Si utiliza Sapplify Account con una aplicación
Esta política se aplica además de la Política de privacidad de cada aplicación Sapplify que utiliza. La política de su aplicación describe lo que la aplicación hace en su dispositivo. Esta política describe lo que hacemos con los datos que su Sapplify Account envía a nuestros servidores. Ambas se aplican al mismo tiempo.
1. Introducción
En resumen: Esta política cubre los datos asociados a su Cuenta de Sapplify: su identidad de inicio de sesión, su perfil y los datos que fluyen a nuestros servidores cuando utiliza Sapplify Sync. Se superpone a la Política de Privacidad propia de cada aplicación.
Una Cuenta de Sapplify es una identidad única que funciona en todas las aplicaciones de Sapplify. Una vez que inicie sesión, puede suscribirse a Sapplify Sync para mantener sus datos respaldados y disponibles en todos sus dispositivos.
Esta Política de Privacidad explica qué datos mantiene su Cuenta de Sapplify, quién los procesa en nuestro nombre, cuánto tiempo los conservamos y qué derechos tiene sobre ellos. No reemplaza la Política de Privacidad propia de cada aplicación: la política de cada aplicación continúa rigiendo lo que esa aplicación hace localmente en su dispositivo.
Al crear una Cuenta de Sapplify, confirma que ha leído y entendido esta política.
2. Responsable del Tratamiento
El responsable del tratamiento de sus datos personales es:
Anthony Eli Rasch - sapplify
PO Box 004
91501 Nove Mesto nad Vahom
Slovakia
ICO: 56665032
Consultas generales: contact@sapplify.com
Privacidad y protección de datos: privacy@sapplify.com
Delegado de Protección de Datos
Sapplify opera a una escala que no requiere la designación de un Delegado de Protección de Datos conforme al Artículo 37 GDPR. Para cualquier consulta relativa a la protección de datos, póngase en contacto con privacy@sapplify.com.
3. Definiciones
- Sapplify Account: la identidad que crea con nosotros y utiliza para iniciar sesión en todas las aplicaciones de Sapplify.
- Sapplify Sync: la suscripción de suite completa que realiza copias de seguridad y sincroniza sus datos entre dispositivos para las aplicaciones en las que ha iniciado sesión.
- Subencargado de tratamiento: un tercero que trata datos personales en nuestro nombre, bajo contrato.
- Derecho: nuestro registro que confirma que una suscripción activa o una compra de por vida le otorga acceso a Sync.
- Datos personales: cualquier información relativa a una persona física identificada o identificable.
- Datos personales sensibles: un subconjunto de Datos personales que recibe una mayor protección conforme al artículo 9 del RGPD, como datos relativos a la salud.
- Proveedor de autenticación: Apple, Google, o nuestro sistema de inicio de sesión por correo electrónico/contraseña (proporcionado por Supabase).
- Datos de Sync: los datos por aplicación que su cuenta almacena en nuestros servidores cuando Sync está activo.
4. Qué datos recopila su Cuenta Sapplify
Su cuenta de Sapplify contiene seis categorías de datos en nuestros servidores.
Identidad y perfil
- Dirección de correo electrónico (siempre requerida)
- Nombre para mostrar (opcional)
- Identificadores de proveedor de autenticación (identificador de usuario de Iniciar sesión con Apple, ID de asunto de Iniciar sesión con Google) cuando utiliza esos proveedores
- Idioma preferido
- Marcas de tiempo de creación de cuenta y última actualización
Autenticación y datos de sesión
- Contraseñas con hash (gestionadas por Supabase Auth; nunca vemos el texto sin cifrar)
- Tokens de sesión activos (JWT) emitidos a sus dispositivos conectados
- Marcas de tiempo de eventos de inicio de sesión y direcciones IP, retenidas temporalmente por Supabase Auth para investigaciones de seguridad
Datos de sincronización entre aplicaciones
Si tiene una suscripción activa a Sapplify Sync y ha iniciado sesión en una aplicación Sapplify, esa aplicación carga sus datos en nuestros servidores. Cada aplicación Sapplify describe la forma exacta de sus datos en su propia Política de privacidad:
- sWeight: entradas de peso y mediciones corporales
- sCycle: eventos de ciclo
- sMoment: entradas de estado de ánimo, diario y respiración
- sLists: listas y entradas de listas
- sTrain: sesiones de entrenamiento y ejercicios
- sBudget: entradas presupuestarias
Solo tiene datos en nuestros servidores para una aplicación si ha iniciado sesión en esa aplicación mientras Sync está activo. Las aplicaciones en las que nunca ha iniciado sesión no contienen datos de su cuenta.
