AVISO DE PRIVACIDAD / POLÍTICA DE PRIVACIDAD — SONUS
Versión: v1.0 · Última actualización: 23/06/2026 · Entrada en vigor: 23/06/2026
0. Cómo leer este aviso
Este documento tiene dos partes:
- Un núcleo global (secciones 1–18) que describe qué datos trata Sonus y por qué. Aplica a todas las personas usuarias.
- Anexos regionales con tus derechos específicos y cómo ejercerlos según dónde residas: Anexo A — Unión Europea / EEE (y Reino Unido), Anexo B — Estados Unidos, Anexo C — Latinoamérica.
Si hay conflicto entre el núcleo y un anexo, prevalece el anexo de tu región.
1. Responsable del tratamiento (Identidad y datos de contacto)
| Responsable / Controlador | Artecnology LLC |
| Domicilio | Artecnology LLC, Delaware, United States |
| Identificación fiscal | EIN on file (Artecnology LLC) |
| Correo de privacidad | privacy@sonus.media |
| Responsable / Oficial de Protección de Datos (DPO / Encargado) | [NOMBRE Y CORREO — obligatorio si tratas categorías especiales a gran escala] |
| Representante en la UE (art. 27 RGPD) | [Si no tienes establecimiento en la UE pero tratas datos de residentes de la UE] |
| Representante en Reino Unido | [Si aplica] |
2. Resumen ("privacidad de un vistazo")
En lenguaje sencillo, esto es lo esencial:
- Qué hace Sonus: analiza música en ocho dimensiones y la adapta a ti. Para "calibrarse", puede leer durante unos segundos tu expresión facial (cámara), una señal de frecuencia cardíaca derivada de la imagen (rPPG/HRV) y tu voz (micrófono), y a partir de ahí infiere tu estado de activación (arousal) y un perfil de personalidad orientativo.
- Es opcional: la calibración con cámara y micrófono solo ocurre si tú la inicias y concedes los permisos.
- En el dispositivo: según la implementación actual, el procesamiento biométrico se realiza localmente en tu dispositivo; [indica con precisión qué sale del dispositivo y qué no — ver sección 4].
- No vendemos tus datos personales. [Confirmar — ver Anexo B].
- No es un servicio médico: Sonus no diagnostica, no trata enfermedades ni sustituye atención profesional de salud (física o mental).
- Es un sistema de reconocimiento de emociones: por transparencia te informamos de ello (ver sección 8).
3. Qué datos tratamos, con qué finalidad y bajo qué base
⚠️ Completa cada fila contra tu implementación real. Elimina lo que no apliques. Las bases de licitud detalladas por región están en los anexos.
3.1 Datos de calibración biométrica y fisiológica (categoría especial / dato sensible)
| Dato | Origen | Finalidad | Conservación |
|---|---|---|---|
| Imagen/vídeo del rostro | Cámara del dispositivo | Estimar tu rango expresivo y tu activación | [Efímero — procesado en memoria y descartado tras el cálculo; no se almacena / o el plazo que corresponda] |
| Señal rPPG / frecuencia cardíaca / HRV | Variaciones de color en la imagen | Estimar tu activación (arousal) | [Igual que arriba] |
| Voz / muestra de audio | Micrófono | Estimar tu rango expresivo vocal (línea base) | [Igual que arriba] |
3.2 Inferencias derivadas (perfil + reconocimiento de emociones)
| Dato | Cómo se genera | Finalidad | Conservación |
|---|---|---|---|
| Estado de activación / emocional (arousal) | A partir de 3.1 | Adaptar tempo, brillo y consonancia de la música | [En el dispositivo / según corresponda] |
| Perfil de rasgos (Big Five / OCEAN), orientativo | A partir de 3.1 y de tu interacción | Sesgar qué dimensiones se priorizan al regularte | [En el dispositivo / según corresponda] |
| Mapeo personalizado "estímulo → respuesta" (lazo cerrado) | Tu reactividad real, sesión a sesión | Mejorar la personalización para ti | [En el dispositivo / según corresponda] |
3.3 Datos de cuenta, dispositivo y uso (si aplica)
| Dato | Finalidad | Conservación |
|---|---|---|
| [Nombre, correo, identificador de cuenta] | Crear y gestionar tu cuenta | [Mientras dure la cuenta + X] |
| [Identificadores de dispositivo / app, sistema operativo, versión] | Funcionamiento, seguridad, compatibilidad | [Plazo] |
| [Datos de uso, preferencias, biblioteca/escuchas] | Personalización del servicio | [Plazo] |
| [Diagnósticos / informes de fallos] | Estabilidad y mejora | [Plazo] |
| [Datos de pago / suscripción] | Procesar pagos (vía —) | [Plazo legal contable] |
Si Sonus funciona 100% sin cuenta y sin telemetría, indícalo aquí y elimina 3.3.
