Privacy Policy

Effective: May 7, 2026 Version: 1.0 Language: English (controlling)

Plain-English summary. EA Creative LLC respects your privacy. We collect only the data we need to run our services, we never sell your personal information, and we honor data subject rights from California, the EU/UK, Brazil, and other jurisdictions. This Policy explains the details.

1. Who We Are

This Privacy Policy ("Policy") describes how EA Creative LLC ("EA Creative", "we", "us"), a Florida limited liability company registered with the State of Florida (Sunbiz), collects, uses, shares, and protects personal information.

This Policy applies to all websites, products, and services operated by EA Creative LLC, including those marketed under the following brands:

EA Creative Agency (registered DBA) — eacreativeagency.com
EA Creative Studio (registered DBA) — eacreativestudio.com and related properties
bySophia AI (operating brand) — sophiavoiceai.com
Cardzy (operating brand) — cardzyapp.com
EA Creative Audio (operating brand) — operated by EA Creative LLC for on-site event audio

For product-specific data practices that go beyond this Master Policy, see the dedicated privacy pages at sophiavoiceai.com/privacy (voice calls, transcripts, telephony) and cardzyapp.com/privacy (public profiles, AI Scan).

Data controller: EA Creative LLC. Privacy contact: privacy@eacreativeagency.com.

2. Information We Collect

2.1 Information you provide

Category	Examples
Account information	Name, email, password (hashed), business name, phone number, billing address, role/title
Lead and inquiry data	Name, email, phone, business type, message content, consent indicators, submission timestamp, IP address
Payment information	Last four digits and brand of payment card, billing zip code, payment method tokens (full card data is processed and stored by Stripe; we do not store full card numbers)
Customer Content	Files, images, text, settings, configurations, and other content you upload to our Services
Communications	Email correspondence, support tickets, chat messages, transcripts of calls

2.2 Information collected automatically

Category	Examples
Device and connection	IP address, browser type, operating system, device identifiers, language preference
Usage data	Pages visited, features used, timestamps, session duration, referrer URLs, click patterns
Cookies and local storage	See Section 9

2.3 Information from third parties

We may receive information from third-party services you connect to our Services (such as authentication providers, calendar integrations, or accounting tools), and from public sources (such as business registries) for verification or fraud-prevention purposes.

2.4 Sensitive personal information

We do not knowingly collect government identification numbers, biometric data, precise geolocation, or special categories of data under GDPR Article 9 (such as health, religion, or political opinions). If you submit such information through Customer Content, you do so at your own discretion and grant us only the rights necessary to process it for the requested service.

3. How We Use Your Information

We use personal information for the following purposes:

Service delivery: to create and manage your account, deliver Services, process payments, and provide customer support;
Communication: to send transactional emails, respond to inquiries, and send service announcements;
Improvement and analytics: to understand usage patterns, troubleshoot issues, and improve features (using aggregated and de-identified data where possible);
Marketing: to send promotional communications when you have opted in or where permitted by law (you may opt out at any time);
Security and fraud prevention: to detect and prevent fraudulent activity, abuse, and security incidents;
Legal compliance: to comply with applicable laws, regulations, court orders, and legitimate government requests;
Business operations: to enforce our Terms of Service, defend legal claims, and conduct corporate transactions.

4. Legal Bases for Processing (GDPR)

If you are in the EU, UK, or another jurisdiction with a similar legal-basis framework, we rely on the following bases under Article 6 of the GDPR:

Basis	When we rely on it
Contract (Art. 6(1)(b))	To provide Services you have requested or to take pre-contract steps
Legitimate interests (Art. 6(1)(f))	For analytics, service improvement, fraud prevention, and direct B2B communications, balanced against your rights
Consent (Art. 6(1)(a))	For marketing communications, optional cookies, and special data uses (you may withdraw consent at any time)
Legal obligation (Art. 6(1)(c))	To meet tax, accounting, anti-money-laundering, and other regulatory requirements

5. Sharing and Subprocessors

We share personal information only as described below.

