Política de Privacidad

1. Quiénes somos

El responsable del tratamiento de su información personal es:

• Nombre: Fotis Petrou
• Tipo de operador: Particular (servicio sin fines comerciales)
• Dirección: 7th km PEO Larisas-Volou, 41500 Melissochori, Greece
• Correo electrónico: fokompet@gmail.com

Si tiene alguna pregunta sobre esta Política o sobre cómo tratamos sus datos, contáctenos en el correo electrónico anterior. También tiene derecho a presentar una reclamación ante la Autoridad Helénica de Protección de Datos (HDPA / Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα), Kifissias 1-3, 11523 Atenas, Grecia — www.dpa.gr.

2. Qué datos recopilamos

Datos de la cuenta

Cuando crea una cuenta o inicia sesión a través de Google, GitHub o Microsoft, recopilamos:

• Dirección de correo electrónico
• Nombre para mostrar
• URL de la foto de perfil (de su proveedor de OAuth)
• ID del proveedor de OAuth (un identificador estable emitido por Google/GitHub/Microsoft)
• Fecha de creación de la cuenta y fecha del último inicio de sesión
• Color del nombre para mostrar (color del cursor) utilizado para la colaboración en tiempo real

Contenido de los diagramas

• Diagramas de Gantt que crea, edita o guarda en la nube (tareas, fechas, dependencias, temas, estado de la vista)
• Ajustes de uso compartido (a quién ha invitado a un diagrama y con qué rol)
• Metadatos del proyecto (nombre, marca de tiempo de la última edición)

Datos de colaboración

• Posiciones del cursor e indicadores de presencia (transmitidos en tiempo real a través de Supabase Realtime; no se almacenan en disco)
• Membresías de colaboración (a qué diagramas ha sido invitado)
• Direcciones de correo electrónico de los usuarios a los que invita a sus diagramas
• Notificaciones dentro de la aplicación (eventos de uso compartido, anuncios)

Datos técnicos

• Dirección IP (registrada brevemente con fines de seguridad y prevención de abusos; no se utiliza para el seguimiento entre sitios)
• Tipo y versión del navegador, sistema operativo
• Marcas de tiempo de las acciones que realiza en el Servicio
• Registros de errores que pueden incluir la URL en la que se encontraba cuando se produjo un error

Datos de uso y actividad (usuarios con sesión iniciada)

• Eventos de exportación: cada vez que exporta un diagrama con la sesión iniciada, registramos el formato del archivo (por ejemplo, PNG, PDF, SVG, Excel, CSV) y la hora. No registramos el contenido del diagrama exportado. Las exportaciones realizadas sin una cuenta no se registran.
• Señal de actividad: mientras tiene la sesión iniciada con la aplicación abierta y en primer plano, un «latido» periódico registra que usted está activo. A partir de esto deducimos cuándo estuvo activo por última vez y un tiempo total aproximado que ha pasado en la aplicación.

Estos datos de uso están vinculados a su cuenta (no se anonimizan) y se utilizan para el análisis del producto, la planificación de la capacidad y para impulsar las herramientas de administración descritas en la sección 4. Son distintos de los análisis del sitio web agregados y sin cookies descritos en nuestra Política de Cookies.

Cookies y tecnologías similares

Consulte nuestra Política de Cookies para ver la lista completa de cookies y tecnologías similares (localStorage, sessionStorage, IndexedDB) que utilizamos.

