Política de Privacidad

Política de Privacidad

Política de Privacidad

Última actualización: 24 de mayo de 2026
Ámbito de aplicación: La aplicación móvil «Journeys» (iOS) y el sitio web asociado en https://getjourneys.app

Con esta Política de Privacidad te informamos sobre el tratamiento de tus datos personales al utilizar la aplicación Journeys y los servicios online asociados, de conformidad con los artículos 13 y 14 del Reglamento General de Protección de Datos (RGPD) y demás leyes aplicables en materia de protección de datos (en particular la Ley Federal alemana de Protección de Datos, BDSG).

Hemos intentado redactar esta declaración con el lenguaje más claro posible. Si tienes alguna pregunta, escríbenos a support@getjourneys.app.

Nota sobre las versiones lingüísticas: Esta versión en español se proporciona a título informativo. La versión jurídicamente vinculante de esta Política es el original en alemán disponible en https://getjourneys.app/privacy. En caso de discrepancia entre el original alemán y esta traducción, prevalece la versión alemana.

Artículo 1 — Responsable del tratamiento

Lukas Seitz
Siemensstraße 1
93055 Regensburg
Alemania

Correo electrónico (soporte y solicitudes de protección de datos): support@getjourneys.app

No estamos obligados a designar un Delegado de Protección de Datos, ya que no cumplimos los criterios del § 38 de la Ley Federal alemana de Protección de Datos (BDSG): no tenemos a 20 o más personas dedicadas habitualmente al tratamiento automatizado de datos personales ni tratamos categorías especiales de datos en el sentido del artículo 9 del RGPD como actividad principal. Las solicitudes de protección de datos las atiende directamente Lukas Seitz en la dirección de correo electrónico arriba indicada y se responden en el plazo de un mes (artículo 12, apartado 3, del RGPD).

Artículo 2 — Categorías de datos personales que tratamos

Tratamos las siguientes categorías de datos personales:

2.1 Datos de cuenta e identificación

  • Dirección de correo electrónico (mediante Apple Sign-In o Magic Link)

  • Nombre para mostrar opcional (transmitido por Apple Sign-In o elegido por ti)

  • ID de usuario pseudonimizado (UUID de Supabase, utilizado internamente como identificador técnico)

  • Con Apple Sign-In: identificador de usuario de Apple (ID anónimo generado por Apple)

2.2 Datos de contenido (introducidos o creados por ti)

  • Nombres de viajes, nombres de paradas, notas, entradas de diario

  • Fotos subidas (incluidas las tareas del Foto Bingo, ver Artículo 3.4)

  • Documentos de viaje (PDF, billetes, confirmaciones de reserva)

  • Listas de equipaje, recordatorios, información de emergencia, direcciones guardadas, frases personalizadas

  • Reseñas, etiquetas de reseñas y denuncias (cuando uses las funciones comunitarias)

  • Enlaces de redes sociales (TikTok, Instagram) que añadas para la función de importación, ver Artículo 5

2.3 Datos de ubicación

  • Coordenadas geográficas de las paradas del viaje (elegidas por ti o determinadas a través de Google Places)

  • Trazas GPS, si utilizas activamente la función opcional de grabación de rutas

  • Centro aproximado del mapa (para solicitudes de mosaicos de mapas a Mapbox)

  • Ubicación de captura de las fotos en el modo Foto Bingo (ver Artículo 3.4)

  • Posición actual del dispositivo (solo durante una sesión activa, cuando utilizas una función basada en la ubicación, por ejemplo «cerca de mí», seguimiento de viaje)

2.4 Datos técnicos y de telemetría

  • Contadores de eventos anónimos (por ejemplo, «Viaje creado», «Parada añadida») a través de PostHog

  • Informes de fallos y errores no fatales a través de Sentry

  • Información del dispositivo (versión de iOS, modelo de dispositivo, versión de la aplicación, IDs anónimos de instalación) como parte de los diagnósticos de Sentry

