Saltar al contenido
CardWho
Descargar la app

Legal

Política de privacidad

CardWho está construido con respeto por tu privacidad. Esta política explica, con claridad, qué datos recopilamos, por qué, cómo y cuáles son tus derechos.

Última actualización:

1. ¿A quién aplica esta política?

Esta política se aplica a quienes visitan cardwho.com, juegan a la app móvil CardWho (iOS / Android) o nos contactan a través de nuestros canales.

2. Responsable del tratamiento

«Nosotros» / «CardWho» se refiere a Erik Medya, la entidad que opera el servicio.

  • Razón social: Erik Medya
  • Domicilio social: Kuştepe Mahallesi, Mecidiyeköy Yolu Caddesi No: 12, Trump Tower Planta: 4, Oficina No: 405, Şişli / Estambul, Código postal: 34381, Türkiye
  • Correo electrónico: [email protected]

3. Qué datos recopilamos

3.1. Uso sin cuenta

CardWho puede jugarse sin crear ninguna cuenta. En ese caso no se recopilan datos personales; el progreso del juego se guarda únicamente en tu dispositivo.

3.2. Cuenta opcional

Si quieres sincronizar varios dispositivos, hacer copia en la nube o usar compras en distintos dispositivos, puedes crear una cuenta. En ese caso recopilamos:

  • Correo electrónico (inicio de sesión + contacto)
  • Nombre visible (opcional)
  • Tipo de dispositivo y versión de la app (depuración + compatibilidad)
  • Estadísticas de juego (partidas jugadas, preferencias por categoría) — vinculadas únicamente a tu cuenta

3.3. Datos de compra

Si compras contenido PRO, el pago lo gestiona App Store o Google Play. No vemos ni almacenamos los datos de tu tarjeta. Solo tratamos los tokens que devuelven las tiendas para verificar la compra.

3.4. Datos de contacto

Cuando usas el formulario de contacto, nos llegan tu nombre, correo electrónico, mensaje y tema escogido. Tratamos estos datos para responder a tu petición y, si fuera necesario, hacer seguimiento.

3.5. Datos de uso del sitio

El sitio se sirve a través de Cloudflare. Los registros estándar de servidor (IP, user-agent, URL solicitada, marca de tiempo) se conservan por poco tiempo con fines de seguridad y diagnóstico.

3.6. Registros de seguridad y auditoría

Para proteger tu cuenta y cumplir nuestras obligaciones legales, mantenemos un registro interno de auditoría (audit log) con los eventos relevantes para la seguridad: intentos de inicio de sesión (correctos y fallidos), cambios en la cuenta (registro, actualización de perfil, baja), eventos de suscripción (compra, renovación, cancelación, transferencia, reembolso), acciones de administrador sobre tu cuenta y trabajos de sistema (como las ejecuciones programadas de retención). Cada entrada guarda el nombre de la acción, el tipo de actor (usuario / administrador / sistema), los identificadores de actor y destino, la marca de tiempo, la dirección IP, el user-agent y un payload redactado.

Los valores sensibles nunca se almacenan en texto claro en el payload. Contraseñas, tokens completos de autenticación, datos de tarjetas de pago, direcciones de correo en bruto y otros datos personales se filtran mediante una lista blanca de redacción antes de escribir el registro. Solo se conserva lo necesario para acreditar que el evento ocurrió — no el secreto subyacente.

4. Por qué tratamos los datos (bases jurídicas)

  • Ejecución del contrato (art. 6.1.b RGPD): mantener tu cuenta operativa, verificar compras, sincronizar tus datos.
  • Interés legítimo (art. 6.1.f RGPD): responder a tus consultas, detectar ataques, prevenir fraude, mejorar el producto con datos agregados y no personalizados.
  • Responsabilidad proactiva y registro de auditoría (art. 5.2 y art. 6.1.c y f RGPD): los eventos relevantes para la seguridad se anotan en un registro interno de auditoría para detectar ataques, acreditar que las acciones críticas se han producido (baja de cuenta, intervención de administrador) y cumplir nuestras obligaciones de documentación.
  • Obligación legal (art. 6.1.c RGPD): registros que exigen las leyes fiscales y de consumo.
  • Consentimiento (art. 6.1.a RGPD): si más adelante introducimos funciones opcionales que requieran tu consentimiento expreso.