Registros de suscripción y derechos
- El estado de su suscripción a Sync (activo, en prueba, en período de gracia, en espera, cancelado, caducado o de por vida)
- La tienda a través de la cual compró (Apple App Store, Google Play) y el identificador del producto de la tienda
- Metadatos de validación de recibos devueltos por Apple y Google, utilizados para confirmar que la suscripción sigue siendo válida
- Eventos del ciclo de vida de la suscripción (renovaciones, cancelaciones, retenciones) recibidos de Notificaciones de servidor de Apple App Store y Notificaciones en tiempo real del desarrollador de Google
Registro de aceptación legal
- Qué versión de qué documento legal de Sapplify aceptó
- Marca de tiempo de aceptación
- La aplicación Sapplify desde la cual aceptó
Este registro es de solo anexión y se utiliza para demostrar, si se le solicita, que aceptó las políticas vigentes en el momento en que se registró o reinició sesión.
Datos de características de IA (condicional)
Si utiliza características de IA dentro de una aplicación Sapplify, el contenido de sus solicitudes y las respuestas de IA se procesan por Anthropic en nuestro nombre (consulte Sub-procesadores) y se almacenan en su cuenta para que la IA pueda recordar el contexto de preguntas de seguimiento. Ninguna aplicación Sapplify Sync utiliza características de IA en el momento de la redacción de este documento, pero el esquema forma parte de la base de datos de cuenta compartida.
Lo que Sapplify Account NO recopila
- NO recopilamos su nombre real, dirección postal o identificación gubernamental.
- NO recopilamos los detalles de su tarjeta de pago. Toda la facturación es gestionada por Apple o Google.
- NO recopilamos la ubicación del dispositivo.
- NO operamos análisis, publicidad o seguimiento de comportamiento en usuarios conectados.
- NO vendemos ni compartimos sus datos con anunciantes o intermediarios de datos.
5. Base Jurídica para el Tratamiento
De conformidad con el Reglamento General de Protección de Datos (RGPD) y leyes equivalentes, tratamos sus datos personales sobre las siguientes bases legales:
Contrato (artículo 6(1)(b))
Necesitamos tratar su identidad de cuenta, autenticación, perfil, estado de suscripción y datos de Sync para proporcionarle los servicios de Sapplify Account y Sapplify Sync que ha solicitado. Sin este tratamiento, los servicios no pueden funcionar.
Interés legítimo (artículo 6(1)(f))
- prevención del fraude y detección del abuso
- seguridad del servicio (detección de intrusiones, rotación de secretos)
- investigación de errores e incidentes
- retención de registros de seguridad de corta duración
Puede oponerse al tratamiento basado en interés legítimo. Consulte la Sección 12 para saber cómo.
Consentimiento (artículo 6(1)(a))
Algunos tratamientos se basan en su consentimiento explícito: proporcionar un nombre para mostrar, optar por notificaciones opcionales y utilizar funciones de IA. Puede retirar su consentimiento en cualquier momento; hacerlo no afecta al tratamiento ya realizado.
Datos de categorías especiales (artículo 9(2)(a))
Algunas aplicaciones de Sapplify tratan datos de salud (por ejemplo, entradas de peso en sWeight, eventos de ciclo en sCycle, entradas de estado de ánimo en sMoment). Cuando habilita Sync en una aplicación de este tipo mientras está conectado, da su consentimiento explícito para que esos datos de salud se traten en nuestros servidores con el fin de sincronizarlos entre sus dispositivos.
Obligación legal (artículo 6(1)(c))
Podemos tratar y retener datos cuando sea requerido por la ley, por ejemplo, registros fiscales o respuestas a solicitudes legales de las autoridades.
