Política de privacidad
Última actualización: 5 de mayo de 20261. Datos que recopilamos
| Categoría | Ejemplos | Origen |
|---|---|---|
| Cuenta | email, nombre, foto de perfil | Tú · Clerk (proveedor de auth) |
| Tarjeta | nombre público, rol, bio, enlaces, redes sociales | Tú |
| Pago | tokens y últimos 4 dígitos de tarjeta | Stripe (no almacenamos número completo) |
| Uso | vistas a tu tarjeta, leads capturados | Generado por el servicio |
| Técnicos | IP, user-agent, idioma, timestamp | Logs de Cloudflare |
2. Cómo usamos tus datos
- Operar el servicio, autenticar tu cuenta y entregar las funciones.
- Procesar pagos y prevenir fraude (Stripe).
- Comunicaciones transaccionales (recibos, alertas, cambios de servicio).
- Mejorar el producto a partir de métricas agregadas y anonimizadas.
- Cumplir obligaciones legales y proteger derechos.
No vendemos tus datos personales a terceros. No usamos tu contenido para entrenar modelos de IA propios o de terceros.
3. Base legal (GDPR)
- Ejecución de contrato: entregar el servicio que contrataste.
- Interés legítimo: seguridad, prevención de fraude, mejoras de producto agregadas.
- Consentimiento: emails de marketing (opt-in), cookies no esenciales.
- Obligación legal: conservación fiscal, respuestas a autoridades.
4. Compartición con terceros (subprocesadores)
| Proveedor | Propósito | Ubicación |
|---|---|---|
| Cloudflare | Hosting, CDN, base de datos D1, Workers AI | EE. UU. + global edge |
| Clerk | Autenticación de usuarios | EE. UU. |
| Stripe | Procesamiento de pagos | EE. UU. + UE |
| Resend | Envío de emails transaccionales | EE. UU. |
Cada subprocesador tiene su propia política de privacidad y mantenemos acuerdos de tratamiento de datos (DPA) con todos los relevantes para GDPR.
5. Transferencias internacionales
Tus datos pueden procesarse en EE. UU. y en la red edge global de Cloudflare. Para usuarios en la UE/EEE, las transferencias se basan en las Cláusulas Contractuales Estándar (SCCs) de la Comisión Europea.
6. Retención
- Cuenta activa: mientras mantengas la cuenta.
- Tras eliminar la cuenta: 30 días de buffer y luego borrado completo, salvo registros que la ley nos obligue a conservar (facturación: 7 años en EE. UU.).
- Logs técnicos: 90 días.
- Imágenes escaneadas con IA: procesadas en tiempo real, no se almacenan más allá de la sesión.
7. Tus derechos
Según tu jurisdicción, puedes tener derecho a:
- Acceder a tus datos personales.
- Corregirlos si son inexactos.
- Eliminarlos ("derecho al olvido").
- Portabilidad (recibir tus datos en formato estructurado).
- Limitar u oponerte al procesamiento.
- Retirar consentimiento en cualquier momento (sin afectar lo procesado antes).
- Residentes de California (CCPA/CPRA): derecho a saber, eliminar, corregir y opt-out de venta o intercambio (no aplicamos venta de datos).
Para ejercer estos derechos: hola@cardzy.app. Respondemos en un máximo de 30 días.
8. Cookies y almacenamiento local
Usamos:
- localStorage esencial: preferencia de idioma (
cardzy_lang) y tema claro/oscuro (cardzy_theme). No requiere consentimiento por ser estrictamente funcional. - Cookies de Clerk y Stripe esenciales para autenticación y pagos.
- Cookies de analítica: actualmente no usamos trackers de terceros (Google Analytics, Meta Pixel, etc.). Si en el futuro los añadimos, mostraremos un banner de consentimiento.
9. Seguridad
Aplicamos medidas técnicas y organizativas razonables: TLS 1.3 en tránsito, cifrado en reposo (Cloudflare D1), aislamiento multi-tenant en la base de datos, MFA disponible, auditoría de logs. Ninguna medida es 100% infalible; en caso de brecha que afecte tus datos, te notificaremos en línea con las leyes aplicables (incluido GDPR Art. 33-34).
10. Menores
Cardzy no está dirigido a menores de 16 años. No recopilamos datos a sabiendas de menores. Si crees que un menor nos envió datos, contáctanos para eliminarlos.
11. Cambios a esta política
Publicaremos cualquier modificación aquí con la fecha de "Última actualización". Cambios materiales se notificarán por email o en el panel con al menos 7 días de antelación.
12. Contacto · DPO
EA Creative LLC
Miami, Florida, EE. UU.
Email: hola@cardzy.app
Si estás en la UE y no obtienes respuesta satisfactoria, puedes presentar una reclamación ante tu autoridad local de protección de datos.