Si utiliza Sapplify Account con una aplicación
Esta política se aplica además de la Política de Privacidad de cada aplicación Sapplify que utilices. La política de tu aplicación describe lo que la aplicación hace en tu dispositivo. Esta política describe lo que hacemos con los datos que tu Cuenta Sapplify envía a nuestros servidores. Ambas se aplican al mismo tiempo.
1. Introducción
En resumen: Esta política cubre los datos asociados a su Cuenta Sapplify: su identidad de inicio de sesión, su perfil, y los datos que fluyen a nuestros servidores cuando utiliza Sapplify Sync. Se suma a la Política de Privacidad propia de cada aplicación.
Una Cuenta Sapplify es una identidad única que funciona en todas las aplicaciones Sapplify. Una vez iniciado sesión, puede suscribirse a Sapplify Sync para mantener sus datos respaldados y disponibles en todos sus dispositivos.
Esta Política de Privacidad explica qué datos contiene su Cuenta Sapplify, quién los procesa en nuestro nombre, durante cuánto tiempo los conservamos, y cuáles son los derechos que tiene sobre ellos. No reemplaza la Política de Privacidad propia de cada aplicación: la política de cada aplicación continúa rigiendo lo que esa aplicación hace localmente en su dispositivo.
Al crear una Cuenta Sapplify, usted confirma que ha leído y comprendido esta política.
2. Responsable del Tratamiento
El responsable del tratamiento de sus datos personales es:
Anthony Eli Rasch - sapplify
Apartado Postal 004
91501 Nove Mesto nad Vahom
Eslovaquia
ICO: 56665032
Consultas generales: contact@sapplify.com
Privacidad y protección de datos: privacy@sapplify.com
Responsable de Protección de Datos
Sapplify funciona a una escala que no requiere la designación de un Responsable de Protección de Datos conforme al Artículo 37 del GDPR. Para cualquier consulta sobre protección de datos, contacte a privacy@sapplify.com.
3. Definiciones
- Sapplify Account: la identidad que usted crea con nosotros y utiliza para iniciar sesión en las aplicaciones de Sapplify.
- Sapplify Sync: la suscripción integral que respalda y sincroniza sus datos entre dispositivos para las aplicaciones en las que ha iniciado sesión.
- Sub-encargado del tratamiento: un tercero que procesa datos personales en nuestro nombre, conforme a contrato.
- Derecho de acceso: nuestro registro de que una suscripción activa o una compra de por vida le otorga acceso a Sync.
- Datos Personales: cualquier información relacionada con una persona identificada o identificable.
- Datos Personales Sensibles: un subconjunto de Datos Personales que recibe protección reforzada conforme a GDPR Article 9, tales como datos relativos a la salud.
- Proveedor de Autenticación: Apple, Google, o nuestro sistema de inicio de sesión por correo electrónico/contraseña (proporcionado por Supabase).
- Datos de Sync: los datos por aplicación que su cuenta mantiene en nuestros servidores cuando Sync está activo.
4. Qué datos recopila su cuenta de Sapplify
Su cuenta de Sapplify contiene seis categorías de datos en nuestros servidores.
Identidad y perfil
- Dirección de correo electrónico (siempre requerida)
- Nombre mostrado (opcional)
- Identificadores de proveedores de autenticación (identificador de usuario de Iniciar sesión con Apple, ID de asunto de Iniciar sesión con Google) cuando utiliza esos proveedores
- Idioma preferido
- Marcas de tiempo de creación de cuenta y última actualización
Datos de autenticación y sesión
- Contraseñas con hash (administradas por Supabase Auth; nunca vemos el texto sin cifrar)
- Tokens de sesión activos (JWT) emitidos a sus dispositivos conectados
- Marcas de tiempo de eventos de inicio de sesión y direcciones IP, retenidas temporalmente por Supabase Auth para investigaciones de seguridad
Datos de sincronización entre aplicaciones
Si tiene una suscripción activa a Sapplify Sync y ha iniciado sesión en una aplicación de Sapplify, esa aplicación carga sus datos a nuestros servidores. Cada aplicación de Sapplify describe la forma exacta de sus datos en su propia Política de privacidad:
- sWeight: entradas de peso y medidas corporales
- sCycle: eventos del ciclo
- sMoment: entradas de estado de ánimo, diario y respiración
- sLists: listas y entradas de listas
- sTrain: sesiones de entrenamiento y ejercicios
- sBudget: entradas de presupuesto
Solo tiene datos en nuestros servidores para una aplicación si ha iniciado sesión en esa aplicación mientras Sync está activo. Las aplicaciones en las que nunca ha iniciado sesión no contienen datos para su cuenta.
