Política de privacidad

1. Quién es responsable de tus datos (responsable del tratamiento)

El responsable del tratamiento descrito en esta política es:

Lorenzo Pironti (empresario individual / ditta individuale), Viale Partigiani d'Italia 35, 43123 Parma (PR), Italia. NIF/IVA: IT03106290343.

Para todas las cuestiones de privacidad, incluido el ejercicio de tus derechos como interesado, puedes ponerte en contacto con nosotros en privacy@tcgnotify.com.

Delegado de Protección de Datos: no designado (no estamos obligados a designar un DPO en virtud del artículo 37 del RGPD). Representante en la UE (artículo 27 del RGPD): no aplicable, ya que el responsable del tratamiento está establecido en la Unión Europea (Italia). Representante en el Reino Unido: no aplicable.

2. Ámbito de aplicación: sitio web frente a App

Esta política cubre dos superficies muy distintas, y las prácticas de datos difieren en consecuencia.

Sitio web (mínimo). Este sitio web de marketing está concebido para priorizar la privacidad. No ejecuta analíticas, publicidad, píxeles de rastreo ni perfilado por parte de terceros. La única cookie que puede establecer es una cookie de preferencia de idioma estrictamente funcional, y solo cuando cambias de idioma manualmente (véase la Política de cookies).

App. La App de iOS de TCGNotify es un producto basado en cuentas que te ayuda a seguir colecciones de cartas coleccionables, precios y calificaciones, y a recibir alertas. Para ello, la App trata necesariamente más datos personales, todos los cuales se describen a continuación.

3. Datos que tratamos a través del sitio web

No utilizamos ninguna tecnología de analítica, publicidad, rastreo o perfilado en este sitio web.

Preferencia de idioma. Cuando cambias el idioma del sitio manualmente, almacenamos tu elección en una cookie estrictamente funcional denominada NEXT_LOCALE. Contiene únicamente un código de idioma (por ejemplo, «en» o «de»), no contiene datos personales y se utiliza exclusivamente para recordar tu preferencia. No se establece ninguna cookie de este tipo a menos que cambies activamente el idioma.

Seguridad y entrega (Cloudflare). Nuestro sitio web e infraestructura se sirven a través de Cloudflare, que actúa como red de entrega de contenidos y cortafuegos de aplicaciones web. Como parte de la entrega segura de contenidos, Cloudflare puede tratar de forma transitoria datos técnicos de conexión, como tu dirección IP y los metadatos de la solicitud, y puede establecer cookies de seguridad estrictamente necesarias, para proteger frente a ataques y abusos. La base jurídica es nuestro interés legítimo en mantener el servicio seguro y disponible (artículo 6(1)(f) del RGPD).

No elaboramos perfiles de usuario a partir de las visitas al sitio web, ni combinamos los datos del sitio web con los datos de la App.

4. Categorías de datos que tratamos en la App

Según cómo utilices la App, podemos tratar las siguientes categorías de datos personales:

Cuenta y perfil: tu nombre de visualización, las preferencias de perfil y los identificadores de autenticación del proveedor de inicio de sesión que elijas (Apple, Google o Discord).

Dirección de correo electrónico: almacenada de forma cifrada y, además, indexada mediante un hash unidireccional para que podamos localizar una cuenta sin mantener disponible una copia en texto plano para las consultas cotidianas. Si inicias sesión con Apple y eliges «Hide My Email», la dirección que recibimos es una dirección de reenvío anonimizada en @privaterelay.appleid.com — en ese caso no tenemos acceso a tu correo electrónico real y todas las comunicaciones transitan por el servicio de reenvío de Apple.

Tokens push del dispositivo: almacenados de forma cifrada, para que podamos entregarte las alertas que hayas activado.

Datos de la colección: las cartas que añades a tu colección y los ejemplares que posees, incluidos el estado, la cantidad, las imágenes de recibos o comprobantes de compra y tus notas personales.

Lista de deseos: las cartas que deseas adquirir.

Compras y cartera: los precios de compra, las fechas y los datos de valoración de la cartera que registras.

Imágenes de escaneo e incrustaciones de aprendizaje automático: las fotos que tomas para identificar o calificar cartas, y los vectores de características numéricas (incrustaciones) derivados de ellas para la comparación.

Enlaces sociales: cualquier enlace externo de perfil o de mercado que decidas añadir.

Registros de auditoría y seguridad: registros de eventos relevantes para la seguridad, que pueden incluir tu dirección IP, el agente de usuario, las marcas de tiempo y la acción realizada, conservados para proteger tu cuenta y nuestro servicio.

