Política de privacidad

1. Descripción general

Selfward ("nosotros" o "nuestro") se compromete a proteger su privacidad. Esta política explica cómo recopilamos, utilizamos, almacenamos y protegemos su información personal y los datos de evaluación de autodescubrimiento cuando utiliza nuestro sitio web, aplicaciones y servicios (colectivamente, el "Servicio"). Tomamos un cuidado especial con los datos sensibles de bienestar y nunca los compartimos con anunciantes ni con terceros con fines de marketing.

2. Responsable del tratamiento de datos

Selfward es el responsable del tratamiento de sus datos personales. Si tiene alguna pregunta sobre cómo manejamos sus datos o desea ejercer sus derechos, puede contactarnos en:

• privacy@selfward.ai
• Delegado de Protección de Datos: privacy@selfward.ai

Representante en la UE/Reino Unido: Si se encuentra en el Espacio Económico Europeo o en el Reino Unido, puede contactar a nuestro representante designado para asuntos de protección de datos en privacy@selfward.ai. Estamos en proceso de designar un representante formal en la UE conforme al Artículo 27 del GDPR y un representante en el Reino Unido conforme al UK GDPR. Hasta que dicha designación se formalice, todas las consultas deben dirigirse a nuestro Delegado de Protección de Datos.

3. Base legal para el tratamiento

Tratamos sus datos personales sobre las siguientes bases legales conforme al Artículo 6 del GDPR:

• Contract Performance: Ejecución del contrato: Tratamiento necesario para proporcionar el Servicio al que se registró (gestión de cuenta, entrega de evaluaciones, generación de informes, procesamiento de pagos).
• Consent: Consentimiento: Cuando usted ha dado su consentimiento explícito, como al suscribirse a comunicaciones opcionales por correo electrónico, participar en nuestro programa de referidos o consentir el uso de cookies.
• Legitimate Interest: Interés legítimo: Tratamiento necesario para nuestros intereses comerciales legítimos, como mejorar la calidad del servicio mediante analíticas anonimizadas, prevención de fraude y garantía de seguridad. Realizamos pruebas de ponderación para asegurar que nuestros intereses no prevalezcan sobre sus derechos.
• Legal Obligation: Obligación legal: Tratamiento requerido para cumplir con las leyes aplicables, como el mantenimiento de registros fiscales, la respuesta a solicitudes legales de las autoridades o las notificaciones de violaciones de datos.

4. Información que recopilamos

Recopilamos las siguientes categorías de información:

Datos de cuenta

• Dirección de correo electrónico (para autenticación y comunicación)
• Nombre de visualización (opcional, para personalización)
• Proveedor de autenticación e información de perfil (si utiliza el inicio de sesión con Google: su nombre, dirección de correo electrónico y foto de perfil según lo autorizado por usted a través de la pantalla de consentimiento OAuth de Google)
• Preferencias y configuraciones de la cuenta

Datos de evaluación

• Sus respuestas a las preguntas de evaluación de autodescubrimiento
• Tiempo dedicado a cada pregunta (para asegurar la calidad de los datos)
• Informes generados, insights de personalidad e historiales de puntuaciones
• Datos de comparación (si participa en comparaciones de relación, con consentimiento mutuo)

Datos de pago

• Registros de transacciones e historial de compras (almacenados por nosotros)
• Detalles de facturación como el tipo de tarjeta y los últimos cuatro dígitos (procesados por Apple App Store o Google Play Store; nunca almacenamos números completos de tarjeta)
• Estado de la suscripción y fechas de renovación

Datos técnicos y de uso

• Dirección IP y geolocalización aproximada (solo a nivel de país/región)
• Tipo de navegador, sistema operativo e información del dispositivo
• Páginas visitadas, funciones utilizadas y duración de la sesión
• Fuente de referencia y parámetros UTM (si llegó a través de un enlace de referido)