5.1 Service providers (subprocessors)

We use the following categories of subprocessors to operate our Services. Each subprocessor is bound by a written agreement that restricts use of your data to the services they provide to us:

Subprocessor	Purpose	Region
Stripe, Inc.	Payment processing, subscription billing, fraud prevention	USA
Cloudflare, Inc.	Hosting, content delivery, DNS, email routing, security	Global edge
Twilio Inc.	Telephony for inbound voice services (bySophia AI)	USA
Cal.com, Inc.	Appointment scheduling and booking	USA / EU
Resend, Inc.	Transactional and notification email delivery	USA
Notion Labs, Inc.	Internal CRM and lead management	USA
Clerk, Inc.	Authentication and user identity (where deployed)	USA
Google LLC (Workspace)	Email and productivity (where applicable)	USA / Global

Product-specific subprocessors. Additional subprocessors are used for specific Services and are disclosed in the product-specific privacy policies. In particular, AI voice processing partners used by bySophia AI are listed at sophiavoiceai.com/privacy.

5.2 Other recipients

Professional advisors: lawyers, accountants, auditors, and insurers, bound by confidentiality;
Authorities: when required by valid legal process or to protect rights, property, or safety;
Business transfers: in connection with a merger, acquisition, financing, or sale of assets, subject to standard confidentiality protections;
With your direction: when you explicitly direct us to share information with a third party (for example, when you connect a third-party integration).

5.3 We do not sell your personal information

EA Creative does not sell personal information for monetary consideration, nor do we share it for cross-context behavioral advertising under the CCPA/CPRA definition. We also do not engage in targeted advertising as defined under the laws of Virginia, Colorado, Connecticut, or Utah.

6. International Data Transfers

EA Creative is headquartered in the United States. If you access our Services from outside the U.S., your information will be transferred to and processed in the U.S. or in regions where our subprocessors operate.

For transfers of personal data from the European Economic Area, the United Kingdom, or Switzerland, we rely on the European Commission's Standard Contractual Clauses (the 2021 SCCs) and, where applicable, the UK International Data Transfer Addendum or Swiss equivalent. We assess transfers for adequacy and apply supplementary measures (encryption in transit and at rest, access controls, contractual restrictions) where appropriate.

You may request a copy of the safeguards we use by contacting privacy@eacreativeagency.com.

7. Data Retention

We retain personal information only as long as necessary for the purposes described in this Policy, to comply with legal obligations, to resolve disputes, and to enforce our agreements. The following table summarizes typical retention periods; specific products may apply different periods as disclosed in product-specific policies.

Category	Retention
Account records (active)	For the duration of the account, plus a reasonable wind-down period
Account records (closed)	Up to 7 years for tax, accounting, and legal-defense purposes
Lead/inquiry records	Up to 3 years from last interaction unless you request earlier deletion
Payment and invoice records	7 years (U.S. tax recordkeeping standards)
Consent records (TCPA, marketing)	Minimum 5 years for U.S. regulatory compliance
Voice call recordings and transcripts (bySophia AI)	Up to 12 months — see sophiavoiceai.com/privacy
Server logs	Up to 90 days for security and debugging
Backups	Up to 35 days after deletion from primary systems

When retention is no longer required, we delete or anonymize the data using methods consistent with industry standards.

8. Your Rights

Depending on your location, you may have the following rights regarding your personal information:

Access: request a copy of the personal information we hold about you;
Correction: request correction of inaccurate or incomplete information;
Deletion: request deletion of your personal information, subject to legal retention requirements and other exceptions;
Portability: receive your data in a structured, commonly used, machine-readable format;
Restriction or objection: limit or object to certain processing, including direct marketing;
Withdraw consent: where processing is based on consent, withdraw consent at any time without affecting prior lawful processing;
Opt out of sale or sharing (CCPA/CPRA): we do not sell or share personal information for cross-context behavioral advertising, but you may submit a request to confirm this position;
Limit use of sensitive personal information (CPRA): we do not use sensitive personal information for purposes beyond those permitted by default;
Non-discrimination: we will not discriminate against you for exercising your rights;
Lodge a complaint: with a supervisory authority in your jurisdiction (see Section 18).

