El responsable del tratamiento de los datos personales recogidos a través de la plataforma KEDADA (en adelante, "la Plataforma") es el operador de la misma (en adelante, "el Responsable"), con domicilio electrónico de contacto en sergiodacal.kedada@gmail.com.
Esta Política de Privacidad se ha redactado de conformidad con:
| Dato | Momento de recogida | Obligatorio | | ------------------------------- | --------------------------- | ----------- | | Dirección de correo electrónico | Registro (vía Google OAuth) | Sí | | Nombre de usuario | Onboarding | Sí | | Fecha de nacimiento | Onboarding | Sí | | Nombre completo | Onboarding | No | | Género | Onboarding | No | | Biografía | Edición de perfil | No | | Intereses | Edición de perfil | No | | Foto de perfil | Edición de perfil | No |
| Dato | Descripción | | -------------------- | ------------------------------------------------------------------------------------------------------------------------------- | | Eventos creados | Título, descripción, categoría, ubicación (dirección y coordenadas del lugar del evento), fecha, hora, restricciones de acceso | | Participaciones | Registro de eventos a los que el usuario se une o de los que está en lista de espera | | Relaciones sociales | Seguimientos (seguir/dejar de seguir a otros usuarios) | | Reseñas | Puntuaciones y comentarios sobre otros participantes | | Denuncias | Motivo y descripción de denuncias realizadas por o contra el usuario | | Historial de eventos | Instantánea de los eventos finalizados en los que el usuario participó, incluyendo la lista de identificadores de participantes |
| Dato | Propósito | | ------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Dirección IP | Limitación de tasa (rate limiting) para prevenir abuso. No se almacena permanentemente; se utiliza como clave temporal en el sistema de caché con un período máximo de vida de minutos | | Identificador de usuario | Registro de eventos del sistema (creación de cuenta, eliminación, suspensiones) con fines de seguridad y auditoría |
Si el usuario acepta cookies de analítica, se recogen los siguientes datos a través de PostHog Cloud EU (servidores en Frankfurt, Alemania):
| Dato | Descripción | Finalidad | | ---------------------- | ---------------------------------------- | ---------------------------------- | | Páginas visitadas | Secciones de la app visitadas | Análisis de experiencia de usuario | | Eventos de interacción | Crear evento, unirse, dejar reseña, etc. | Métricas de producto | | Fuente de adquisición | De dónde viene el usuario | Análisis de canales de captación |
Estos datos se recogen únicamente si el usuario acepta cookies de analítica a través del banner de cookies. La recogida se realiza a través de un proxy inverso, de modo que PostHog nunca recibe la dirección IP real del usuario.
Adicionalmente, se utiliza Plausible Analytics como herramienta de analítica básica sin cookies, que no requiere consentimiento al no recoger datos personales identificables.
A partir de los datos de uso, Kedada puede generar estadísticas anonimizadas y agregadas como:
Estos datos nunca se comparten de forma individual. Siempre se presentan agregados con un mínimo de 50 usuarios por grupo. La base jurídica para este tratamiento es el interés legítimo (art. 6.1.f RGPD).
| Finalidad | Datos tratados | | ------------------------------------- | --------------------------------------------------------- | | Registro y autenticación de usuarios | Email (vía OAuth), fecha de nacimiento, nombre de usuario | | Gestión del perfil de usuario | Nombre, biografía, intereses, avatar | | Creación y gestión de eventos | Título, categoría, ubicación, fecha, hora | | Sistema de seguimiento entre usuarios | Relaciones de seguimiento | | Participaciones en eventos | Registro de asistencia, historial |
| Finalidad | Justificación | | ----------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------- | | Estadísticas anonimizadas y agregadas | Mejora del servicio y análisis de tendencias. Impacto mínimo en la privacidad (datos anonimizados, agregados, sin identificación individual) | | Sistema de reseñas | Transparencia y confianza en la comunidad | | Moderación de contenidos | Seguridad de la plataforma | | Gestión de denuncias | Protección de los usuarios | | Sistema de suspensiones | Seguridad de la comunidad | | Registro de eventos del sistema (log de auditoría) | Seguridad y trazabilidad | | Retención de datos básicos tras eliminación de cuenta | Trazabilidad y cumplimiento legal | | Limitación de tasa (rate limiting) | Protección contra abuso | | Analítica básica de tráfico (Plausible Analytics) | Comprensión del uso del servicio, sin cookies ni datos personales |
El usuario tiene derecho a oponerse al tratamiento basado en interés legítimo en cualquier momento (véase sección 8).
| Finalidad | Cómo se obtiene el consentimiento | | ------------------------------------- | ------------------------------------- | | Cookies de analítica (PostHog) | Banner de cookies al acceder a la app | | Cookies de publicidad (futuro) | Banner de cookies al acceder a la app | | Elaboración de perfiles publicitarios | Casilla opcional durante el registro | | Comunicaciones comerciales por email | Casilla opcional durante el registro |
El usuario puede rechazar estos consentimientos y seguir utilizando la Plataforma normalmente. El consentimiento puede retirarse en cualquier momento desde la página de Configuración de Privacidad en el perfil del usuario.