5. Cómo utilizamos sus datos

• Para proporcionar el Servicio: generar su perfil personalizado de autodescubrimiento, informes e insights
• Para procesar pagos: gestionar transacciones, suscripciones y reembolsos a través de Apple App Store, Google Play Store y RevenueCat
• Para mejorar el Servicio: analizar datos anonimizados y agregados para mejorar la precisión de las evaluaciones y la experiencia del usuario
• Para comunicarnos con usted: enviar correos electrónicos transaccionales (verificación de cuenta, restablecimiento de contraseña, notificaciones de informes, recibos de pago)
• Para proporcionar soporte al cliente: responder a sus consultas y resolver problemas
• Para garantizar la seguridad: detectar fraude, prevenir abusos y mantener la integridad de la plataforma
• Para cumplir con obligaciones legales: mantener los registros requeridos por las leyes fiscales, de protección al consumidor u otras leyes aplicables
• Para administrar el programa de referidos: rastrear registros de referidos y distribuir créditos de referido (si participa)

7. Seguridad de los datos

Implementamos medidas de seguridad integrales para proteger sus datos:

• Cifrado en reposo: Todos los datos se cifran utilizando cifrado AES-256 en nuestra base de datos (Supabase/PostgreSQL)
• Cifrado en tránsito: Todas las conexiones utilizan cifrado TLS 1.3
• Seguridad a nivel de fila (RLS): Las políticas de base de datos aseguran que solo pueda acceder a sus propios datos
• Registro de auditoría inmutable: Todos los accesos y modificaciones de datos se registran para monitoreo de seguridad
• Pseudonimización de PII: Los identificadores personales sensibles se almacenan en una bóveda separada con control de acceso
• Saneamiento de entradas: Todas las entradas del usuario se validan y sanean para prevenir ataques de inyección
• Limitación de tasa: Los endpoints de API tienen limitación de tasa para prevenir abusos
• Evaluaciones de seguridad regulares: Realizamos revisiones periódicas de nuestra postura de seguridad

Notificación de violación de datos: En caso de una violación de datos personales que suponga un riesgo para sus derechos y libertades, notificaremos a la autoridad de supervisión correspondiente dentro de las 72 horas y le notificaremos sin demora indebida, conforme a los Artículos 33 y 34 del GDPR.

8. Compartición de datos y servicios de terceros

Solo compartimos sus datos con los siguientes proveedores de servicios, exclusivamente para los fines descritos a continuación. No vendemos sus datos personales a nadie.

Nuestros subencargados:

• RevenueCat (San Francisco, EE. UU.): Gestión de suscripciones y procesamiento de pagos a través de Apple App Store y Google Play Store. RevenueCat gestiona los estados de suscripción y la validación de compras. Nunca reciben sus datos de evaluación. Privacidad: https://www.revenuecat.com/privacy
• Anthropic (San Francisco, EE. UU.): Generación de informes con AI. Anthropic recibe puntuaciones de evaluación anonimizadas para generar sus informes. Los datos se procesan de forma transitoria y no se retienen para entrenamiento. Privacidad: https://www.anthropic.com/privacy
• Supabase (San Francisco, EE. UU.): Alojamiento de base de datos y autenticación. Todos sus datos de cuenta y evaluación se almacenan en la infraestructura de Supabase con cifrado en reposo. Privacidad: https://supabase.com/privacy
• Resend (EE. UU.): Entrega de correos electrónicos transaccionales. Resend recibe su dirección de correo electrónico para entregar notificaciones de cuenta, alertas de informes y restablecimiento de contraseñas. Privacidad: https://resend.com/legal/privacy-policy
• Vercel (San Francisco, EE. UU.): Alojamiento de la aplicación web. Vercel aloja nuestra aplicación web y procesa solicitudes HTTP, que pueden incluir direcciones IP e información del navegador. Privacidad: https://vercel.com/legal/privacy-policy
• PostHog (San Francisco, EE. UU.): Analíticas de producto respetuosas con la privacidad. PostHog recibe eventos de uso anonimizados (vistas de pantalla, uso de funciones, métricas de rendimiento). No enviamos información de identificación personal ni datos de evaluación a PostHog. Privacidad: https://posthog.com/privacy
• Expo / EAS (EE. UU.): Infraestructura de compilación de aplicaciones móviles y entrega de notificaciones push. Expo recibe tokens de notificaciones push para entregar las notificaciones a las que ha optado. Expo no recibe sus datos de evaluación. Privacidad: https://expo.dev/privacy

También podemos divulgar sus datos si lo requiere la ley, una orden judicial o una solicitud gubernamental, o si es necesario para proteger los derechos, la propiedad o la seguridad de Selfward, nuestros usuarios u otros.