Toma de decisiones automatizada y perfilado
No utilizamos toma de decisiones automatizada o perfilado que produzcan efectos legales que le concierna o que le afecte de manera similar y significativa conforme al artículo 22 del RGPD. Las funciones de IA en las aplicaciones de Sapplify proporcionan solo sugerencias informativas; no toman acciones, no cambian sus datos ni toman decisiones en su nombre.
6. Sub-encargados
Los siguientes subprocesadores tratan tus datos de Sapplify Account en nuestro nombre en virtud de contratos escritos. Cada entrada enlaza con la política de privacidad propia de ese subprocesador.
| Subprocesador | Función | Ubicación | Política de privacidad |
|---|---|---|---|
| Supabase | Autenticación, base de datos principal (Postgres), funciones perimetrales, copias de seguridad encriptadas, transporte de correo transaccional | Unión Europea (Fráncfort) | supabase.com/privacy |
| Apple | Inicio de sesión con Apple; facturación de App Store para Sync; notificaciones de App Store Server | Global | apple.com/legal/privacy |
| Inicio de sesión con Google; facturación de Google Play para Sync; notificaciones de desarrollador en tiempo real a través de Google Cloud Pub/Sub | Global | policies.google.com/privacy | |
| Resend | Envío de correo transaccional (confirmación de registro, restablecimiento de contraseña, notificaciones de facturación) | Estados Unidos, con cláusulas contractuales estándar para transferencias a la UE | resend.com/legal/privacy-policy |
| Anthropic | Inferencia de IA. Condicional: solo se invoca si utilizas funciones de IA dentro de una aplicación Sapplify. | Estados Unidos, con cláusulas contractuales estándar para transferencias a la UE | anthropic.com/legal/privacy |
Te informaremos cuando añadamos o cambiemos subprocesadores. Los cambios sustanciales (un nuevo procesador, un cambio en la función) activan un mecanismo de reaceptación la próxima vez que inicies sesión.
7. Residencia de Datos y Transferencias Internacionales
Su base de datos de cuenta principal, que incluye el perfil, los derechos y los datos de Sync, se encuentra en la región de la Unión Europea de Supabase (Fráncfort, Alemania). Es donde los datos permanecen en reposo.
Algunos subprocesadores operan a nivel mundial. Cuando los datos salen de la UE para llegar a ellos, nos basamos en las Cláusulas Contractuales Estándar (CCE) aprobadas por la Comisión Europea como base legal para la transferencia.
- Apple y Google gestionan la autenticación y la facturación a nivel mundial; la transferencia es necesaria para cumplir el contrato que tiene con cada tienda.
- Resend tiene su sede en Estados Unidos; las transferencias están cubiertas por CCE.
- Anthropic (solo si utiliza funciones de IA) se encuentra en Estados Unidos; las transferencias están cubiertas por CCE en el anexo de tratamiento de datos de Anthropic.
8. Retención de Datos
El tiempo que conservamos sus datos depende de lo que suceda con su cuenta.
| Evento | Qué sucede con sus datos |
|---|---|
| La cuenta está activa | Los datos de perfil, derechos y Sync se conservan mientras exista su cuenta. |
| Cancelación de Sync (usted cancela, su suscripción vence, o se le reembolsa) | Los datos de Sync del lado del servidor se conservan. Si se vuelve a suscribir más tarde, sus datos siguen disponibles. Su registro de derechos se marca como cancelado. |
| Eliminación de cuenta (usted elimina desde dentro de cualquier aplicación de Sapplify) | Eliminación inmediata y permanente en todos los esquemas de aplicaciones de Sapplify, su perfil, su registro de derechos y su registro de autenticación. Sin período de gracia, sin recuperación. |
| Copias de seguridad cifradas | Las copias de seguridad cifradas gestionadas por Supabase caducan dentro de 7 días desde la eliminación. Después de 7 días, no permanece ninguna copia de sus datos en nuestros sistemas. |
| Registros fiscales y de facturación | Se conservan registros agregados anonimizados según lo requerido por la ley fiscal eslovaca (típicamente 10 años). No contienen datos personales después de la eliminación de la cuenta. |
9. Seguridad
Tomamos la seguridad en serio, pero ningún servicio en línea está libre de riesgos. A continuación, explicamos qué hacemos y dónde están los límites.
