GptKiddo — Política de Privacidad
Fecha de entrada en vigor: 2026-05-21 Versión: 2026-launch-v1 Aplica a: la aplicación móvil GptKiddo y los servicios relacionados ("GptKiddo", la "App", el "Servicio").
1. Quiénes somos
GptKiddo es operada por Ömer Karaküçük, un empresario individual registrado en Türkiye ("nosotros", "nos", "nuestro"), responsable del tratamiento de sus datos.
- Dirección: Fenerbahçe Mah. İğrip Sk. No: 13 İç Kapı No: 1, Kadıköy / İstanbul, Türkiye
- Contacto general: [email protected]
- Contacto de privacidad: [email protected]
GptKiddo es una aplicación basada en suscripción y controlada por los padres que permite a niñas y niños de 7 a 15 años mantener conversaciones seguras y moderadas con un asistente de inteligencia artificial. La seguridad de la niñez es nuestro primer principio de diseño.
Esta Política de Privacidad explica qué datos personales recopilamos, por qué, con quién los compartimos, durante cuánto tiempo los conservamos y qué derechos tienen usted y su hijo o hija.
2. Una nota para los padres — cómo está diseñado GptKiddo
GptKiddo es creado y controlado por un padre, madre o tutor legal. Un adulto crea la cuenta, configura el perfil de cada niño y establece un PIN parental que protege todos los ajustes. Los niños no crean cuentas por sí mismos.
Dado que un adulto configura y paga el Servicio, el padre o la madre tiene el control y consiente, en nombre de su hijo o hija, el tratamiento limitado de datos que aquí se describe. Véase la Sección 9 (Privacidad de la niñez).
3. Información que recopilamos
Aplicamos la minimización de datos: recopilamos únicamente lo que el Servicio realmente necesita.
3.1 Información de la cuenta (el padre/la madre)
- Dirección de correo electrónico, proporcionada por Google Sign-In o Sign in with Apple cuando el padre o la madre inicia sesión.
- El proveedor de autenticación utilizado y el identificador único que dicho proveedor nos facilita.
- Idioma y país/región preferidos (utilizados para determinar la región de facturación de la App Store y el idioma del contenido).
- El PIN parental — almacenado únicamente como un hash criptográfico unidireccional, cifrado adicionalmente; no podemos leerlo.
3.2 Información del perfil del niño/a
- Un nombre visible (apodo) elegido por el padre o la madre — obligatorio; pedimos un apodo, no un nombre completo.
- Un nombre real — opcional; si un padre o madre decide proporcionarlo, se almacena cifrado.
- La selección de un avatar predefinido.
- Información de edad — ya sea el mes y año de nacimiento (nunca recopilamos el día) o un rango de edad (7–9, 10–12, 13–15).
- El idioma preferido del niño/a.
3.3 Contenido de las conversaciones
- Los mensajes que envía su hijo o hija y las respuestas del asistente de IA, organizados en conversaciones, así como los títulos breves de conversación generados automáticamente.
3.4 Datos de seguridad y moderación
- Los resultados de los controles automáticos de moderación realizados sobre los mensajes.
- El contenido que la moderación automática marca como potencialmente inseguro, almacenado cifrado para que un padre o madre pueda revisarlo.
- Las coincidencias con los filtros de palabras que un padre o madre haya configurado.
3.5 Información de uso
- Recuentos de mensajes, recuentos de conversaciones y uso de los créditos de suscripción, utilizados para operar el Servicio y aplicar los límites del plan.
3.6 Información de suscripción y pago
- Estado de la suscripción, nivel de plan e identificadores de transacción de la tienda.
- Datos del comprobante de compra, almacenados cifrados para su verificación.
- No recibimos ni almacenamos números de tarjeta de crédito ni datos bancarios. Todos los pagos son procesados por Apple o Google bajo sus propios términos.
3.7 Información del dispositivo y técnica
- Un identificador de dispositivo, la plataforma del dispositivo y la versión de la app.
- Datos de integridad del dispositivo ("attestation") de Apple App Attest o Google Play Integrity, utilizados para confirmar que las solicitudes provienen de una app auténtica y no manipulada.
- Un token de notificaciones push, si usted activa las notificaciones.
- Datos de sesión, dirección IP y cadena de user-agent, utilizados por seguridad y para operar el Servicio.
3.8 Registros de seguridad
- Registros de auditoría y registros de incidentes de seguridad.