How to exercise your rights

Submit requests to privacy@eacreativeagency.com. We will:

Acknowledge receipt within 10 business days (CCPA/CPRA standard);
Verify your identity through reasonable measures proportionate to the sensitivity of the request;
Respond substantively within 45 calendar days (California) or 30 days (EU/UK/Brazil), with one extension of up to 45 days for complex requests, with notice;
Provide reasons if we cannot fully fulfill the request, citing the applicable exception.

Authorized agents may submit requests on your behalf with documented authority. We do not charge a fee unless requests are manifestly unfounded or excessive.

9. Cookies and Local Storage

We use cookies, similar tracking technologies, and browser local storage for the following purposes:

Strictly necessary: authentication, session management, security, and core service operation. These cannot be disabled and do not require consent.
Functional: remembering preferences such as language, theme, and accessibility settings (stored in localStorage).
Analytics: where used, only privacy-respecting, aggregate analytics (no cross-site tracking, no third-party advertising pixels).

We do not use third-party advertising cookies, retargeting pixels, or cross-site tracking. You can control cookies through your browser settings and clear local storage at any time. Some functionality may be impaired without strictly necessary cookies.

10. Security

We implement administrative, technical, and physical safeguards designed to protect personal information, including:

Encryption in transit (TLS 1.2+) and at rest where supported by our subprocessors;
Access controls based on the principle of least privilege;
Multi-factor authentication for administrative accounts;
Regular review of subprocessor security postures (SOC 2, ISO 27001, PCI-DSS where applicable);
Incident response procedures and breach notification protocols.

No system is 100% secure. We cannot guarantee absolute security but commit to industry-standard practices and continuous improvement.

11. Data Breach Notification

In the event of a personal data breach, we will:

Investigate and contain the incident promptly;
Notify the competent supervisory authority within 72 hours of becoming aware (where required by GDPR Article 33);
Notify affected individuals without undue delay where the breach is likely to result in high risk to their rights and freedoms (GDPR Article 34) or where required by U.S. state breach-notification laws;
Document the incident and our response in accordance with our incident-response policy.

12. Children's Privacy

Our Services are not directed to children under 13, and we do not knowingly collect personal information from children under 13 without verifiable parental consent in compliance with the U.S. Children's Online Privacy Protection Act (COPPA). For users in the EU/UK, the minimum age is 16 (or the lower age set by your jurisdiction).

If you believe a child has provided us with personal information without parental consent, please contact privacy@eacreativeagency.com and we will take steps to delete that information.

Event audio services. When EA Creative Audio operates at children's events, we process only the operational data necessary for the engagement (event location, scheduling, billing) and do not knowingly retain personal information about children attending the event.

13. Marketing Communications

We send marketing communications only where permitted by law and, in jurisdictions requiring consent, only with your prior opt-in. You may opt out at any time by clicking the unsubscribe link in any marketing email or by emailing privacy@eacreativeagency.com. Opt-out requests are honored within 10 business days as required by U.S. CAN-SPAM and within 30 days under GDPR.

Transactional communications (account notices, billing receipts, security alerts, service announcements) are necessary for the Service and are not subject to marketing opt-out.

14. Automated Decision-Making

We do not use automated decision-making that produces legal or similarly significant effects on individuals without human involvement. Some Services use AI to generate outputs (transcription, classification, content generation), but such outputs are tools to assist human decisions and do not by themselves determine eligibility for services, pricing, or other significant outcomes.

