicaciones e impresiones), datos todos ellos extraídos únicamente del perfil y la actividad del propio usuario autenticado, nunca de perfiles de terceros, y transmitidos de forma cifrada mediante HTTPS al servidor de Clonio para su almacenamiento y presentación en el panel de analítica; (iv) contenido generado por el usuario a través de la Plataforma, incluyendo textos, imágenes, borradores, programaciones y cualesquiera otros materiales creados mediante las herramientas de inteligencia artificial integradas, los cuales se almacenan asociados a la cuenta del usuario; (v) datos técnicos recopilados de forma automática durante la navegación y uso de la Plataforma, tales como la dirección IP, el tipo y versión del navegador, la resolución de pantalla, el sistema operativo, las páginas visitadas dentro de la Plataforma, los tiempos de sesión y demás información técnica necesaria para garantizar la seguridad, disponibilidad y correcto funcionamiento del servicio; (vi) datos de facturación y pago, incluyendo el nombre, la dirección de facturación, el número de identificación fiscal (en su caso) y los datos de la tarjeta de pago, siendo estos últimos procesados y almacenados exclusivamente por Stripe, Inc. en calidad de procesador de pagos certificado PCI-DSS Nivel 1, sin que el titular de los Servicios tenga acceso en ningún momento al número completo de la tarjeta del usuario; y (vii) datos de contacto, concretamente la dirección de correo electrónico proporcionada voluntariamente por el usuario a través del formulario de contacto habilitado en la Plataforma.
Con la finalidad de permitir al usuario la generación de imágenes personalizadas que incorporen su rostro, la Plataforma ofrece una funcionalidad opcional de avatar mediante la cual el usuario puede subir voluntariamente una fotografía facial propia. Dicha fotografía, en la medida en que permite la identificación inequívoca de la persona física a partir de sus rasgos faciales, tiene la consideración de dato biométrico incluido en las categorías especiales de datos personales previstas en el artículo 9, apartado 1, del RGPD. El tratamiento de esta categoría especial de datos se realiza exclusivamente sobre la base del consentimiento explícito del interesado conforme al artículo 9, apartado 2, letra a), del RGPD, otorgado mediante la acción voluntaria y deliberada de subir la imagen a la Plataforma a través de la funcionalidad de configuración de identidad de IA. La fotografía se almacena en el bucket privado de almacenamiento asociado a la cuenta del usuario y se transmite, cuando y solo cuando el usuario solicita expresamente la generación de una imagen, al proveedor del modelo de inteligencia artificial de imagen identificado en la sección 6 de la presente política, que actúa como encargado del tratamiento. El usuario puede revocar el consentimiento y eliminar la fotografía en cualquier momento desde la sección de configuración de la Plataforma, sin que dicha revocación afecte a la licitud del tratamiento realizado con anterioridad. El usuario se obliga a subir únicamente su propia fotografía; la subida de imágenes faciales de terceros sin su consentimiento explícito está expresamente prohibida y constituye responsabilidad exclusiva del usuario, conforme a las Normas de generación de imágenes.
En relación con la extensión de navegador Clonio para Google Chrome, se informa al usuario de que esta utiliza los siguientes permisos del navegador, ambos justificados por una funcionalidad activa y necesaria: (i) storage: para almacenar localmente en el dispositivo del usuario, mediante chrome.storage.local, el token de autenticación del usuario (con una vigencia máxima de veinticuatro horas, transcurridas las cuales se elimina automáticamente), la dirección de correo electrónico asociada a la cuenta, la marca temporal de recepción del token, la fecha de la última sincronización realizada, el número de publicaciones sincronizadas y una caché temporal de publicaciones (con una vigencia máxima de treinta segundos); y (ii) alarms: para programar verificaciones periódicas (cada cinco horas) de la validez del token de autenticación y mantener la conexión funcional sin requerir autenticación repetida. La inyección del código de sincronización en las páginas del propio perfil del usuario se realiza de forma declarativa mediante content_scripts en el manifest, sin requerir permisos adicionales. Asimismo, la cookie de sesión del usuario en la red social profesional se lee exclusivamente mediante document.cookie en el contexto del propio navegador del usuario, sin requerir el permiso chrome.cookies, y dicha cookie permanece en todo momento en el navegador del usuario sin transmitirse en ningún caso a los servidores de Clonio ni a terceros.
