Política de Privacidad
Última actualización: 7 de mayo de 2026Resumen rápido
1. Responsable del tratamiento
2. ¿Quién puede usar OsmyReal?
3. ¿Qué datos personales recopilamos?
- Nombre real y apodo
- Correo electrónico
- Foto de panel y archivos subidos (por ejemplo, imágenes)
- Preferencias de usuario
- Historial de compras y transacciones internas (sin detalles de pago)
- Conexiones con cuentas de Google, Twitch y Discord
- Datos de registro y autenticación gestionados mediante Clerk
Tecnologías de seguimiento y cookies
4. Finalidades y bases legales del tratamiento
- Ejecución del contrato (art. 6.1.b RGPD): registro y acceso a la cuenta, gestión de compras y saldo, prestación del servicio, soporte técnico.
- Consentimiento (art. 6.1.a): envío de comunicaciones comerciales y de marketing, cookies analíticas y publicitarias, conexiones sociales opcionales (Google, Twitch, Discord).
- Interés legítimo (art. 6.1.f): prevención de fraude, seguridad de la plataforma, mejora del producto y de la experiencia de usuario, gestión de impagos.
- Obligación legal (art. 6.1.c): cumplimiento de obligaciones fiscales, contables, de prevención de blanqueo de capitales y conservación legal de registros.
5. ¿Con quién compartimos tus datos?
- Clerk Inc. (EE. UU.) — autenticación, gestión de sesiones, login social.
- Supabase Inc. (EE. UU. / UE) — base de datos, almacenamiento de perfiles y compras.
- Stripe Inc. (EE. UU., PCI-DSS Level 1) — pagos con tarjeta. OsmyReal no almacena PAN ni CVV.
- PayPal Holdings Inc. (Luxemburgo / EE. UU.) — pagos alternativos.
- Google LLC (EE. UU.) — Google Analytics, Google AdSense (con consentimiento previo, Consent Mode v2).
- Resend Inc. (EE. UU.) — envío de emails transaccionales (confirmaciones, recibos, alertas de seguridad).
- Oracle Cloud Infrastructure (Oracle America Inc.) — hosting de la aplicación en máquinas virtuales (Compute) en regiones seleccionadas. Certificaciones SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018 y EU-US Data Privacy Framework activas.
- Coolify (Self-Hosted Open Source) — orquestador de despliegues que se ejecuta sobre la infraestructura propia de Oracle Cloud. No es un sub-encargado externo (es software auto-alojado), pero lo declaramos por transparencia.
- Vercel Inc. (EE. UU.) — únicamente Vercel Blob para almacenamiento de imágenes subidas por usuarios (avatares y portadas de perfil). NO se usa para hosting ni analítica.
- Cloudflare Inc. (EE. UU.) — CDN, mitigación de ataques DDoS, WAF.
- Upstash Inc. (EE. UU.) — almacenamiento Redis distribuido para limitación de tasa (rate-limiting). Procesa identificadores hasheados de IP por un máximo de 24 horas.
- Functional Software Inc. (Sentry) (EE. UU.) — captura y agregación de errores técnicos para depuración. Aplicamos políticas de scrubbing de PII y exclusión de URLs sensibles. Base legal: interés legítimo (art. 6.1.f RGPD) en garantizar la seguridad y estabilidad del servicio.
- n8n GmbH (instancia auto-alojada) — procesamiento de notificaciones internas de compra (importe, identificador de orden, identificador de usuario hasheado). Las notificaciones se procesan en infraestructura propia de OsmyReal.
- CPX Research GmbH (Alemania) — plataforma de encuestas remuneradas. Solo se activa cuando el usuario opta voluntariamente por participar en misiones de encuestas.
- Autoridades públicas, judiciales o administrativas, únicamente cuando sea requerido por ley o por motivos legales fundados.
6. Categorías de datos y proveedores
Como nombre, apodo, correo electrónico y foto de perfil.
Finalidad: gestión de cuenta, soporte, personalización y, en su caso, acciones de marketing siempre que haya consentimiento.
Terceros: Clerk, Supabase, Resend (emails), Google Analytics/AdSense. Datos de autenticación y conexiones sociales
Como accesos por Google, Twitch y Discord.
Finalidad: inicio de sesión y autenticación, sincronización de perfil y funcionalidades sociales.
Terceros: Clerk, Google, Twitch, Discord. Imágenes y archivos subidos
Como personalización del panel (avatar) o participación en la plataforma.
Finalidad: personalización y funcionalidad social.
Terceros: Supabase y Vercel Blob (almacenamiento), Cloudflare (CDN pública de assets), Oracle Cloud (hosting del backend que procesa las subidas). Historial de compras y actividad interna
Como compras, recompensas, movimientos y operaciones internas (sin almacenar datos sensibles de pago).
Finalidad: gestión de compras y recompensas, prevención de fraude, cumplimiento legal y notificaciones operativas.
Terceros: Proveedores de pago (Stripe, PayPal), Resend (recibos por email), n8n (notificaciones operativas internas), autoridades si es requerido. Datos técnicos de seguridad
Dirección IP hasheada, identificador de sesión, fingerprint de navegador.
Finalidad: prevención de abuso, rate-limiting, detección de fraude (base legal: interés legítimo art. 6.1.f RGPD).
Terceros: Cloudflare (WAF/DDoS), Upstash (rate-limiting), Sentry (errores técnicos). Cookies y datos de navegación
Como analítica y seguimiento de navegación.
Finalidad: análisis, personalización, publicidad y mejora de la experiencia de usuario.
Terceros: Google Analytics, Google AdSense. Datos de participación en encuestas (opcional)
Identificador de usuario y respuestas a encuestas únicamente cuando el usuario opta voluntariamente.
Finalidad: monetización del programa de misiones y prevención de fraude en encuestas.
Terceros: CPX Research.
7. Transferencias internacionales
- Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea.
- Proveedores adheridos al EU-US Data Privacy Framework cuando es aplicable.
- Garantías adicionales de seguridad (cifrado en tránsito y en reposo).
8. Seguridad de la información
- Cifrado HTTPS / TLS 1.2+ en todas las comunicaciones.
- Almacenamiento cifrado en proveedores certificados (Supabase, Stripe).
- Control de acceso por roles (RLS) y autenticación multifactor para cuentas administrativas.
- Auditoría continua y monitorización de incidentes.
9. Conservación de los datos
10. Derechos del Usuario (RGPD)
- Acceso: obtener confirmación de si tratamos tus datos y, en su caso, una copia.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión ("derecho al olvido"): solicitar la eliminación de tus datos cuando ya no sean necesarios.
- Limitación: restringir el tratamiento en determinados supuestos.
- Portabilidad: recibir tus datos en formato estructurado y comúnmente utilizado.
- Oposición: oponerte al tratamiento basado en interés legítimo o marketing directo.
- No ser objeto de decisiones automatizadas que produzcan efectos jurídicos significativos.
- Retirada del consentimiento en cualquier momento.
11. Menores de edad
12. Decisiones automatizadas
13. Cambios en la Política de Privacidad
- Por correo electrónico a la dirección registrada.
- Mediante aviso destacado en la Plataforma.