Datos de publicidad (cuando los anuncios están activos)

• Identificadores publicitarios de Google AdSense (solo después de que haya dado su consentimiento a través del banner de cookies)
• Si ha visto un anuncio mostrado en nuestro sitio o ha interactuado con él

3. Por qué los recopilamos (bases jurídicas según el artículo 6 del RGPD)

• Creación de cuenta e inicio de sesión: ejecución de un contrato con usted (art. 6(1)(b)).
• Almacenamiento en la nube y uso compartido de diagramas: ejecución de un contrato (art. 6(1)(b)).
• Funciones de colaboración en tiempo real (presencia, cursores, ediciones en vivo): ejecución de un contrato (art. 6(1)(b)).
• Acceso por parte de un asistente de IA que usted conecte: ejecución de un contrato, junto con su autorización explícita de la conexión (art. 6(1)(b) y 6(1)(a)).
• Seguridad del Servicio, prevención del fraude, detección de abusos: nuestro interés legítimo en mantener el Servicio seguro (art. 6(1)(f)).
• Análisis agregados y anonimizados: nuestro interés legítimo en comprender el uso (art. 6(1)(f)).
• Análisis de uso y actividad vinculados a su cuenta (registros de exportación y de actividad): nuestro interés legítimo en comprender cómo se utiliza el Servicio y planificar la capacidad (art. 6(1)(f)). Puede oponerse en cualquier momento en virtud del art. 21.
• Administración del Servicio: nuestro interés legítimo en dar soporte a los usuarios, mantener el Servicio seguro y prevenir abusos, incluso mediante una consola de administración interna (art. 6(1)(f)).
• Cookies no esenciales, publicidad personalizada: su consentimiento (art. 6(1)(a)), recabado a través del banner de cookies. Puede retirarlo en cualquier momento.
• Cumplimiento de obligaciones legales: art. 6(1)(c), por ejemplo para responder a solicitudes lícitas de las autoridades.

4. Con quién compartimos sus datos

Proveedores de servicios (encargados del tratamiento que actúan en nuestro nombre)

• Supabase, Inc. — autenticación, base de datos (PostgreSQL) y almacenamiento para su cuenta y diagramas. Servidores en la UE (Fráncfort, Alemania).
• Cloudflare, Inc. — alojamiento del sitio, distribución de contenidos, protección contra ataques DDoS y análisis respetuosos con la privacidad (sin cookies).
• Google LLC — Google AdSense (solo cuando los anuncios están activos) y gestión del consentimiento mediante Google Funding Choices.

Proveedores de OAuth (responsables independientes cuando inicia sesión a través de ellos)

• Google LLC — Iniciar sesión con Google. Google nos proporciona su correo electrónico, nombre, ID de Google y la URL de la foto de perfil.
• GitHub, Inc. — Iniciar sesión con GitHub. GitHub nos proporciona su nombre de usuario, correo electrónico, ID de GitHub y la URL del avatar.
• Microsoft Corporation — Iniciar sesión con Microsoft. Microsoft nos proporciona su correo electrónico, nombre e ID de Microsoft.

Otros usuarios

Los demás usuarios de un diagrama que usted haya compartido ven su nombre para mostrar, la posición de su cursor en tiempo real y sus ediciones del diagrama.

Si crea un enlace de uso compartido público para un diagrama, cualquier persona que tenga ese enlace puede ver el contenido del diagrama sin iniciar sesión. Usted decide si existe un enlace y puede revocarlo en cualquier momento.

Asistentes de IA que usted conecte (opcional)

Opcionalmente, puede conectar un asistente de IA de terceros (por ejemplo, Claude de Anthropic o ChatGPT de OpenAI) a su cuenta para que pueda listar, leer, crear y editar sus diagramas en su nombre. Esto utiliza un token de acceso que usted autoriza explícitamente y puede revocar en cualquier momento. Cuando conecta un asistente y le pide que trabaje con un diagrama, los datos del diagrama que usted le indique son tratados por ese proveedor de IA conforme a sus propias condiciones de privacidad. Nunca conectamos un asistente por usted, y sus datos se comparten con un proveedor de IA únicamente cuando usted mismo ha configurado y autorizado la conexión.

Nuestros administradores

Un reducido número de administradores autorizados puede acceder a una consola interna que muestra información de la cuenta (correo electrónico, proveedor de inicio de sesión, número de diagramas, recuentos de exportaciones y de actividad, hora de la última actividad) con fines de soporte, seguridad y prevención de abusos, y puede suspender o eliminar cuentas. Se trata de acceso interno por nuestra parte como responsable del tratamiento, no de una divulgación a un tercero. El acceso de los administradores requiere un inicio de sesión independiente y está restringido a las cuentas que hemos autorizado explícitamente.

