Conforme a los artículos 13 y 14 del Reglamento General de Protección de Datos (GDPR),
la BDSG alemana y la DDG. Aplica a todas las personas usuarias del mundo.
Debe ser accesible sin login y enlazarse en el registro.
Última actualización: [[FECHA_VIGENCIA]] · Versión: 1.0
[[RAZÓN_SOCIAL]], [[NOMBRE_RESPONSABLE]] [[DIRECCIÓN_POSTAL]], Alemania Correo de privacidad: [[EMAIL_PRIVACIDAD]]
*(Si se designa un Delegado de Protección de Datos / Datenschutzbeauftragter, indicar aquí su contacto. Ver nota en README.md sobre cuándo es obligatorio.)*
| Dato | Finalidad | Base de licitud (Art. 6 / 9 GDPR) |
|---|---|---|
| Correo electrónico y contraseña (cifrada) | Crear y autenticar tu cuenta | Art. 6(1)(b) ejecución del contrato (Términos) |
Nombre visible (display_name), idioma | Personalizar tu cuenta | Art. 6(1)(b) |
Tipo de cuenta y estado (entitlements) | Gestionar el acceso (hoy: gratis) | Art. 6(1)(b) |
| Tu diario de práctica (sesiones, notas, metas, y campos como *sensación, lesión, embarazo* si los rellenas) | Que registres y veas tu progreso y el mapa muscular | Art. 9(2)(a) consentimiento explícito (lo tratamos como datos de salud por prudencia) |
Preferencias y ajustes (user_kv) | Recordar tu configuración | Art. 6(1)(b) / 6(1)(f) interés legítimo |
| Datos técnicos (dirección IP, tipo de dispositivo/navegador, registros de seguridad) generados por nuestro hosting y backend | Servir la app, seguridad, prevención de abuso | Art. 6(1)(f) interés legítimo |
Importante (salud): los campos sensibles del diario son opcionales. Solo los
tratamos si tú decides introducirlos y das tu consentimiento explícito; puedes
retirarlo en cualquier momento (ver §7), lo que detendrá ese tratamiento hacia el futuro.
No usamos hoy publicidad, *tracking* de terceros, perfilado ni decisiones automatizadas con efectos jurídicos (Art. 22). Si esto cambiara, actualizaríamos esta política y pediríamos tu consentimiento previo cuando proceda.
Trabajamos con proveedores que actúan como encargados del tratamiento bajo contrato (Art. 28 GDPR — *Data Processing Agreement*):
| Proveedor | Función | Ubicación de datos | Transferencia internacional |
|---|---|---|---|
| Supabase (autenticación, base de datos) | Cuentas y almacenamiento de tus datos | UE — Irlanda (West EU) | Entidad matriz en EEUU → cubierto por CCT/SCC y/o EU-US Data Privacy Framework |
| Cloudflare (hosting/CDN) | Entrega de la app y seguridad de borde | Red global; cifrado en tránsito | EEUU → CCT/SCC / DPF |
| [[PROVEEDOR_EMAIL]] *(p. ej. Resend/SES/Postmark)* | Envío de correos de la cuenta (confirmación, recuperación) | [[REGIÓN_EMAIL]] | Según proveedor → CCT/SCC si aplica |
*(Ya no cargamos fuentes desde Google: las servimos desde nuestro propio dominio, por lo que no se transmite tu IP a Google al usar Vinyala.)*
No vendemos ni cedemos tus datos a terceros con fines comerciales.
≤ 30 días), salvo lo que la ley nos obligue a conservar.
Aplicamos medidas técnicas y organizativas (Art. 32): cifrado en tránsito (HTTPS), contraseñas con *hash*, **aislamiento de datos por usuario mediante reglas a nivel de fila (RLS)** en la base de datos, y control de acceso. Ningún sistema es 100% seguro, pero trabajamos para protegerte.
Vinyala está dirigida a personas de 16 años o más. No recogemos conscientemente datos de menores de esa edad sin el consentimiento de quien ejerza la patria potestad (Art. 8 GDPR). Si crees que un menor nos ha facilitado datos, escríbenos a [[EMAIL_PRIVACIDAD]].
Tienes derecho a: acceso (Art. 15), rectificación (16), **supresión / "derecho al olvido" (17), limitación (18), portabilidad (20), oposición (21) y a retirar el consentimiento** en cualquier momento (sin afectar la licitud previa). También puedes reclamar ante una autoridad de control (en Alemania, la autoridad del *Land* correspondiente; o la de tu país de residencia en la UE).
Cómo ejercerlos: escribe a [[EMAIL_PRIVACIDAD]]. Responderemos en el plazo legal (1 mes, prorrogable). *(En la app habilitaremos además opciones de exportar y **eliminar tu cuenta** directamente.)*
Podemos actualizar esta política; publicaremos la nueva versión con su fecha y, si los cambios son sustanciales (p. ej. nuevos tratamientos), te lo notificaremos.
⚠️ Pendiente legal: confirmar con abogado la clasificación Art. 9 del diario, la
necesidad de DPIA (Art. 35) y de DPO, y los textos de transferencias internacionales
según los proveedores definitivos. Rellenar[[PROVEEDOR_EMAIL]]/[[REGIÓN_EMAIL]].