  • Registros de errores de sincronización (anonimizados, conservados durante 30 días)

  • Contadores de limitación de velocidad (anonimizados, conservados aprox. 10 minutos)

2.5 Datos de notificaciones push

  • Token de dispositivo de Apple Push Notification Service (token APNs)

  • Para notificaciones configuradas: asociación del token con tu ID de usuario

2.6 Datos de comunicación

  • Solicitudes de soporte, incluidos los archivos adjuntos

  • Registros de consentimiento (qué versión de los Términos y de la Política de Privacidad has aceptado y cuándo)

Lo que NO recopilamos

Renunciamos explícitamente a las siguientes categorías:

  • Identificadores publicitarios (IDFA, IDFV)

  • Identificadores de seguimiento entre aplicaciones de cualquier tipo

  • Historial de navegación fuera de la aplicación

  • Número de teléfono

  • Datos de pago (la aplicación actualmente no incluye funciones de pago)

  • Agenda de contactos / contactos / calendario

  • Grabaciones de micrófono o seguimiento continuo de la ubicación en segundo plano

Artículo 3 — Tratamiento de datos en el marco de la función de viaje

Cuando creas un viaje en Journeys, los siguientes datos se almacenan en nuestra base de datos alojada en la UE (Supabase, región de Fráncfort) y se vinculan con tu cuenta.

3.1 Datos del viaje y de las paradas

Datos principales del viaje: nombre del viaje, periodo de viaje, lugar de destino y sus coordenadas geográficas, opcionalmente información sobre el alojamiento (nombre, dirección, código de reserva, notas), parámetros de presupuesto, información sobre el transporte.

Datos de las paradas: nombre, categoría y coordenadas geográficas de cada parada, notas opcionales, archivos adjuntos y orden de clasificación, galería de fotos por parada.

3.2 Archivos adjuntos y documentos

Las notas, fotos y PDFs que añades se almacenan en un bucket de almacenamiento privado protegido mediante Row-Level Security (RLS), de modo que solo tú y los compañeros de viaje que hayas invitado tienen acceso. El acceso al bucket requiere una sesión de autenticación válida — terceros no pueden recuperar los archivos aunque conozcan la URL.

3.3 Viajes compartidos

Si compartes un viaje con otras personas, esos compañeros de viaje ven todos los datos del viaje (paradas, notas, archivos adjuntos, entradas de diario, etc.). Los compañeros se vinculan a través de su ID de usuario. Puedes eliminar a un compañero del viaje en cualquier momento. Esto pone fin a su acceso de forma inmediata.

3.4 Foto Bingo y datos EXIF en las fotos

Las fotos subidas (en entradas de diario, celdas de Bingo, documentos de viaje) suelen contener metadatos EXIF, entre ellos:

  • Fecha y hora de captura

  • Coordenadas GPS del lugar de captura (si tu dispositivo tenía activada la captura de ubicación en ese momento)

  • Modelo de cámara, valores de exposición

No eliminamos deliberadamente estos metadatos antes de subir la foto, porque la función Foto Bingo muestra la ubicación de la captura en el mapa («Aquí completé la tarea»). Si no deseas que se almacene la posición GPS de una foto en particular, puedes:

  • desactivar la captura de ubicación en los ajustes de la cámara de iOS (antes de la toma)

  • eliminar los datos EXIF de una foto con una herramienta de terceros antes de subirla

Los datos EXIF no se extraen a nuestra base de datos estructurada, sino que permanecen exclusivamente en el archivo de imagen subido en el bucket de almacenamiento, visible solo para ti y para los compañeros de viaje que hayas invitado.

3.5 Datos de actividad de viaje

Las trazas GPS que registras opcionalmente en la aplicación se procesan localmente en el dispositivo y, en caso necesario, se envían a la Mapbox Map Matching API para «encajarlas» en la red de carreteras más cercana. El resultado se almacena únicamente en tu dispositivo y en tu conjunto de datos de viaje.

