Política de Privacidad
Última actualización: 2 de noviembre de 2025
1. Responsable del Tratamiento de Datos
De conformidad con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPD), el responsable del tratamiento de tus datos personales es:
- Nombre: Francisco Javier Guerra Castañeda (persona física)
- Sitio web: https://adivinalabandera.com
- Email de contacto: fguerra.code@gmail.com
Nota importante: Este sitio web es un proyecto personal desarrollado y gestionado por una persona física (no una empresa), con fines educativos y de entretenimiento.
2. Datos que Recopilamos
2.1. Datos Proporcionados Directamente por Ti
Cuando creas una cuenta mediante Google OAuth, recopilamos:
- Email: Para identificación y contacto
- Nombre completo (Display Name): Proporcionado por Google
- Avatar (URL de imagen): Proporcionado por Google
- ID de Google: Para autenticación
2.2. Datos Generados por el Uso del Servicio
Al usar el sitio, recopilamos:
- Nombre de usuario (Username): Autogenerado o personalizado por ti
- Puntuaciones de juegos: Score, número de preguntas, modo de juego
- Fecha de registro: Timestamp de creación de cuenta
- Fecha de personalización de username: Timestamp cuando cambiaste tu username
- Preferencias de usuario: Configuración de sonido, volumen
- Datos de progreso: Estado temporal del juego durante el inicio de sesión
2.3. Datos Técnicos Recopilados Automáticamente
Mediante cookies y servicios de terceros:
- Cookies de sesión: Para mantener tu sesión iniciada (Supabase Auth)
- localStorage/sessionStorage: Para preferencias y estado temporal
- Métricas de uso: Pageviews, dispositivo, rendimiento web (Vercel Analytics - privacy-first)
Ver nuestra Política de Cookies para más información.
2.4. Datos que NO Recopilamos
- Contraseñas: Usamos Google OAuth, no almacenamos contraseñas
- Datos de pago: El servicio es actualmente gratuito
- Datos sensibles: No recopilamos datos de salud, orientación sexual, religión, etc.
- Geolocalización precisa: No rastreamos tu ubicación
- Tracking cross-site: No usamos cookies de publicidad o tracking de terceros
3. Base Legal del Tratamiento
Tratamos tus datos personales bajo las siguientes bases legales:
| Dato | Base Legal | Propósito |
|---|---|---|
| Email, Nombre, Avatar (OAuth) | Consentimiento | Creación de cuenta y autenticación |
| Username, Puntuaciones | Ejecución de contrato | Provisión del servicio (juego + rankings) |
| Preferencias (sonido, volumen) | Consentimiento | Personalización de experiencia |
| Cookies necesarias (sesión) | Interés legítimo | Funcionamiento técnico esencial |
| Analytics (Vercel) | Interés legítimo | Mejora del servicio (privacy-first, sin PII) |
4. Finalidad del Tratamiento
Usamos tus datos personales para:
4.1. Provisión del Servicio
- Crear y gestionar tu cuenta de usuario
- Permitir inicio de sesión mediante Google OAuth
- Guardar y mostrar tus puntuaciones
- Generar tablas de clasificación (leaderboards)
- Recordar tus preferencias de usuario
4.2. Mejora del Servicio
- Entender cómo se usa el sitio (analytics agregados)
- Identificar errores y problemas técnicos
- Optimizar rendimiento y experiencia de usuario
4.3. Comunicación (Limitada)
- Responder a consultas que envíes por email
- Notificar cambios importantes en el servicio o políticas (en casos excepcionales)
No usamos tus datos para:
- Marketing o publicidad
- Venta o alquiler a terceros
- Perfiles automatizados o decisiones basadas únicamente en algoritmos
- Comunicación comercial no solicitada (spam)
5. Destinatarios de los Datos (Terceros)
Tus datos pueden ser compartidos con los siguientes servicios de terceros necesarios para el funcionamiento del sitio:
5.1. Supabase (Autenticación y Base de Datos)
- Servicios: Autenticación OAuth, almacenamiento de base de datos
- Ubicación: Estados Unidos (servidores en AWS)
- Política de Privacidad: supabase.com/privacy
- Garantías: Cláusulas contractuales tipo (SCC) para transferencias internacionales
- Datos compartidos: Email, nombre, avatar, ID de usuario, puntuaciones
5.2. Vercel (Hosting y Analytics)
- Servicios: Alojamiento web, analytics privacy-first, métricas de rendimiento
- Ubicación: Estados Unidos
- Política de Privacidad: vercel.com/legal/privacy-policy
- Garantías: Cumplimiento GDPR
- Datos compartidos: Pageviews, Web Vitals (agregados, sin PII)
5.3. Google (OAuth Provider)
- Servicios: Autenticación mediante Google Sign-In
- Ubicación: Estados Unidos
- Política de Privacidad: policies.google.com/privacy
- Datos compartidos: Email, nombre, avatar (proporcionados por Google al autenticarte)
Nota: NO vendemos, alquilamos ni compartimos tus datos con terceros para fines de marketing o publicidad.