5. Finalidades y bases jurídicas

Tratamos tus datos personales para las siguientes finalidades y sobre las siguientes bases jurídicas en virtud del artículo 6 del RGPD:

Para prestar el servicio (contrato — artículo 6(1)(b)). Crear y mantener tu cuenta, almacenar tu colección y tu lista de deseos, calcular los valores de la cartera y proporcionar las funciones principales que solicitas.

Para mantener el servicio seguro y fiable (interés legítimo — artículo 6(1)(f)). Mantener registros de auditoría, prevenir el fraude y los abusos, depurar errores y proteger nuestra infraestructura. Puedes oponerte a este tratamiento como se describe en tus derechos más abajo.

Para enviar notificaciones (contrato y consentimiento). Las alertas principales relacionadas con el servicio forman parte de la prestación de la App. Los canales de notificación opcionales se pueden desactivar de forma individual por canal, y la función de emparejamiento de intercambios es estrictamente voluntaria. Cuando nos basamos en el consentimiento (artículo 6(1)(a)), puedes retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo a la retirada.

Para identificar y calificar cartas a partir de tus escaneos. Tratar las imágenes de escaneo y las incrustaciones para impulsar el reconocimiento y las estimaciones de calificación, como parte de la prestación de las funciones que utilizas.

No realizamos publicidad, segmentación publicitaria ni decisiones automatizadas que produzcan efectos jurídicos o de similar importancia sobre ti.

6. Subencargados del tratamiento y destinatarios

Utilizamos un pequeño número de subencargados del tratamiento cuidadosamente seleccionados para operar el servicio. No vendemos tus datos personales ni los compartimos con anunciantes. No utilizamos proveedores de analítica de terceros, ni redes publicitarias, ni procesador de pagos en este momento.

Apple Inc. — Finalidad: autenticación Sign in with Apple y notificaciones push a través de APNs. Datos tratados: identificador de Apple ID; tu nombre (solo si decides compartirlo en el primer inicio de sesión); dirección de correo electrónico (tu Apple ID real o, si eliges Hide My Email, una dirección de reenvío anonimizada @privaterelay.appleid.com — en cuyo caso no tenemos acceso al correo real y todas las comunicaciones transitan por el servicio de reenvío de Apple); tokens push del dispositivo. Lugar de tratamiento: EE. UU. Base del transferencia: Cláusulas Contractuales Tipo de la UE y, cuando proceda, Marco de Privacidad de Datos UE–EE. UU. Política de privacidad: https://www.apple.com/legal/privacy/.

Google LLC — Finalidad: autenticación Sign in with Google. Datos tratados: identificador único de cuenta de Google, nombre, dirección de correo electrónico y, cuando esté disponible, imagen de perfil. Lugar de tratamiento: EE. UU. Base del transferencia: Cláusulas Contractuales Tipo de la UE y Marco de Privacidad de Datos UE–EE. UU. Política de privacidad: https://policies.google.com/privacy.

Discord Inc. — Finalidad: inicio de sesión OAuth y notificaciones opcionales por webhook. Datos tratados: identificador de la cuenta de Discord, nombre de usuario, dirección de correo electrónico; para los webhooks que configures, los mensajes de alerta que entregamos a la URL del webhook. Lugar de tratamiento: EE. UU. Base del transferencia: Cláusulas Contractuales Tipo de la UE. Política de privacidad: https://discord.com/privacy.

Resend, Inc. — Finalidad: entrega de correo electrónico transaccional (verificación de cuenta, restablecimiento de contraseña, avisos relativos a la cuenta y al servicio). Datos tratados: dirección de correo electrónico, nombre (cuando se proporcione) y contenido del mensaje transaccional. Lugar de tratamiento: EE. UU. Base del transferencia: Cláusulas Contractuales Tipo de la UE. Política de privacidad: https://resend.com/legal/privacy-policy.

Cloudflare, Inc. — Finalidad: red de entrega de contenidos, cortafuegos de aplicaciones web y túnel seguro para nuestra infraestructura. Datos tratados: metadatos de conexión (dirección IP, cabeceras de solicitud, agente de usuario) tratados de forma transitoria para detectar y mitigar abusos, además de cookies de seguridad estrictamente necesarias. Lugar de tratamiento: red edge distribuida globalmente, incluidos el EEE y EE. UU. Base del transferencia: Cláusulas Contractuales Tipo de la UE cuando proceda. Política de privacidad: https://www.cloudflare.com/privacypolicy/.

Almacenamiento de objetos autoalojado (MinIO) — Finalidad: almacenamiento de las imágenes que subes (recibos, escaneos). Operado en nuestra propia infraestructura dentro del EEE. Ningún subencargado de terceros; las imágenes se almacenan cifradas en reposo y se sirven mediante URL prefirmadas de corta duración.

Observabilidad autoalojada (OpenTelemetry) — Finalidad: registro y trazado operativos para depuración y respuesta ante incidentes. Operado en nuestra propia infraestructura dentro del EEE. Sin analíticas SaaS de terceros.

