Política de privacidad

1. Responsable del tratamiento y contacto

El responsable del tratamiento descrito en esta política es:

• QR-Verse
• Operado desde la Unión Europea
• support@qr-verse.com
• Delegado de Protección de Datos (DPD/DPO): support@qr-verse.com - indique "DPO" en el asunto para que el correo se enrute correctamente.
• Representante en la UE: No designado de forma separada - el responsable está establecido en la Unión Europea, por lo que no se requiere representante conforme al artículo 27.
• Autoridad de control principal: Autoriteit Persoonsgegevens (AP), la autoridad neerlandesa de protección de datos - https://autoriteitpersoonsgegevens.nl. En España, también puede dirigirse a la AEPD: https://www.aepd.es.

2. Categorías de datos personales que tratamos

Solo recopilamos lo necesario para prestar el servicio. Cada categoría a continuación detalla qué guardamos y por qué.

• Datos de cuenta

  Correo electrónico, nombre visible, preferencia de idioma, hash de contraseña (cuando no usa OAuth) e identificadores OAuth de Google o Apple si inicia sesión con ellos.

• Datos de suscripción y facturación

  Identificador de cliente Stripe, plan, estado de la suscripción, historial de facturas, país a efectos de IVA y los 4 últimos dígitos de la tarjeta. Nunca vemos ni almacenamos números completos - lo gestiona Stripe.

• Metadatos de los códigos QR

  Los códigos QR que crea, sus URL de destino (códigos dinámicos), los nombres que les asigna, el tipo (URL, vCard, Wi-Fi, etc.) y los parámetros de estilo elegidos.

• Analítica de escaneos

  Marca de tiempo de cada escaneo, país inferido del IP del escáner (la IP no se almacena), clase de dispositivo (móvil/escritorio/tableta) y familia aproximada del SO. Todas las filas de escaneo están seudonimizadas - no pueden vincularse a una persona identificable.

• Generaciones AI Art

  El prompt que usted envía, los parámetros utilizados (estilo, fuerza ControlNet, seed) y la imagen resultante. Conservados para que pueda volver a descargarlos o regenerarlos. No se utilizan para entrenar modelos de terceros.

• Registros de correo

  Eventos de entrega, rebote, apertura y clic de correos transaccionales y de marketing, devueltos por nuestro proveedor Resend. Usados para monitorización de entregabilidad y supresión de direcciones que rebotan.

• Registro de consentimiento de cookies

  Cuando acepta, rechaza o cambia preferencias de cookies, registramos las categorías elegidas, la consent_version activa y la marca de tiempo. Es la traza de auditoría exigida por el artículo 7(1) del RGPD.

3. Bases legales (artículo 6 del RGPD)

Nos apoyamos en las siguientes bases, vinculadas a las categorías anteriores:

• Ejecución de un contrato (artículo 6(1)(b))

  Datos de cuenta, suscripción y facturación y metadatos QR - sin ellos no podemos prestar el servicio.

• Interés legítimo (artículo 6(1)(f))

  Analítica de escaneos agregada (seguridad, prevención del fraude, planificación de capacidad), registros de errores y trazas de auditoría. Hemos ponderado sus intereses frente a los nuestros y documentado el análisis internamente.

• Consentimiento (artículo 6(1)(a))

  Correos de marketing, cookies no esenciales (analítica, marketing, afiliación) e historial de prompts de AI Art más allá de las sesiones activa. Puede retirar el consentimiento en cualquier momento, con la misma facilidad con la que lo otorgó.

• Obligación legal (artículo 6(1)(c))

  Facturas y datos de suscripción se conservan 7 años para cumplir la legislación fiscal (Belastingdienst neerlandés, artículo 30 del Código de Comercio español y normas equivalentes de los Estados miembros).

4. Destinatarios y encargados del tratamiento

Trabajamos con un grupo reducido de encargados cuidadosamente seleccionados. Tratan los datos solo siguiendo nuestras instrucciones escritas, mediante un Contrato de Encargo de Tratamiento (DPA).

Lista completa de encargados: /legal/subprocessors

5. Transferencias internacionales de datos

La mayor parte de sus datos permanece en la UE. Algunos encargados operan desde Estados Unidos. Para cada transferencia a EE. UU. nos basamos en las Cláusulas Contractuales Tipo (CCT, 2021/914) de la Comisión Europea, firmadas en el correspondiente DPA.

• Stripe (subconjunto de datos de pago) - CCT + medidas complementarias de Stripe.
• Resend (metadatos de correo) - CCT + EU-US Data Privacy Framework (cuando proceda).
• Sentry (trazas de error, depuradas de PII) - CCT + región UE por defecto.
• Impact / pxf.io (cookies de afiliación, solo con consentimiento) - CCT.
• Cloudflare (tránsito edge) - CCT.

No transferimos datos personales a encargados situados en países sin decisión de adecuación, salvo que estén cubiertos por CCT y medidas técnicas complementarias (cifrado en tránsito y en reposo).

6. Plazos de conservación

Conservamos los datos personales solo durante el tiempo necesario. Plazos concretos:

• Cuenta activa

  Indefinido mientras su suscripción o cuenta gratuita esté activa.