Registros de suscripción y derechos
- Su estado de suscripción a Sync (activo, en prueba, en período de gracia, suspendido, cancelado, vencido, o de por vida)
- La tienda a través de la cual realizó la compra (Apple App Store, Google Play) e identificador del producto en la tienda
- Metadatos de validación de recibos devueltos por Apple y Google, utilizados para confirmar que la suscripción aún es válida
- Eventos del ciclo de vida de la suscripción (renovaciones, cancelaciones, suspensiones) recibidos de Notificaciones del servidor de Apple App Store y Notificaciones del desarrollador en tiempo real de Google
Registro de aceptación legal
- Qué versión de qué documento legal de Sapplify aceptó
- Marca de tiempo de aceptación
- La aplicación de Sapplify desde la cual aceptó
Este registro es de solo adición y se utiliza para demostrar, si se solicita, que aceptó las políticas vigentes en el momento en que se registró o reinició sesión.
Datos de funciones de IA (condicional)
Si utiliza funciones de IA dentro de una aplicación de Sapplify, el contenido de sus indicaciones y las respuestas de IA se procesan por Anthropic en nuestro nombre (véase Subprocesadores) y se almacenan en su cuenta para que la IA pueda recordar el contexto para preguntas de seguimiento. Ninguna aplicación de Sapplify Sync utiliza funciones de IA en el momento de la redacción, pero el esquema es parte de la base de datos de cuenta compartida.
Lo que Sapplify Account NO recopila
- NO recopilamos su nombre real, dirección postal o identificación del gobierno.
- NO recopilamos detalles de tarjetas de pago. Apple o Google gestionan toda la facturación.
- NO recopilamos la ubicación del dispositivo.
- NO operamos análisis, publicidad o seguimiento de comportamiento en usuarios conectados.
- NO vendemos ni compartimos sus datos con anunciantes o intermediarios de datos.
5. Base Legal para el Tratamiento
Conforme a la Reglamentación General de Protección de Datos (RGPD) y leyes equivalentes, procesamos sus datos personales sobre las siguientes bases legales:
Contrato (Artículo 6(1)(b))
Necesitamos procesar la identidad de su cuenta, autenticación, perfil, estado de suscripción, y datos de Sincronización para proporcionarle los servicios de Sapplify Account y Sapplify Sync que ha solicitado. Sin este procesamiento, los servicios no pueden funcionar.
Interés legítimo (Artículo 6(1)(f))
- Prevención de fraude y detección de abuso
- Seguridad del servicio (detección de intrusiones, rotación de secretos)
- Investigación de errores e incidentes
- Retención de registros de seguridad de corta duración
Puede objetar el procesamiento basado en interés legítimo. Consulte la Sección 12 para más información.
Consentimiento (Artículo 6(1)(a))
Algunos procesamientos se basan en su consentimiento explícito: proporcionar un nombre de visualización, optar por notificaciones opcionales, y utilizar funciones de IA. Puede retirar su consentimiento en cualquier momento; hacerlo no afecta el procesamiento ya realizado.
Datos de categoría especial (Artículo 9(2)(a))
Algunas aplicaciones de Sapplify procesan datos de salud (por ejemplo, entradas de peso en sWeight, eventos de ciclo en sCycle, entradas de estado de ánimo en sMoment). Cuando habilita la Sincronización en dicha aplicación mientras está conectado, otorga consentimiento explícito para que esos datos de salud se procesen en nuestros servidores con el propósito de sincronizarlos en todos sus dispositivos.
Obligación legal (Artículo 6(1)(c))
Podemos procesar y retener datos cuando lo requiera la ley, por ejemplo, registros fiscales o respuestas a solicitudes legales de las autoridades.