4. El principio "en el dispositivo" (on-device) — y qué significa exactamente
Esta es la afirmación más importante del aviso y debe ser literalmente cierta.
- Indica con precisión qué ocurre localmente (p. ej. el procesamiento de cámara/micrófono y la inferencia de activación) y, por tanto, qué datos biométricos nunca abandonan tu dispositivo ni se suben a nuestros servidores.
- Indica qué datos sí se transmiten o almacenan fuera del dispositivo, si los hay (p. ej. cuenta, diagnósticos, métricas agregadas y anónimas) y a dónde.
- Si en algún momento se sube algo derivado de la calibración, dilo aquí explícitamente: lo contrario podría constituir una práctica engañosa (p. ej. ante la FTC en EE.UU.) y una infracción de transparencia (UE/LATAM).
⚠️ Coherencia con la app. La interfaz de Sonus afirma "todo corre local; nada se sube ni se guarda" y "rPPG/HRV de verdad corre on-device". Este aviso no puede contradecir esa promesa. Si la realidad difiere, ajusta la app, no solo el texto legal.
5. Bases de licitud / legitimación (visión general)
El tratamiento de los datos biométricos y de las inferencias de emoción/personalidad se basa, con carácter general, en tu consentimiento explícito y específico, que otorgas al iniciar la calibración. Puedes retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo. Los datos de cuenta y funcionamiento básico pueden tratarse para la ejecución del contrato (prestarte el servicio) o nuestro interés legítimo en mantener la seguridad y mejorar el producto, según la región. El detalle por jurisdicción está en los anexos.
6. Categorías especiales / datos sensibles — consentimiento explícito
Los datos biométricos y los datos que revelan estados fisiológicos o emocionales (frecuencia cardíaca, activación) son datos sensibles / de categoría especial. Por ello:
- Solo los tratamos con tu consentimiento explícito e informado, recabado de forma separada e inequívoca antes de la calibración.
- Tienes derecho a no otorgarlo: Sonus debe seguir ofreciéndote sus funciones que no requieran calibración biométrica.
- Puedes retirar el consentimiento cuando quieras desde [AJUSTES > PRIVACIDAD] o escribiendo a —.
7. Decisiones automatizadas y elaboración de perfiles
Sonus utiliza tratamiento automatizado para inferir tu activación y un perfil de personalidad orientativo, y para personalizar la música que se te ofrece. Esta personalización no produce efectos jurídicos ni te afecta significativamente de modo similar (no determina acceso a crédito, empleo, seguros, etc.). Aun así, tienes derecho a obtener información sobre la lógica implicada, a expresar tu punto de vista y, donde corresponda, a solicitar intervención humana u oponerte (ver anexos).
8. Reconocimiento de emociones — aviso de transparencia (Reglamento de IA de la UE)
Sonus es un sistema de reconocimiento de emociones: infiere estados de activación/emoción a partir de datos biométricos. Te informamos de su funcionamiento en el momento del primer uso de la calibración, conforme al artículo 50(3) del Reglamento (UE) 2024/1689 (Reglamento de IA). Importante:
- Sonus no debe usarse en contextos laborales ni educativos para inferir emociones, ya que el reconocimiento de emociones en esos ámbitos está prohibido por el artículo 5 del Reglamento de IA (con excepciones muy estrictas).
