Política de privacidad

Última actualización: 12.04.2026

1. Introducción

IntimX es una plataforma premium para adultos operada desde Suiza por Artenic_ GmbH. La protección de sus datos personales es el centro de nuestros compromisos. La presente política de privacidad describe de manera transparente qué datos recopilamos, por qué y cómo los tratamos, durante cuánto tiempo los conservamos y cuáles son sus derechos.

Esta política es conforme a la Ley federal suiza de protección de datos (nLPD, en vigor desde el 1 de septiembre de 2023) y, en la medida aplicable, al Reglamento General Europeo de Protección de Datos (RGPD). En caso de divergencia, la nLPD prevalece como derecho aplicable.

Al utilizar IntimX, usted reconoce haber leído y comprendido la presente política. Si no está de acuerdo con las prácticas descritas, le rogamos que no utilice nuestros servicios.

2. Responsable del tratamiento

El responsable del tratamiento de sus datos personales es:

Artenic_ GmbH

1950 Sion, Suisse

E-mail : support@intimx.ch

Site : intimx.ch

3. Datos recopilados

3.1 Datos proporcionados directamente

Cuando crea una cuenta, completa su perfil o utiliza nuestros servicios, nos proporciona los siguientes datos:

Datos de la cuenta: dirección de correo electrónico, contraseña (almacenada como hash Argon2id, nunca en texto claro), idioma preferido, aceptación de las condiciones
Datos del perfil: nombre visible, biografía, foto de perfil, atributos físicos (para los prestadores), preferencias, datos de contacto públicos voluntarios
Verificación de identidad (KYC): nombre, apellidos, fecha de nacimiento, teléfono, dirección, documentos de identidad — todos estos datos están cifrados (AES-256-GCM) en una base de datos separada (vault)
Datos financieros: IBAN (cifrado AES-256-GCM), titular de la cuenta, historial de transacciones a través de Stripe
Contenido: publicaciones, stories, medios (fotos/vídeos), comentarios, reseñas
Comunicaciones: mensajes privados, mensajes de reserva, denuncias, solicitudes de soporte
Datos del establecimiento: razón social, número de IVA, dirección profesional, datos de contacto — cifrados en el vault

3.2 Datos recopilados automáticamente

Durante el uso de la plataforma, ciertos datos se recopilan automáticamente:

Datos técnicos: dirección IP (hash SHA-256 en las sesiones, en texto claro en los registros de seguridad), User-Agent del navegador
Datos de sesión: identificador de sesión, fechas de conexión y última actividad, estado (activa/revocada)
Geolocalización aproximada: país y ciudad derivados de la dirección IP mediante una base de datos local (GeoIP), sin llamadas a servicios externos
Cookies: cookies técnicas estrictamente necesarias para el funcionamiento (véase sección 9)
Información del dispositivo: tipo de navegador, sistema operativo, indicador móvil/escritorio — utilizados para la confianza del dispositivo

3.3 Datos sensibles

Dada la naturaleza de la plataforma, algunos datos que usted elige publicar pueden revelar información sensible (orientación sexual, preferencias). Estos datos solo se tratan sobre la base de su consentimiento explícito, materializado mediante la publicación voluntaria en su perfil. Puede eliminarlos en cualquier momento.

3.4 Datos que NO recopilamos

Nunca recopilamos: número AVS/SSN, datos médicos, opiniones políticas o religiosas, datos biométricos con fines de identificación, datos de navegación fuera de la plataforma. No utilizamos ninguna cookie publicitaria, píxel de seguimiento ni herramienta de análisis de terceros (ni Google Analytics, ni Facebook Pixel, etc.).

4. Finalidades del tratamiento

Prestación del servicio — Creación y gestión de su cuenta, visualización de su perfil, puesta en contacto entre usuarios, mensajería, reservas, suscripciones.
Seguridad y verificación — Verificación KYC, detección de fraude, bloqueo de cuenta tras intentos fallidos, confianza del dispositivo (OTP), verificación de contraseñas comprometidas (HIBP, k-anonymity), registro de eventos de seguridad.
Pagos — Procesamiento de suscripciones, propinas y pagos a través de Stripe. IntimX nunca almacena los datos de su tarjeta bancaria — son procesados directamente por Stripe.
Comunicaciones — Correos electrónicos transaccionales (verificación, restablecimiento, notificaciones de reserva), notificaciones in-app, respuestas del soporte.
Mejora del servicio — Métricas internas agregadas (rendimiento, latencia, tasa de error) sin datos personales identificables. Ninguna elaboración de perfiles con fines de marketing.
Obligaciones legales — Conservación de datos contables (10 años, CO Art. 958f), conservación de datos KYC (3 años, interés legítimo en la prevención del fraude), notificación de CSAM a las autoridades (Art. 197 CP).