7. Durante cuánto tiempo conservamos tus datos (conservación)

La eliminación de la cuenta utiliza un periodo de gracia de eliminación reversible de 30 días. Cuando solicitas la eliminación, tu cuenta se desactiva de inmediato y se programa para su eliminación permanente. Transcurridos 30 días, tus datos se eliminan de forma permanente en todos nuestros sistemas mediante eliminación en cascada, salvo los registros limitados que se describen a continuación.

Los enlaces a las imágenes tienen una vida breve. El acceso a tus imágenes almacenadas se concede mediante URL prefirmadas que caducan a los 15 minutos; las imágenes en sí permanecen cifradas en reposo hasta su eliminación.

Los registros de auditoría y seguridad se conservan durante hasta 7 años (el vínculo con tu identidad se anonimiza de forma irreversible tras eliminar tu cuenta) para cumplir nuestras obligaciones legales y de seguridad, y pueden conservarse tras la eliminación de la cuenta en la medida en que sea necesario (véase la página de Eliminación de datos).

Cuando estemos legalmente obligados a conservar determinados registros durante un periodo más largo, conservaremos únicamente lo que exija la ley y durante no más tiempo del necesario.

8. Tus derechos

Con sujeción a las condiciones del RGPD, tienes derecho a:

Acceder y obtener una copia (exportación portátil) de tus datos personales;

Rectificar los datos inexactos o incompletos;

Suprimir tus datos («derecho al olvido»);

Limitar el tratamiento en determinadas circunstancias;

La portabilidad de los datos, para recibir tus datos en un formato estructurado, de uso común y de lectura mecánica;

Oponerte al tratamiento basado en nuestros intereses legítimos; y

Retirar el consentimiento en cualquier momento cuando el tratamiento se base en el consentimiento, sin que ello afecte al tratamiento previo.

Cómo ejercer tus derechos. Puedes ejercer la mayoría de estos derechos directamente en la App (incluidas la exportación y la eliminación de la cuenta). También puedes ponerte en contacto con nosotros en privacy@tcgnotify.com. Es posible que necesitemos verificar tu identidad antes de atender una solicitud.

Derecho a reclamar. También tienes derecho a presentar una reclamación ante una autoridad de control de protección de datos, en particular en el Estado miembro de la UE/EEE de tu residencia habitual, lugar de trabajo o lugar de la supuesta infracción. En Italia, la autoridad competente es el «Garante per la protezione dei dati personali» (Piazza Venezia 11, 00187 Roma; www.garanteprivacy.it). Si te encuentras en el Reino Unido, puedes dirigirte en su lugar a la Oficina del Comisionado de Información (ICO) del Reino Unido.

9. Transferencias internacionales de datos

Algunos de nuestros subencargados del tratamiento (como Apple, Google, Discord, Resend y Cloudflare) pueden tratar datos fuera del Espacio Económico Europeo. Cuando se transfieren datos personales a un país que no ha recibido una decisión de adecuación, nos basamos en las garantías adecuadas previstas en el capítulo V del RGPD, en particular las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea y, cuando proceda, el Marco de Privacidad de Datos UE–EE. UU. (DPF).

Puedes solicitar más información sobre estas garantías poniéndote en contacto con nosotros en privacy@tcgnotify.com.

10. Menores

La App no está dirigida a menores. Debes tener al menos 16 años para crear una cuenta, en consonancia con el artículo 8 del RGPD (con sujeción a cualquier edad inferior establecida por tu Estado miembro).

Si crees que un menor nos ha facilitado datos personales sin el consentimiento adecuado, ponte en contacto con privacy@tcgnotify.com y tomaremos medidas para eliminarlos.

11. Cómo protegemos tus datos (seguridad)

Aplicamos medidas técnicas y organizativas adecuadas al riesgo, entre ellas: el cifrado de los datos sensibles en reposo (como las direcciones de correo electrónico y los tokens del dispositivo); la autenticación sin contraseña y federada (Inicio de sesión con Apple, Google y Discord), de modo que nunca almacenamos contraseñas; el hash unidireccional para las búsquedas de correo electrónico; las URL prefirmadas de vida breve para el acceso a las imágenes; y los controles de acceso y el registro en toda nuestra infraestructura.

Ningún método de transmisión o almacenamiento es completamente seguro, pero trabajamos para proteger tus datos y para responder con prontitud ante cualquier incidente.

12. Cambios en esta política

Podemos actualizar esta Política de privacidad de vez en cuando. Cuando realicemos cambios sustanciales, actualizaremos la fecha de «última actualización» y, cuando proceda, te lo notificaremos en la App.

La versión en lengua inglesa es la versión que prevalece; las traducciones se ofrecen únicamente por comodidad.