• Cuenta eliminada

  Periodo de gracia de 30 días tras solicitar la supresión. Durante ese periodo la cuenta queda suspendida y recuperable. Pasados 30 días se ejecuta la supresión definitiva y se purgan los identificadores.

• Datos de suscripción y facturas

  7 años desde la fecha de la factura. Exigido por la normativa fiscal (Belastingdienst neerlandés, artículo 30 del Código de Comercio español y normas equivalentes de Estados miembros).

• Analítica de escaneos

  Filas crudas: 90 días. A partir de ahí, agregación a contadores día/país y eliminación de los registros detallados.

• Registro de consentimiento de cookies

  12 meses desde la fecha de la decisión. Conforme a las directrices de la CNIL y el EDPB.

• Registros de correo

  24 meses. Usados para monitorización de entregabilidad y supresión de rebotes.

• Copias de seguridad

  Copias cifradas con retención rotativa de 35 días. Si solicita la supresión, no restauraremos sus datos desde copias salvo obligación legal.

7. Sus derechos conforme al RGPD

Tiene los siguientes derechos sobre sus datos personales. La mayoría puede ejercerlos directamente desde su cuenta; para los demás, escriba a support@qr-verse.com - le responderemos en 30 días.

• Derecho de acceso (artículo 15)

  Descargue una copia completa de sus datos en un archivo ZIP.

  Exportar mis datos->

• Derecho de rectificación (artículo 16)

  Corregir datos personales incorrectos.

  Editar perfil->

• Derecho de supresión (artículo 17)

  Eliminar permanentemente su cuenta y datos personales. Periodo de gracia de 30 días para cancelar.

  Eliminar mi cuenta->

• Derecho a la limitación (artículo 18)

  Solicítenos que limitemos el tratamiento mientras se resuelve una reclamación o corrección.

  Escribir a support@qr-verse.com->

• Derecho a la portabilidad (artículo 20)

  Reciba sus datos en formato estructurado y legible por máquina (JSON en ZIP) y transmítalos a otro responsable.

  Exportar mis datos->

• Derecho de oposición (artículo 21)

  Oponerse al tratamiento con fines de marketing o basado en interés legítimo. Los correos de marketing pueden cancelarse directamente.

  Preferencias de correo->

• Derecho a retirar el consentimiento (artículo 7(3))

  Retire el consentimiento de cookies o marketing en cualquier momento. Tan fácil como otorgarlo.

  Preferencias de cookies->

• Derecho a presentar una reclamación (artículo 77)

  Reclame ante la autoridad de control de su Estado miembro. Nuestra autoridad principal es la AP neerlandesa. En España, la AEPD.

  Encontrar su autoridad->

8. Cookies y tecnologías similares

Usamos cuatro categorías de cookies. Solo las Necesarias están activa por defecto; el resto son estrictamente opt-in.

Si añadimos un proveedor o cambiamos la descripción de una categoría, incrementamos CONSENT_VERSION (ver el log de auditoría en /api/account/cookie-consent) y el banner pide el consentimiento de nuevo a todos los visitantes.

9. Medidas de seguridad

Seguimos las prácticas estándar de seguridad de SaaS europeo:

• TLS 1.2+ para todo el tráfico entre usted y nuestro edge (Cloudflare).
• Cifrado en reposo de la base Postgres de Supabase y los buckets de almacenamiento.
• Row-Level Security (RLS) en cada tabla orientada al usuario - cada usuario solo accede a sus propios datos.
• Secretos almacenados en variables de entorno, nunca en control de versiones.
• Alertas Sentry ante errores en tiempo de ejecución, con depuración automática de PII.
• Revisión de pentest en releases mayores; programa de bug bounty disponible - escriba a support@qr-verse.com.
• Copias de seguridad cifradas con AES-256, retención rotativa de 35 días, solo en la UE.
• Autenticación en dos factores obligatoria para cuentas fundadoras y disponible para todos los usuarios.

10. Menores

QR-Verse no está dirigido a menores de 16 años. No recopilamos a sabiendas datos personales de menores de 16. Si es padre, madre o tutor y cree que su hijo o hija ha creado una cuenta, escriba a support@qr-verse.com - eliminaremos la cuenta en 5 días laborables. Donde la legislación local fije una edad superior (p. ej. 16 en NL/DE, 14 en ES según la LOPDGDD), prevalece la edad superior.

11. Cambios en esta política

Cuando realizamos cambios sustanciales:

• Actualizamos la versión y fecha de entrada en vigor en la parte superior de esta página.
• Notificamos por correo a todos los usuarios al menos 30 días antes de la nueva fecha de aplicación.
• Si el cambio afecta a las categorías de cookies, incrementamos CONSENT_VERSION para que el banner vuelva a pedir consentimiento.
• Mantenemos un archivo de versiones anteriores enlazado en la parte superior.

12. Contacto

Para consultas de privacidad, solicitudes de personas interesadas o asuntos del DPO:

Confirmamos las solicitudes en 72 horas y las resolvemos en 30 días, conforme al artículo 12(3) del RGPD.