Base jurídica: Artículo 6, apartado 1, letra b) del RGPD (ejecución del contrato — las funciones de la aplicación constituyen el objeto del contrato).

Artículo 4 — Inicio de sesión y envío de correos electrónicos

Puedes iniciar sesión en Journeys de dos maneras:

4.1 Apple Sign-In (recomendado)

  • Autenticación mediante el sistema de Apple

  • Apple nos proporciona un token de identidad de corta duración que canjeamos por una sesión de Supabase

  • Apple puede transmitir opcionalmente tu nombre y tu dirección de correo electrónico (o una dirección de relé de Apple como xyz@privaterelay.appleid.com)

  • Almacenamos: nombre para mostrar (opcional), dirección de correo electrónico, ID de usuario de Apple

4.2 Magic Link (correo electrónico)

  • Introduces tu dirección de correo electrónico

  • Te enviamos un enlace de inicio de sesión de un solo uso a través de nuestro proveedor de envío de correos Brevo (Sendinblue GmbH, Berlín / París)

  • Brevo trata exclusivamente: tu dirección de correo electrónico, el momento del envío, los datos técnicos de entrega (rebote, apertura, clic)

  • El Magic Link es válido durante 60 minutos

  • Alojamiento Brevo: UE (Francia)

4.3 Almacenamiento

Tu dirección de correo electrónico se almacena en la tabla de autenticación de Supabase y en el perfil de usuario. Al eliminar la cuenta, se borran ambas entradas.

Base jurídica: Artículo 6, apartado 1, letra b) del RGPD (ejecución del contrato — el inicio de sesión es un requisito previo para el uso de la aplicación).

Artículo 5 — Funciones de IA e importación desde redes sociales

Journeys ofrece funciones asistidas por IA que envían solicitudes a nuestro proveedor de IA Anthropic PBC (Claude). Anthropic está domiciliada en EE. UU., pero está certificada en el marco del EU-US Data Privacy Framework (ver Artículo 11).

5.1 Asistente de viaje con IA

Cuando utilizas el Asistente de viaje (por ejemplo, «Sugiéreme 3 cafés en París»), enviamos a Anthropic:

  • Tu mensaje (prompt)

  • Opcionalmente: contexto del viaje actual (nombre del viaje, paradas existentes, rango de fechas) — en la medida necesaria para la respuesta

  • Tu ID de usuario pseudonimizado (para asignar la respuesta a ti)

No enviamos a Anthropic: tu correo electrónico, tu nombre real, fotos, archivos adjuntos.

5.2 Importación desde redes sociales (TikTok / Instagram)

Cuando compartes o pegas un enlace de TikTok o Instagram en la aplicación, se ejecuta el siguiente proceso:

  1. La aplicación detecta el tipo de enlace localmente (sin llamadas externas)

  2. Nuestra Edge Function recupera la información de vista previa públicamente accesible de la publicación (título, descripción, miniatura — sin datos privados)

  3. La descripción se envía a Anthropic Claude para extraer sugerencias de lugares

  4. Recibes las sugerencias extraídas en la aplicación y decides cuáles importar

Qué cacheamos: Los resultados del análisis de IA se almacenan en un caché compartido (misma URL de vídeo → mismo resultado) para reducir las solicitudes. El caché es anónimo — solo contiene la URL y el resultado de la IA, sin IDs de usuario.

5.3 Conservación en Anthropic

Conforme a nuestro contrato de encargo del tratamiento con Anthropic, los datos transmitidos se utilizan exclusivamente para responder a tu solicitud, no se utilizan para entrenar los modelos de IA y se eliminan en un plazo máximo de 30 días.

5.4 Traducciones de IA (contenido editorial)

Para proporcionar contenido multilingüe (por ejemplo, guías de ciudad), traducimos internamente (en nuestro área de administración) con la ayuda de Anthropic Claude. No se transmiten datos de usuario en este proceso — únicamente contenido editorial que nosotros mismos mantenemos.

Base jurídica: Artículo 6, apartado 1, letra b) del RGPD (ejecución del contrato — la función de IA forma parte del objeto del contrato).