Autoridades y fuerzas del orden

Divulgamos datos a las autoridades únicamente cuando la ley lo exige, y le informaremos siempre que la ley lo permita.

NO vendemos sus datos personales. NO compartimos sus datos personales con fines de publicidad conductual entre contextos fuera del flujo de Google AdSense supeditado al consentimiento.

5. Transferencias internacionales

Algunos de nuestros proveedores de servicios y proveedores de OAuth tienen su sede en los Estados Unidos. Las transferencias se basan en las siguientes garantías:

• El Marco de Privacidad de Datos UE-EE. UU. (DPF), conforme a la Decisión de Ejecución (UE) 2023/1795 de la Comisión, de 10 de julio de 2023, para los destinatarios certificados en virtud del DPF. Google LLC y GitHub/Microsoft Corporation están certificados conforme al DPF.
• Cuando la certificación del DPF no esté disponible o quede invalidada, las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, complementadas con las medidas adicionales adecuadas cuando sea necesario.

Puede solicitar una copia de las CCT o más información sobre las transferencias enviándonos un correo electrónico a fokompet@gmail.com.

6. Cuánto tiempo conservamos sus datos

• Datos de la cuenta: se conservan mientras su cuenta esté activa. Tras la eliminación (por usted o por nosotros), se eliminan definitivamente de los sistemas de producción en un plazo de 30 días; las copias de seguridad cifradas se purgan en un plazo de 90 días.
• Contenido de los diagramas: se conserva mientras lo mantenga en su cuenta. El mismo plazo de eliminación que el anterior.
• Registros de uso y actividad (eventos de exportación, señal de actividad): se conservan mientras su cuenta esté activa y se eliminan junto con su cuenta. Cuando un administrador elimina una cuenta, el acceso se suspende de inmediato y los datos son recuperables durante 30 días antes de su borrado permanente.
• Registros técnicos: se conservan hasta 90 días para el análisis de seguridad y, a continuación, se eliminan o anonimizan.
• Datos de AdSense: los conserva Google de acuerdo con la propia política de conservación de Google.
• Registros del consentimiento de cookies: se conservan durante 12 meses desde su última interacción con el banner de cookies y, a continuación, se le vuelve a solicitar.
• Registros de cumplimiento legal: se conservan durante el tiempo que exija la legislación aplicable (normalmente 5 años para los registros de carácter fiscal en virtud de la legislación griega).

7. Sus derechos

Tiene los siguientes derechos en virtud del RGPD:

• Derecho de acceso (art. 15): obtener una copia de los datos que conservamos sobre usted.
• Derecho de rectificación (art. 16): corregir datos inexactos.
• Derecho de supresión / «derecho al olvido» (art. 17): eliminar su cuenta y los datos que conservamos.
• Derecho a la limitación del tratamiento (art. 18): suspender el tratamiento mientras se resuelve una controversia.
• Derecho a la portabilidad de los datos (art. 20): recibir sus datos en un formato legible por máquina.
• Derecho de oposición (art. 21): al tratamiento basado en intereses legítimos, incluida la mercadotecnia directa.
• Derecho a retirar el consentimiento en cualquier momento (art. 7) cuando el tratamiento se base en el consentimiento.
• Derecho a presentar una reclamación ante una autoridad de control (art. 77): para los residentes en Grecia, la HDPA (véase el §1).

Para ejercer estos derechos:

• Autoservicio: abra Ajustes → Cuenta → Eliminar cuenta o Descargar mis datos desde dentro del Servicio.
• Manual: envíe un correo electrónico a fokompet@gmail.com. Responderemos en el plazo de un mes (con una posible prórroga de dos meses para solicitudes complejas o numerosas, en cuyo caso se lo notificaremos dentro del primer mes).