15. Voice and Telephony Communications

If you interact with EA Creative LLC by telephone (including through bySophia AI), additional disclosures apply, including:

AI identity disclosure at the start of calls handled by bySophia AI;
Call recording with notice consistent with Florida Statutes §934.03 and applicable two-party consent jurisdictions;
Retention of call audio, transcripts, and metadata as described in Section 7 and at sophiavoiceai.com/privacy;
Compliance with TCPA, FTSA, and FCC rules regarding consent for prerecorded or AI-generated voice messages.

For specific details about voice data flows, consult sophiavoiceai.com/privacy.

16. Public Profiles and User-Generated Content

If you create a digital business card, public profile, or similar publicly accessible content through our Services (including Cardzy), the content you choose to publish becomes accessible to others as you direct. You are responsible for the accuracy and lawfulness of public content. For specific details about public profile data, consult cardzyapp.com/privacy.

17. Changes to This Policy

We may update this Policy from time to time. Material changes will be communicated by email to your registered address and posted on this page at least 30 days before they take effect (where required by applicable law). The "Effective" date at the top reflects the most recent version. Continued use of the Services after the effective date constitutes acceptance.

18. Contact and Supervisory Authority

For privacy questions, requests, or complaints, contact:

Channel	Contact
Privacy and data subject requests	privacy@eacreativeagency.com
General inquiries	info@eacreativeagency.com
Postal correspondence	Available upon written request to info@eacreativeagency.com

If you are unsatisfied with our response, you have the right to lodge a complaint with a supervisory authority:

EU/EEA: the data protection authority of your country of residence (list at edpb.europa.eu);
United Kingdom: Information Commissioner's Office (ico.org.uk);
California: California Privacy Protection Agency (cppa.ca.gov) or California Attorney General (oag.ca.gov/privacy);
Brazil: Autoridade Nacional de Proteção de Dados — ANPD (gov.br/anpd);
Other: the data protection authority in your jurisdiction.

The English version of this Policy is the controlling version. Any translation is provided as a courtesy only.

Política de Privacidad

Vigente desde: 7 de mayo de 2026 Versión: 1.0 Idioma: Español (traducción de cortesía)

Aviso de versión controladora. Esta es una traducción de cortesía. La versión en inglés en eacreativeagency.com/privacy es la legalmente controladora. En caso de conflicto, prevalece la versión en inglés.

Resumen en lenguaje claro. EA Creative LLC respeta tu privacidad. Recolectamos solo los datos necesarios para operar nuestros servicios, nunca vendemos tu información personal, y honramos los derechos del titular bajo California, EU/UK, Brasil y otras jurisdicciones. Esta Política explica los detalles.

1. Quiénes Somos

Esta Política de Privacidad ("Política") describe cómo EA Creative LLC ("EA Creative", "nosotros"), una limited liability company de Florida registrada ante el Estado de Florida (Sunbiz), recolecta, usa, comparte y protege la información personal.

Esta Política aplica a todos los sitios web, productos y servicios operados por EA Creative LLC, incluyendo los comercializados bajo las siguientes marcas:

EA Creative Agency (DBA registrada) — eacreativeagency.com
EA Creative Studio (DBA registrada) — eacreativestudio.com y propiedades relacionadas
bySophia AI (marca operacional) — sophiavoiceai.com
Cardzy (marca operacional) — cardzyapp.com
EA Creative Audio (marca operacional) — operada por EA Creative LLC para audio en sitio

Para prácticas específicas que vayan más allá de esta Política Maestra, consulta las páginas dedicadas en sophiavoiceai.com/privacy (llamadas, transcripciones, telefonía) y cardzyapp.com/privacy (perfiles públicos, AI Scan).

Responsable del tratamiento: EA Creative LLC. Contacto de privacidad: privacy@eacreativeagency.com.

