Información legal
Política de Privacidad
Esta política explica cómo GuVarda procesa datos personales cuando usas la plataforma, incluidas bases legales, conservación y derechos.
Última actualización · versión de política 2026-04-23.1
Responsable del tratamiento
GuVarda es el responsable del tratamiento de los datos descritos en esta política. Para cualquier consulta sobre tus datos puedes contactarnos en [email protected].
Contacto de privacidad
Las solicitudes de privacidad (acceso, rectificación, supresión, oposición, portabilidad) se pueden enviar a [email protected]. Cuando la normativa lo exige designamos un Delegado de Protección de Datos; el punto de contacto actual es [email protected].
Finalidades y bases jurídicas
Tratamos los datos personales para las siguientes finalidades: • Registro de cuenta y autenticación — art. 6(1)(b) RGPD (ejecución de contrato). • Publicación, compartición y moderación de itinerarios, etapas, comentarios y medios — art. 6(1)(b). • Registro del consentimiento para cookies y rastreo — art. 6(1)(c) (obligación legal, RGPD art. 7(1) y ePrivacy art. 5(3)). • Deduplicación anónima del recuento de visualizaciones mediante una huella servidor (hash SHA-256 de IP, user-agent, Accept-Language) — art. 6(1)(f) (interés legítimo en métricas agregadas y prevención de abusos). Conservación: 90 días, tras los cuales la huella se anula. • Analítica de producto mediante Google Analytics 4 — art. 6(1)(a) (consentimiento). Se carga solo tras aceptar la categoría de analítica. • Correo transaccional (verificación, recuperación, avisos de inactividad) mediante Brevo — art. 6(1)(b). • Geocodificación y cálculo de rutas mediante Photon (Komoot) y/o Stadia Maps y Mapbox — art. 6(1)(b). Solo se envían consultas de texto y coordenadas GPS, nunca datos de cuenta. • Sugerencias de IA opcionales en el editor mediante OpenAI o GitHub Models (Microsoft), según la configuración del despliegue — art. 6(1)(b). Solo se envía el texto del borrador que proporcionas para generar la sugerencia. • Registro de auditoría administrativa de acciones privilegiadas — art. 6(1)(f) (interés legítimo en rendición de cuentas).
Categorías de datos tratados
Cuenta: correo electrónico, contraseña hasheada (cuentas locales), identificadores OAuth (Google), nickname, campos de perfil, fecha del último inicio de sesión. Autenticación: metadatos de refresh tokens, metadatos de tokens de verificación de correo. Contenidos: itinerarios (título, slug, descripción, estado), etapas y waypoints (coordenadas), comentarios, me gusta, marcadores, reportes. Medios: avatares, imágenes de etapa y de portada almacenados en object storage. Consentimiento: identificador seudónimo, versión de la política, decisión por categoría, acción, marca temporal, idioma, hash de IP con sal, user-agent. Técnicos: huella anónima servidor (hash), logs de petición sin correo ni PII en claro, trace ids, entradas de admin audit.
Destinatarios y encargados
Empleamos los siguientes encargados para operar el servicio: • Google LLC — Inicio de sesión con Google (autenticación) y, si consientes, Google Analytics 4 (analítica). • Brevo (Sendinblue) — envío de correos transaccionales. • Photon (Komoot, UE) y Stadia Maps — geocodificación. • Stadia Maps y/o Mapbox — cálculo de rutas por carretera. • OpenAI, L.L.C. o GitHub Models (Microsoft) — sugerencias de IA en el editor, según la configuración del despliegue. • MinIO (autoalojado) o AWS S3 — object storage para medios. La lista actualizada con los datos transferidos, país de tratamiento y mecanismo legal se mantiene en el registro interno de encargados y está a disposición de las autoridades de control a requerimiento.
Transferencias internacionales
Algunos encargados indicados se encuentran fuera del Espacio Económico Europeo. En esos casos la transferencia se cubre con garantías adecuadas conforme al art. 46 RGPD, habitualmente Cláusulas Contractuales Tipo (2021/914) y, cuando proceda, el Data Privacy Framework UE-EE.UU. Puede solicitarse una copia de las garantías en [email protected].
Plazos de conservación
Conservamos los datos solo el tiempo necesario para la finalidad perseguida: • Datos de cuenta y perfil — hasta la eliminación de la cuenta o hasta el purgado por inactividad (24 meses sin iniciar sesión → aviso por correo → 30 días de gracia → eliminación definitiva). • Refresh tokens — 30 días tras su expiración. • Tokens de verificación de correo — 7 días tras su expiración. • Registros de consentimiento — 24 meses desde el registro. • Registro de auditoría administrativa — 12 meses. • Huellas anónimas de visualización — 90 días, tras los cuales se anulan; el contador de vistas se mantiene como agregado. • Medios subidos — mientras exista el contenido asociado; al eliminar la cuenta se retiran avatar y medios no referenciados. • Itinerarios publicados tras eliminar la cuenta — permanecen en línea de forma anonimizada (autor mostrado como usuario eliminado) según los Términos del Servicio.
Tus derechos
Tienes derecho a acceder, rectificar, suprimir, limitar, portar tus datos y a oponerte al tratamiento cuando corresponda. Puedes ejercer la mayoría de estos derechos directamente: • Acceso / portabilidad — perfil → Privacidad → «Descargar mis datos». El export es un archivo JSON estructurado. • Rectificación — edición de perfil, más un flujo dedicado de cambio de correo con verificación del nuevo. • Supresión — perfil → Privacidad → «Eliminar mi cuenta». Se requiere doble confirmación. Las consecuencias se describen en los Términos del Servicio. • Retirada del consentimiento de cookies — enlace «Gestionar preferencias de cookies» en el pie y en las páginas legales. Para cualquier solicitud no gestionable en autoservicio escribe a [email protected].
Reclamaciones
Si crees que tus datos han sido tratados de forma indebida puedes presentar reclamación ante tu autoridad de protección de datos. En Italia: Garante per la protezione dei dati personali (https://www.garanteprivacy.it).
Decisiones automatizadas
GuVarda no adopta decisiones exclusivamente automatizadas con efectos jurídicos o similarmente significativos sobre las personas. Las sugerencias de IA del editor son propuestas que revisas y aceptas manualmente.