Toma de decisiones automatizada y elaboración de perfiles
No utilizamos toma de decisiones automatizada ni elaboración de perfiles que produzcan efectos legales sobre usted o le afecten de manera similar y significativa conforme al Artículo 22 RGPD. Las funciones de IA en las aplicaciones de Sapplify proporcionan únicamente sugerencias informativas; no toman acciones, no modifican sus datos, ni toman decisiones en su nombre.
6. Subencargados
Los siguientes sub-procesadores procesan sus datos de Sapplify Account en nuestro nombre conforme a contratos escritos. Cada entrada vincula a la política de privacidad del sub-procesador correspondiente.
| Sub-procesador | Función | Ubicación | Política de privacidad |
|---|---|---|---|
| Supabase | Autenticación, base de datos principal (Postgres), Edge Functions, copias de seguridad encriptadas, transporte de correo transaccional | Unión Europea (Frankfurt) | supabase.com/privacy |
| Apple | Iniciar sesión con Apple; facturación de App Store para Sync; notificaciones del servidor de App Store | Global | apple.com/legal/privacy |
| Iniciar sesión con Google; facturación de Google Play para Sync; notificaciones en tiempo real del desarrollador a través de Google Cloud Pub/Sub | Global | policies.google.com/privacy | |
| Resend | Entrega de correo transaccional (confirmación de registro, restablecimiento de contraseña, avisos de facturación) | Estados Unidos, con Cláusulas Contractuales Estándar para transferencias de la UE | resend.com/legal/privacy-policy |
| Anthropic | Inferencia de IA. Condicional: solo se invoca si utiliza características de IA dentro de una aplicación Sapplify. | Estados Unidos, con Cláusulas Contractuales Estándar para transferencias de la UE | anthropic.com/legal/privacy |
Le informaremos cuando agreguemos o cambiemos sub-procesadores. Los cambios materiales (un nuevo procesador, un cambio en la función) activan una puerta de reaceptación la próxima vez que inicie sesión.
7. Residencia de Datos y Transferencias Internacionales
Su base de datos de cuenta principal, incluidos el perfil, los derechos de acceso y los datos de Sync, se encuentra en la región de la Unión Europea de Supabase (Fráncfort, Alemania). Ese es el lugar donde los datos residen en reposo.
Algunos subprocesadores operan a nivel mundial. Cuando los datos salen de la EU para llegar a ellos, nos basamos en Cláusulas Contractuales Estándar (SCCs) aprobadas por la Comisión Europea como base legal para la transferencia.
- Apple y Google manejan la autenticación y la facturación a nivel mundial; la transferencia es necesaria para cumplir con el contrato que tienes con cada tienda.
- Resend tiene su sede en Estados Unidos; las transferencias están cubiertas por SCCs.
- Anthropic (solo si utilizas funciones de IA) está en Estados Unidos; las transferencias están cubiertas por SCCs en el anexo de procesamiento de datos de Anthropic.
8. Retención de Datos
El tiempo que conservamos sus datos depende de lo que suceda con su cuenta.
| Evento | Qué sucede con sus datos |
|---|---|
| Cuenta activa | Los datos de perfil, derechos y Sync se conservan mientras su cuenta exista. |
| Cancelación de Sync (usted cancela, su suscripción vence o se le reembolsa) | Los datos de Sync del lado del servidor se conservan. Si se vuelve a suscribir más tarde, sus datos siguen ahí. Su registro de derechos se marca como cancelado. |
| Eliminación de cuenta (usted elimina desde dentro de cualquier aplicación Sapplify) | Eliminación permanente inmediata en todos los esquemas de aplicaciones Sapplify, su perfil, su registro de derechos y su registro de autenticación. Sin período de gracia, sin recuperación. |
| Copias de seguridad encriptadas | Las copias de seguridad encriptadas administradas por Supabase vencen dentro de 7 días desde la eliminación. Después de 7 días, no queda ninguna copia de sus datos en nuestros sistemas. |
| Registros fiscales y de facturación | Se conservan registros agregados anonimizados según lo requerido por la ley fiscal eslovaca (típicamente 10 años). No contienen datos personales después de la eliminación de la cuenta. |
9. Seguridad
Tomamos la seguridad en serio, pero ningún servicio en línea está libre de riesgos. A continuación se describe lo que hacemos y dónde están nuestros límites.