- Las inferencias son aproximaciones, no medidas clínicas, y no detectan mentiras ni diagnostican estados de salud.
9. Destinatarios / encargados (terceros)
[Si NO compartes con nadie, decláralo y elimina la tabla. Si usas proveedores, lístalos:]
| Categoría de proveedor | Ejemplo / finalidad | Ubicación |
|---|---|---|
| Infraestructura / alojamiento | [AWS / GCP / Azure — solo datos de cuenta, no biométricos] | — |
| Analítica / diagnósticos | [PROVEEDOR — datos agregados] | — |
| Procesador de pagos | — | — |
| Soporte / mensajería | — | — |
No vendemos ni alquilamos tus datos personales a terceros con fines publicitarios. [Confirmar — ver Anexo B sobre "venta/compartición".]
10. Transferencias internacionales de datos
Cuando tratamos datos fuera de tu país/región, lo hacemos con garantías adecuadas: [Cláusulas Contractuales Tipo de la UE / decisiones de adecuación / cláusulas estándar locales / consentimiento]. Puedes solicitar copia de las garantías escribiendo a —.
11. Plazos de conservación
- Datos de calibración biométrica: [efímeros — no se almacenan / o el plazo mínimo necesario]. No conservamos las imágenes ni el audio en bruto más allá del cálculo en tiempo real. (Ajustar a la realidad.)
- Inferencias / mapeo personalizado: [mientras uses Sonus o hasta que lo borres].
- Datos de cuenta: [duración de la cuenta + plazo legal].
- Al concluir el plazo, los datos se eliminan o anonimizan de forma segura.
12. Seguridad
Aplicamos medidas técnicas y organizativas razonables y proporcionales al riesgo: [cifrado en tránsito y en reposo, minimización, procesamiento local, control de accesos, seudonimización, etc.]. Ningún sistema es 100% infalible; te notificaremos cualquier brecha que te afecte conforme a la ley aplicable.
13. Menores de edad
Sonus no está dirigido a menores de [16 / 18 / 13 según jurisdicción] y no recabamos conscientemente datos de menores de esa edad. El tratamiento biométrico y de reconocimiento de emociones de menores es especialmente sensible; si crees que un menor nos ha proporcionado datos, contáctanos en — para eliminarlos. (En la UE el umbral de consentimiento por sí mismo es 16, reducible a 13 por cada Estado; en EE.UU., COPPA aplica a menores de 13.)
14. Tus derechos (visión general)
Según tu región, puedes tener derecho a: acceder a tus datos, rectificarlos, suprimirlos/cancelarlos, limitar u oponerte a su tratamiento, a la portabilidad, a retirar el consentimiento, a no ser objeto de decisiones únicamente automatizadas y a presentar una reclamación ante la autoridad competente. El alcance exacto y el procedimiento están en el anexo de tu región.
15. Cómo ejercer tus derechos
Escríbenos a privacy@sonus.media o usa [AJUSTES > PRIVACIDAD]. Podemos pedirte verificar tu identidad. Responderemos en los plazos legales de tu región (ver anexos). El ejercicio de tus derechos es gratuito, salvo solicitudes manifiestamente infundadas o excesivas.
16. Cookies y tecnologías similares (si usas web)
[Describe cookies/SDK: estrictamente necesarias, de preferencias, analíticas. Enlaza tu gestor de consentimiento. Elimina si Sonus es solo app nativa sin web.]
17. Cambios a este aviso
Podemos actualizar este aviso. Si los cambios son sustanciales, te lo comunicaremos por [CORREO / aviso en la app] antes de que surtan efecto y, cuando la ley lo exija, te pediremos nuevo consentimiento. La fecha de "última actualización" indica la versión vigente.
18. Contacto y reclamaciones
Dudas sobre privacidad: privacy@sonus.media. Si no quedas conforme, puedes acudir a la autoridad de protección de datos de tu región (ver anexos).