Los datos recabados mediante la extensión incluyen exclusivamente: del propio perfil del usuario autenticado (nombre, titular profesional, descripción, fotografía, número de seguidores y conexiones, sector profesional, ubicación, idioma e identificadores internos del perfil) y de las publicaciones propias del usuario (contenido textual, tipo de contenido, fecha de publicación, imágenes asociadas, métricas de rendimiento tales como reacciones, comentarios, republicaciones, impresiones y vistas de vídeo, e identificador de la publicación original cuando se trate de una republicación). Adicionalmente, cuando el usuario disponga de una cuenta de pago en la red social profesional que habilite el acceso a métricas avanzadas, podrán recabarse de forma opcional datos agregados por día (seguidores ganados por día, impresiones por día y visitas al perfil de los últimos noventa días); en ausencia de dicha cuenta de pago, estos datos no se recopilan.
La extensión opera exclusivamente sobre el perfil y la actividad del propio usuario autenticado, nunca sobre perfiles de terceros. No accede a datos de navegación del usuario fuera de las páginas de la red social profesional, no recopila datos de otros usuarios, no modifica el contenido ni la funcionalidad de la red, no inyecta publicidad ni rastreadores, y no transmite datos a terceros distintos del servidor de Clonio (clonio.es). La sincronización de datos se realiza exclusivamente por iniciativa del usuario o de forma automática cuando este visita su propio perfil con la extensión activa y autenticada.
El tratamiento de los datos personales del usuario se realiza con las siguientes finalidades: la gestión de la cuenta del usuario y la autenticación de su identidad en la Plataforma y en la extensión de navegador; la recopilación y presentación de estadísticas de rendimiento de las publicaciones propias del usuario en LinkedIn, mediante la sincronización automatizada de datos a través de la extensión de navegador; la generación y programación de contenido textual y visual para la red social LinkedIn mediante el uso de modelos de inteligencia artificial de terceros, incluyendo el análisis automatizado del perfil de LinkedIn del usuario durante el proceso de incorporación (onboarding) para la detección de su estilo de escritura, tono y temáticas, así como la generación de imágenes personalizadas que pueden incorporar la fotografía de perfil (avatar) proporcionada voluntariamente por el usuario conforme a la sección 3; la publicación automatizada o semiautomatizada de dicho contenido en la cuenta de LinkedIn del usuario, previa autorización expresa de este; la gestión de suscripciones, pagos recurrentes y compras de paquetes de créditos de imágenes a través de Stripe; y la medición estadística del uso del servicio, detección de errores técnicos y grabación de sesiones de navegación con enmascaramiento automático de campos sensibles (contraseñas, direcciones de correo electrónico y números de teléfono), con la finalidad exclusiva de mejorar el funcionamiento, la estabilidad y la experiencia de usuario de la Plataforma. Las bases jurídicas que legitiman el tratamiento son: (a) la ejecución de un contrato en el que el interesado es parte, o la aplicación a petición de este de medidas precontractuales, conforme al artículo 6, apartado 1, letra b), del RGPD, en la medida en que el tratamiento resulta necesario para la prestación del servicio contratado por el usuario; (b) el consentimiento del interesado, conforme al artículo 6, apartado 1, letra a), del RGPD, específicamente para la conexión con la cuenta de LinkedIn del usuario, la recopilación de métricas de sus publicaciones mediante la extensión de navegador, la publicación de contenido en su nombre, y la recopilación de estadísticas de uso, detección de errores y grabación de sesiones mediante las herramientas analíticas descritas en la sección 6, consentimiento este último expresamente otorgado mediante el banner de configuración de cookies conforme a la Política de Cookies y revocable en cualquier momento desde la propia página de cookies, sin que la revocación afecte a la licitud del tratamiento realizado con anterioridad; y (c) el consentimiento explícito del interesado conforme al artículo 9, apartado 2, letra a), del RGPD, respecto al tratamiento de la fotografía facial del usuario como dato biométrico, en los términos detallados en la sección 3.
Para la prestación del servicio, el Responsable del tratamiento recurre a los siguientes proveedores, que actúan como encargados del tratamiento conforme al artículo 28 del RGPD, con los que se han suscrito los correspondientes acuerdos de encargo y, en su caso, las garantías adecuadas para las transferencias internacionales previstas en los artículos 44 y siguientes del RGPD:
El Responsable podrá ampliar o modificar esta lista de proveedores cuando sea necesario para la correcta prestación del servicio, actualizando la presente política en consecuencia. El usuario podrá solicitar en cualquier momento, a través de la dirección de contacto indicada en la sección 1, información complementaria sobre las concretas garantías aplicables a las transferencias internacionales.