Artículo 6 — Servicios externos de mapas y lugares

Cuando añades una parada o muestras un mapa, se envían solicitudes a servicios externos.

6.1 Google Places API (a través de nuestro proxy alojado en la UE)

  • Enviamos: el nombre del lugar buscado, un área de búsqueda geográfica aproximada (alrededor de 200 m de radio en torno a la parada seleccionada), el idioma de tu aplicación

  • Recibimos: nombre del lugar, referencias de fotos, resumen de valoraciones, horarios de apertura, dirección — estos datos se reutilizan en nuestra base de datos para otros usuarios (caché compartido, ahorra costes de API y tráfico de datos)

  • Kill switch: Si el administrador desactiva el conmutador de búsqueda de Places (por ejemplo, al agotarse la cuota), no se envían solicitudes a Google

6.2 Mapbox Maps SDK y Map Matching API

  • Visualización del mapa: Al visualizar un mapa, se envían solicitudes de mosaicos a los servidores de Mapbox; estas contienen el centro aproximado del mapa (coordenada geográfica), el nivel de zoom y un token de acceso anónimo de Mapbox para nuestra aplicación

  • Snapping de trazas GPS: Si grabas una traza GPS y deseas alinearla con la red de carreteras, envías la traza a nuestro proxy Edge Function, que la reenvía a la Mapbox Matching API

  • Lo que Mapbox no recibe: tus nombres de viaje, notas, imágenes, IDs de usuario, direcciones de correo

Base jurídica: Artículo 6, apartado 1, letra b) del RGPD (ejecución del contrato — la función de mapas forma parte del objeto del contrato).

Artículo 7 — Telemetría, informes de fallos y análisis de producto

Utilizamos las siguientes herramientas técnicas. Todas están configuradas para que no se transmita ningún contenido personal (nombres de viajes, notas, correos electrónicos) a los proveedores.

7.1 Sentry (informes de fallos y errores)

  • Región de datos: UE (Sentry región DE)

  • Se transmiten: trazas de pila, versión de iOS, modelo de dispositivo, breadcrumbs anónimos

  • No se transmiten: capturas de pantalla, jerarquías de vistas, contenido del viaje, correos electrónicos

  • Vinculación con usuario: únicamente el UUID anónimo de Supabase

  • Tasa de muestreo de rendimiento: 10 %

  • Conservación: hasta 90 días (según el plan actual de Sentry)

7.2 PostHog (análisis de producto)

  • Región de datos: UE (eu.posthog.com)

  • Se transmiten: nombres de eventos de una lista fija (por ejemplo, «Viaje creado», «Parada añadida», «Onboarding completado») junto con propiedades anónimas (por ejemplo, tipo de viaje, número de paradas)

  • No se transmiten: nombres de viaje, nombres de paradas, notas, textos introducidos por el usuario, imágenes, ubicaciones

  • Perfilado: solo para usuarios autenticados; sin seguimiento entre aplicaciones anónimo

  • Sin grabaciones de sesión, sin mapas de calor

  • Conservación: 12 meses

7.3 Slack (notificaciones internas a nuestro equipo de soporte)

  • Slack no recibe ningún contenido de usuario. Cuando abres un ticket de soporte o envías una denuncia, solo vemos en nuestro canal interno de Slack un mensaje técnico de aviso (por ejemplo, «Nuevo ticket de soporte — estado: abierto» + enlace al panel de administración). El contenido real permanece en nuestra base de datos de la UE.

  • Los correos electrónicos de los administradores se mencionan como actores en los mensajes de Slack, pero no constituyen contenido de usuario de la aplicación.

7.4 Apple App Tracking Transparency

No hacemos tracking en el sentido de la definición de Apple. En el Privacy Manifest de nuestra aplicación, NSPrivacyTracking = false está establecido; no utilizamos IDFA, identificadores entre aplicaciones ni cookies publicitarias. Por este motivo, la aplicación no muestra ningún diálogo ATT («¿Quieres ser seguido?»).

