Política de Privacidad

1. Introducción y ámbito de aplicación

socialistic.ai (el "Servicio") es operado por haitai social ("haitai social", "nosotros" o "nuestro"). La presente Política de Privacidad se aplica a todos los datos personales recopilados a través del Servicio en https://socialistic.haitai-social.com, incluidas la aplicación web y las APIs. Al utilizar el Servicio, usted reconoce las prácticas descritas en el presente documento. Si usted no está de acuerdo, deberá dejar de utilizar el Servicio.

2. Roles

One account can act in two roles depending on the context:

• Consumer You are a consumer when you visit a Skill published by someone else, upload files to it, or start a conversation with it.
• Creator You are a creator when you publish a Skill, configure its API key or hosting mode, or manage it from your Skills page.

The same account can switch between roles at any time. Sections labeled "Creator" or "Consumer" apply only when you act in that role; unlabeled sections apply to both.

3. Arquitectura del Servicio

El Servicio opera a través de una capa web y de API basada en Next.js alojada en Vercel; agentes de ejecución de habilidades ("Goose agents") en servidores privados virtuales gestionados por haitai social; y servicios de autenticación, base de datos y almacenamiento de Supabase. Cada componente trata datos personales únicamente en la medida necesaria para desempeñar su función, y la comunicación entre componentes está cifrada en tránsito mediante HTTPS/TLS.

4. Datos que recopilamos

• 4.1 Datos de cuenta y autenticación. Cuando usted inicia sesión, recibimos y almacenamos información de perfil procedente del método que elija — actualmente Google, GitHub o WeChat, o un enlace de inicio de sesión de un solo uso por correo electrónico. Según el método, esto puede incluir su nombre para mostrar, su dirección de correo electrónico, su imagen de avatar y un identificador único del proveedor. Nunca recibimos ni almacenamos una contraseña.
• 4.2 Contenido del usuario.
  • Creadores: metadatos de la Skill (URL de origen, título, descripción, configuración) y, en los modos Own key o de suscripción propia, su clave de API de LLM o credenciales de suscripción. Los creadores también pueden elegir el modo alojado, que no requiere ninguna clave — la plataforma realiza las solicitudes a través de la API pública de OpenRouter en su nombre.
  • Consumers: files and links submitted on the cold-start surface, and the messages exchanged in conversation sessions.
• 4.3 Datos de telemetría y uso. Recopilamos análisis de producto a través de PostHog (páginas visualizadas, interacciones con la interfaz, eventos a nivel de funcionalidad, duración de la sesión, fuente de referencia) y registros estándar del servidor (dirección IP, user-agent, marcas temporales, códigos de respuesta, URIs de solicitud), utilizados exclusivamente para operar, supervisar y depurar el Servicio.
• 4.4 Datos de créditos y transacciones. Si usted utiliza créditos credits, almacenamos el saldo de su billetera y un libro mayor de solo anexado de los movimientos de créditos — cargos por uso alojado y concesiones promocionales — incluidos el importe, el motivo, la contraparte y lo que autorizó cada movimiento.

5. Cómo utilizamos sus datos

We process your personal data for these purposes:

• Authenticate you and maintain your account.
• Render and distribute the Skill cards you create.
• Provision and manage agent sessions for conversations.
• Transmit your messages to the LLM provider configured for a Skill.
• Operate the credit system and keep an auditable record of credit movements.
• Diagnose errors and maintain stability.
• Comply with legal obligations.

We do not sell, rent, or license personal data. We do not use your messages, uploaded files, or conversation history to train or improve any machine-learning model.

6. Flujo de datos durante la ejecución de Skills

When you use a Skill, your input — text, uploaded files, code, and URLs — is sent to the LLM provider configured for that Skill. The call uses either the creator's own API key (Own key mode) or the platform's key (hosted mode).

The provider returns a response. Both your input and the response are stored in our database (Supabase) so the conversation can continue across turns. Uploaded files are stored in Supabase Storage.

We do not inspect, analyze, or mine the content of your conversations or files for any purpose beyond delivering the Service. Each LLM provider's own privacy policy governs how it handles the data it receives.

Data handling by mode

In all modes, your input and the LLM response are stored in the platform database (Supabase). Uploaded files are stored in Supabase Storage. You can see which mode applies when you start a session.