Qué hacemos
- Todo el tráfico de red entre tus dispositivos y nuestros servidores utiliza TLS 1.2 o superior.
- Los datos en reposo se cifran mediante AES-256 gestionado por Supabase.
- Las políticas de seguridad a nivel de fila en nuestra base de datos aíslan los datos de cada usuario para que un usuario no pueda leer las filas de otro usuario.
- Las claves de base de datos de rol de servicio se mantienen únicamente en variables de entorno del lado del servidor y nunca se incluyen en las aplicaciones Sapplify.
- Todos los eventos de inicio de sesión, eventos de suscripción y eventos de eliminación de cuenta se registran para investigaciones de seguridad.
Qué NO afirmamos
Sin cifrado de extremo a extremo
Sapplify Sync no está cifrado de extremo a extremo. Tus datos se cifran en tránsito y en reposo, pero el acceso de rol de servicio del lado de Sapplify podría, en principio, leer el contenido (no lo hacemos, excepto en la medida necesaria para operar el servicio). No utilices Sync para almacenar información que requiera cifrado de extremo a extremo.
Qué puedes hacer
- Elige una contraseña fuerte y única.
- Bloquea tu dispositivo con PIN, contraseña o autenticación biométrica.
- Revoca el permiso OAuth de Sapplify en tu cuenta de Apple o Google si pierdes un dispositivo.
- Cierra sesión en dispositivos que ya no utilizas.
10. Notificación de Brecha de Datos
Si un incidente de seguridad expone datos personales que conservamos sobre usted, en esta sección se describe cómo respondemos.
Qué podría verse afectado
Dado que la copia principal de los datos de su cuenta se encuentra en nuestros servidores en la región de la UE de Supabase, un incidente del lado del servidor podría exponer en principio:
- su dirección de correo electrónico, campos de perfil e identificadores de proveedores de autenticación;
- el contenido de sus datos sincronizados para las aplicaciones Sapplify en las que ha iniciado sesión;
- sus registros de suscripción y derechos.
Lo siguiente no se almacena en nuestros servidores y, por lo tanto, no puede exponerse por una violación de nuestra parte:
- su contraseña (Supabase Auth solo conserva un hash);
- los datos de su tarjeta de pago (Apple o Google los conservan);
- datos locales únicamente en dispositivos donde Sync no está activo.
Proceso de notificación
Si nos percatamos de una violación de datos personales en nuestros servidores o en uno de nuestros sub-encargados:
- Notificaremos a la Oficina de Protección de Datos de Eslovaquia en el plazo de 72 horas desde que nos percatemos, tal como lo requiere el Artículo 33 GDPR, a menos que la violación tenga pocas probabilidades de resultar en un riesgo para sus derechos.
- Si la violación puede resultar en un riesgo alto para sus derechos y libertades, le notificaremos directamente sin dilación indebida, tal como lo requiere el Artículo 34 GDPR. La notificación se envía a la dirección de correo electrónico de su Cuenta Sapplify.
La notificación le informará, en lenguaje claro: qué sucedió, qué datos se vieron afectados, las consecuencias probables, qué hemos hecho al respecto y qué puede hacer para protegerse.
Qué puede hacer
- Cambie la contraseña de su Cuenta Sapplify si utiliza inicio de sesión con correo electrónico/contraseña.
- Cierre sesión en todos los dispositivos e inicie sesión nuevamente para invalidar los tokens de sesión.
- Si le preocupa, elimine su Cuenta Sapplify (véase la Sección 13).
Hasta la fecha, no hemos experimentado una violación de datos personales que afecte a los usuarios de la Cuenta Sapplify.
11. Compartición y Divulgación
No vendemos sus datos
- No vendemos sus datos a nadie.
- No compartimos sus datos con anunciantes, profesionales del marketing, intermediarios de datos o plataformas de redes sociales.
- No utilizamos sus datos para entrenar modelos de inteligencia artificial multicliente.
- No enviamos correos electrónicos de marketing o promoción a través de su Sapplify Account. Los únicos correos que enviamos son transaccionales (confirmación de registro, restablecimiento de contraseña, notificaciones de facturación).