7.5 Tu derecho de oposición a la telemetría (Art. 21 RGPD)

Dado que utilizamos Sentry y PostHog sobre la base de nuestro interés legítimo (Art. 6, apartado 1, letra f) del RGPD), tienes en todo momento el derecho a oponerte a este tratamiento.

Cómo oponerte:
Envía un breve correo electrónico a support@getjourneys.app con el asunto «Oposición telemetría» e indícanos la dirección de correo electrónico de tu cuenta. A continuación, pondremos tu cuenta en modo «opt-out» en ambas herramientas — después, no se registrarán más eventos ni informes de fallos para tu cuenta. Recibirás una confirmación en un plazo de 7 días.

Nota: Estamos trabajando en un interruptor dentro de la aplicación que permitirá gestionar esta oposición directamente desde los ajustes. Hasta que esté disponible, la oposición se tramita exclusivamente por correo electrónico.

Base jurídica: Artículo 6, apartado 1, letra f) del RGPD (interés legítimo en la estabilidad y mejora de la aplicación).

Artículo 8 — Notificaciones push

Journeys utiliza el servicio Apple Push Notification Service (APNs) para enviarte los siguientes tipos de notificaciones:

  • Recordatorios de viaje (por ejemplo, próximas paradas, inicio del viaje)

  • Avisos de sincronización (por ejemplo, cuando un compañero ha añadido algo a tu viaje)

  • Notificaciones importantes del sistema (por ejemplo, «actualización de la aplicación disponible»)

Cómo funciona

  1. En el primer arranque, iOS te pide tu consentimiento («¿Deseas recibir notificaciones push?»)

  2. Si aceptas, recibimos de Apple un token de dispositivo anónimo (token push APNs)

  3. Almacenamos este token en nuestra base de datos, vinculado a tu ID de usuario pseudonimizado

  4. Cuando queremos enviarte un mensaje, transmitimos el token a Apple junto con el contenido push

Lo que ve Apple

Apple es el transportista de los mensajes push y ve el contenido entregado. A través de push solo enviamos avisos técnicos (por ejemplo, «Tu vuelo a Lisboa sale mañana») y ningún dato sensible.

Desactivar las notificaciones push

Puedes desactivar las notificaciones push en cualquier momento:

  • En los ajustes de iOS → Journeys → Notificaciones → Permitir notificaciones (desactivado)

  • En los ajustes de la aplicación Journeys (si hay un interruptor disponible)

En caso de revocación total, el token se elimina de nuestra base de datos.

Base jurídica: Artículo 6, apartado 1, letra a) del RGPD (consentimiento mediante el diálogo push de iOS).

Artículo 9 — Reseñas comunitarias, denuncias y moderación

Si utilizas la función comunitaria opcional, se aplican adicionalmente las siguientes indicaciones:

9.1 Reseñas

Cuando valoras un lugar y compartes públicamente tu reseña, esta es visible para otros usuarios de la aplicación, incluyendo:

  • tu nombre para mostrar

  • tu calificación con estrellas

  • el texto opcional de la reseña y las etiquetas

  • el lugar valorado (nombre + coordenadas geográficas aproximadas)

Las reseñas se vinculan a tu ID de usuario. Puedes editar o eliminar tus propias reseñas en la aplicación en cualquier momento.

9.2 Denuncias

Cuando denuncias una reseña por infracción de las normas de la comunidad, almacenamos tu ID de usuario, el ID de la reseña denunciada y el motivo de la denuncia (un valor de enumeración como «Spam», «Insulto»). Respondemos a las denuncias dentro de las 24 horas como máximo.

El usuario denunciado no se entera de quién lo ha denunciado (salvo en casos excepcionales en los que la ley lo exige, por ejemplo a petición de las autoridades policiales).

9.3 Bloqueos

Si un administrador te bloquea por infracciones reiteradas, el bloqueo se documenta con su motivación. Puedes reclamar contra el bloqueo en support@getjourneys.app.