9. Transferencias internacionales de datos

Nuestros proveedores de servicios se encuentran principalmente en Estados Unidos. Si se encuentra en el Espacio Económico Europeo (EEE), el Reino Unido o Suiza, sus datos pueden ser transferidos y procesados en Estados Unidos. Aseguramos que existen salvaguardas adecuadas para dichas transferencias, incluyendo Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, y nuestros procesadores mantienen medidas de protección de datos adecuadas. Supabase, RevenueCat, Anthropic y Vercel ofrecen acuerdos de procesamiento de datos que incluyen CCT para transferencias internacionales.

10. Cookies, seguimiento y analíticas

Utilizamos solo cookies esenciales necesarias para que el Servicio funcione (autenticación, gestión de sesiones, preferencias). No utilizamos redes publicitarias, píxeles de seguimiento ni cookies de seguimiento entre sitios. Sus datos de autodescubrimiento nunca se utilizan con fines publicitarios. Para obtener detalles completos sobre nuestro uso de cookies, consulte nuestra Política de Cookies.

No rastrear: Respetamos las señales del navegador "No rastrear" (DNT). Cuando detectamos una señal DNT, no realizamos ningún seguimiento más allá de lo estrictamente necesario para que el Servicio funcione.

11. Sus derechos

Según su ubicación, tiene los siguientes derechos respecto a sus datos personales:

Derechos bajo el GDPR (residentes del EEE/Reino Unido)

• Derecho de acceso (Artículo 15): Solicitar una copia de todos los datos personales que tenemos sobre usted
• Derecho de rectificación (Artículo 16): Corregir datos personales inexactos o incompletos
• Derecho de supresión (Artículo 17): Solicitar la eliminación de sus datos personales ("derecho al olvido")
• Derecho a la portabilidad de datos (Artículo 20): Recibir sus datos en un formato estructurado, de uso común y lectura mecánica (JSON). Puede exportar sus datos en cualquier momento desde la configuración de su cuenta.
• Derecho a la limitación del tratamiento (Artículo 18): Solicitar que limitemos cómo procesamos sus datos
• Derecho de oposición (Artículo 22): Oponerse al tratamiento basado en intereses legítimos
• Derecho a retirar el consentimiento: Cuando el tratamiento se basa en el consentimiento, puede retirarlo en cualquier momento sin afectar la licitud del tratamiento anterior
• Derecho a presentar una reclamación: Tiene derecho a presentar una reclamación ante su autoridad de protección de datos local

Derechos bajo CCPA/CPRA (residentes de California)

• Derecho a saber: Solicitar la divulgación de las categorías y piezas específicas de información personal que recopilamos, usamos y compartimos
• Derecho a eliminar: Solicitar la eliminación de su información personal
• Derecho a optar por no participar en la venta: No vendemos su información personal. No hay nada de lo que optar por no participar.
• Derecho a la no discriminación: No le discriminaremos por ejercer sus derechos bajo la CCPA
• Derecho a corregir: Solicitar la corrección de información personal inexacta

Categorías de información personal que recopilamos: Identificadores (correo electrónico, nombre), actividad en internet (datos de uso), información profesional (respuestas de evaluación de carrera) e información personal sensible (respuestas de cribado de salud mental). No compartimos ni vendemos ninguna de estas categorías a terceros para publicidad conductual entre contextos.

Derechos bajo otras leyes estatales de privacidad de EE. UU.

• Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Oregón (OCPA), Texas (TDPSA) y otros estados con leyes de privacidad de datos del consumidor otorgan a sus residentes derechos similares, incluyendo el derecho a acceder, corregir, eliminar y obtener una copia de los datos personales, y el derecho a optar por no participar en la venta de datos personales, la publicidad dirigida y la elaboración de perfiles.
• Selfward no vende datos personales, no participa en publicidad dirigida y no elabora perfiles de usuarios para decisiones que produzcan efectos legales o similarmente significativos. Por lo tanto, no hay nada de lo que optar por no participar bajo estas leyes.
• Si es residente de cualquier estado de EE. UU. con una ley de privacidad de datos del consumidor y desea ejercer sus derechos, contáctenos en privacy@selfward.ai. Si rechazamos su solicitud, puede apelar enviando un correo electrónico a privacy@selfward.ai con el asunto "Apelación de derechos de privacidad" y responderemos dentro del plazo legalmente requerido.

Para ejercer cualquiera de estos derechos, contáctenos en privacy@selfward.ai o utilice las funciones de exportación/eliminación de datos en la configuración de su cuenta. Responderemos a las solicitudes verificables dentro de 30 días (GDPR) o 45 días (CCPA/leyes estatales).

12. Programa de referidos y aviso de incentivos financieros

Selfward ofrece un programa de referidos donde los usuarios existentes pueden invitar a otros a probar el Servicio. Cuando participa:

• Recopilamos: su código de referido único, las direcciones de correo electrónico o identificadores de las personas que se registran a través de su enlace, y la actividad de compras vinculada a su referido
• Tanto el referente como el referido pueden recibir un crédito de $3 tras la compra calificante del referido
• El valor del incentivo financiero ($3) está razonablemente relacionado con el valor de los datos proporcionados, basado en el costo de adquisición de clientes
• Puede optar por no participar en el programa de referidos en cualquier momento contactándonos, y los créditos no utilizados permanecerán en su cuenta
• Las autorreferencias están prohibidas y se bloquean automáticamente

13. Retención de datos

Retenemos sus datos según el siguiente calendario:

• Datos de cuenta: Se retienen mientras su cuenta esté activa, más 30 días después de la solicitud de eliminación
• Respuestas de evaluación e informes: Se retienen mientras su cuenta esté activa. Se eliminan dentro de los 30 días posteriores a la eliminación de la cuenta.
• Registros de pago: Se retienen durante 7 años después de la fecha de la transacción, según lo requieren las regulaciones fiscales y financieras
• Registros de auditoría: Se retienen durante 3 años para fines de seguridad y cumplimiento
• Datos anonimizados y agregados: Pueden retenerse indefinidamente para investigación y mejora del servicio. Estos datos no pueden vincularse a ningún individuo.
• Datos de referidos: Se retienen durante 2 años después del evento de referido, o hasta la eliminación de la cuenta, lo que ocurra primero

Cuando elimina su cuenta, iniciamos la eliminación permanente de todos sus datos personales dentro de los 30 días. Algunos datos pueden persistir en copias de seguridad cifradas hasta 90 días antes de ser purgados. Los datos que estamos legalmente obligados a retener (por ejemplo, registros de pago para cumplimiento fiscal) se retendrán durante el período legalmente obligatorio y luego se eliminarán.

14. Privacidad de menores

Selfward no está dirigido a usuarios menores de 18 años. No recopilamos conscientemente información personal de menores de 18 años. Si usted es padre, madre o tutor y cree que su hijo/a nos ha proporcionado datos personales, contáctenos inmediatamente en privacy@selfward.ai y eliminaremos los datos en un plazo de 48 horas. Si descubrimos que hemos recopilado inadvertidamente datos de un menor de 18 años, los eliminaremos de inmediato.

15. Cambios en la política

Podemos actualizar esta política de vez en cuando para reflejar cambios en nuestras prácticas, tecnología, requisitos legales u otras razones operativas. Para cambios sustanciales, le notificaremos con al menos 30 días de antelación por correo electrónico a la dirección asociada con su cuenta y mediante un aviso destacado en nuestro sitio web. El uso continuado del Servicio después de la fecha efectiva de los cambios constituye la aceptación de la política actualizada. Le recomendamos revisar esta política periódicamente.