5. Bases jurídicas

Cada tratamiento de datos se basa en una base jurídica conforme a la nLPD y al RGPD:

Tratamiento	Base jurídica	Referencia
Cuenta, perfil, mensajería, reservas	Ejecución del contrato	nLPD Art. 31 / RGPD Art. 6(1)(b)
Verificación KYC	Obligación legal	nLPD Art. 31(1)(c) + (d)
Mensajería, notificaciones	Ejecución del contrato	RGPD Art. 6(1)(b)
Pagos (Stripe)	Ejecución del contrato	RGPD Art. 6(1)(b)
Seguridad (registros, bloqueo, confianza del dispositivo, HIBP)	Interés legítimo	nLPD Art. 31 / RGPD Art. 6(1)(f)
Datos sensibles (orientación, preferencias)	Consentimiento explícito	nLPD Art. 5 / RGPD Art. 9(2)(a)
Auditoría KYC (3 años)	Interés legítimo	nLPD Art. 31(1)(c)
Datos contables (10 años)	Obligación legal	CO Art. 958f

7. Subencargados y socios

Recurrimos a un número limitado de subencargados para garantizar el funcionamiento de la plataforma:

Servicio	Proveedor	País	Datos transmitidos
Alojamiento de servidores	Infomaniak Network SA	Suiza	Totalidad de los datos (servidores alojados en Suiza)
Correos electrónicos transaccionales	Resend Inc.	Suiza	Dirección de correo electrónico del destinatario, contenido del correo electrónico (SMTP Infomaniak Mail)
Pagos	Stripe Inc.	Estados Unidos / Irlanda	Importes, identificador de usuario, datos de la tarjeta (directamente a Stripe)
Cartografía	Mapbox Inc.	Estados Unidos	Coordenadas GPS para la visualización del mapa (ningún dato personal)
Verificación de contraseñas	HIBP (Troy Hunt)	Australia	Primeros 5 caracteres del hash SHA-1 de la contraseña (k-anonymity, ninguna contraseña transmitida)

8. Conservación de datos

Conservamos sus datos únicamente durante el tiempo necesario para las finalidades descritas, o para cumplir una obligación legal:

Dato	Duración de conservación
Cuenta y perfil	Duración de la cuenta + 30 días de gracia tras la solicitud de eliminación
Documentos y datos KYC	3 años tras el cierre de la cuenta (interés legítimo en la prevención del fraude)
Mensajes y contenido	Duración de la cuenta + 30 días de gracia
Datos contables y transacciones	10 años (obligación CO Art. 958f)
Registros de seguridad (access logs)	90 días
Sesiones de autenticación	7 días (estándar) o 30 días (conexión persistente)
Stories	24 horas (eliminación automática)
Métricas del sistema	7 días (bruto), 90 días (por hora), 1 año (diario) — sin datos personales

9. Cookies y tecnologías similares

IntimX utiliza exclusivamente cookies esenciales para el funcionamiento del servicio. No utilizamos ninguna cookie publicitaria, de seguimiento ni de análisis de terceros.

Nombre	Finalidad	Duración	Tipo
ix_access	Token de autenticación JWT (acceso)	1h	Esencial
ix_refresh	Token de renovación de sesión	7-30j	Esencial
age_confirmed	Confirmación de mayoría de edad (18+)	30j	Esencial

Las cookies ix_access e ix_refresh están protegidas por los atributos HttpOnly y Secure (en producción), impidiendo cualquier acceso mediante JavaScript. También utilizamos localStorage para almacenar un indicador de confirmación de edad (ageConfirmed) y un estado de navegación temporal (listing-slugs) — ningún dato personal.

No es necesario ningún banner de consentimiento de cookies, ya que solo utilizamos cookies estrictamente necesarias para el funcionamiento del servicio, exentas de consentimiento en virtud de la nLPD y de la directiva ePrivacy.

10. Seguridad

Medidas técnicas

Cifrado en tránsito: HTTPS/TLS 1.3 en toda la plataforma
Arquitectura vault zero-trust: todos los datos de identidad (nombre, apellidos, fecha de nacimiento, teléfono, dirección, IBAN) están cifrados con AES-256-GCM a nivel de aplicación en una base de datos separada. La base de datos solo ve texto cifrado.
Hashing de contraseñas: Argon2id (64 MiB de memoria, 3 iteraciones) — estándar recomendado por OWASP
Tokens y secretos: nunca almacenados en texto claro, siempre con hash SHA-256
Aislamiento de datos: Row Level Security (RLS) en todas las tablas con separación estricta entre usuarios
Protección contra inyecciones: Content Security Policy (CSP) estricta con nonce, sin scripts inline

Medidas organizativas

Principio de privilegio mínimo: acceso a los datos limitado a lo estrictamente necesario, registro de auditoría inmutable para cualquier acción administrativa
Registros de auditoría: cualquier acción administrativa (moderación, KYC, cambio de estado) se registra de forma inmutable con marca temporal e identidad del actor
Monitorización continua: métricas de seguridad en tiempo real (intentos fallidos, bloqueos, anomalías GeoIP)
Procedimiento de incidentes: protocolo definido para la detección, evaluación y notificación de violaciones de datos

Alojamiento

Toda la infraestructura está alojada en Suiza en Infomaniak Network SA (servidores ubicados en Suiza). Los datos solo salen del territorio suizo para los subencargados indicados en la sección 7.