2. Información Que Recolectamos

2.1 Información que tú proporcionas

Categoría	Ejemplos
Información de cuenta	Nombre, email, contraseña (hasheada), nombre de empresa, teléfono, dirección de facturación, cargo
Datos de leads y consultas	Nombre, email, teléfono, tipo de negocio, contenido del mensaje, indicadores de consentimiento, timestamp, IP
Información de pago	Últimos 4 dígitos y marca de la tarjeta, código postal, tokens del método de pago (Stripe procesa y almacena los datos completos; nosotros no almacenamos números completos de tarjeta)
Contenido del Cliente	Archivos, imágenes, texto, configuración y demás contenido que subes a los Servicios
Comunicaciones	Correo, tickets de soporte, mensajes de chat, transcripciones de llamadas

2.2 Información recolectada automáticamente

Categoría	Ejemplos
Dispositivo y conexión	IP, tipo de browser, sistema operativo, identificadores de dispositivo, idioma
Datos de uso	Páginas visitadas, funciones usadas, timestamps, duración de sesión, URLs referentes, patrones de clicks
Cookies y almacenamiento local	Ver Sección 9

2.3 Información de terceros

Podemos recibir información de servicios de terceros que conectes a nuestros Servicios (como proveedores de autenticación, integraciones de calendario o herramientas contables) y de fuentes públicas (como registros mercantiles) para fines de verificación o prevención de fraude.

2.4 Información personal sensible

No recolectamos a sabiendas números de identificación gubernamental, datos biométricos, geolocalización precisa, ni categorías especiales bajo el Artículo 9 del GDPR (como salud, religión u opiniones políticas). Si envías esa información a través de Contenido del Cliente, lo haces a tu discreción y nos otorgas solo los derechos necesarios para procesarla para el servicio solicitado.

3. Cómo Usamos Tu Información

Usamos información personal para los siguientes fines:

Prestación del Servicio: crear y gestionar tu cuenta, prestar Servicios, procesar pagos y dar soporte;
Comunicación: enviar correos transaccionales, responder consultas y enviar avisos del servicio;
Mejora y analítica: entender patrones de uso, troubleshooting y mejora de funciones (usando datos agregados y desidentificados cuando sea posible);
Marketing: enviar comunicaciones promocionales cuando hayas dado opt-in o lo permita la ley (puedes optar por salir en cualquier momento);
Seguridad y prevención de fraude: detectar y prevenir actividad fraudulenta, abuso e incidentes de seguridad;
Cumplimiento legal: cumplir con leyes, regulaciones, órdenes judiciales y solicitudes legítimas de autoridades;
Operación del negocio: hacer cumplir nuestros Términos, defender reclamos legales y conducir transacciones corporativas.

4. Bases Legales del Tratamiento (GDPR)

Si te encuentras en EU, UK u otra jurisdicción con marco similar, nos basamos en las siguientes bases bajo el Artículo 6 del GDPR:

Base	Cuándo nos basamos en ella
Contrato (Art. 6(1)(b))	Para prestar Servicios solicitados o tomar pasos pre-contractuales
Interés legítimo (Art. 6(1)(f))	Para analítica, mejora del servicio, prevención de fraude y comunicaciones B2B directas, balanceado contra tus derechos
Consentimiento (Art. 6(1)(a))	Para comunicaciones de marketing, cookies opcionales y usos especiales (puedes retirarlo en cualquier momento)
Obligación legal (Art. 6(1)(c))	Para cumplir requisitos fiscales, contables, anti-lavado y otros regulatorios

5. Compartición y Subprocesadores

Compartimos información personal solo como se describe a continuación.

5.1 Proveedores de servicio (subprocesadores)

Usamos las siguientes categorías de subprocesadores para operar nuestros Servicios. Cada uno está sujeto a un contrato escrito que restringe el uso de tus datos a los servicios que nos prestan:

Subprocesador	Propósito	Región
Stripe, Inc.	Procesamiento de pagos, facturación recurrente, prevención de fraude	EUA
Cloudflare, Inc.	Hosting, CDN, DNS, email routing, seguridad	Edge global
Twilio Inc.	Telefonía para servicios de voz inbound (bySophia AI)	EUA
Cal.com, Inc.	Agendamiento y reservas	EUA / EU
Resend, Inc.	Entrega de email transaccional y notificaciones	EUA
Notion Labs, Inc.	CRM interno y gestión de leads	EUA
Clerk, Inc.	Autenticación y gestión de identidad (donde aplica)	EUA
Google LLC (Workspace)	Email y productividad (donde aplica)	EUA / Global

Subprocesadores específicos del producto. Subprocesadores adicionales se utilizan para servicios específicos y se divulgan en las políticas de privacidad por producto. En particular, los socios de procesamiento de voz con IA usados por bySophia AI están listados en sophiavoiceai.com/privacy.