Lo que hacemos
- Todo el tráfico de red entre sus dispositivos y nuestros servidores utiliza TLS 1.2 o superior.
- Los datos en reposo se cifran utilizando AES-256 administrado por Supabase.
- Las políticas de seguridad a nivel de fila en nuestra base de datos aíslan los datos de cada usuario para que un usuario no pueda leer las filas de otro usuario.
- Las claves de base de datos de rol de servicio se mantienen únicamente en variables de entorno del lado del servidor y nunca se incluyen en las aplicaciones Sapplify.
- Todos los eventos de inicio de sesión, eventos de suscripción y eventos de eliminación de cuenta se registran para investigaciones de seguridad.
Lo que NO afirmamos
Sin cifrado de extremo a extremo
Sapplify Sync no está cifrado de extremo a extremo. Sus datos se cifran en tránsito y en reposo, pero el acceso de rol de servicio del lado de Sapplify podría, en principio, leer los contenidos (no lo hacemos, excepto según sea necesario para operar el servicio). No utilice Sync para almacenar información que requiera cifrado de extremo a extremo.
Lo que puede hacer
- Elija una contraseña fuerte y única.
- Bloquee su dispositivo con PIN, contraseña o autenticación biométrica.
- Revoque la autorización OAuth de Sapplify en su cuenta de Apple o Google si pierde un dispositivo.
- Cierre la sesión en los dispositivos que ya no utiliza.
10. Notificación de Brecha de Datos
Si un incidente de seguridad expone datos personales que mantenemos sobre usted, esta sección describe cómo respondemos.
Qué podría verse afectado
Debido a que la copia principal de los datos de su cuenta reside en nuestros servidores en la región de la UE de Supabase, un incidente del lado del servidor podría en principio exponer:
- su dirección de correo electrónico, campos de perfil e identificadores del proveedor de autenticación;
- el contenido de sus datos sincronizados para las aplicaciones de Sapplify en las que ha iniciado sesión;
- sus registros de suscripción y derechos.
Lo siguiente no se almacena en nuestros servidores y por lo tanto no puede resultar expuesto en caso de una violación de nuestros sistemas:
- su contraseña (Supabase Auth solo mantiene un hash);
- los detalles de su tarjeta de pago (Apple o Google los mantienen);
- datos solo locales en dispositivos donde Sync no está activo.
Proceso de notificación
Si nos percatamos de una violación de datos personales en nuestros servidores o en uno de nuestros sub-procesadores:
- Notificaremos a la Oficina Eslovaca para la Protección de Datos Personales dentro de 72 horas de tener conocimiento, como se requiere en el Artículo 33 GDPR, a menos que la violación sea poco probable que resulte en un riesgo para sus derechos.
- Si la violación es probable que resulte en un alto riesgo para sus derechos y libertades, le notificaremos directamente sin demora indebida, como se requiere en el Artículo 34 GDPR. La notificación se envía a la dirección de correo electrónico en su Cuenta de Sapplify.
La notificación le informará, en lenguaje claro: qué sucedió, qué datos fueron afectados, las consecuencias probables, qué hemos hecho al respecto, y qué puede hacer para protegerse.
Qué puede hacer
- Cambie su contraseña de la Cuenta de Sapplify si usa inicio de sesión con correo electrónico/contraseña.
- Cierre sesión en todos los dispositivos e inicie sesión de nuevo para invalidar los tokens de sesión.
- Si le preocupa, elimine su Cuenta de Sapplify (consulte la Sección 13).
Hasta la fecha, no hemos experimentado una violación de datos personales que afecte a los usuarios de la Cuenta de Sapplify.
11. Compartir y Divulgación
No vendemos sus datos
- No vendemos sus datos a nadie.
- No compartimos sus datos con agentes de publicidad, comercializadores, corredores de datos ni plataformas de redes sociales.
- No utilizamos sus datos para entrenar modelos de inteligencia artificial para múltiples clientes.
- No enviamos correos electrónicos de marketing o promoción a través de su Cuenta de Sapplify. Los únicos correos que enviamos son transaccionales (confirmación de registro, restablecimiento de contraseña, avisos de facturación).