9.4 Reglamento de Servicios Digitales (DSA)

Como pequeño proveedor (no una «Plataforma en línea de muy gran tamaño» en el sentido del DSA), estamos sujetos a las obligaciones mínimas del DSA. Las cumplimos a través de:

  • un procedimiento interno de notice-and-action (mecanismo de denuncia y reacción, ver Artículo 9.2)

  • la posibilidad de reclamar contra las decisiones de moderación (Artículo 9.3)

  • normas comunitarias transparentes (ver https://getjourneys.app/community-guidelines)

Base jurídica para la moderación: Artículo 6, apartado 1, letra f) del RGPD (interés legítimo en una comunidad respetuosa) así como el cumplimiento de obligaciones legales derivadas del Reglamento de Servicios Digitales.

Artículo 10 — Encargados del tratamiento y prestadores terceros

Recurrimos a los siguientes encargados del tratamiento. Con cada uno de ellos hemos firmado un contrato de encargo del tratamiento conforme al artículo 28 del RGPD.

PrestadorSedeRegión de alojamientoFinalidadSupabase Inc.EE. UU. (Delaware)🇪🇺 UE (Fráncfort)Base de datos, autenticación, almacenamiento, tiempo real, Edge FunctionsVercel Inc.EE. UU.🇺🇸 EE. UU.Alojamiento del panel de administración internoFramer B.V.🇪🇺 Países Bajos (Ámsterdam)🇪🇺 UE / global (a través de AWS)Alojamiento del sitio web https://getjourneys.app (páginas legales, marketing)Anthropic PBCEE. UU.🇺🇸 EE. UU.Funciones de IA (sugerencias de viaje, importación desde redes sociales, traducciones)Sentry / Functional Software Inc.EE. UU.🇪🇺 UE (región DE)Informes de fallos, registro de erroresPostHog Inc.EE. UU.🇪🇺 UE (eu.posthog.com)Análisis de producto (eventos anónimos)Google LLC (Places API + Cloud)EE. UU.globalInformación de lugares, URLs de fotosMapbox Inc.EE. UU.globalVisualización de mapas, snapping de rutasSlack Technologies LLC (Salesforce)EE. UU.🇺🇸 EE. UU.Notificaciones internas (sin contenido de usuario)Sendinblue GmbH (Brevo)🇪🇺 Francia/Berlín🇪🇺 UEEnvío de correos electrónicos (Magic Link)Apple Inc.EE. UU.globalApple Sign-In, distribución en App Store, Push Notification Service

Los contratos de encargo del tratamiento (DPA) están disponibles para su consulta en nuestras instalaciones — previa solicitud motivada por un interés legítimo, te enviaremos una confirmación de la celebración del contrato.

Artículo 11 — Transferencias de datos a terceros países (EE. UU.)

Algunos de los encargados del tratamiento mencionados tienen su sede en EE. UU. o tratan datos allí. La transferencia de datos a EE. UU. se realiza sobre la base del EU-US Data Privacy Framework (DPF) — decisión de adecuación de la Comisión Europea de 10 de julio de 2023 (C(2023) 4745 final) — siempre que los respectivos prestadores estén certificados DPF.

Prestadores certificados DPF que utilizamos (a fecha de 24 de mayo de 2026)

  • Vercel Inc.

  • Anthropic PBC

  • Sentry / Functional Software Inc.

  • PostHog Inc.

  • Google LLC (Cloud + Places API)

  • Mapbox Inc.

  • Slack Technologies LLC

  • Apple Inc.

Puedes consultar la certificación en el registro público DPF en https://www.dataprivacyframework.gov/list.

Para los encargados del tratamiento cuya sociedad matriz tiene su sede en EE. UU., pero cuyos datos se tratan de hecho en la UE (Supabase: AWS Fráncfort; Sentry: región DE; PostHog: EU Cloud), la ubicación de alojamiento en la UE sirve además como medida técnica de protección.