Quién tiene acceso a sus datos
Solo los cinco subencargados del tratamiento enumerados en la Sección 6, y solo para los roles descritos en ese apartado. Ningún otro tercero tiene acceso a los datos de su cuenta.
Solicitudes legales y de aplicación de la ley
Podemos divulgar datos si lo exige una orden judicial válida, una ley o una solicitud de las autoridades responsables de la aplicación de la ley que cumpla con los estándares legales de Eslovaquia o la Unión Europea. Le notificaremos cuando sea permitido hacerlo. A la fecha de esta política, no hemos recibido ninguna solicitud de este tipo.
12. Sus Derechos
Usted tiene derechos exhaustivos sobre los datos de su cuenta. La lista exacta depende de dónde resida.
Derechos RGPD (Unión Europea y Espacio Económico Europeo)
- Derecho de acceso (art. 15): solicítenos qué datos personales conservamos sobre usted.
- Derecho de rectificación (art. 16): obtener la corrección de datos inexactos.
- Derecho al olvido (art. 17): obtener la supresión de sus datos. La forma más rápida es eliminar su Sapplify Account desde cualquier aplicación Sapplify.
- Derecho a la limitación del tratamiento (art. 18): limitar cómo tratamos sus datos mientras se resuelve una disputa.
- Derecho a la portabilidad de los datos (art. 20): recibir sus datos en un formato legible por máquina. Véase la nota a continuación.
- Derecho a oponerse (art. 21): oponerse al tratamiento basado en interés legítimo.
- Derecho a retirar el consentimiento (art. 7): retirar el consentimiento en cualquier momento para el tratamiento que se basa en el consentimiento.
- Derecho a presentar una reclamación: ante la Oficina Eslovaca de Protección de Datos Personales (véase la sección 17) o ante su autoridad de control local.
Derechos RGPD del Reino Unido (Reino Unido)
Los usuarios del Reino Unido tienen los mismos derechos que los usuarios de la UE conforme al RGPD del Reino Unido. Las reclamaciones pueden presentarse ante la Oficina del Comisionado de Información en ico.org.uk.
Derechos CCPA y CPRA (California)
- Derecho a saber qué información personal recopilamos y cómo la utilizamos.
- Derecho a eliminar su información personal.
- Derecho a corregir información inexacta.
- Derecho a optar por no participar en la venta o el intercambio. (No vendemos ni compartimos para publicidad conductual entre contextos).
- Derecho a no ser discriminado por ejercer sus derechos.
- Derecho a limitar el uso de información personal sensible. Nuestra arquitectura local-first y la ausencia de usos secundarios satisfacen inherentemente esto para los datos que conservamos.
Derechos LGPD (Brasil)
Los usuarios brasileños tienen derechos equivalentes a los del RGPD, incluida la confirmación, acceso, corrección, anonimización, eliminación, portabilidad de datos e información sobre el intercambio. Póngase en contacto con nosotros en privacy@sapplify.com para ejercerlos.
Cómo ejercer sus derechos
Nota sobre portabilidad
Sapplify aún no ofrece un único botón "descargar todos mis datos de cuenta". Cada aplicación Sapplify tiene su propia función de exportación de datos (CSV). Para una exportación de portabilidad a nivel de cuenta, envíe un correo electrónico a privacy@sapplify.com y lo ensamblaremos manualmente.
Para acceso, rectificación, limitación, oposición, o cualquier otro derecho, envíe un correo electrónico a privacy@sapplify.com. Respondemos dentro de 30 días, prorrogables a 60 días para solicitudes complejas con aviso.
13. Eliminación de su cuenta de Sapplify
Puede eliminar su Cuenta de Sapplify desde cualquier aplicación de Sapplify (Ajustes > Cuenta > Eliminar cuenta). Cuando confirme, procedemos a la eliminación inmediata y permanente:
- su registro de cuenta en nuestro sistema de autenticación,
- su perfil (nombre mostrado, preferencia de idioma),
- todos los datos asociados a su cuenta en todos los esquemas de aplicación Sapplify en los que ha iniciado sesión (sWeight, sCycle, sMoment, sLists, sTrain, sBudget),
- su registro de derechos y el historial de eventos de suscripción,
- su registro de aceptaciones legales.