Quién puede ver sus datos
Solo los cinco subprocesadores enumerados en la Sección 6, y solo para los roles descritos en la misma. Ningún otro tercero tiene acceso a los datos de su cuenta.
Solicitudes legales y de cumplimiento de la ley
Podemos revelar datos si lo requiere una orden judicial válida, una ley, o una solicitud de cumplimiento de la ley que cumpla con los estándares legales de Eslovaquia o la Unión Europea. Le notificaremos cuando sea permitido hacerlo. Hasta la fecha de esta política, no hemos recibido ninguna solicitud de este tipo.
12. Sus Derechos
Tiene derechos amplios sobre los datos de su cuenta. La lista exacta depende de dónde viva.
Derechos GDPR (Unión Europea y Espacio Económico Europeo)
- Derecho de acceso (Art. 15): solicitar qué datos personales tenemos sobre usted.
- Derecho de rectificación (Art. 16): solicitar que se corrijan datos inexactos.
- Derecho al olvido (Art. 17): solicitar que se eliminen sus datos. La forma más rápida es eliminar su Sapplify Account desde cualquier aplicación Sapplify.
- Derecho de limitación (Art. 18): limitar cómo procesamos sus datos mientras se resuelve una disputa.
- Derecho a la portabilidad de datos (Art. 20): recibir sus datos en un formato legible por máquina. Vea la nota a continuación.
- Derecho de oposición (Art. 21): oponerse al procesamiento basado en interés legítimo.
- Derecho a retirar el consentimiento (Art. 7): retirar el consentimiento en cualquier momento para el procesamiento que depende del consentimiento.
- Derecho a presentar una reclamación: ante la Oficina Eslovaca para la Protección de Datos Personales (véase la Sección 17) o ante su autoridad supervisora local.
Derechos UK GDPR (Reino Unido)
Los usuarios del Reino Unido tienen los mismos derechos que los usuarios de la UE bajo UK GDPR. Las reclamaciones pueden presentarse ante la Oficina del Comisionado de Información en ico.org.uk.
Derechos CCPA y CPRA (California)
- Derecho a saber qué información personal recopilamos y cómo la utilizamos.
- Derecho a eliminar su información personal.
- Derecho a corregir información inexacta.
- Derecho a rechazar la venta o intercambio. (No vendemos ni compartimos para publicidad de comportamiento entre contextos.)
- Derecho a no sufrir discriminación por ejercer sus derechos.
- Derecho a limitar el uso de información personal sensible. Nuestra arquitectura local-first y la ausencia de usos secundarios satisfacen inherentemente esto para los datos que tenemos.
Derechos LGPD (Brasil)
Los usuarios brasileños tienen derechos equivalentes a los de GDPR, incluyendo confirmación, acceso, corrección, anonimización, eliminación, portabilidad de datos e información sobre intercambio. Contáctenos en privacy@sapplify.com para ejercerlos.
Cómo ejercer sus derechos
Nota sobre portabilidad
Sapplify aún no ofrece un solo botón "descargar todos mis datos de cuenta". Cada aplicación Sapplify tiene su propia función de exportación de datos (CSV). Para una exportación de portabilidad de toda la cuenta, envíe un correo electrónico a privacy@sapplify.com y lo ensamblaremos manualmente.
Para acceso, rectificación, limitación, oposición o cualquier otro derecho, envíe un correo electrónico a privacy@sapplify.com. Respondemos dentro de 30 días, extensibles a 60 días para solicitudes complejas con previo aviso.
13. Eliminación de su Cuenta de Sapplify
Puede eliminar su Cuenta de Sapplify desde dentro de cualquier aplicación de Sapplify (Configuración > Cuenta > Eliminar cuenta). Cuando confirme, eliminaremos inmediatamente de forma permanente:
- su registro de cuenta en nuestro sistema de autenticación,
- su perfil (nombre para mostrar, preferencia de idioma),
- todos los datos vinculados a su cuenta en cada esquema de aplicación de Sapplify en el que haya iniciado sesión (sWeight, sCycle, sMoment, sLists, sTrain, sBudget),
- su registro de derechos y el historial de eventos de suscripción,
- su registro de aceptación legal.