Adicionalmente, hemos firmado Cláusulas Contractuales Tipo (CCT) en virtud del artículo 46, apartado 2, letra c) del RGPD con todos los prestadores estadounidenses. Estas cláusulas obligan a los prestadores a mantener un nivel de protección de datos equivalente al del RGPD.

Si tienes alguna preocupación con respecto a una transferencia de datos concreta, puedes ponerte en contacto con nosotros en cualquier momento en support@getjourneys.app.

Artículo 12 — Plazo de conservación y eliminación

Solo conservamos los datos personales durante el tiempo necesario para las respectivas finalidades.

Tipo de datoConservaciónDatos principales de la cuenta (perfil, correo electrónico)Hasta la eliminación de la cuentaDatos de viaje (viajes, paradas, archivos adjuntos)Hasta la eliminación de la cuentaViajes eliminados (papelera soft-delete)30 días, después eliminación irrevocableRegistros de errores de sincronización30 díasRegistros de limitación de velocidadaprox. 10 minutosInformes de fallos (Sentry)hasta 90 díasTelemetría de producto (PostHog)12 mesesTickets de soportehasta 90 días después del cierreTokens de Magic Linkvalidez de 60 minutosRegistros de consentimiento (versión de Términos / Política aceptada)Hasta la eliminación de la cuentaToken de notificación push (APNs)Hasta que desactives las notificaciones / eliminación de la cuentaSolicitudes a Anthropic (IA)máx. 30 días (según nuestro DPA con Anthropic)Snapshots de copia de seguridad cifrados30 díasCaché de enriquecimiento de lugares (anónimo)Hasta la próxima limpieza (sin vinculación con usuario)

Eliminación de la cuenta

Puedes eliminar tu cuenta en cualquier momento en los ajustes de la aplicación en «Perfil → Eliminar cuenta» con doble confirmación. Al eliminar la cuenta:

  • todos los viajes, paradas, archivos adjuntos, entradas de diario, tableros de Bingo y listas de equipaje se eliminan irrevocablemente de la base de datos,

  • todos los archivos se eliminan de los buckets de almacenamiento,

  • la vinculación del ID de usuario en PostHog y Sentry se restablece,

  • el token de notificación push se elimina,

  • la entrada en la tabla de autenticación y en el perfil de usuario se elimina.

La eliminación se aplica de forma inmediata en producción. La conservación de copias de seguridad es de 30 días (snapshots cifrados en Supabase); transcurrido ese plazo, la eliminación se completa también en las copias de seguridad.

Artículo 13 — Tus derechos

Como persona interesada, dispones de los siguientes derechos al amparo del RGPD:

  • Acceso (Art. 15 RGPD) — te informamos sobre qué datos personales tratamos sobre ti

  • Rectificación (Art. 16 RGPD) — puedes solicitar la corrección de datos inexactos

  • Supresión (Art. 17 RGPD) — puedes solicitar la eliminación de tus datos (de forma íntegra a través de la función in-app «Eliminar cuenta» o por correo electrónico a support@getjourneys.app)

  • Limitación del tratamiento (Art. 18 RGPD)

  • Portabilidad de los datos (Art. 20 RGPD) — puedes solicitar tus datos en un formato legible por máquina (exportación JSON por correo electrónico a support@getjourneys.app, tramitación en el plazo de un mes)

  • Oposición (Art. 21 RGPD) — para los tratamientos basados en intereses legítimos (en particular la telemetría, ver Artículo 7.5)

  • Revocación del consentimiento (Art. 7, apartado 3, RGPD) — en la medida en que el tratamiento se base en un consentimiento (por ejemplo, notificaciones push)

  • Reclamación ante la autoridad de control (Art. 77 RGPD, ver Artículo 14)

Para ejercer tus derechos, contacta con: support@getjourneys.app

Respondemos en el plazo de un mes (Art. 12, apartado 3, RGPD). En el caso de solicitudes especialmente complejas, este plazo puede prorrogarse en dos meses adicionales; en este caso, te informaremos de ello.