6. Transferencias Internacionales de Datos
Al usar servicios de terceros con servidores en Estados Unidos (Supabase, Vercel, Google), tus datos pueden ser transferidos fuera del Espacio Económico Europeo (EEE).
Garantías aplicadas:
- Cláusulas Contractuales Tipo (SCC): Aprobadas por la Comisión Europea
- Marcos de adecuación: Cumplimiento del Data Privacy Framework (DPF) cuando aplique
- Certificaciones: Proveedores certificados en ISO 27001 y SOC 2
Tienes derecho a solicitar información sobre las garantías específicas aplicadas a las transferencias.
7. Plazo de Conservación de los Datos
| Dato | Plazo de Conservación |
|---|---|
| Cuenta activa | Mientras la cuenta esté activa y no solicites eliminación |
| Puntuaciones | Conservadas permanentemente mientras la cuenta esté activa |
| Datos de perfil | Hasta eliminación de cuenta |
| Preferencias (localStorage) | Hasta que borres cookies/caché del navegador |
| Cuenta eliminada | Datos anonimizados inmediatamente; backups eliminados en 30 días |
| Cookies de sesión | Duración de la sesión o 7 días (lo que ocurra primero) |
| Logs del servidor | Máximo 30 días |
Importante: Este es un proyecto personal sin equipo de DBA dedicado. Aunque me comprometo a eliminar tus datos según lo solicitado, pueden existir backups temporales durante un período de hasta 30 días.
8. Tus Derechos como Usuario (GDPR)
Bajo el RGPD, tienes los siguientes derechos:
8.1. Derecho de Acceso
Puedes solicitar una copia de todos los datos personales que tenemos sobre ti.
8.2. Derecho de Rectificación
Puedes corregir datos inexactos o incompletos (p.ej., cambiar tu username).
8.3. Derecho de Supresión ("Derecho al Olvido")
Puedes solicitar la eliminación completa de tu cuenta y datos asociados.
Cómo ejercerlo:
- Desde la configuración de tu cuenta (botón "Eliminar cuenta")
- Enviando email a fguerra.code@gmail.com
Tiempo de respuesta: Máximo 30 días
8.4. Derecho de Portabilidad
Puedes solicitar una exportación de tus datos en formato JSON estructurado.
Incluye: Perfil, puntuaciones, estadísticas, preferencias
Cómo ejercerlo:
- Desde la configuración (botón "Exportar mis datos")
- Enviando email a fguerra.code@gmail.com
8.5. Derecho de Oposición
Puedes oponerte al tratamiento de tus datos para ciertos propósitos (p.ej., analytics).
8.6. Derecho de Limitación
Puedes solicitar que restrinjamos el uso de tus datos bajo ciertas circunstancias.
8.7. Derecho a Retirar el Consentimiento
Puedes retirar tu consentimiento en cualquier momento (p.ej., eliminando tu cuenta).
Importante: Algunos derechos tienen excepciones legales. Responderemos a tu solicitud explicando las acciones tomadas o las razones legales para no poder cumplirla.