Los datos personales del usuario se conservarán durante el tiempo que este mantenga una cuenta activa en la Plataforma y, una vez solicitada la baja o eliminación de la cuenta, se iniciará un periodo de gracia de catorce (14) días naturales, durante el cual la cuenta podrá ser recuperada por el usuario mediante solicitud a través de la dirección contact@clonio.es; transcurrido dicho plazo sin que el usuario haya solicitado la recuperación, los datos personales asociados a la cuenta serán eliminados o anonimizados con carácter definitivo e irreversible mediante un proceso automatizado de purga, que incluye la supresión de la fotografía biométrica del bucket de almacenamiento, la eliminación en el proveedor de modelos de IA de las entradas y salidas asociadas al usuario (en la medida en que las condiciones contractuales con dicho proveedor lo permitan) y la invocación de la API correspondiente del proveedor de analítica (PostHog Inc.) para la supresión de los eventos, perfiles pseudónimos y grabaciones de sesión asociados al usuario. No obstante, determinados datos deberán conservarse por imperativo legal más allá de la eliminación de la cuenta: (i) los datos relativos a facturación y operaciones económicas se conservarán durante un plazo de cuatro (4) años conforme al artículo 66 de la Ley 58/2003, General Tributaria, y durante seis (6) años en lo que respecta a libros y documentos contables conforme al artículo 30 del Código de Comercio; y (ii) cualesquiera datos que, por su naturaleza, deban bloquearse y ponerse a disposición exclusiva de las administraciones públicas, jueces y tribunales competentes durante el plazo de prescripción de las acciones que pudieran derivarse de la relación con el usuario. Los datos almacenados localmente por la extensión de navegador se eliminan automáticamente al desinstalar la extensión o al expirar los periodos de retención indicados anteriormente (veinticuatro horas para el token de autenticación, treinta segundos para la caché de publicaciones). El usuario podrá ejercer en cualquier momento los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de los datos, reconocidos por los artículos 15 a 20 del RGPD, así como la revocación del consentimiento otorgado conforme al artículo 7.3 del RGPD, dirigiendo su solicitud a la dirección de correo electrónico contact@clonio.es, acompañada de copia de su documento nacional de identidad o documento equivalente que acredite su identidad, indicando de forma clara el derecho que desea ejercer y, en su caso, los datos concretos respecto de los cuales desea ejercerlo. Asimismo, el usuario tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) si considera que el tratamiento de sus datos personales no se ajusta a la normativa vigente.
La Plataforma es un deployer de sistemas de inteligencia artificial generativa en el sentido del Reglamento (UE) 2024/1689 (AI Act). El Responsable adopta medidas técnicas razonables para marcar las salidas generadas por los modelos de IA utilizados, conforme al artículo 50, apartado 2, del Reglamento, cuyas obligaciones de transparencia devienen plenamente exigibles a partir del 2 de agosto de 2026. Se informa al usuario de que el propio usuario, al publicar en LinkedIn u otras plataformas imágenes generadas con la Plataforma, asume las obligaciones de divulgación que le corresponden conforme al artículo 50, apartado 4, del Reglamento cuando el contenido publicado constituya un deepfake o informe al público sobre asuntos de interés general, según se detalla en el Aviso Legal y en las Normas de generación de imágenes.
Los Servicios están destinados exclusivamente a personas mayores de catorce (14) años, conforme al artículo 7 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. El Responsable no recaba intencionadamente datos personales de menores de catorce años. En caso de tener conocimiento de que se han recabado datos de un menor sin el consentimiento de quien ostente la patria potestad o tutela, el Responsable adoptará las medidas necesarias para proceder a su eliminación con la mayor brevedad posible. Cualquier persona que sospeche que un menor ha facilitado sus datos a través de los Servicios sin la pertinente autorización podrá ponerlo en conocimiento del Responsable a través de la dirección contact@clonio.es.
El titular de los Servicios aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, incluyendo, entre otras, el cifrado de las comunicaciones en tránsito mediante protocolos TLS tanto en la Plataforma como en la extensión de navegador, el cifrado en reposo de las contraseñas de usuario, el control de acceso basado en roles, las políticas de seguridad a nivel de fila (Row Level Security) en la base de datos para garantizar el aislamiento de los datos entre usuarios, la validación de origen en las comunicaciones entre la extensión de navegador y el servidor (verificación de dominio emisor), la expiración automática de tokens de autenticación, la autenticación de doble factor cuando sea aplicable, la realización de copias de seguridad periódicas y la monitorización continua de los sistemas para la detección de accesos no autorizados o comportamientos anómalos, todo ello de conformidad con lo dispuesto en el artículo 32 del RGPD y demás normativa complementaria.
En el supuesto de producirse una violación de la seguridad de los datos personales, el Responsable notificará dicha brecha a la Agencia Española de Protección de Datos en un plazo no superior a setenta y dos (72) horas desde su conocimiento, conforme al artículo 33 del RGPD, y, cuando dicha violación entrañe un alto riesgo para los derechos y libertades del usuario, comunicará al usuario afectado la brecha sin dilación indebida conforme al artículo 34 del RGPD.