ANEXO A — UNIÓN EUROPEA / EEE (y REINO UNIDO)
Aplica el Reglamento (UE) 2016/679 (RGPD), el UK GDPR para Reino Unido y el Reglamento (UE) 2024/1689 (Reglamento de IA).
Bases de licitud (art. 6 y 9 RGPD).
- Datos biométricos e inferencias de emoción/personalidad → art. 9(2)(a): consentimiento explícito. (No nos amparamos en interés legítimo para categorías especiales.)
- Cuenta y prestación del servicio → art. 6(1)(b) (contrato).
- Seguridad y mejora del producto → art. 6(1)(f) (interés legítimo), ponderado frente a tus derechos.
Tus derechos (arts. 15–22). Acceso, rectificación, supresión ("derecho al olvido"), limitación, portabilidad, oposición, y a no ser objeto de decisiones únicamente automatizadas con efectos significativos (art. 22). Puedes retirar tu consentimiento en cualquier momento (art. 7.3).
Reglamento de IA. Sonus es un sistema de reconocimiento de emociones; cumplimos el deber de información del art. 50(3) (te informamos al primer uso). No lo destinamos a contextos laborales ni educativos (prohibición del art. 5). Las obligaciones de transparencia del art. 50 son aplicables desde el 2 de agosto de 2026.
Evaluación de impacto (DPIA). Dado el tratamiento de datos biométricos a gran escala, [hemos realizado / realizaremos] una Evaluación de Impacto relativa a la Protección de Datos (art. 35).
Plazos. Respondemos a tus solicitudes en un mes (prorrogable dos meses en casos complejos).
Reclamaciones. Puedes reclamar ante la autoridad de control de tu país (p. ej. AEPD en España, CNIL en Francia, Garante en Italia; ICO en Reino Unido) y ante nuestra autoridad principal: —.
Representante en la UE / RU: [art. 27 RGPD — completar si no hay establecimiento en la UE/RU].
ANEXO B — ESTADOS UNIDOS
Marco federal fragmentado + leyes estatales. Las leyes biométricas y de datos de salud son el área de mayor riesgo para Sonus.
B.1 California (CCPA/CPRA)
- Categorías de información personal que tratamos: identificadores, información biométrica, información de actividad en internet, inferencias y "información personal sensible" (SPI) (incluye datos biométricos y datos de salud). Ver sección 3.
- Tus derechos: saber/acceder, eliminar, corregir, optar por no la "venta" o "compartición", y limitar el uso de tu información personal sensible.
- "Venta"/"compartición": no vendemos ni compartimos tu información personal a cambio de contraprestación ni para publicidad de comportamiento entre contextos. [Confirmar; si lo hicieras, debes ofrecer "Do Not Sell or Share My Personal Information".]
- No discriminación por ejercer tus derechos. Puedes usar un agente autorizado. Solicitudes: [CORREO / formulario]. Plazo: 45 días (prorrogable).
- "Shine the Light" (Cal. Civ. Code §1798.83): [aplica solo si compartes datos con terceros para su marketing directo].
B.2 Privacidad biométrica — Illinois (BIPA) y otros estados
La Biometric Information Privacy Act de Illinois exige, antes de recabar identificadores biométricos:
- Informar por escrito del propósito y plazo de conservación.
- Obtener consentimiento por escrito.
- Publicar una política de conservación y destrucción de datos biométricos.
- No vender ni lucrarte con datos biométricos. La infracción conlleva acción privada con daños legales por persona. Leyes análogas: Texas (CUBI) y Washington (HB 1493). → Si Sonus realmente no almacena ni transmite biometría, documéntalo; si la procesa de cualquier forma, implementa el consentimiento por escrito y la política de conservación antes de operar en estos estados.
B.3 Datos de salud — Washington "My Health My Data Act" (y similares)
La MHMDA define "datos de salud del consumidor" de forma amplia y puede abarcar datos biométricos y fisiológicos e inferencias sobre tu estado. Exige consentimiento para recabarlos y autorización separada para compartirlos/venderlos, e incluye acción privada. Leyes de salud/consumo similares existen en Nevada y Connecticut.