8. Menores

El Servicio no está dirigido a menores de 15 años. En virtud de la Ley griega 4624/2019, los menores de 15 años en Grecia (16 en el resto de la UE conforme al art. 8 del RGPD) no pueden consentir el tratamiento de sus datos personales sin autorización parental. Si es menor de esta edad, no cree una cuenta. Si descubrimos que hemos recopilado datos de un menor por debajo de esta edad sin el consentimiento parental, los eliminaremos sin demora.

9. Cómo protegemos sus datos

Utilizamos medidas de seguridad conformes a los estándares del sector, entre ellas:

• El inicio de sesión lo gestionan íntegramente Google, GitHub o Microsoft: nunca recibimos ni almacenamos su contraseña.
• TLS / HTTPS para todos los datos en tránsito.
• Seguridad a nivel de fila (RLS) en cada tabla de la base de datos, de modo que los usuarios solo puedan acceder a sus propios datos.
• Limitación de la frecuencia de solicitudes en los puntos de acceso de autenticación.
• Copias de seguridad cifradas fuera del sitio.
• Autenticación de doble factor opcional (cuando lo admita su proveedor de inicio de sesión).
• Auditorías de seguridad periódicas y revisiones de dependencias.

Notificaremos a la HDPA en un plazo de 72 horas desde que tengamos conocimiento de una violación de datos personales que entrañe un riesgo para los derechos de los usuarios (art. 33 del RGPD). Cuando la violación pueda suponer un alto riesgo para sus derechos, se lo notificaremos directamente sin dilación indebida (art. 34).

10. Publicidad

Cuando la publicidad esté activa en el Servicio, los anuncios los sirve Google AdSense. Terceros, incluido Google, utilizan cookies para mostrar anuncios basados en sus visitas anteriores a este sitio o a otros sitios. Puede gestionar sus opciones a través del banner de consentimiento que se muestra en su primera visita, o haciendo clic en Ajustes de cookies en el pie de página.

También puede:

• Excluirse de la publicidad personalizada de Google en adssettings.google.com.
• Excluirse del uso de cookies por parte de proveedores externos para anuncios personalizados en aboutads.info (Digital Advertising Alliance de EE. UU.) o youronlinechoices.com (European Interactive Digital Advertising Alliance).

Consulte nuestra Política de Cookies para ver el inventario completo de cookies publicitarias.

11. Residentes de California (CCPA / CPRA)

Si es residente de California, dispone de derechos adicionales en virtud de la Ley de Privacidad del Consumidor de California (CCPA), modificada por la Ley de Derechos de Privacidad de California (CPRA):

• Derecho a conocer qué información personal recopilamos, utilizamos, divulgamos y compartimos.
• Derecho a eliminar la información personal.
• Derecho a corregir información personal inexacta.
• Derecho a excluirse de la venta o el intercambio de información personal con fines de publicidad conductual entre contextos.
• Derecho a no sufrir discriminación por ejercer sus derechos.

No vendemos su información personal. Para presentar una solicitud, utilice las herramientas de autoservicio dentro de la aplicación o envíe un correo electrónico a fokompet@gmail.com. También respetamos las señales de Control Global de Privacidad (GPC) cuando su navegador las transmite.

12. Cambios en esta Política

Es posible que actualicemos esta Política de Privacidad de vez en cuando. Los cambios sustanciales se anunciarán dentro de la aplicación mediante la campana de notificaciones. La fecha de Entrada en vigor que figura en la parte superior refleja la versión actual. Las versiones anteriores se archivan y están disponibles previa solicitud.

13. Contacto

Para cualquier pregunta sobre esta Política o sus derechos, contáctenos en fokompet@gmail.com.

También puede ponerse en contacto con la Autoridad Helénica de Protección de Datos:

• Autoridad Helénica de Protección de Datos (Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα)
• Kifissias 1-3, 11523 Atenas, Grecia
• Teléfono: +30 210 6475 600
• Web: www.dpa.gr