8.8. Derecho a Reclamar ante Autoridad
Si consideras que tus derechos no han sido respetados, puedes presentar una reclamación ante:
- España: Agencia Española de Protección de Datos (AEPD) - www.aepd.es
- UE: Autoridad de protección de datos de tu país
9. Medidas de Seguridad
Como proyecto personal, implemento las siguientes medidas de seguridad:
Medidas Técnicas:
- Autenticación mediante OAuth: No almacenamos contraseñas
- HTTPS: Todas las comunicaciones cifradas con TLS
- Acceso restringido a BD: Solo el responsable tiene acceso directo
- Tokens de sesión seguros: HTTPOnly, Secure, SameSite cookies
- Validación de entrada: Filtro de profanidad, sanitización de datos
Medidas Organizativas:
- Principio de minimización: Solo recopilamos datos estrictamente necesarios
- Backups cifrados: Copias de seguridad con acceso restringido
- Logs limitados: Retención de logs máximo 30 días
Limitaciones de Seguridad:
Como proyecto personal sin equipo dedicado de seguridad:
- No hay auditorías de seguridad profesionales regulares
- El responsable gestiona la seguridad de forma individual
- Puede haber vulnerabilidades no detectadas
Recomendaciones para ti:
- Usa Google OAuth (más seguro que contraseñas locales)
- No compartas tu sesión con terceros
- Reporta cualquier problema de seguridad a fguerra.code@gmail.com
10. Menores de Edad
Este servicio NO está dirigido a menores de 13 años.
Si eres padre/madre/tutor y descubres que tu hijo menor de 13 años ha creado una cuenta, contacta inmediatamente a fguerra.code@gmail.com para eliminarla.
Para usuarios entre 13 y 18 años, se recomienda el consentimiento parental para crear una cuenta, aunque no es técnicamente requerido por el sitio.
11. Cambios en esta Política de Privacidad
Me reservo el derecho de actualizar esta Política de Privacidad en cualquier momento para reflejar:
- Cambios en la legislación aplicable
- Nuevas funcionalidades del sitio
- Cambios en servicios de terceros
- Mejoras en prácticas de privacidad
Notificación de cambios:
- Cambios menores: Actualización de fecha "Última actualización" en esta página
- Cambios materiales: Aviso destacado en la página principal durante al menos 7 días
Se recomienda revisar esta política periódicamente. El uso continuado del servicio tras cambios constituye aceptación de la política actualizada.
12. Cookies y Tecnologías Similares
Para información detallada sobre cookies, localStorage, sessionStorage y tecnologías de tracking, consulta nuestra Política de Cookies.
Resumen:
- Cookies necesarias: Siempre activas (sesión, autenticación)
- Cookies analíticas: Vercel Analytics (privacy-first, sin PII)
- Control: Puedes gestionar preferencias en Configuración de Cookies
13. Contacto y Ejercicio de Derechos
Para cualquier consulta sobre esta política o para ejercer tus derechos GDPR:
Email: fguerra.code@gmail.com
Información requerida para solicitudes:
- Asunto: "Ejercicio de derecho GDPR - [Tipo de derecho]"
- Tu email asociado a la cuenta
- Descripción clara de tu solicitud
- Verificación de identidad (cuando sea necesario)
Tiempo de respuesta: Máximo 30 días (extensible a 60 días en casos complejos con notificación previa)
14. Información Adicional
14.1. Decisiones Automatizadas
NO tomamos decisiones automatizadas significativas basadas únicamente en procesamiento automático de tus datos (no hay perfiles automatizados, scoring crediticio, etc.).
14.2. Fuentes de Datos
Todos los datos personales provienen de:
- Datos proporcionados directamente por ti (username personalizado)
- Datos proporcionados por Google OAuth (email, nombre, avatar)
- Datos generados por tu uso del servicio (puntuaciones, preferencias)
NO compramos ni adquirimos datos de terceros.
14.3. Categorías de Datos
Según GDPR, tratamos las siguientes categorías:
- Datos identificativos: Email, nombre, ID de Google
- Datos de contacto: Email
- Datos de perfil: Username, avatar, fecha de registro
- Datos de actividad: Puntuaciones, progreso de juego, preferencias
NO tratamos categorías especiales de datos (datos sensibles según Art. 9 RGPD).
15. Transparencia y Compromiso
Como proyecto personal de una persona física, me comprometo a:
✅ Transparencia: Explicar claramente qué datos recopilo y para qué ✅ Minimización: Solo recopilar datos estrictamente necesarios ✅ Respeto a tus derechos: Responder a solicitudes GDPR en tiempo y forma ✅ Seguridad: Implementar medidas razonables de protección ✅ No monetización: Nunca vender o alquilar tus datos ✅ Respuesta a brechas: Notificar cualquier brecha de seguridad según GDPR (72h)
Limitaciones honestas:
- Proyecto personal con recursos limitados
- Sin equipo de protección de datos dedicado
- Gestión individual por el responsable
- Puede haber períodos de respuesta más largos durante vacaciones/ausencias
Última actualización: 2 de noviembre de 2025