Creadores: en los modos Own key o de suscripción propia, su clave de API se almacena en la plataforma y se transmite al entorno de ejecución del agente a través de conexiones cifradas para atender las llamadas de LLM. Las conversaciones de los consumidores enrutadas a través de su clave son visibles para su proveedor de LLM. Si elige el modo alojado, no se necesita ninguna clave — la plataforma utiliza su propia clave para realizar solicitudes a través de OpenRouter.

7. Seguridad de las claves de API de LLM

Sabemos que una clave de API es sensible. Los creadores pueden elegir el modo alojado, que no requiere ninguna clave — la plataforma realiza las solicitudes de LLM a través de la API pública de OpenRouter en su nombre. Si elige usar Own key mode, así es como se protege su clave:

• Su clave nunca es visible para los consumidores, para otros creadores ni para nadie con quien comparta su Skill. Nunca aparece en una página compartida, una URL, una superficie de intercambio ni una conversación. Únicamente usted, con la sesión iniciada en su propia cuenta, puede verla o modificarla.
• Su clave se almacena en nuestros servidores exclusivamente para atender las llamadas de LLM de su Skill, y se transmite únicamente a través de conexiones cifradas (HTTPS/TLS) entre el navegador, nuestros servidores y el entorno de ejecución del agente.
• El acceso a los sistemas que contienen su clave está limitado al personal autorizado conforme al principio de necesidad de conocimiento. Usted puede modificar, eliminar o rotar su clave en cualquier momento desde la configuración de su Skill; al eliminarla, la Skill deja de ser compartible de inmediato. Todos los datos en tránsito entre los clientes, nuestros servidores y los componentes internos están protegidos mediante TLS.

8. Datos de créditos y financieros

El libro mayor de credits es el registro autorizado, de solo anexado, de cada movimiento de créditos; el saldo de su billetera es una lectura en caché de dicho libro mayor. Conservamos los registros del libro mayor y de transacciones durante el tiempo necesario para prestar el Servicio, resolver disputas y cumplir con las obligaciones legales y contables, lo que puede extenderse más allá del cierre de la cuenta.

9. Destinatarios de datos de terceros

• 9.1 Proveedores de identidad. Google LLC, GitHub, Inc. y/o Tencent (para el inicio de sesión con WeChat) reciben y tratan datos de autenticación cuando usted opta por iniciar sesión a través de sus servicios.
• 9.2 Proveedores de LLM. When a Skill runs, consumer messages and attached content are sent to the third-party LLM provider configured for that Skill — in hosted mode, the platform selects the provider; in creator-provided modes, the creator’s own key or subscription routes the call. We do not control how those providers handle data.
• 9.3 Proveedores de infraestructura y servicios. Vercel, Inc. (alojamiento y CDN), Supabase, Inc. (base de datos, autenticación, almacenamiento y entrega de enlaces de inicio de sesión por correo electrónico) y PostHog, Inc. (análisis de producto). Cada uno actúa como encargado del tratamiento conforme a nuestras instrucciones y de acuerdo con su propio contrato de tratamiento de datos.

No divulgamos datos personales a anunciantes ni a intermediarios de datos, ni a ningún tercero con fines de mercadotecnia.

10. Conservación de los datos

Account data is kept while your account is active. Skill metadata, conversation history, and uploaded files are kept until you delete them or close your account. After that, data is removed from active systems within 30 days. Encrypted backups are purged within 90 days.

Credit ledger and transaction records may be retained longer to meet legal, accounting, and dispute-resolution obligations.

11. Sus derechos y opciones

Con sujeción a la legislación aplicable, usted puede acceder a los datos personales que conservamos sobre usted, solicitar su rectificación o supresión, oponerse a determinados tratamientos o restringirlos, y solicitar una copia portátil. Puede eliminar sus Skills en cualquier momento desde su página de Skills, y puede ponerse en contacto con nosotros para ejercer cualquier derecho o solicitar la eliminación de su cuenta. Respondemos a las solicitudes verificadas en un plazo de treinta (30) días o según lo exija la ley.