3.9 Información que deliberadamente NO recopilamos
No recopilamos ubicación precisa/GPS, números de teléfono, fotografías, contactos, identificadores biométricos, identificadores gubernamentales ni la fecha exacta de nacimiento de un niño/a. GptKiddo no contiene publicidad de terceros ni seguimiento publicitario conductual.
4. Cómo funcionan la IA y la búsqueda web
Los mensajes de su hijo o hija se envían a nuestros proveedores de IA para generar respuestas y para ejecutar la moderación de seguridad (véase la Sección 6). Cuando una pregunta se beneficia de información actual, el asistente puede buscar en la web — pero solo dentro de una lista de permitidos curada de sitios web educativos y de referencia verificados y apropiados para la niñez. El asistente no puede navegar libremente por la web abierta.
5. Por qué utilizamos su información (finalidades y bases jurídicas)
| Finalidad | Base jurídica |
|---|---|
| Prestar el servicio de chat con IA y su suscripción | Ejecución de un contrato |
| Mantener seguros a los niños (moderación de contenido, revisión de contenido marcado, filtros de palabras) | Interés legítimo en la seguridad infantil; obligación legal |
| Dar a los padres visibilidad y control (panel, actividad, notificaciones) | Ejecución de un contrato |
| Proteger el Servicio (attestation, prevención de fraude y abuso, registro de auditoría) | Interés legítimo; obligación legal |
| Procesar pagos y gestionar suscripciones | Ejecución de un contrato |
| Enviar las notificaciones push que usted haya activado | Consentimiento |
| Cumplir obligaciones legales y responder a solicitudes lícitas | Obligación legal |
No utilizamos los datos personales de la niñez para publicidad conductual o elaboración de perfiles, y no vendemos datos personales.
6. Con quién compartimos la información
Compartimos datos personales únicamente con los proveedores de servicios ("subencargados del tratamiento") necesarios para operar GptKiddo. Cada uno está vinculado por un acuerdo de tratamiento de datos, solo puede usar los datos siguiendo nuestras instrucciones y no puede venderlos.
| Subencargado del tratamiento | Finalidad | Ubicación del tratamiento |
|---|---|---|
| OpenAI | Genera las respuestas del asistente de IA | Estados Unidos |
| Google (Gemini) | Moderación automática de seguridad de los mensajes | Estados Unidos |
| Apple / Google | Inicio de sesión, procesamiento de pagos, notificaciones push | Estados Unidos / global |
| Hetzner | Alojamiento de la aplicación | Alemania |
| Cloudflare | Seguridad de red y distribución de contenido | Red perimetral global |
Nuestros proveedores de IA procesan el contenido de la API únicamente como encargados del tratamiento y no lo utilizan para entrenar sus modelos. También podemos divulgar información cuando lo exija la ley, para proteger la seguridad de un niño/a o de cualquier persona, o en relación con una fusión o adquisición (manteniendo la protección de los datos).
7. Transferencias internacionales de datos
Dado que nuestros proveedores operan fuera de Türkiye (principalmente en Estados Unidos y Alemania), operar GptKiddo implica transferencias transfronterizas de datos personales. Protegemos estas transferencias mediante acuerdos de tratamiento de datos que contienen cláusulas contractuales tipo, y mediante el cifrado en tránsito y en reposo. Cuando la ley de su país así lo requiera, su aceptación de esta Política incluye su consentimiento explícito a dichas transferencias.
8. Durante cuánto tiempo conservamos la información
Conservamos los datos personales solo durante el tiempo necesario para las finalidades anteriores.
- Conversaciones, perfiles y datos de cuenta — durante la vida de la cuenta.
- Eliminación de la cuenta — cuando se elimina una cuenta, entra en un período recuperable de "eliminación diferida" de 30 días, tras el cual todos los datos asociados se borran de forma permanente.
- Contenido marcado — se conserva mientras la cuenta esté activa para que un padre o madre pueda revisarlo.
- Registros de auditoría y de seguridad — hasta 2 años (Türkiye); hasta 5 años cuando se aplique la ley brasileña.
- Datos técnicos de corta duración (sesiones, desafíos de seguridad) — de minutos a semanas, luego se purgan automáticamente.
- Registros de pago — conservados según lo exija la legislación fiscal y contable.
9. Privacidad de la niñez
GptKiddo está destinado a la niñez y se construye en torno al control parental.
