Política de privacidad
1. Responsable del tratamiento
El responsable del tratamiento de tus datos personales es el equipo de Vextalia (en adelante, «Vextalia» o «nosotros»), titular del sitio web https://vextalia.app y de la aplicación móvil del mismo nombre.
Contacto privacidad: hola@vextalia.app.
2. Datos que tratamos
Recogemos y tratamos los siguientes datos:
- Datos de cuenta: email, nombre de usuario, contraseña (almacenada únicamente como hash bcrypt; nunca en claro), nombre público opcional, biografía, avatar.
- Contenido publicado: looks (fotos), comentarios, reacciones, reportes, retos, valoraciones, búsquedas, perfil público.
- Datos técnicos: dirección IP, user-agent, identificador de dispositivo y token de Firebase Cloud Messaging (FCM) para enviarte notificaciones push, fecha del último inicio de sesión.
- Datos de soporte: comunicaciones que nos envíes por email u otros canales.
- Datos de waitlist: si solicitas acceso a la beta privada antes de registrarte, conservamos el email, motivos opcionales y metadatos asociados.
No recogemos datos especialmente sensibles (origen racial, opiniones políticas, religión, salud, orientación sexual, datos biométricos). Vextalia no está dirigida a menores de 13 años y en España no aceptamos cuentas de menores de 14 (véase sección 8).
3. Finalidades y base legal
- Gestión de la cuenta y prestación del servicio (ejecución del contrato — Art. 6.1.b RGPD): crear y mantener tu cuenta, publicar looks, mostrar tu perfil, social graph, comentarios, reacciones, reportes, bloqueo, eliminación de cuenta.
- Notificaciones push (consentimiento — Art. 6.1.a RGPD): si aceptas el permiso del sistema operativo, usamos el token FCM para enviarte alertas de actividad. Puedes revocarlo en ajustes del dispositivo o desinstalando la app.
- Comunicaciones transaccionales por email (ejecución del contrato): verificación de email, recuperación de contraseña, avisos de seguridad y cambios relevantes del servicio.
- Seguridad y prevención de fraude (interés legítimo — Art. 6.1.f RGPD): conservación de logs de inicio de sesión, IP y user-agent, detección de cuentas duplicadas o abusivas, moderación de contenido.
- Cumplimiento de obligaciones legales (Art. 6.1.c RGPD): atender requerimientos judiciales o administrativos.
4. Destinatarios (encargados del tratamiento)
Para prestar el servicio compartimos datos estrictamente necesarios con los siguientes proveedores, todos sujetos a contrato de encargo del tratamiento:
- Hetzner Online GmbH (Alemania, UE): hospedaje del servidor (datos cifrados en disco, acceso restringido).
- Cloudflare, Inc. (EE.UU.): almacenamiento de imágenes en R2 y red de distribución (
cdn.vextalia.app). - Google Ireland Limited (Irlanda, UE) / Google LLC (EE.UU.): Firebase Cloud Messaging para notificaciones push.
- Resend, Inc. (EE.UU.): envío de emails transaccionales (verificación, recuperación, avisos).
No vendemos ni cedemos tus datos a terceros con fines publicitarios.
5. Transferencias internacionales
Cloudflare, Google y Resend pueden tratar datos en Estados Unidos. Estas transferencias están amparadas por el EU-U.S. Data Privacy Framework (DPF) y, en su defecto, por Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914). Cuando se procesan en la UE (Hetzner, Google Ireland) no hay transferencia internacional.
6. Conservación
- Cuenta activa: mientras mantengas tu cuenta abierta.
- Cuenta eliminada: durante 30 días desde la solicitud de eliminación (ventana de recuperación), tras los cuales tus datos se borran de forma definitiva salvo los que la ley nos exija conservar.
- Logs de seguridad (IP, último login, user-agent): hasta 12 meses desde el evento.
- Backups de base de datos: 30 días máximo en almacenamiento cifrado.
- Comunicaciones legales o fiscales: el plazo legal aplicable (hasta 6 años en España).
7. Tus derechos
Puedes ejercer en cualquier momento los siguientes derechos enviando un email a hola@vextalia.app desde la dirección asociada a tu cuenta:
- Acceso, rectificación y supresión de tus datos.
- Oposición y limitación del tratamiento.
- Portabilidad (te enviaremos una copia en formato JSON / CSV).
- Retirada del consentimiento (no afecta al tratamiento previo a la retirada).
- Reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).
También puedes eliminar tu cuenta tú mismo desde la app (Ajustes → Cuenta → Eliminar cuenta) o desde vextalia.app/delete-account.
8. Edad mínima
Vextalia no está dirigida a menores de 13 años. No diseñamos ni promocionamos el servicio para este público y no recogemos datos personales de menores de 13 años de forma consciente. Si descubrimos que se ha registrado un menor de 13, eliminaremos la cuenta y sus datos asociados.
En España, además, la edad mínima legal para que un usuario pueda registrarse y prestar consentimiento válido al tratamiento de sus datos personales por sí mismo es 14 años, conforme al art. 7 de la LOPDGDD. Por debajo de esa edad sería necesario el consentimiento de los titulares de la patria potestad o tutela, requisito que Vextalia no soporta actualmente, por lo que tampoco aceptamos cuentas de menores de 14 años residentes en España.
9. Seguridad
Aplicamos medidas técnicas y organizativas razonables: cifrado en tránsito (HTTPS/TLS), contraseñas hasheadas con bcrypt, separación de entornos, control de acceso y registros de auditoría. Ningún sistema es totalmente seguro; si detectamos un incidente que afecte a tus datos, te lo notificaremos sin dilación.
10. Cookies
La web pública de Vextalia (vextalia.app) usa únicamente cookies o tecnologías equivalentes estrictamente necesarias (preferencias de sesión, idioma). No usamos cookies de analítica ni publicidad de terceros.
11. Cambios en esta política
Si modificamos esta política te lo notificaremos por email o mediante un aviso en la app antes de que entre en vigor. La versión vigente y su fecha de revisión estarán siempre publicadas en esta página.
12. Contacto
Para cualquier consulta sobre esta política: hola@vextalia.app.