Paso 1: Entienda qué exige el GDPR para el procesamiento de fotos
Cuando un comprador sube una foto de sí mismo, usted está procesando datos personales, específicamente datos de imagen que pueden clasificarse como datos biométricos según el Artículo 9 del GDPR si se utilizan para «identificar de manera única a una persona física». Los tribunales y reguladores de la UE han dado orientaciones mixtas sobre si las fotos de los probadores virtuales cruzan el umbral biométrico del Artículo 9. La interpretación más conservadora y segura es tratar las fotos de los compradores como datos biométricos de categoría especial y obtener el consentimiento explícito antes del procesamiento.
La arquitectura de Photta no extrae plantillas biométricas (incrustaciones faciales, medidas corporales o huellas dactilares). La IA utiliza la foto exclusivamente para la composición de imágenes; no almacena ni analiza la identidad. Sin embargo, la definición del GDPR se basa en el proceso, no en el resultado: si procesa una foto de la que técnicamente podrían derivarse datos biométricos, está en la zona de riesgo. Su asesor legal debe confirmar su clasificación. La orientación en este documento es informativa, no constituye asesoramiento legal.
Paso 2: Conozca los plazos de eliminación de datos de Photta
Photta opera con dos temporizadores de eliminación por diseño. Las fotos subidas por los compradores (el selfie original o la foto de cuerpo) se eliminan de los servidores de Photta en el plazo de 1 hora tras la subida, independientemente de si se completó la prueba. Las imágenes de resultado generadas (la salida compuesta) se eliminan en 24 horas. Ni la subida ni el resultado se comparten nunca con terceros ni se utilizan para el entrenamiento de modelos de IA. Estos plazos breves son una función de cumplimiento deliberada, no solo una decisión de coste de almacenamiento.
Los comerciantes no tienen acceso a las fotos de los compradores a través del Panel de Control empresarial por diseño. Puede ver métricas agregadas (recuento de pruebas, tasas de conversión, tasas de error) pero no las imágenes reales. Esto significa que no necesita crear un flujo de trabajo de eliminación de datos independiente para las solicitudes de derecho al olvido del GDPR relacionadas con las fotos del probador; la eliminación automática de Photta las cubre en 24 horas.
Paso 3: Implemente una UX de consentimiento antes de la prueba
Antes de que el comprador suba su foto, muestre un paso de consentimiento claro. La pantalla de consentimiento integrada del widget (que se activa añadiendo data-consent="true" a su etiqueta de script) muestra una breve explicación: «Su foto se utiliza solo para generar una imagen de prueba y se eliminará en 1 hora». El comprador debe marcar una casilla con la etiqueta «Consiento que mi foto sea procesada para el probador virtual» antes de poder continuar. Este consentimiento se registra con una marca de tiempo en el sistema de Photta.
Si prefiere crear su propia interfaz de usuario de consentimiento, desactive la pantalla integrada del widget con data-consent="custom" y presente su propio modal antes de llamar a photta.open() desde su JavaScript. Asegúrese de que su interfaz de consentimiento personalizada registre la marca de tiempo y el propósito en su propia base de datos. El GDPR exige que el consentimiento sea libre, específico, informado e inequívoco; una casilla marcada por defecto no califica.
Paso 4: Firme un Anexo de Procesamiento de Datos con Photta
Según el Artículo 28 del GDPR, cuando contrata a un encargado del tratamiento tercero (Photta) para procesar datos personales en su nombre, debe disponer de un Anexo de Procesamiento de Datos (DPA) por escrito. Inicie sesión en el panel de Photta Business, vaya a Configuración → Legal y haga clic en «Firmar DPA». El DPA es un documento estándar que cumple con las Cláusulas Contractuales Tipo de la UE y especifica las categorías de datos procesados, los fines del procesamiento, los subencargados de Photta y las obligaciones de eliminación.
El DPA está disponible en inglés. La firma es un proceso de un solo clic mediante DocuSign. Una vez firmado, se envía una copia en PDF por correo electrónico a su dirección registrada y se almacena en Configuración → Legal para sus registros. Si su DPA necesita nombrar subencargados específicos utilizados por Photta (AWS S3 para almacenamiento, KieAI para generación), estos figuran en el anexo del DPA. Actualice su propio Registro de Actividades de Tratamiento (RoPA) tras la firma para reflejar a Photta como encargado del tratamiento.
Paso 5: Actualice su política de privacidad
La política de privacidad de su tienda debe informar de la actividad de procesamiento del probador virtual. Añada una sección titulada «Función de Probador Virtual» que incluya: (1) qué datos se recopilan (fotos subidas por el usuario), (2) el propósito (generar una imagen de prueba virtual), (3) la base legal (consentimiento explícito, Art. 6(1)(a) del GDPR), (4) quién procesa los datos (Photta, un servicio de IA de terceros), (5) periodo de retención (fotos eliminadas en 1 hora, resultados en 24 horas) y (6) derechos del interesado (derecho a retirar el consentimiento en cualquier momento).
Una cláusula de plantilla sugerida: «Cuando utiliza nuestra función de Probador Virtual, la foto que sube se transmite a Photta (photta.app) con el único fin de generar una imagen de prueba virtual. Photta elimina su foto en 1 hora y la imagen generada en 24 horas. No se almacenan plantillas biométricas. Puede retirar su consentimiento en cualquier momento dejando de utilizar la función; las fotos ya subidas no pueden recuperarse una vez finalizado el procesamiento. Para preguntas, contacte con privacy@[sutienda].com». Ajuste esto a la entidad legal y jurisdicción de su tienda.