¿Mi foto entrena al modelo?

No. cuentoconlaIA usa OpenAI vía API (no consumer ChatGPT). En el DPA contractual de OpenAI para llamadas de API, los datos enviados NO se usan para entrenamiento. Amazon Rekognition tampoco entrena sobre datos de inferencia. Si en algún momento OpenAI cambiase esta política, tendríamos que aceptar el cambio explícitamente y notificártelo antes — pero el contrato actual lleva firmado y vigente desde el primer día.

¿Cuánto tiempo guardáis la foto?

30 días automáticamente, luego desaparece. No es nuestra política — es una regla de S3 lifecycle pintada sobre el bucket que aloja las fotos. Ni un operador interno con permisos podría dejarla más tiempo; AWS borra los objetos cuando expira el plazo. Los renders intermedios (las páginas generadas antes de componer el PDF) tienen la misma regla.

¿Quién puede ver la foto durante esos 30 días?

Solo dos sistemas: el pipeline de generación del libro (Step Functions + las Lambdas que llaman a OpenAI/Rekognition; vida útil ~5 minutos por foto) y el operador laIA-content-mod si una moderación duda. Ningún empleado tiene acceso por defecto al bucket — el acceso humano requiere asumir un rol IAM efímero que queda en log de CloudTrail. El operador de soporte (hola@) NO tiene acceso a las fotos; solo a metadatos del pedido.

¿Y si quiero borrar la foto antes de los 30 días?

Escribe a privacidad@cuentoconlaIA.com con el email del pedido y borramos las fotos en menos de 72 horas. RGPD Art. 17 — derecho de supresión. El libro en sí (PDF compuesto) lo guardamos durante los 30 días del enlace de descarga; pasado ese plazo desaparece automáticamente.

¿Las imágenes generadas son seguras de mostrar?

Sí, pero con la honestidad de que la IA puede equivocarse. Cada ilustración pasa moderación de Rekognition antes de aceptarse, pero el sistema no es perfecto — si recibes el libro y notas que una página no encaja con tus valores, escríbenos y te re-generamos esa página gratis. El disclaimer 'laIA puede equivocarse · resultados aproximados' está en todas partes por una razón.

¿Y si soy más estricto que la media — qué garantías tengo?

Para padres especialmente sensibles a la privacidad: (a) los datos no salen de la UE (región AWS eu-west-1, Irlanda); (b) tenemos una DPIA pública (Data Protection Impact Assessment) que puedes leer entera en docs/dpia-children-biometric-ai.md del repo público; (c) el código del pipeline es propietario pero los puntos de inflexión (subida, moderación, generación, borrado) están auditados por separado; (d) si todavía no te convence, escribe a privacidad@ y te respondo personalmente — David, fundador.

← Cómo funciona laIA

Hub B · Confianza

¿Es seguro subir la foto de mi hijo a una IA?

La respuesta corta: sí, si el servicio cumple cuatro cosas concretas — no entrenar sobre tus datos, borrado por arquitectura, datos en la UE, moderación previa. Esta página explica cómo cuentoconlaIA cumple cada una, sin marketing.

1. No entrenamiento sobre tus datos

Hay dos formas de usar los modelos de OpenAI: el ChatGPT consumer (donde, salvo opt-out explícito, tus conversaciones pueden entrenar el modelo) y la API (donde el contrato base prohíbe el entrenamiento). cuentoconlaIA usa la API. La diferencia importa: la API tiene un DPA — Data Processing Agreement — que es contractual y verificable, no un toggle en un menú. Amazon Rekognition tampoco entrena sobre datos de inferencia. Si en el futuro OpenAI cambiase la política, tendríamos que renegociar el DPA y notificártelo antes de aplicar el cambio.

2. Borrado a los 30 días por arquitectura

El bucket de S3 que aloja las fotos tiene una regla de lifecycle que borra cualquier objeto a los 30 días. No es una política — es código IaC (Terraform) que cualquiera puede leer en infra/core/s3.tf. Para saltársela haría falta cambiar el código, hacer terraform apply, y la auditoría de CloudTrail dejaría rastro. En la práctica nadie lo hace y nadie debería.

3. Los datos no salen de la UE

AWS región eu-west-1 (Irlanda). La pipeline entera se ejecuta dentro de esa región: S3 bucket, Lambdas, Step Functions, Rekognition. Las llamadas a OpenAI cruzan a us-east-1 (Virginia) — eso es transferencia internacional bajo cláusulas contractuales tipo (SCC), declaradas en nuestra política de privacidad. El payload de esas llamadas son las fotos en base64 y los prompts; OpenAI las recibe, las procesa, las descarta tras la ejecución del modelo.

4. Moderación previa de imagen

Antes de que la pipeline lea siquiera el contenido de la foto, Amazon Rekognition la pasa por sus filtros de contenido infantil y violencia. Lo inapropiado se rechaza, se anula la transacción y te avisamos. Cada ilustración generada también pasa por moderación antes de ser aceptada en el libro final — defensa en profundidad, no un único punto de fallo.

La DPIA (Data Protection Impact Assessment)

Es el documento que el RGPD exige para servicios que procesan datos sensibles a escala. La nuestra está pública en docs/dpia-children-biometric-ai.md del repo. Identifica los riesgos (re-identificación, fuga del bucket, deriva del modelo, mal uso operativo), describe los mitigantes (borrado por arquitectura, moderación dual, segregación de roles IAM, no entrenamiento contractual), y deja un calendario de revisión. Si tu colegio o AMPA te pide un análisis de privacidad antes de regalar el cuento a un niño, esa DPIA es la respuesta.

Una nota concreta para padres de peques pequeños

Si tu peque tiene menos de 3 años, la foto que subes es necesariamente una foto de bebé — más sensible que una foto escolar a los 7. La pipeline funciona igual con esa edad y los mismos contratos aplican. Pero conviene saber: la foto no necesita ser perfecta. Una foto frontal de la cara con luz buena, sin gafas de sol, basta. Si dudas, sube la versión más anodina que tengas — siempre vale.

Lee también

Cómo funciona laIA: pipeline, modelos y privacidad ¿Cuánto cuesta un cuento personalizado con IA?Gemini Storybooks vs cuentoconlaIA: en qué nos diferenciamos

Si después de leer esto estás cómodo, el wizard espera. Si tienes una pregunta no respondida arriba, escribe a privacidad@cuentoconlaIA.com — David, fundador, responde personalmente.

Crear el cuento de mi peque →