5.2 Otros destinatarios

Asesores profesionales: abogados, contadores, auditores y aseguradoras, sujetos a confidencialidad;
Autoridades: cuando lo requiera proceso legal válido o para proteger derechos, propiedad o seguridad;
Transferencias del negocio: en relación con fusión, adquisición, financiamiento o venta de activos, sujeto a protecciones de confidencialidad estándar;
Bajo tu instrucción: cuando nos indicas explícitamente compartir con un tercero (por ejemplo, al conectar una integración).

5.3 No vendemos tu información personal

EA Creative no vende información personal por contraprestación monetaria, ni la comparte para publicidad conductual entre contextos según la definición de CCPA/CPRA. Tampoco realizamos targeted advertising según las leyes de Virginia, Colorado, Connecticut o Utah.

6. Transferencias Internacionales de Datos

EA Creative tiene su sede en Estados Unidos. Si accedes a nuestros Servicios desde fuera de EUA, tu información será transferida y procesada en EUA o en regiones donde operan nuestros subprocesadores.

Para transferencias de datos personales desde el Espacio Económico Europeo, Reino Unido o Suiza, nos basamos en las Cláusulas Contractuales Estándar de la Comisión Europea (SCCs 2021) y, según aplique, el UK International Data Transfer Addendum o equivalente suizo. Evaluamos las transferencias para adecuación y aplicamos medidas suplementarias (cifrado en tránsito y en reposo, controles de acceso, restricciones contractuales) cuando sea apropiado.

Puedes solicitar una copia de las salvaguardas que usamos contactando a privacy@eacreativeagency.com.

7. Retención de Datos

Conservamos información personal solo el tiempo necesario para los fines descritos en esta Política, para cumplir obligaciones legales, resolver disputas y hacer cumplir nuestros acuerdos. La siguiente tabla resume períodos típicos; productos específicos pueden aplicar períodos diferentes según se divulgue en políticas por producto.

Categoría	Retención
Registros de cuenta (activa)	Durante la vigencia de la cuenta, más un período razonable de cierre
Registros de cuenta (cerrada)	Hasta 7 años para fines fiscales, contables y defensa legal
Registros de leads/consultas	Hasta 3 años desde la última interacción salvo solicitud previa de eliminación
Registros de pago y facturas	7 años (estándares fiscales EUA)
Registros de consentimiento (TCPA, marketing)	Mínimo 5 años para cumplimiento regulatorio EUA
Grabaciones y transcripciones de llamadas (bySophia AI)	Hasta 12 meses — ver sophiavoiceai.com/privacy
Logs del servidor	Hasta 90 días para seguridad y debugging
Backups	Hasta 35 días después de la eliminación de los sistemas primarios

Cuando la retención ya no se requiere, eliminamos o anonimizamos los datos usando métodos consistentes con estándares de la industria.

8. Tus Derechos

Dependiendo de tu ubicación, puedes tener los siguientes derechos sobre tu información personal:

Acceso: solicitar copia de la información personal que tenemos sobre ti;
Rectificación: solicitar corrección de información inexacta o incompleta;
Eliminación: solicitar la eliminación de tu información personal, sujeto a requerimientos legales de retención y otras excepciones;
Portabilidad: recibir tus datos en formato estructurado, comúnmente usado y legible por máquina;
Restricción u oposición: limitar u oponerte a ciertos tratamientos, incluyendo marketing directo;
Retirar consentimiento: cuando el tratamiento se base en consentimiento, retirarlo en cualquier momento sin afectar el tratamiento previo legítimo;
Optar por no vender o compartir (CCPA/CPRA): no vendemos ni compartimos información personal para publicidad conductual entre contextos, pero puedes solicitar confirmación;
Limitar el uso de información personal sensible (CPRA): no usamos información personal sensible para fines más allá de los permitidos por defecto;
No discriminación: no te discriminaremos por ejercer tus derechos;
Presentar queja: ante una autoridad supervisora en tu jurisdicción (ver Sección 18).

