Política de Privacidad de Crowdy

1. Responsable del tratamiento

• Responsable: Mario Asensio García
• Email de contacto: genialdailysolutions@gmail.com
• País de residencia: España

Para cualquier asunto relacionado con tus datos personales, escríbenos al email anterior con asunto «RGPD».

2. Datos que tratamos

2.1 Datos que se crean automáticamente al usar la app

• Identificador anónimo de usuario (UID de Firebase Authentication). Se genera en el primer arranque. En la versión actual de Crowdy no es necesario registrarse con email ni con redes sociales para usar la app.
• Token de notificaciones push (Firebase Cloud Messaging). Lo asociamos a tu UID para enviarte avisos relevantes (cambios de horario de conciertos en tu plan, actividad de tu grupo).
• Información técnica mínima que Firebase recibe automáticamente para que el servicio funcione: versión de la app, modelo de dispositivo, versión del sistema operativo, idioma. No consultamos esta información manualmente ni la cruzamos con tu identidad.

2.2 Datos que tú nos proporcionas

• Perfil público dentro de la app: nombre visible, nombre de usuario (@handle), foto de perfil opcional, biografía opcional.
• Festivalesque sigues o marcas como «voy», «interesado» o «asistido».
• Plan privado de festival: conciertos, comidas y lugares de interés que añades para ti.
• Grupos de festival: nombre del grupo, miembros que invitas y sus roles (organizador, administrador, miembro), planes compartidos, listas de tareas o compras, y gastos compartidos (importe, descripción, autor, participantes en el reparto y fotografía opcional del ticket).
• Historial de artistas vistosque añades manualmente o que se generan automáticamente desde los conciertos que marcaste como «voy».
• Solicitudes y vínculos de amistad con otros usuarios de Crowdy.

2.3 Datos que NO tratamos

Queremos ser explícitos sobre lo que la app no hace:

• No rastreamos tu ubicación geográfica. Crowdy no solicita permisos de localización en segundo plano ni registra dónde te encuentras. Si en el futuro añadimos esa función, será con tu consentimiento explícito y previa actualización de esta política.
• No usamos identificadores publicitarios (IDFA en iOS, Google Advertising ID en Android) ni mostramos publicidad personalizada.
• No usamos analítica de comportamiento. No integramos Google Analytics, Firebase Analytics, Mixpanel ni herramientas similares.
• No vendemos tus datos a terceros. Nunca.
• No usamos cookies de terceros. La app no usa navegador web embebido para sus funciones principales.

3. Para qué usamos los datos y bajo qué base legal

Tratamos tus datos exclusivamente para los siguientes fines, cada uno con su base legal del Reglamento (UE) 2016/679:

4. Con quién compartimos tus datos

Para que la app funcione, ciertos datos se procesan en infraestructura de terceros que actúan como encargados de tratamiento (procesan los datos siguiendo nuestras instrucciones, no para fines propios):

• Google LLC y sus filiales (Google Ireland Ltd., Google Cloud EMEA Ltd.) a través de los productos Firebase:
  • Firebase Authentication: gestión de identidad de usuario.
  • Cloud Firestore: almacenamiento de tu perfil, contenido del usuario y datos de la app.
  • Cloud Storage for Firebase: almacenamiento de imágenes que subes (tickets de gastos, foto de perfil).
  • Firebase Cloud Messaging: envío de notificaciones push.
  • Cloud Functions for Firebase: lógica de servidor (notificación de cambios de horario, validaciones, generación de historial de artistas).

Google trata estos datos como encargado, conforme a los Data Processing and Security Terms de Google Cloud, accesibles en cloud.google.com/terms/data-processing-terms.

No compartimos tus datos con anunciantes, brokers de datos ni redes sociales. No vendemos tus datos. Únicamente cedemos datos a autoridades cuando exista un requerimiento legal válido y proporcionado.

5. Transferencias internacionales

Google puede procesar tus datos en servidores ubicados fuera del Espacio Económico Europeo, principalmente en Estados Unidos.

Estas transferencias están amparadas por:

• El EU-U.S. Data Privacy Framework, mecanismo de adecuación reconocido por la Comisión Europea (Decisión de adecuación de 10 de julio de 2023). Google LLC está autocertificada en este marco.
• Cláusulas Contractuales Tipo (Standard Contractual Clauses) aprobadas por la Comisión Europea, como protección adicional.

6. Cuánto tiempo conservamos tus datos

• Datos de cuenta y contenido: mientras tu cuenta esté activa.
• Al eliminar tu cuenta aplicamos un proceso de eliminación blanda (soft delete): tu perfil deja de ser visible, pero tus contribuciones a grupos compartidos (un gasto que pagaste, un plan que creaste) se mantienen como «Usuario eliminado» para no romper la historia compartida con tus amigos. Tras un máximo de 180 días desde la solicitud, eliminamos también esos rastros, salvo obligación legal de conservación.
• Si solicitas un borrado total inmediato al amparo del Art. 17 del RGPD («derecho al olvido»), procedemos a borrar todos tus datos en un plazo máximo de 30 días desde la solicitud, incluyendo tus contribuciones a grupos.

7. Tus derechos

Como titular de los datos, tienes derecho a:

• Acceso: saber qué datos tuyos tratamos.
• Rectificación: corregir datos inexactos.
• Supresión:pedir que los borremos («derecho al olvido»).
• Limitación: pedir que pausemos el tratamiento en ciertos casos.
• Oposición: oponerte a tratamientos basados en interés legítimo.
• Portabilidad: recibir tus datos en formato estructurado (JSON).
• Retirar consentimiento: en cualquier momento, sin que afecte la licitud del tratamiento previo.

Cómo ejercerlos: envíanos un email a genialdailysolutions@gmail.com con asunto «RGPD» indicando qué derecho quieres ejercer y, si es posible, tu @handle o UID de Crowdy. Respondemos en un plazo máximo de 30 días.

Si crees que no atendemos correctamente tus derechos, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) o ante la autoridad de control de tu país en la UE.

8. Menores

Crowdy está dirigido a personas mayores de 14 años, edad fijada por la legislación española (Art. 7 LOPDGDD) para que un menor pueda prestar consentimiento al tratamiento de sus datos personales sin autorización paterna.

No recogemos a sabiendas datos personales de menores de 14 años. Si tienes constancia de que un menor de esa edad ha facilitado datos a la app, escríbenos y los eliminaremos de inmediato.

9. Seguridad

Aplicamos las siguientes medidas técnicas y organizativas:

• Conexiones cifradas (TLS 1.2+) en todas las comunicaciones cliente-servidor.
• Reglas de seguridad de Firestore y Cloud Storage que impiden a un usuario acceder a datos privados de otros.
• Firebase Authentication gestiona la identidad; no almacenamos contraseñas en texto plano.
• Acceso restringido al panel de administración a las personas estrictamente necesarias.

Ningún sistema es 100% invulnerable. En caso de brecha de seguridad que afecte a datos personales, lo comunicaremos a la AEPD dentro de las 72 horas siguientes y a los usuarios afectados sin dilación indebida cuando sea probable que la brecha entrañe un alto riesgo para sus derechos.

10. Cambios a esta política

Si introducimos cambios materiales (nuevas finalidades, nuevos encargados de tratamiento, nuevas categorías de datos), te avisaremos dentro de la app antes de que entren en vigor y actualizaremos la fecha de «Última actualización» arriba. Cambios menores de redacción se publican sin aviso adicional.

Te recomendamos consultar esta página periódicamente.

11. Contacto

• Responsable del tratamiento: Mario Asensio García
• Email: genialdailysolutions@gmail.com