Política de privacidad

Última actualización: 30 de abril de 2026

1. Responsable del tratamiento

  • Responsable: Gonzalo Polo (proyecto personal sin actividad económica).
  • Contacto único: politos12@icloud.com

Al tratarse de un proyecto personal sin actividad económica, no es obligatoria la designación de Delegado de Protección de Datos (DPO). Cualquier consulta sobre el tratamiento puede dirigirse al email indicado.

2. Datos que tratamos

  • Cuenta registrada: correo electrónico, nombre de usuario, contraseña cifrada (hash).
  • Modo invitado: alias generado y un identificador local en tu navegador (no se asocia a tu identidad real).
  • Datos de juego: historial de partidas, resultados, amistades, salas creadas y mensajes funcionales del juego (señas, jugadas).
  • Datos técnicos: dirección IP, agente de usuario y registros de conexión necesarios para operar el servidor de juego, prevenir abusos y depurar incidencias.
  • Edad declarada: al registrarte declaras tener al menos 14 años (no se solicita fecha de nacimiento exacta).

3. Finalidades

  • Crear y gestionar tu cuenta.
  • Permitirte jugar partidas multijugador en tiempo real.
  • Mantener el sistema de amistades, invitaciones y salas públicas/privadas.
  • Garantizar la seguridad del servicio (anti-fraude, anti-abuso, rate-limiting).
  • Enviar correos transaccionales (verificación de cuenta, recuperación de contraseña, invitaciones).

No realizamos comunicaciones comerciales ni publicitarias. No utilizamos tus datos para perfilado con fines publicitarios ni los cedemos a terceros con esa finalidad.

4. Decisiones automatizadas (art. 22 RGPD)

No se toman decisiones automatizadas con efectos jurídicos significativos sobre los usuarios. Aplicamos reglas técnicas automáticas (p. ej., límites de mensajes por minuto, validación de nombres con palabras prohibidas y suspensión por abuso reiterado) que no constituyen elaboración de perfiles en el sentido del art. 22.

5. Base jurídica

  • Ejecución de contrato (art. 6.1.b RGPD): para prestarte el servicio.
  • Interés legítimo (art. 6.1.f RGPD): seguridad, prevención de abuso y mejora del servicio.
  • Consentimiento (art. 6.1.a RGPD): para cookies o tecnologías no esenciales, si en el futuro se incorporan.
  • Cumplimiento de obligaciones legales (art. 6.1.c RGPD): cuando la normativa lo exija.

6. Plazos de conservación

  • Cuenta y perfil: mientras mantengas la cuenta activa.
  • Tras eliminación de la cuenta: los datos personales se borran de los sistemas en producción de forma inmediata, salvo aquellos que debamos conservar por obligación legal o para defender posibles reclamaciones.
  • Logs técnicos del servidor: máximo 90 días.
  • Copias de seguridad (backups): los datos pueden permanecer en backups cifrados durante un máximo de 30 días desde su eliminación en producción, hasta que el ciclo de rotación de backups los sobrescriba. Durante ese periodo, los datos solo se utilizan para restaurar el servicio en caso de incidente y no se procesan con ninguna otra finalidad.

7. Encargados del tratamiento y transferencias internacionales

Para prestar el servicio utilizamos los siguientes proveedores:

  • Supabase, Inc. — Autenticación y base de datos. Sede en EE. UU., proyecto desplegado en región UE (Frankfurt/Irlanda). Garantía: EU-US Data Privacy Framework (DPF) y Cláusulas Contractuales Tipo (SCC) de la Comisión Europea (Decisión 2021/914). Política de privacidad.
  • Vercel, Inc. — Alojamiento y CDN del frontend. Sede en EE. UU., con edge en UE. Garantía: EU-US Data Privacy Framework y SCC. Política de privacidad.
  • Sendinblue SAS (Brevo) — Envío de emails transaccionales. Sede en Francia (UE), tratamiento dentro del EEE. Política de privacidad.
  • Servidor de juego propio — WebSocket de partidas en tiempo real. VPS en la Unión Europea, tratamiento dentro del EEE.

Las transferencias internacionales hacia EE. UU. se realizan al amparo del EU-US Data Privacy Framework (Decisión de adecuación de la Comisión Europea de 10 de julio de 2023) y, con carácter complementario, mediante Cláusulas Contractuales Tipo aprobadas por la Comisión.

No usamos servicios de analítica de terceros (Google Analytics, Vercel Analytics, etc.) ni herramientas de error tracking que envíen datos personales fuera de los proveedores listados.

8. Tus derechos

Tienes los siguientes derechos garantizados por el RGPD y la LOPDGDD, que puedes ejercer de forma gratuita:

  • Acceso (art. 15) — saber qué datos tenemos sobre ti.
  • Rectificación (art. 16) — corregir datos inexactos.
  • Supresión / «derecho al olvido» (art. 17) — eliminar tus datos.
  • Limitación del tratamiento (art. 18).
  • Portabilidad (art. 20) — recibir tus datos en formato estructurado.
  • Oposición (art. 21) — al tratamiento basado en interés legítimo.
  • No ser objeto de decisiones automatizadas (art. 22) — ver sección 4.
  • Retirada del consentimiento en cualquier momento, sin efectos retroactivos.

Cómo ejercerlos:

  • Desde la app o web: Perfil → Eliminar cuenta para ejercer la supresión de forma inmediata.
  • Por correo: politos12@icloud.com indicando el derecho que ejerces y un medio para acreditar tu identidad si fuera necesario. Plazo máximo de respuesta: 1 mes (prorrogable a 3 en casos complejos).

Si consideras que el tratamiento no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

9. Comunicaciones comerciales y opt-out

Rentoy no envía comunicaciones comerciales. Solo enviamos correos transaccionales necesarios para el funcionamiento del servicio (verificación de cuenta, recuperación de contraseña, invitaciones de amigos a partidas). No puedes desactivar estos correos transaccionales mientras tengas la cuenta activa, pero sí puedes desactivar las invitaciones de amigos desde tu perfil.

Si en el futuro se incorporara cualquier comunicación comercial (newsletter, novedades), se solicitará tu consentimiento expreso previo y dispondrás de un mecanismo de baja (opt-out) en cada envío y en tu perfil.

10. Menores

Rentoy no está dirigido a menores de 14 años. Al registrarte, declaras tener al menos esa edad. Si detectamos una cuenta de un menor sin consentimiento parental, procederemos a su eliminación. Si eres tutor legal y crees que un menor a tu cargo se ha registrado sin autorización, escríbenos a politos12@icloud.com.

11. Seguridad

Aplicamos medidas técnicas y organizativas razonables: cifrado en tránsito (HTTPS/WSS), contraseñas hasheadas, validación de tokens de sesión, control de acceso por filas (RLS) en la base de datos, limitación de tasa de mensajes para mitigar abusos y rotación periódica de backups cifrados.

12. Cambios

Esta política puede actualizarse para adaptarse a cambios legales o del servicio. La versión vigente será la publicada en esta página, con su fecha de última actualización.

13. Enlaces a otras políticas