Cómo ejercer tus derechos

Envía solicitudes a privacy@eacreativeagency.com. Nosotros:

Acusaremos recibo dentro de 10 días hábiles (estándar CCPA/CPRA);
Verificaremos tu identidad mediante medidas razonables proporcionales a la sensibilidad de la solicitud;
Responderemos sustantivamente dentro de 45 días calendario (California) o 30 días (EU/UK/Brasil), con una extensión de hasta 45 días para solicitudes complejas, con notificación;
Daremos razones si no podemos cumplir totalmente, citando la excepción aplicable.

Agentes autorizados pueden enviar solicitudes en tu nombre con autoridad documentada. No cobramos fee salvo que las solicitudes sean manifiestamente infundadas o excesivas.

9. Cookies y Almacenamiento Local

Usamos cookies, tecnologías similares y almacenamiento local del navegador para los siguientes fines:

Estrictamente necesarias: autenticación, gestión de sesión, seguridad y operación esencial. No pueden desactivarse y no requieren consentimiento.
Funcionales: recordar preferencias como idioma, tema y configuraciones de accesibilidad (almacenadas en localStorage).
Analítica: cuando se usa, solo analítica agregada respetuosa de la privacidad (sin rastreo entre sitios, sin píxeles publicitarios de terceros).

No usamos cookies publicitarias de terceros, píxeles de retargeting ni rastreo entre sitios. Puedes controlar las cookies desde la configuración de tu navegador y borrar el almacenamiento local en cualquier momento. Algunas funcionalidades pueden verse afectadas sin las cookies estrictamente necesarias.

10. Seguridad

Implementamos salvaguardas administrativas, técnicas y físicas diseñadas para proteger la información personal, incluyendo:

Cifrado en tránsito (TLS 1.2+) y en reposo donde lo soporten nuestros subprocesadores;
Controles de acceso bajo el principio de menor privilegio;
Autenticación multifactor para cuentas administrativas;
Revisión periódica de la postura de seguridad de subprocesadores (SOC 2, ISO 27001, PCI-DSS donde aplique);
Procedimientos de respuesta a incidentes y protocolos de notificación de brechas.

Ningún sistema es 100% seguro. No podemos garantizar seguridad absoluta, pero nos comprometemos con prácticas estándar de la industria y mejora continua.

11. Notificación de Brechas de Datos

En caso de una brecha de datos personales, nosotros:

Investigaremos y contendremos el incidente con prontitud;
Notificaremos a la autoridad supervisora competente dentro de 72 horas de tener conocimiento (donde lo requiera el Artículo 33 del GDPR);
Notificaremos a las personas afectadas sin dilación indebida cuando la brecha probablemente resulte en alto riesgo para sus derechos y libertades (Artículo 34 GDPR) o donde lo requieran las leyes estatales de notificación de brechas en EUA;
Documentaremos el incidente y nuestra respuesta conforme a nuestra política de respuesta a incidentes.

12. Privacidad de Menores

Nuestros Servicios no están dirigidos a menores de 13 años, y no recolectamos a sabiendas información personal de menores de 13 sin consentimiento parental verificable conforme a la Children's Online Privacy Protection Act (COPPA) de EUA. Para usuarios en EU/UK, la edad mínima es 16 (o la edad menor establecida por tu jurisdicción).

Si crees que un menor nos ha proporcionado información personal sin consentimiento parental, contacta a privacy@eacreativeagency.com y tomaremos las medidas para eliminar esa información.