11. Sus derechos

De conformidad con la nLPD y el RGPD, usted dispone de los siguientes derechos sobre sus datos personales:

Derecho de acceso — Puede solicitar una copia de todos sus datos personales. Una función de exportación está disponible en la configuración de su cuenta (se requiere nueva autenticación mediante contraseña).
Derecho de rectificación — Puede modificar los datos de su perfil en cualquier momento. Para los datos KYC, contacte con el soporte.
Derecho de supresión — Puede eliminar su cuenta desde la configuración. Un período de gracia de 30 días le permite cancelar la solicitud. Transcurrido dicho plazo, sus datos se eliminan de forma irreversible, a excepción de los datos sujetos a una obligación legal de conservación (datos contables 10 años) y los datos KYC conservados 3 años para la prevención del fraude (interés legítimo).
Derecho a la portabilidad — La exportación de sus datos está disponible en formato JSON desde la configuración de su cuenta, abarcando 10 categorías de datos.
Derecho de oposición — Puede configurar sus ajustes de privacidad (visibilidad del perfil, estado en línea, confirmaciones de lectura, bloqueo por país) y bloquear usuarios individualmente.
Retirada del consentimiento — Puede retirar su consentimiento en cualquier momento eliminando los datos correspondientes de su perfil o eliminando su cuenta.

Cómo ejercer sus derechos

Para cualquier solicitud relativa a sus derechos, envíe un correo electrónico a support@intimx.ch indicando su identidad y el derecho que desea ejercer. Responderemos en un plazo de 30 días. Si la solicitud es compleja, dicho plazo puede prorrogarse 60 días con notificación.

Autoridad de recurso

Si considera que el tratamiento de sus datos vulnera sus derechos, puede presentar una reclamación ante el Encargado Federal de Protección de Datos y Transparencia (PFPDT): edoeb.admin.ch.

12. Transferencias internacionales

Sus datos están alojados en Suiza. Algunos subencargados (Stripe, Mapbox, MaxMind, HIBP) tienen su sede en Estados Unidos o Australia. Estas transferencias están reguladas por cláusulas contractuales tipo (CCT) y medidas de seguridad adicionales conformes a los requisitos de la nLPD.

El servicio de verificación de contraseñas (HIBP) solo recibe los primeros 5 caracteres de un hash SHA-1 (k-anonymity) — no se transmite ninguna contraseña ni dato identificativo. La resolución GeoIP se realiza localmente mediante una base de datos integrada, sin llamadas externas.

13. Protección de menores

IntimX es un servicio reservado exclusivamente a personas mayores de edad (18 años o más). Un portal de verificación de edad se presenta en cada nuevo acceso. Los prestadores y creadores deben someterse a una verificación de identidad (KYC) que incluye la verificación de la edad.

IntimX aplica tolerancia cero hacia cualquier contenido de explotación de menores (CSAM). Cualquier contenido sospechoso se elimina inmediatamente y se notifica a las autoridades competentes de conformidad con el Art. 197 del Código Penal suizo. La cuenta afectada se suspende sin previo aviso.

14. Decisiones automatizadas y elaboración de perfiles

IntimX utiliza tratamientos automatizados en los siguientes ámbitos: detección de fraude (bloqueo de cuenta tras intentos fallidos), verificación de contraseñas comprometidas (HIBP), moderación de contenido denunciado y recomendaciones basadas en los parámetros de búsqueda.

Ninguna decisión que produzca efectos jurídicos o significativos se toma de forma enteramente automatizada sin intervención humana. Usted tiene derecho a impugnar cualquier decisión automatizada contactando con el soporte.

15. Notificación de violación de datos

En caso de violación de datos susceptible de generar un riesgo elevado para sus derechos, notificaremos al PFPDT en las 72 horas siguientes al conocimiento del incidente, de conformidad con el Art. 24 nLPD. Si la violación presenta un riesgo elevado para usted, también será informado directamente en el menor plazo posible.

Cada incidente se documenta en un registro interno que incluye la naturaleza de la violación, los datos afectados, las medidas adoptadas y las personas afectadas.

16. Modificaciones de la política

Nos reservamos el derecho de modificar la presente política. En caso de modificación sustancial, le informaremos al menos 30 días antes de su entrada en vigor por correo electrónico o notificación in-app. La fecha de la última actualización se indica en la parte superior de este documento. Las modificaciones menores (reformulaciones, correcciones tipográficas) no son objeto de notificación.

17. Contacto

Para cualquier pregunta relativa a la protección de sus datos o a la presente política:

Artenic_ GmbH — Protección de datos