← Volver

Política de privacidad

En La Porra nos tomamos en serio tu privacidad. Esta política explica qué datos tratamos, por qué y con quién los compartimos.

1. Responsable del tratamiento

El responsable del tratamiento de tus datos es La Porra (laporra.app). Para cualquier ejercicio de derechos puedes escribirnos a privacidad@laporra.app.

2. Qué datos recogemos

  • Cuenta: email, nombre que muestras, contraseña hasheada (bcrypt), o identificador de Google / Apple si usas "Iniciar sesión con Google" o "Iniciar sesión con Apple".
  • Fecha de nacimiento: la solicitamos en el registro para verificar que tienes 18 años o más. Se guarda como un campo independiente.
  • Avatar: si subes una imagen, se guarda cifrada en reposo en Cloudflare R2 y se sirve mediante URLs firmadas de corta duración.
  • Actividad de porras: predicciones, miembros de tus porras, fechas de creación, puntos.
  • Identificadores del dispositivo: token de notificaciones push (Apple APNs / Firebase FCM) y plataforma (iOS / Android), únicamente para entregarte las notificaciones que tú activaste desde "Perfil → Notificaciones".
  • Diagnóstico técnico: IP, user-agent, identificador anónimo de sesión, fecha y endpoint de cada petición. Lo usamos para detectar abuso (rate limiting, captcha) y para depuración (Sentry).

3. Para qué los usamos

  • Prestar el Servicio (mostrar porras, calcular rankings, enviar invitaciones).
  • Mantener la seguridad: bloqueos por intentos fallidos, captcha, detección de abuso.
  • Comunicaciones operativas (verificación de email, recuperación de contraseña, alertas de seguridad). No enviamos publicidad de terceros.
  • Resúmenes opcionales (semanales, bonus resueltos): puedes desactivarlos desde "Perfil → Notificaciones".

4. Base legal

Tratamos tus datos con base en (i) la ejecución del contrato (prestar el Servicio que has aceptado al registrarte), (ii) tu consentimiento para los emails opcionales, y (iii) nuestro interés legítimo en proteger el Servicio frente a fraude.

5. Con quién los compartimos

Sólo con los proveedores estrictamente necesarios para operar el Servicio:

  • Cloudflare (CDN, Turnstile anti-bot) — Estados Unidos / UE.
  • Cloudflare R2 (almacenamiento de avatares).
  • MongoDB Atlas (base de datos) — UE.
  • Amazon SES (envío de emails transaccionales) — UE-Oeste.
  • Sentry (telemetría de errores, sin payloads sensibles).
  • Google Identity Services (sólo si decides iniciar sesión con Google).
  • Apple Sign In (sólo si decides iniciar sesión con Apple en iOS).
  • Apple APNs y Firebase Cloud Messaging (envío de notificaciones push, sólo si las has activado). Estos servicios pueden recoger telemetría de entrega y engagement según sus propias políticas (Apple, Google), fuera de nuestro control.
  • Stripe Payments Europe Ltd. (Irlanda) — sólo si contratas Pro / Lifetime o cualquier porra de empresa o marca. Stripe procesa el pago como responsable independiente, no nos remite tu tarjeta y nosotros guardamos sólo el ID del Customer, las facturas y el estado de la suscripción.

Todos los proveedores tienen contratos de tratamiento de datos firmados (Art. 28 RGPD). No vendemos tus datos. Si en el futuro incorporamos un nuevo sub-procesador con acceso a datos personales, te avisaremos por email con al menos 30 días de antelación para que puedas oponerte.

6. Cuánto tiempo los guardamos

  • Cuenta activa: mientras la cuentes activa.
  • Cuenta eliminada: la cuenta se anonimiza (email reemplazado por un placeholder, nombre por "Cuenta eliminada"). Conservamos las predicciones en formato agregado para mantener la coherencia de las clasificaciones históricas.
  • Logs de seguridad: 90 días.
  • Refresh tokens: hash SHA-256 con expiración a 7 días.

7. Tus derechos

Tienes derecho a acceder, rectificar, suprimir, oponerte, limitar el tratamiento, y a la portabilidad de tus datos (Arts. 15-22 RGPD). Puedes ejercerlos:

  • Acceder y descargar tus datos: desde tu perfil → "Descargar mis datos" obtienes un fichero JSON con toda tu información (perfil, predicciones, porras, planes, consentimientos). Art. 20 RGPD (portabilidad).
  • Rectificar: edita tu perfil desde "Mi cuenta" o pídenoslo por email.
  • Eliminar la cuenta: "Perfil → Eliminar cuenta". Tu email pasa a un placeholder anónimo y tu nombre a "Cuenta eliminada"; las predicciones se mantienen para no romper la clasificación histórica de los demás miembros (interés legítimo, Art. 17.3.b RGPD).
  • Revocar consentimientos: en "Ajustes" puedes retirar el consentimiento de marketing o de notificaciones push en cualquier momento, con la misma facilidad con la que lo otorgaste (Art. 7.3 RGPD). Para las cookies analíticas, usa "Preferencias de cookies" en el footer.
  • Oponerte o limitar el tratamiento, o presentar cualquier otra consulta: escríbenos a privacidad@laporra.app. Respondemos en menos de 30 días (Art. 12.3 RGPD).

También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si consideras que no estamos cumpliendo con la normativa.

8. Seguridad

Tu contraseña se almacena hasheada (bcrypt cost 12). El tráfico viaja por HTTPS. Los avatares en R2 se sirven sólo con URLs firmadas de corta duración. Aplicamos rate limiting + captcha para mitigar ataques de fuerza bruta.

9. Menores

El Servicio está dirigido exclusivamente a mayores de 18 años. Solicitamos la fecha de nacimiento en el registro y bloqueamos cualquier alta por debajo de esa edad. Si crees que un menor se ha registrado sin autorización, escríbenos y eliminaremos la cuenta.

10. Cambios

Te avisaremos por email con 14 días de antelación si actualizamos esta política de manera sustancial.