Consentimiento parental verificable (COPPA). GptKiddo es una suscripción de pago sin nivel gratuito. El padre o la madre crea la cuenta y completa una transacción monetaria a través de Apple o Google, cuyos sistemas verifican que un adulto titular de la tarjeta la autorizó. Esta transacción controlada por el padre o la madre, junto con la configuración parental de la cuenta, es la forma en que obtenemos el consentimiento parental verificable antes de recopilar cualquier dato de un niño/a.
Los padres pueden, en cualquier momento, a través del Modo Parental o escribiendo a [email protected]:
- revisar todas las conversaciones de su hijo o hija y cualquier contenido marcado;
- corregir o eliminar el perfil y los datos de un niño/a;
- exportar los datos de su hijo o hija;
- rechazar la recopilación adicional eliminando el perfil o la cuenta.
Usted puede consentir nuestra recopilación y uso de la información de su hijo o hija sin aceptar ninguna divulgación que no sea necesaria para prestar el Servicio. Recopilamos los datos mínimos necesarios, nunca mostramos a la niñez publicidad de terceros y nunca usamos sus datos para la elaboración de perfiles conductuales.
10. Sus derechos
Según el lugar donde resida, usted (y, en el caso de un niño/a, el padre o la madre en su nombre) tiene derecho a: acceder a sus datos; rectificarlos; suprimirlos; recibir una copia en un formato portátil; oponerse a o limitar ciertos tratamientos; y retirar el consentimiento.
Ejerza estos derechos dentro de la app en Modo Parental → Ajustes → Cuenta y Datos, o escribiendo a [email protected]. Respondemos dentro del plazo que su ley exija (por ejemplo, 30 días según la KVKK; 15 días según la LGPD). Es posible que necesitemos verificar su identidad a través del correo electrónico de la cuenta. También puede presentar una reclamación ante su autoridad de protección de datos.
11. Cómo protegemos la información
Mantenemos un programa escrito de seguridad de la información. Las medidas incluyen: cifrado de los campos sensibles a nivel de aplicación (AES-256-GCM); cifrado de todos los datos en tránsito (TLS); controles de acceso estrictos y aislamiento entre cuentas; attestation de dispositivos; certificate pinning y protección de la app en tiempo de ejecución en la aplicación móvil; registro de auditoría; y un procedimiento documentado de respuesta a violaciones de datos. Si una violación afecta a sus datos, le notificaremos a usted y a las autoridades pertinentes según lo exija la ley.
12. Información específica por región
- Estados Unidos (COPPA). Esta Política sirve como nuestro aviso en línea; los padres también reciben un aviso directo al registrarse. Identificamos arriba las categorías de terceros y la finalidad de cada divulgación. Publicamos nuestras prácticas de conservación en la Sección 8 y mantenemos un programa escrito de seguridad (Sección 11).
- Türkiye (KVKK). Ömer Karaküçük es el responsable del tratamiento (veri sorumlusu). Esta Política es también nuestro aviso de clarificación (aydınlatma metni). Completaremos el registro VERBİS donde sea necesario. Las transferencias transfronterizas y sus garantías se describen en la Sección 7.
- Brasil (LGPD). El tratamiento de los datos de niños menores de 12 años se realiza en su mejor interés y sobre la base del consentimiento del padre o la madre. Las solicitudes de los titulares de datos bajo la LGPD se responden en un plazo de 15 días.
- Canadá (PIPEDA / Ley 25 de Quebec). Nos basamos en un consentimiento significativo y respetamos los diez principios de información justa; se proporciona una versión en francés de esta Política para Quebec.
- Australia / Nueva Zelanda. Tratamos la información personal de conformidad con los Australian Privacy Principles y la New Zealand Privacy Act, incluidas las obligaciones de notificación de violaciones.
13. Cambios a esta Política
Si realizamos cambios, actualizaremos la versión indicada arriba. Para cambios sustanciales (como una nueva categoría de datos o un nuevo subencargado del tratamiento) le pediremos que revise y vuelva a aceptar la Política en la App antes de continuar usándola. Las aclaraciones menores entran en vigor al publicarse.
14. Contáctenos
Preguntas o solicitudes: [email protected] — Ömer Karaküçük, Fenerbahçe Mah. İğrip Sk. No: 13 İç Kapı No: 1, Kadıköy / İstanbul, Türkiye.