Las copias de seguridad cifradas de nuestra base de datos se anulan dentro de 7 días de la eliminación. Después de 7 días, ninguna copia de sus datos permanece en nuestros sistemas.
Dos cosas NO se eliminan con la eliminación de la cuenta
- Datos locales en sus dispositivos. Cada aplicación de Sapplify mantiene una copia local en su dispositivo. Desinstale la aplicación o use la opción "Eliminar todos los datos" dentro de la aplicación para removerla.
- Su suscripción a App Store o Google Play. La eliminación de su Cuenta de Sapplify no cancela la suscripción facturada por la tienda. Para detener los cargos futuros, cancele por separado en la configuración de suscripción de su tienda.
Consulte también nuestra guía pública de Eliminación de Cuenta para obtener instrucciones paso a paso.
14. Privacidad de Menores
Requisito de edad
Sapplify Account está destinada a usuarios de 16 años o mayores. Al crear una cuenta, usted confirma que cumple con este requisito.
En jurisdicciones donde se aplique una edad mínima superior al procesamiento de datos personales o de salud, se aplicará esa edad superior.
Si usted es padre de familia o tutor y cree que un menor de 16 años ha creado una Sapplify Account, contáctenos en privacy@sapplify.com y eliminaremos la cuenta.
15. Cookies y Rastreo Web
El flujo de inicio de sesión de Sapplify Account ocurre dentro de aplicaciones Sapplify, no en un navegador web. El flujo de Account en sí no establece cookies en su dispositivo.
El sitio web de marketing de Sapplify (sapplify.com) tiene su propia Política de Privacidad que cubre cookies y análisis en el sitio mismo.
Control Global de Privacidad
Dado que el flujo de Sapplify Account no coloca cookies de seguimiento ni comparte datos para publicidad conductual entre contextos, no existe nada que las señales de Control Global de Privacidad (GPC) o Do Not Track deban desactivar. Respetamos estas señales de forma predeterminada.
16. Cambios en esta Política
Podemos actualizar esta Política de Privacidad cuando nuestras prácticas cambien, cuando agreguemos o eliminemos subprocesadores, o cuando la ley lo requiera.
Cambios materiales
Los cambios materiales (un nuevo subprocesador, un cambio en los flujos de datos, un cambio en la retención) actualizan la versión de la política. La próxima vez que inicie sesión en cualquier aplicación Sapplify, se le pedirá que lea y vuelva a aceptar la política actualizada antes de continuar. Su aceptación se registra del lado del servidor.
Cambios no materiales
Las correcciones de errores tipográficos, los cambios de información de contacto y el reformateo se publican silenciosamente con una fecha de "Última actualización" actualizada en la parte superior de esta página.
Historial de versiones
Cada versión está fechada. Las versiones anteriores están disponibles bajo solicitud en privacy@sapplify.com.
17. Ley Aplicable y Autoridad Supervisora
Esta Política de Privacidad se rige por las leyes de la República Eslovaca, sin consideración de los principios de conflicto de leyes.
Autoridad supervisora principal
Tenemos domicilio en Eslovaquia. Nuestra autoridad supervisora principal de protección de datos es:
Urad na ochranu osobnych udajov Slovenskej republiky
(Oficina para la Protección de Datos Personales de la República Eslovaca)
Hranicna 12
820 07 Bratislava 27
Slovak Republic
Sitio web: dataprotection.gov.sk
Correo electrónico: statny.dozor@pdp.gov.sk
Los usuarios de la UE y el EEE también pueden presentar quejas ante su autoridad supervisora local.
18. Contáctenos
Para consultas sobre esta Política de Privacidad o para ejercer cualesquiera de los derechos descritos en la Sección 12:
Privacidad y protección de datos: privacy@sapplify.com
Consultas generales: contact@sapplify.com
Dirección postal:
Anthony Eli Rasch - sapplify
PO Box 004
91501 Nove Mesto nad Vahom
Slovakia
Para solicitudes de ejercicio de derechos del interesado vinculadas a su Sapplify Account, incluya la dirección de correo electrónico asociada a la cuenta en su mensaje para que podamos verificar su identidad. Respondemos dentro de 30 días.