Política de privacidad
Última actualización: 5 de mayo de 20261. Datos que recopilamos
| Categoría | Ejemplos | Origen |
|---|---|---|
| Cuenta | email, nombre, foto de perfil | Tú, a través de nuestro proveedor de autenticación |
| Tarjeta | nombre público, rol, bio, enlaces, redes sociales | Tú |
| Pago | tokens y últimos 4 dígitos de tarjeta | Procesador de pagos certificado PCI-DSS Nivel 1 (no almacenamos el número completo) |
| Uso | vistas a tu tarjeta, contactos capturados | Generado por el servicio |
| Técnicos | IP, user-agent, idioma, timestamp | Logs operativos de la plataforma |
2. Cómo usamos tus datos
- Operar el servicio, autenticar tu cuenta y entregar las funciones.
- Procesar pagos y prevenir fraude a través de un procesador de pagos certificado.
- Comunicaciones transaccionales (recibos, alertas, cambios de servicio).
- Mejorar el producto a partir de métricas agregadas y anonimizadas.
- Cumplir obligaciones legales y proteger derechos.
No vendemos tus datos personales a terceros. No usamos tu contenido para entrenar modelos de IA propios o de terceros.
3. Base legal (GDPR)
- Ejecución de contrato: entregar el servicio que contrataste.
- Interés legítimo: seguridad, prevención de fraude, mejoras de producto agregadas.
- Consentimiento: emails de marketing (opt-in), cookies no esenciales.
- Obligación legal: conservación fiscal, respuestas a autoridades.
4. Compartición con terceros (subprocesadores)
Para operar el servicio trabajamos con un número limitado de proveedores de infraestructura, todos sujetos a Acuerdos de Tratamiento de Datos (DPA) y certificaciones reconocidas (SOC 2 Tipo II, ISO 27001, PCI-DSS según corresponda). Las categorías son:
| Categoría | Propósito | Ubicación |
|---|---|---|
| Infraestructura cloud y CDN | Hosting, base de datos, procesamiento por IA, distribución global | EE. UU. + red edge global |
| Autenticación | Inicio de sesión, gestión de cuentas y sesiones | EE. UU. |
| Procesamiento de pagos | Cobros, gestión de suscripciones (PCI-DSS Nivel 1) | EE. UU. + UE |
| Envío transaccional de emails | Recibos, notificaciones, alertas de cuenta | EE. UU. |
El listado completo y actualizado de subprocesadores específicos está disponible bajo solicitud escribiendo a hola@cardzy.app. Notificaremos cualquier cambio material de subprocesadores por email o en el panel con al menos 30 días de antelación, y tendrás derecho a oponerte.
5. Transferencias internacionales
Tus datos pueden procesarse en EE. UU. y en la red global de nuestros proveedores de infraestructura. Para usuarios en la UE/EEE, las transferencias se basan en las Cláusulas Contractuales Estándar (SCCs) de la Comisión Europea, complementadas con medidas técnicas adicionales (cifrado en tránsito y en reposo).
6. Retención
- Cuenta activa: mientras mantengas la cuenta.
- Tras eliminar la cuenta: 30 días de buffer y luego borrado completo, salvo registros que la ley nos obligue a conservar (facturación: 7 años en EE. UU.).
- Logs técnicos: 90 días.
- Imágenes escaneadas con IA: procesadas en tiempo real, no se almacenan más allá de la sesión.
7. Tus derechos
Según tu jurisdicción, puedes tener derecho a:
- Acceder a tus datos personales.
- Corregirlos si son inexactos.
- Eliminarlos ("derecho al olvido").
- Portabilidad (recibir tus datos en formato estructurado).
- Limitar u oponerte al procesamiento.
- Retirar consentimiento en cualquier momento (sin afectar lo procesado antes).
- Residentes de California (CCPA/CPRA): derecho a saber, eliminar, corregir y opt-out de venta o intercambio (no aplicamos venta de datos).
Para ejercer estos derechos: hola@cardzy.app. Respondemos en un máximo de 30 días.
8. Cookies y almacenamiento local
Usamos:
- localStorage esencial: preferencia de idioma (
cardzy_lang) y tema claro/oscuro (cardzy_theme). No requiere consentimiento por ser estrictamente funcional. - Cookies de terceros estrictamente necesarias establecidas por nuestros proveedores de autenticación y de pagos para mantener tu sesión segura y completar transacciones.
- Cookies de analítica: actualmente no usamos trackers de terceros (Google Analytics, Meta Pixel, etc.). Si en el futuro los añadimos, mostraremos un banner de consentimiento.
9. Seguridad
Aplicamos medidas técnicas y organizativas razonables: cifrado TLS 1.3 en tránsito, cifrado en reposo, aislamiento estricto entre cuentas a nivel de base de datos, autenticación multifactor disponible, auditoría de logs y revisión periódica de accesos. Ninguna medida es 100% infalible; en caso de brecha que afecte tus datos, te notificaremos en línea con las leyes aplicables (incluido GDPR Art. 33-34).
10. Menores
Cardzy no está dirigido a menores de 16 años. No recopilamos datos a sabiendas de menores. Si crees que un menor nos envió datos, contáctanos para eliminarlos.
11. Cambios a esta política
Publicaremos cualquier modificación aquí con la fecha de "Última actualización". Cambios materiales se notificarán por email o en el panel con al menos 7 días de antelación.
12. Contacto · DPO
EA Creative LLC
Miami, Florida, EE. UU.
Email: hola@cardzy.app
Si estás en la UE y no obtienes respuesta satisfactoria, puedes presentar una reclamación ante tu autoridad local de protección de datos.