Política de privacidad (Align)

2.1 Datos de cuenta e identidad

• Nombre / nombre visible (obligatorio; puede ser un apodo y no tiene que ser su nombre legal)
• Dirección de correo electrónico (opcional, si actualiza su cuenta)

2.2 Datos de eventos y disponibilidades (servicio principal)

• Título del evento
• Rango de fechas / plazo previsto
• Duración del evento en días
• Número esperado de participantes (opcional)
• Listas de participantes y estado de invitación/participación
• Franjas horarias de disponibilidad enviadas por los participantes (incluida su zona horaria y, si se utilizan: niveles de preferencia y notas)

2.3 Datos del calendario (opcional, solo Aplicación Móvil)

Si activa el acceso al calendario en iOS/Android, la Aplicación Móvil lee los datos del calendario localmente en su dispositivo para identificar los días ocupados. Solo se carga un estado de ocupado/libre por día en nuestro servidor — nunca se envían al servidor títulos de eventos, horas, nombres de calendarios u otros detalles. Toda la información detallada del calendario permanece almacenada exclusivamente en su dispositivo.

No escribimos, modificamos ni eliminamos los eventos de su calendario en el dispositivo. El acceso al calendario es opcional; puede usar Align sin conceder permisos de calendario.

2.4 Notificaciones y datos del dispositivo

• Tokens de notificaciones push para móvil y web (solo recopilados cuando concede el permiso de notificación; utilizados únicamente para enviar notificaciones del Servicio)
• Datos técnicos/de registro básicos necesarios para la seguridad y el funcionamiento (p. ej., dirección IP y marcas de tiempo en los registros del servidor)

2.5 Verificación de correo electrónico y autenticación por enlace mágico

Utilizamos Brevo (correo electrónico transaccional) para enviar tokens de enlace mágico de un solo uso a su dirección de correo electrónico. Estos tokens se utilizan para la verificación del correo electrónico y para el inicio de sesión sin contraseña (por ejemplo, al acceder desde un navegador o dispositivo diferente). Los tokens son temporales y caducan tras su uso.

3.1 Cookies necesarias

La Aplicación Web utiliza únicamente cookies necesarias, como:

• Sesión/autenticación (p. ej., JWT en una cookie httpOnly)
• Protecciones de seguridad (p. ej., protección CSRF si corresponde)

Estas cookies son necesarias para prestar el Servicio. No utilizamos cookies analíticas ni de marketing y no utilizamos píxeles de seguimiento.

Para más información sobre las cookies que utilizamos, consulte /cookie-preferences.

4.1 Prestación del Servicio (Art. 6.1.b — contrato)

• Creación y gestión de cuentas
• Creación/adhesión a eventos, invitaciones, gestión de participantes
• Tratamiento de las entradas de disponibilidad y cálculo de fechas/franjas horarias sugeridas
• Sincronización y almacenamiento de los datos necesarios para el Servicio

4.2 Seguridad e integridad del Servicio (Art. 6.1.f — intereses legítimos)

• Prevención de abusos (p. ej., limitación de velocidad)
• Mantenimiento de la fiabilidad, depuración y protección del Servicio

4.3 Consentimiento para funciones opcionales (Art. 6.1.a — consentimiento)

• Acceso al calendario (permiso del dispositivo; Aplicación Móvil)
• Notificaciones push (permiso del dispositivo; Aplicación Móvil/Web según corresponda)

Puede retirar su consentimiento en cualquier momento desactivando los permisos en la configuración de su dispositivo/navegador.

5.1 Compartir con otros usuarios (su elección)

Su nombre (nombre visible) y la disponibilidad que envíe para un evento se comparten únicamente con los participantes de ese evento específico.

5.2 Proveedores de servicios (encargados del tratamiento)

Utilizamos los siguientes encargados del tratamiento para operar Align:

• Alojamiento (infraestructura de servidores): STRATO GmbH (Berlín, Alemania) para el alojamiento de servidores donde se ejecuta Coolify.
• Base de datos y almacenamiento de archivos: Supabase autoalojado (PostgreSQL) operado por nosotros y alojado en la infraestructura de STRATO.
• Correo electrónico transaccional: Brevo (para verificación de correo electrónico, autenticación por enlace mágico e invitaciones).
• Notificaciones push (Aplicación Móvil): Servicios push de Expo (que retransmiten al Apple Push Notification service (APNs) y/o Firebase Cloud Messaging (FCM) según la plataforma).
• Consulta de días festivos: API Nager.at — recibe únicamente un código de país.

No utilizamos proveedores de análisis, redes publicitarias, píxeles de marketing ni herramientas de monitorización de errores.

7.1 Cuentas y datos personales: eliminación automática tras 2 años de inactividad

Eliminamos automáticamente ciertos datos personales relacionados con la cuenta tras 2 años de inactividad.

• La inactividad significa: ninguna solicitud de su cuenta a nuestra API de backend («última solicitud de API»). Cualquier interacción que resulte en una solicitud de API autenticada cuenta como actividad.
• Antes de la eliminación, podemos notificarle (si disponemos de un correo electrónico verificado y puede recibir correos electrónicos) con un programa de doble aviso: 30 días antes de la eliminación y 7 días antes de la eliminación.

7.2 Qué se elimina frente a qué se conserva

Eliminado (eliminación definitiva): Identificadores de cuenta y datos personales asociados necesarios para identificarle como usuario, tales como:

• Registro de cuenta (correo electrónico)
• Datos de perfil (nombre visible)
• Tokens push asociados a la cuenta
• Instantáneas de ocupación del calendario asociadas a la cuenta
• Envíos de disponibilidad que solo son atribuibles a la cuenta

Conservado: Los datos de eventos se conservan hasta 5 años después de la última actividad en ese evento para preservar el contexto de planificación de grupo y el historial de eventos. En la medida de lo posible, los registros de eventos conservados se desvinculan de su cuenta tras la eliminación (p. ej., eliminación de los identificadores directos de la cuenta), manteniendo el evento en sí y el contexto no identificativo.

7.3 Registros operativos

Mantenemos registros operativos estructurados para proteger y operar el Servicio (p. ej., seguridad, depuración). Utilizamos registros estructurados (p. ej., winston/pino) con rotación de registros.

Derecho a presentar una reclamación ante una autoridad de control

Tiene derecho a presentar una reclamación ante una autoridad de protección de datos, en particular en el Estado miembro de la UE de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción. La autoridad de control para nuestra dirección registrada es:

Hessischer Beauftragter für Datenschutz und Informationsfreiheit
Postfach 3163, 65021 Wiesbaden, Alemania
https://www.datenschutz.hessen.de

Los usuarios en España también pueden contactar con la AEPD: https://www.aepd.es

Cómo ejercer sus derechos

Envíe un correo electrónico a privacy@elch.cc con el asunto «Solicitud de privacidad — Align». Es posible que necesitemos verificar su identidad. Nos comprometemos a responder en un plazo de 30 días (o según lo exija la ley).

Solicitudes de eliminación

Realizamos la eliminación definitiva (eliminación permanente de la base de datos) para los datos que son elegibles para la eliminación, de acuerdo con el derecho al olvido, a menos que la conservación sea requerida por la ley o sea necesaria para establecer, ejercer o defender reclamaciones legales.