Política de Privacidad

⚠️ Borrador pendiente de revisión legal. Este documento es una plantilla base adaptada a UMBRA pero requiere revisión por un abogado especializado en protección de datos antes de su publicación. Los puntos marcados con [REVISAR] deben completarse o validarse.

En UMBRA respetamos tu privacidad. Esta política explica qué datos personales recogemos cuando usas nuestro servicio, para qué los usamos, con quién los compartimos y qué derechos tienes sobre ellos.

1. Quién es el responsable del tratamiento

El responsable del tratamiento de tus datos personales es:

Denominación social: [NOMBRE LEGAL DE CFX STUDIO]
NIF/CIF: [CIF]
Domicilio social: [DIRECCIÓN COMPLETA]
Email de contacto: privacidad@cfx.studio
Delegado de Protección de Datos (DPO): [NOMBRE / CONTACTO si aplica · obligatorio si tratas datos a gran escala]

2. Qué datos recogemos

Solo recogemos los datos imprescindibles para que UMBRA funcione bien y para cumplir nuestras obligaciones legales:

Datos que tú nos das directamente

Cuenta: email, nombre de usuario, contraseña cifrada.
Perfil: avatar opcional, biografía opcional, idioma preferido.
Pagos: datos de tarjeta procesados por [NOMBRE DEL PROVEEDOR DE PAGOS, p. ej. Stripe]. UMBRA no almacena tu número de tarjeta — solo guardamos los últimos 4 dígitos y la marca (Visa/Mastercard/etc.) para identificación.
Comunicaciones con soporte: el contenido de tus mensajes cuando nos escribes.

Datos que se generan al usar el servicio

Audio en tránsito: tu voz pasa por nuestros servidores SFU pero no se graba, salvo que tú actives explícitamente la grabación para una sesión concreta.
Metadatos mínimos: en qué sala entraste, cuándo, quién hizo whisper a quién (para que el líder de la org tenga visibilidad).
Datos técnicos: dirección IP, tipo de navegador, sistema operativo, identificador de dispositivo, logs de errores para diagnóstico.
Cookies y tecnologías similares: ver sección Cookies.

💡 Voz no grabada. Nuestro modelo de negocio NO depende de procesar el contenido de tus conversaciones. La voz pasa por el SFU y se reenvía a los otros miembros de la sala, pero no se guarda.

3. Para qué los usamos

Prestar el servicio: crear y gestionar tu cuenta, autenticarte, dar acceso a las salas y funcionalidades de UMBRA.
Cobrar suscripciones: procesar pagos en lingotes/EUR/USD según tu plan.
Soporte: responder a tus preguntas y resolver incidencias.
Mejorar el producto: entender qué funciona y qué no, de forma agregada (sin identificarte individualmente).
Seguridad: detectar y prevenir abusos, bots, fraude.
Cumplir obligaciones legales: facturación, prevención de blanqueo, requerimientos judiciales válidos.

4. Base legal del tratamiento

Tratamos tus datos amparados en las siguientes bases jurídicas del RGPD:

Ejecución de un contrato (Art. 6.1.b) — para prestarte el servicio que has contratado.
Cumplimiento de obligaciones legales (Art. 6.1.c) — facturación, fiscalidad, prevención de fraude.
Interés legítimo (Art. 6.1.f) — seguridad, mejora del producto, prevención de abuso, marketing directo a clientes existentes.
Consentimiento (Art. 6.1.a) — cookies analíticas, comunicaciones de marketing si has dicho que sí, grabaciones opt-in.

5. Cuánto tiempo guardamos los datos

Tipo de dato	Plazo
Cuenta activa	Mientras tengas la cuenta abierta
Cuenta cerrada por ti	Eliminada en 30 días (datos legales obligatorios se conservan según ley)
Datos de facturación	6 años (Art. 30 Código de Comercio)
Logs técnicos	90 días
Cookies	Ver tabla en sección Cookies

6. Con quién compartimos los datos

No vendemos tus datos. Nunca. Solo los compartimos con:

Proveedores que nos prestan servicio: hosting ([Fly.io / AWS / GCP — el que sea]), procesador de pagos ([Stripe u otro]), email transaccional, monitoring. Todos con contratos de encargo del tratamiento conformes al RGPD.
Autoridades: solo si nos lo exige una orden judicial válida o una obligación legal.

7. Transferencias internacionales

[REVISAR según proveedores que uséis]. Algunos de nuestros proveedores están fuera del Espacio Económico Europeo (EEE). En esos casos:

O bien el país tiene una decisión de adecuación de la Comisión Europea.
O bien aplicamos Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión.

8. Tus derechos

En cualquier momento puedes ejercer estos derechos enviándonos un email a privacidad@cfx.studio:

Acceso — saber qué datos tenemos tuyos.
Rectificación — corregir datos inexactos.
Supresión — pedirnos que borremos tus datos (con los límites legales aplicables).
Limitación — pedir que limitemos cómo los usamos.
Oposición — oponerte a tratamientos basados en interés legítimo.
Portabilidad — recibir tus datos en formato estructurado para llevártelos.
Revocar consentimiento — en cualquier momento, sin perjuicio de la legalidad del tratamiento previo.

Si crees que no respetamos tus derechos, puedes presentar reclamación ante la Agencia Española de Protección de Datos (AEPD) en aepd.es.

9. Menores de edad

UMBRA está dirigido a personas mayores de 14 años (edad mínima para consentir el tratamiento de datos según el RGPD-LOPDGDD en España). Si eres menor de 14, necesitas el consentimiento de tus padres o tutores legales. Si detectamos que un menor de 14 ha creado una cuenta sin ese consentimiento, la suspenderemos.

10. Cookies

Usamos cookies y tecnologías similares para que el servicio funcione, recordar tu sesión y entender el uso del producto. Tienes los detalles completos y opciones de configuración en nuestra Política de Cookies.

11. Cambios en esta política

Si actualizamos esta política, te avisaremos por email o mediante un aviso destacado en la app antes de que los cambios entren en vigor. La fecha de "Última actualización" arriba refleja la versión vigente.

12. Contacto

Para cualquier duda sobre privacidad o para ejercer tus derechos:

Email: privacidad@cfx.studio
Correo postal: [DIRECCIÓN COMPLETA]