Los datos personales pueden ser comunicados a los siguientes terceros, exclusivamente en la medida necesaria para el funcionamiento de la Plataforma:
| Proveedor | Servicio | Datos compartidos | Ubicación | | ---------------------------------------- | ------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------- | | Supabase, Inc. | Autenticación (Google OAuth) y base de datos PostgreSQL | Todos los datos almacenados en la base de datos, incluyendo correo electrónico y datos de sesión | Servidores en la UE (según configuración del proyecto) | | Cloudinary Ltd. | Almacenamiento y transformación de imágenes | Fotos de perfil subidas por los usuarios | Infraestructura global con procesamiento en la UE | | Upstash, Inc. | Caché y limitación de tasa (Redis) | Contadores de tasa vinculados al identificador de usuario o dirección IP. Resultados de geocodificación (nombres de lugares, sin datos personales) | Servidores en la UE | | OpenStreetMap Foundation (Nominatim) | Geocodificación (búsqueda de ubicaciones) | Texto de búsqueda de ubicación introducido por el usuario. No se envía ninguna identificación personal | Servidores públicos | | Google LLC | Autenticación OAuth | Correo electrónico y datos básicos del perfil de Google (nombre, foto) durante el flujo de autenticación | Estados Unidos (amparado por el Marco de Privacidad UE-EE.UU.) | | PostHog, Inc. | Analítica de producto (solo con consentimiento) | Eventos de interacción, páginas visitadas. La IP nunca se comparte con PostHog (proxy inverso) | Servidores en la UE (Frankfurt, Alemania) | | Plausible Insights OÜ | Analítica básica de tráfico (sin cookies) | Datos anonimizados de visitas de página. No se recogen datos personales identificables | Servidores en la UE |
No se venden, ceden ni comparten datos personales con terceros con fines comerciales, publicitarios ni de perfilado. Los datos agregados y anonimizados pueden utilizarse para informes de tendencias bajo interés legítimo.
Las transferencias de datos a Google LLC (Estados Unidos) están amparadas por el Marco de Privacidad de Datos UE-EE.UU. (EU-US Data Privacy Framework), de conformidad con la Decisión de Adecuación de la Comisión Europea de 10 de julio de 2023.
Los demás proveedores operan con servidores dentro del Espacio Económico Europeo o en jurisdicciones que ofrecen un nivel adecuado de protección.
| Tipo de dato | Período de conservación | | --------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------- | | Datos del perfil (cuenta activa) | Mientras la cuenta permanezca activa | | Datos de eventos | Mientras el evento esté activo. Tras su finalización, se archiva como instantánea y el evento original se elimina | | Instantáneas de historial | Indefinidamente, como registro histórico para los participantes | | Datos básicos post-eliminación (correo, nombre de usuario, nombre completo) | 12 meses tras la eliminación de la cuenta | | Denuncias | Indefinidamente, como registro de seguridad | | Registros de suspensión | Indefinidamente, como registro de seguridad (incluye correo electrónico) | | Log de auditoría | Indefinidamente, como registro de seguridad | | Cookies de sesión | Hasta el cierre de sesión o expiración del token | | Cookie de idioma | 1 año | | Datos de limitación de tasa (Redis) | Máximo unos minutos (ventana deslizante) | | Caché de geocodificación (Redis) | 7 días |
De conformidad con el RGPD y la LOPDGDD, el usuario tiene los siguientes derechos:
Para ejercer cualquiera de estos derechos, el usuario puede enviar un correo electrónico a sergiodacal.kedada@gmail.com, indicando el derecho que desea ejercer y adjuntando copia de un documento identificativo si fuera necesario para verificar su identidad.
El Responsable responderá en el plazo máximo de 30 días desde la recepción de la solicitud.
Si el usuario considera que el tratamiento de sus datos vulnera sus derechos, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): https://www.aepd.es.
La Plataforma utiliza los intereses y la ubicación del usuario para recomendar eventos relevantes. Este tratamiento se basa en la ejecución del contrato, ya que es necesario para el funcionamiento del servicio.
Si el usuario consiente expresamente (casilla opcional durante el registro), sus datos de uso, preferencias, historial de eventos y ubicación habitual podrán utilizarse para mostrar publicidad personalizada de negocios y servicios relevantes dentro de la app. Sin este consentimiento, el usuario puede ver publicidad genérica (no segmentada) o no ver publicidad en absoluto.
Cada cambio de consentimiento se registra con fecha, hora y tipo en un registro de auditoría inmutable. El usuario puede consultar y modificar sus consentimientos en cualquier momento desde la página de Configuración de Privacidad.
El Responsable aplica medidas técnicas y organizativas adecuadas para proteger los datos personales, incluyendo:
La Plataforma no está dirigida a menores de 18 años. No se recogen intencionadamente datos de menores. Si el Responsable tiene conocimiento de que se han recogido datos de un menor, procederá a su eliminación inmediata.
El Responsable se reserva el derecho de modificar esta Política de Privacidad. Cualquier modificación será notificada a los usuarios registrados, quienes deberán aceptar la versión actualizada para continuar utilizando la Plataforma.
Se recomienda revisar periódicamente esta política.
Para cualquier cuestión relacionada con la protección de sus datos personales:
Correo electrónico: sergiodacal.kedada@gmail.com
El Responsable se compromete a responder en el plazo máximo de 30 días.