B.4 Otras leyes estatales integrales
Virginia (VCDPA), Colorado (CPA), Connecticut, Utah, Texas (TDPSA), Oregón, Montana, etc. tratan los datos biométricos y de salud como "sensibles" y normalmente exigen consentimiento de inclusión (opt-in) para tratarlos. Reconocemos tus derechos de acceso, corrección, eliminación y exclusión conforme a la ley de tu estado.
B.5 Menores
Cumplimos COPPA (menores de 13). [Si te diriges a adolescentes, revisa las normas estatales específicas para 13–17.]
ANEXO C — LATINOAMÉRICA
C.1 México — Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP, vigente desde el 21 de marzo de 2025)
- Autoridad: Secretaría Anticorrupción y Buen Gobierno (sustituye al extinto INAI).
- Este documento constituye tu Aviso de Privacidad Integral. Cuando los datos se recaben por medios electrónicos/visuales/sonoros, ponemos a tu disposición además un aviso simplificado que remite a este integral.
- Datos sensibles: los datos biométricos y de salud lo son y se tratan con tu consentimiento expreso. El aviso identifica los datos sensibles tratados y distingue las finalidades que requieren consentimiento de las que no.
- Derechos ARCO: Acceso, Rectificación, Cancelación y Oposición; además puedes revocar tu consentimiento y limitar el uso o divulgación. Solicitudes a —; resolvemos en un máximo de 20 días hábiles.
- Transferencias: [incluir cláusula que indique si aceptas o no la transferencia de tus datos, conforme al art. 35].
- Designamos a — como responsable de atender solicitudes (art. 29).
⚠️ La ley de 2025 es reciente y su reglamento/criterios siguen desarrollándose. Verifica el texto vigente antes de publicar.
C.2 Brasil — Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018)
- Autoridade: ANPD.
- Bases legais (art. 7 e 11): os dados biométricos e de saúde são dados sensíveis; tratamo-los mediante consentimento específico e destacado (art. 11). Conta e prestação do serviço podem basear-se na execução de contrato.
- Direitos do titular (art. 18): confirmação, acesso, correção, anonimização/bloqueio/eliminação, portabilidade, informação sobre compartilhamento, revogação do consentimento.
- Encarregado (DPO): —.
- Decisões automatizadas: direito de solicitar revisão (art. 20).
C.3 Colombia — Ley 1581 de 2012 (y Decreto 1377 de 2013)
- Autoridad: Superintendencia de Industria y Comercio (SIC).
- Los datos biométricos y de salud son datos sensibles; requieren autorización previa, expresa e informada, y puedes negarte a entregarlos. Reconocemos tus derechos de conocer, actualizar, rectificar, revocar la autorización y suprimir. [Si aplica, registramos la base de datos en el RNBD.]
C.4 Argentina — Ley 25.326 (Protección de Datos Personales)
- Autoridad: Agencia de Acceso a la Información Pública (AAIP).
- Los datos sensibles requieren consentimiento y protección reforzada. Reconocemos tus derechos de acceso, rectificación, actualización y supresión. (Existe un proyecto de modernización de la ley; verifica el estado vigente.)
C.5 Otros países
Para residentes de Chile (Ley 19.628 y su reforma), Perú (Ley 29733), Uruguay (Ley 18.331), Ecuador (LOPDP), Costa Rica (Ley 8968) y otros, reconocemos los derechos y requisitos de consentimiento previstos en su legislación local. Para ejercerlos, escríbenos a —.
Recordatorio final. Esta plantilla informa sobre el marco general, pero no sustituye la revisión por abogado/a especializado/a. Por el carácter biométrico y de reconocimiento de emociones de Sonus, te recomendamos encarecidamente: (1) realizar una evaluación de impacto/riesgo, (2) implementar el consentimiento explícito y separado antes de cualquier captura, (3) verificar que las promesas técnicas ("en el dispositivo") sean exactas, y (4) localizar/traducir el aviso para cada mercado.