5. Con quién compartimos los datos

No vendemos tus datos. Solo los compartimos con encargados del tratamiento necesarios para el servicio, vinculados por contrato y por las obligaciones legales aplicables:

  • Apple App Store / Google Play: gestión de las compras.
  • OVH (Francia, Unión Europea): alojamiento de servidores. Tus datos permanecen dentro de la UE.
  • Cloudflare: CDN, protección antibots, Turnstile.
  • RevenueCat (Estados Unidos): orquestación de compras dentro de la app, validación de suscripciones y webhooks de las tiendas. Se le transmiten correo electrónico, nombre visible, fecha de nacimiento, ciudad y código de país para identificar al cliente.
  • Google (Firebase Authentication, Firebase Cloud Messaging): autenticación de cuentas y envío de notificaciones push. Cuando inicias sesión con Apple o Google, su proveedor de identidad correspondiente también procesa la credencial.
  • Sentry (Alemania — UE): telemetría de errores y rendimiento. Se procesan tipo de dispositivo, versión de la app, identificador anónimo de usuario y trazas de error.
  • PostHog (UE): analítica de producto. Se procesan un identificador anónimo de dispositivo/instalación, la versión de la app y eventos de uso dentro de la app; la grabación de sesiones y la localización basada en IP están desactivadas.
  • Autoridades: únicamente bajo requerimiento legal y, cuando sea posible, previa notificación.

6. Plazos de conservación

  • Datos de cuenta: mientras tu cuenta esté activa. Tras una solicitud de borrado, todos los datos se eliminan en un plazo de 30 días.
  • Mensajes de contacto: 12 meses desde el cierre de tu caso.
  • Registros de servidor: 30 días, después se anonimizan o se eliminan.
  • Documentación contable: el plazo legal correspondiente (mínimo 6 años en España conforme al Código de Comercio; más para obligaciones fiscales).

El registro de auditoría se conserva en cuatro plazos diferenciados, depurados automáticamente por una tarea programada:

  • Prueba de baja de cuenta (usuario): 36 meses. Los eventos de baja se conservan en forma anonimizada como prueba de que la baja se ejecutó — art. 5.2 y art. 6.1.c RGPD.
  • Otros eventos de usuario: 12 meses. Inicios de sesión, actualizaciones de perfil, eventos de suscripción y entradas similares — principio de minimización y ventana de investigación de fraude.
  • Eventos de administrador: 24 meses. Auditoría interna y ventana de relevo de equipo para acciones realizadas por administradores sobre cuentas de usuario.
  • Eventos de sistema: 6 meses. Ejecuciones de tareas programadas, salida del cron de retención y registros operativos similares.

7. Tus derechos (RGPD + LOPDGDD)

El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD) te reconocen los siguientes derechos:

  • Acceso a los datos que tratamos sobre ti (art. 15 RGPD).
  • Rectificación de datos inexactos (art. 16 RGPD).
  • Supresión («derecho al olvido», art. 17 RGPD), salvo obligaciones legales en contrario.
  • Limitación del tratamiento (art. 18 RGPD).
  • Portabilidad de tus datos en formato legible por máquina (art. 20 RGPD).
  • Oposición a determinados tratamientos (art. 21 RGPD).
  • No ser objeto de decisiones automatizadas con efectos jurídicos (art. 22 RGPD).
  • Retirar el consentimiento en cualquier momento, sin que afecte al tratamiento previo (art. 7.3 RGPD).
  • Reclamar ante la Agencia Española de Protección de Datos (AEPD, aepd.es) o ante la autoridad de control de tu Estado miembro.

Para ejercer estos derechos, envía un mensaje con el tema «Legal / privacidad» a través del formulario de contacto. Respondemos en un plazo máximo de 30 días.

Cómo eliminar tus datos desde la app: CardWho ofrece dos vías dentro de la app, según hayas iniciado sesión o no. Si no puedes acceder a estas pantallas, envía un mensaje con el asunto «Legal / privacidad» a través del formulario de contacto como vía web alternativa.