/me/skills · official@tinkerland.app

12. Cookies y seguimiento

El Servicio utiliza un pequeño conjunto de cookies propias estrictamente necesarias para las sesiones de autenticación, la preferencia de idioma y el registro de su respuesta a la pregunta sobre disposición a pagar. PostHog establece una cookie de análisis propia para la deduplicación de visitantes; puede bloquearla a través de la configuración de su navegador sin perder la funcionalidad principal. No utilizamos cookies publicitarias de terceros ni seguimiento entre sitios.

13. Privacidad de los menores

El Servicio no está dirigido a, ni recopilamos conscientemente datos personales de, ninguna persona menor de trece (13) años o menor de la edad de consentimiento digital en su jurisdicción. Si tenemos conocimiento de que hemos recopilado dichos datos, los eliminaremos de inmediato.

14. Denuncias de abuso e investigaciones

Si usted denuncia un abuso, o es objeto de una denuncia, tratamos la información contenida en la denuncia — incluidas las Skills, las cuentas y las pruebas implicadas — para investigarla y adoptar las medidas oportunas. Tratamos la identidad de un denunciante como confidencial y no la divulgamos a la parte denunciada. Conservamos los registros de investigación y de aplicación durante el tiempo necesario para mantener el Servicio seguro, gestionar las apelaciones y cumplir con las obligaciones legales.

15. Legal Basis for Processing

If you are located in the European Economic Area (EEA), the United Kingdom, or another jurisdiction that requires a legal basis, we rely on the following grounds:

• Contract performance. Processing necessary to provide the Service you signed up for — account authentication, Skill rendering and distribution, agent session management, message transmission to the LLM provider, and credit system operation.
• Legitimate interest. Processing necessary for our legitimate business interests, where those interests are not overridden by your rights — product analytics and telemetry, error diagnosis and stability, abuse investigation, and service security.
• Legal obligation. Processing necessary to comply with applicable law — regulatory compliance and retention of financial records.
• Consent. Where we rely on your consent (e.g. the PostHog analytics cookie), you may withdraw it at any time by adjusting your browser settings. Withdrawal does not affect processing carried out before the withdrawal.

16. International Data Transfers

The Service is operated from servers located in the United States. If you access the Service from outside the US, your personal data is transferred to and processed in the US.

For transfers from the EEA, the UK, or Switzerland, we rely on the Standard Contractual Clauses (SCCs) published by the European Commission, supplemented by additional technical and organizational measures where appropriate.

Our principal sub-processors and their locations: Vercel, Inc. (US — hosting and CDN), Supabase, Inc. (US — database, authentication, storage), PostHog, Inc. (US/EU — product analytics). LLM provider locations vary by the Skill's hosting configuration.

17. Jurisdiction-Specific Rights

Depending on where you live, you may have additional rights under local data protection law. This section supplements — but does not replace — section 11.

• 17.1 European Economic Area and United Kingdom. Under the GDPR / UK GDPR you may: access your data, request rectification or erasure, restrict or object to processing, request data portability, and withdraw consent at any time. You also have the right to lodge a complaint with your local supervisory authority. The data controller is haitai social.
• 17.2 California (CCPA / CPRA). California residents may: know what personal information we collect and how it is used, request deletion, and opt out of any sale or sharing. We do not sell personal information. We do not discriminate against you for exercising these rights.
• 17.3 China (PIPL). Under the Personal Information Protection Law you may: know about and decide on the processing of your personal information, restrict or refuse processing, request access, portability, correction, and deletion. Cross-border transfers are based on your informed consent provided at sign-up.

18. Modificaciones de la presente Política

Podemos modificar la presente Política de Privacidad en cualquier momento. Si realizamos un cambio sustancial, actualizaremos la fecha de "Vigencia" indicada arriba y, cuando sea factible, proporcionaremos una notificación a través del Servicio. El uso continuado del Servicio tras la publicación de una política revisada constituye su aceptación.

19. Continuidad del Servicio

El Servicio se opera sobre una base comercialmente razonable de mejor esfuerzo. No garantizamos una disponibilidad ininterrumpida y podemos modificar, suspender o interrumpir cualquier parte del Servicio en cualquier momento, con sujeción a la Sección 18 sobre cambios sustanciales.

20. Contacto

Para preguntas o solicitudes relativas a la presente Política de Privacidad o a nuestras prácticas de tratamiento de datos, envíenos un correo electrónico a la dirección indicada a continuación.

official@tinkerland.app