Artículo 14 — Derecho de reclamación ante la autoridad de control

Tienes derecho a presentar una reclamación ante una autoridad de control de protección de datos sobre el tratamiento de tus datos personales (Art. 77 RGPD).

La autoridad de control competente para nosotros es:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Alemania
Sitio web: https://www.lda.bayern.de

También puedes dirigirte a la autoridad de protección de datos de tu lugar de residencia habitual o de tu lugar de trabajo.

Artículo 15 — Sitio web (getjourneys.app)

Nuestro sitio web en https://getjourneys.app está alojado en Framer y sirve exclusivamente para informar sobre la aplicación y para alojar los documentos legales (Política de Privacidad, Términos, Aviso Legal, Normas de la Comunidad).

En el sitio web no utilizamos cookies de seguimiento, herramientas de análisis ni píxeles publicitarios. Solo se utilizan cookies / mecanismos de almacenamiento local estrictamente necesarios para la entrega de la página (por ejemplo, sesión de Framer para evitar recargas infinitas).

Al acceder al sitio web, se almacenan en el servidor registros de conexión anónimos (dirección IP, marca de tiempo, user-agent) durante el tiempo habitual (normalmente 7 días). Estos datos no se utilizan para perfilado.

Base jurídica: Artículo 6, apartado 1, letra f) del RGPD (interés legítimo en un sitio web funcional y seguro).

Artículo 16 — Seguridad del tratamiento

Aplicamos medidas técnicas y organizativas para proteger tus datos frente a accesos no autorizados. Entre ellas:

  • Cifrado de la transmisión de datos (HTTPS / TLS 1.3) y del almacenamiento de datos (cifrado «at rest» de Supabase con AES-256)

  • Row-Level Security (RLS) en todas las tablas de la base de datos — solo ves tus propios datos (incluso en acceso directo a la base de datos)

  • Aislamiento del bucket de almacenamiento — las fotos y PDFs subidos son privados; incluso conociendo la URL, no es posible acceder sin autenticación válida

  • Limitación de velocidad + cuota en todos los endpoints de la API para protegerse contra abusos

  • Pseudonimización siempre que sea posible (IDs de usuario en UUID, sin vinculación directa de correo electrónico en la telemetría)

  • Copias de seguridad regulares con snapshots cifrados (retención de 30 días)

  • Eliminación de cuenta con CASCADE — todos los datos dependientes se eliminan en una sola transacción

  • Renuncia a IDs publicitarios (sin IDFA, sin seguimiento entre aplicaciones)

  • Registro de auditoría para accesos administrativos a datos de usuario

  • Pruebas de humo en cambios de esquema relevantes para la base de datos, para evitar errores de permisos

Artículo 17 — Modificaciones de esta Política de Privacidad

Podemos actualizar esta Política de Privacidad para adaptarla a cambios legislativos, a nuevas funciones de la aplicación o a nuevos encargados del tratamiento. La fecha bajo «Última actualización» al inicio de este documento indica la versión actual.

Las modificaciones sustanciales (por ejemplo, nuevos prestadores terceros, nuevas categorías de datos, modificaciones de la base jurídica) te las anunciaremos por correo electrónico o mediante un aviso in-app — normalmente al menos 14 días antes de su entrada en vigor. En el caso de modificaciones meramente redaccionales (erratas, formato), no se realizará un anuncio independiente.

Documentamos qué versión de la Política de Privacidad has aceptado en una tabla interna (user_consents) con marca de tiempo y número de versión.

Artículo 18 — Contacto

Para cualquier consulta sobre esta Política de Privacidad o sobre el tratamiento de tus datos, puedes ponerte en contacto con nosotros en:

Correo electrónico: support@getjourneys.app

Solemos responder en un plazo de 24 horas y, a más tardar, en el plazo de un mes previsto en el Art. 12, apartado 3, del RGPD.

Esta Política de Privacidad fue publicada el 24 de mayo de 2026.

Go Home