Las copias de seguridad encriptadas de nuestra base de datos se eliminan automáticamente dentro de 7 días desde la eliminación. Después de 7 días, no queda ninguna copia de sus datos en nuestros sistemas.
Dos cosas NO se eliminan al eliminar la cuenta
- Datos locales en sus dispositivos. Cada aplicación Sapplify conserva una copia local en su dispositivo. Desinstale la aplicación o utilice la opción "Eliminar todos los datos" dentro de la aplicación para eliminarla.
- Su suscripción en App Store o Google Play. Eliminar su Cuenta de Sapplify no cancela la suscripción facturada por la tienda. Para evitar futuros cargos, cancele por separado en los ajustes de suscripción de su tienda.
Véase también nuestra guía pública guía de eliminación de cuenta para obtener instrucciones paso a paso.
14. Privacidad de los menores
Requisito de edad
Sapplify Account está destinada a usuarios de 16 años en adelante. Al crear una cuenta, confirma que cumple este requisito.
En jurisdicciones donde se requiera una edad mínima superior para el tratamiento de datos personales o de salud, se aplicará esa edad superior.
Si es padre, madre o tutor y considera que un menor de 16 años ha creado una Sapplify Account, póngase en contacto con nosotros en privacy@sapplify.com y procederemos a eliminar la cuenta.
15. Cookies y Seguimiento Web
El flujo de inicio de sesión de Sapplify Account se realiza dentro de las aplicaciones de Sapplify, no en un navegador web. El flujo de Account no coloca cookies en su dispositivo.
El sitio web de marketing de Sapplify (sapplify.com) dispone de su propia Política de Privacidad que cubre las cookies y análisis del sitio.
Control de Privacidad Global
Dado que el flujo de Sapplify Account no coloca cookies de seguimiento ni comparte datos para publicidad dirigida entre contextos, no hay nada de lo que Control de Privacidad Global (GPC) o las señales Do Not Track puedan excluirse. Respetamos estas señales por defecto.
16. Cambios en esta política
Es posible que actualicemos esta Política de Privacidad cuando nuestras prácticas cambien, cuando añadamos o eliminemos subcontratistas, o cuando la ley lo requiera.
Cambios materiales
Los cambios materiales (un nuevo subcontratista, un cambio en los flujos de datos, un cambio en la retención) actualizan la versión de la política. La próxima vez que inicie sesión en cualquier aplicación Sapplify, se le pedirá que lea y acepte nuevamente la política actualizada antes de continuar. Su aceptación se registra en el servidor.
Cambios no materiales
Las correcciones de errores tipográficos, los cambios de información de contacto y el reformateo se implementan silenciosamente con una fecha "Última actualización" actualizada en la parte superior de esta página.
Historial de versiones
Cada versión está fechada. Las versiones anteriores están disponibles bajo solicitud en privacy@sapplify.com.
17. Ley Aplicable y Autoridad Supervisora
Esta Política de Privacidad se rige por las leyes de la República Eslovaca, sin tener en cuenta los principios de conflicto de leyes.
Autoridad supervisora principal
Tenemos sede en Eslovaquia. Nuestra autoridad supervisora principal en materia de protección de datos es:
Urad na ochranu osobnych udajov Slovenskej republiky
(Oficina para la Protección de Datos Personales de la República Eslovaca)
Hranicna 12
820 07 Bratislava 27
República Eslovaca
Sitio web: dataprotection.gov.sk
Correo electrónico: statny.dozor@pdp.gov.sk
Los usuarios de la UE y del EEE también pueden presentar reclamaciones ante su autoridad supervisora local.
18. Contáctenos
Para consultas sobre esta Política de Privacidad o para ejercer cualquiera de los derechos descritos en la Sección 12:
Privacidad y protección de datos: privacy@sapplify.com
Consultas generales: contact@sapplify.com
Correo postal:
Anthony Eli Rasch - sapplify
Apartado Postal 004
91501 Nove Mesto nad Vahom
Eslovaquia
Para solicitudes de derechos del interesado vinculadas a su Sapplify Account, incluya la dirección de correo electrónico de la cuenta en su mensaje para que podamos verificar su identidad. Respondemos en el plazo de 30 días.