  • Miembros con sesión iniciada — abre Perfil → Eliminar cuenta. Tu fila de cuenta en el backend, tu registro de usuario en Firebase, tu perfil de cliente en RevenueCat y tu referencia de usuario en Sentry se eliminan de forma atómica; las entradas del registro de auditoría que te referencian se anonimizan en la misma transacción, como se describe a continuación.
  • Invitados (sin cuenta) — abre Perfil → Eliminar datos de invitado. Tus favoritos, estadísticas, insignias, la bandeja de notificaciones y el token push de FCM asociados a este dispositivo se borran; la app continúa como un nuevo invitado. Las preferencias del dispositivo (idioma, tema, sonido) permanecen porque no son datos personales.

Cómo afecta la supresión al registro de auditoría (art. 17 RGPD): cuando das de baja tu cuenta desde la app o cuando un administrador anonimiza tu cuenta en tu nombre al amparo del art. 17 RGPD, tu fila de cuenta y tus datos personales se eliminan; las entradas de audit log existentes que te referencian se anonimizan en la misma transacción atómica — los identificadores de actor y destino se ponen a NULL y el payload se vacía. El nombre de la acción y la marca de tiempo se conservan como prueba legal, conforme a la obligación de retención. La propia entrada de prueba se borra a los 36 meses mediante la tarea programada descrita en la sección 6.

8. Tus derechos de privacidad en California (CCPA / CPRA)

Si resides en California, la Ley de Privacidad del Consumidor de California (CCPA), modificada por la Ley de Derechos de Privacidad de California (CPRA), te otorga los siguientes derechos:

  • Derecho a saber: qué información personal recopilamos, con qué fines y qué categorías de destinatarios.
  • Derecho a eliminar: pedirnos que eliminemos la información personal que tenemos sobre ti.
  • Derecho a corregir: pedirnos que corrijamos la información personal inexacta.
  • Derecho a oponerte a la «venta» o «compartición»: no vendemos tu información personal y no la compartimos con fines publicitarios conductuales entre contextos.
  • Derecho a no ser discriminado: no te denegaremos el servicio ni te cobraremos un precio diferente por ejercer un derecho.

Para ejercer estos derechos, envíanos un mensaje desde el formulario de contacto con el asunto «Legal / privacidad». Es posible que tengamos que verificar tu identidad antes de atender determinadas solicitudes.

9. Datos de menores

CardWho no se dirige a menores de 14 años. Si tienes menos de 14 años, debes contar con el consentimiento de tus representantes legales. Si detectamos que hemos recopilado datos de menores sin el consentimiento adecuado, los eliminamos sin demora.

10. Transferencias internacionales

Nuestros servidores están en Francia (Unión Europea); la base de datos principal y el alojamiento de archivos permanecen dentro de la UE. Las transferencias a los siguientes encargados implican la salida de los datos de la UE y se realizan al amparo de los artículos 44–49 del RGPD (garantías adecuadas y Cláusulas Contractuales Tipo): RevenueCat (Estados Unidos), Firebase Authentication y Firebase Cloud Messaging (Google, Estados Unidos), Apple App Store (Estados Unidos), Google Play (Estados Unidos). Sentry (Alemania) y PostHog (UE) permanecen dentro de la UE. Estas transferencias se realizan en el marco del acuerdo de tratamiento de datos (DPA) publicado por cada proveedor y de las Cláusulas Contractuales Tipo (CCT) de la UE.

11. Seguridad

Aplicamos medidas estándar de la industria para proteger tus datos frente a accesos no autorizados, pérdidas y alteraciones: tráfico exclusivamente HTTPS, hashing de contraseñas (Argon2id o equivalente), separación de roles, acceso restringido a registros y copias regulares. Ningún sistema es 100 % seguro; ante una brecha confirmada, te avisamos a ti y a las autoridades en los plazos que marca la ley.

12. Cambios

Actualizaremos esta política cuando cambien las leyes o el servicio de forma sustancial. Para cambios importantes, mostraremos un aviso visible en la página de inicio o dentro de la app.

13. Contacto

Para preguntas sobre esta política, contáctanos a través del formulario de contacto o directamente en [email protected].