Servicios de audio para eventos. Cuando EA Creative Audio opera en eventos infantiles, procesamos solo los datos operacionales necesarios (ubicación del evento, agenda, facturación) y no retenemos a sabiendas información personal sobre los menores asistentes.

13. Comunicaciones de Marketing

Enviamos comunicaciones de marketing solo donde lo permita la ley y, en jurisdicciones que requieran consentimiento, solo con tu opt-in previo. Puedes optar por salir en cualquier momento haciendo clic en el enlace de baja de cualquier email de marketing o escribiendo a privacy@eacreativeagency.com. Las solicitudes de baja se honran dentro de 10 días hábiles según CAN-SPAM EUA y dentro de 30 días bajo GDPR.

Las comunicaciones transaccionales (avisos de cuenta, recibos de facturación, alertas de seguridad, anuncios de servicio) son necesarias para el Servicio y no están sujetas al opt-out de marketing.

14. Toma de Decisiones Automatizadas

No usamos toma de decisiones automatizadas que produzca efectos legales o significativos similares sobre personas sin participación humana. Algunos Servicios usan IA para generar salidas (transcripción, clasificación, generación de contenido), pero esas salidas son herramientas para asistir decisiones humanas y no determinan por sí solas elegibilidad para servicios, precios u otros resultados significativos.

15. Comunicaciones de Voz y Telefonía

Si interactúas con EA Creative LLC por teléfono (incluyendo a través de bySophia AI), aplican divulgaciones adicionales, incluyendo:

Divulgación de identidad de IA al inicio de las llamadas manejadas por bySophia AI;
Grabación de llamadas con aviso consistente con Florida Statutes §934.03 y jurisdicciones de consentimiento de dos partes aplicables;
Retención de audio, transcripciones y metadata de llamadas según la Sección 7 y sophiavoiceai.com/privacy;
Cumplimiento con TCPA, FTSA y reglas FCC sobre consentimiento para mensajes de voz pregrabados o generados por IA.

Para detalles específicos sobre flujos de datos de voz, consulta sophiavoiceai.com/privacy.

16. Perfiles Públicos y Contenido Generado por Usuarios

Si creas una tarjeta digital, perfil público o contenido similar accesible públicamente a través de nuestros Servicios (incluyendo Cardzy), el contenido que elijas publicar se vuelve accesible para otros conforme a tus instrucciones. Eres responsable por la precisión y legalidad del contenido público. Para detalles específicos sobre datos de perfiles públicos, consulta cardzyapp.com/privacy.

17. Cambios a Esta Política

Podemos actualizar esta Política. Los cambios materiales se comunicarán por email a tu dirección registrada y se publicarán en esta página al menos 30 días antes de su entrada en vigor (donde lo requiera la ley aplicable). La fecha "Vigente desde" arriba refleja la versión más reciente. El uso continuado de los Servicios después de la fecha efectiva constituye aceptación.

18. Contacto y Autoridad Supervisora

Para preguntas, solicitudes o quejas sobre privacidad, contacta:

Canal	Contacto
Privacidad y solicitudes del titular	privacy@eacreativeagency.com
Consultas generales	info@eacreativeagency.com
Correspondencia postal	Disponible bajo solicitud escrita a info@eacreativeagency.com

Si no estás satisfecho con nuestra respuesta, tienes derecho a presentar una queja ante una autoridad supervisora:

EU/EEA: la autoridad de protección de datos de tu país de residencia (lista en edpb.europa.eu);
Reino Unido: Information Commissioner's Office (ico.org.uk);
California: California Privacy Protection Agency (cppa.ca.gov) o California Attorney General (oag.ca.gov/privacy);
Brasil: Autoridade Nacional de Proteção de Dados — ANPD (gov.br/anpd);
Otra: la autoridad de protección de datos de tu jurisdicción.

La versión en inglés de esta Política es la versión controladora. Cualquier traducción se provee solo como cortesía.