Esta Política de Privacidad explica qué datos personales recopila Vestoria (vestoria.app), con qué finalidad, con quién se comparten y qué derechos tienes al respecto, conforme al Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).
1. Responsable del tratamiento
Titular
[Nombre completo o razón social]
NIF/CIF
[NIF/CIF]
Domicilio
[Dirección completa]
Email de contacto
[email de contacto]
Sitio web
vestoria.app
2. Qué datos recopilamos
Datos de registro y cuenta: email y contraseña (almacenada de forma cifrada/«hasheada», nunca en texto plano). Si te registras o accedes con Google: nombre, dirección de email y foto de perfil asociados a tu cuenta de Google, proporcionados por Google únicamente con tu consentimiento.
Datos de perfil de inversión: la filosofía de inversión, tolerancia al riesgo y parámetros de gestión de cartera (tamaño máximo de posiciones, niveles de liquidez, etc.) que configures en «Mi cuenta». Se utilizan para personalizar el comportamiento de tu cartera simulada.
Datos de uso del servicio: composición de tu cartera simulada, histórico de operaciones simuladas, informes y análisis generados, listas de seguimiento, fecha y frecuencia de tus ciclos automáticos.
Datos de suscripción y facturación: identificador de cliente y de suscripción de Stripe asociados a tu cuenta. Vestoria no recopila ni almacena los datos completos de tu tarjeta de pago; estos son gestionados directamente por Stripe.
Datos técnicos: dirección IP, tipo y versión de navegador, fecha/hora de acceso, recogidos automáticamente por motivos de seguridad y mantenimiento de los servidores.
3. Finalidades y base legal
Prestar el Servicio (crear y gestionar tu cuenta, ejecutar tu cartera simulada, generar análisis e informes personalizados) — base legal: ejecución del contrato (art. 6.1.b RGPD).
Gestionar el cobro de la suscripción Pro y la relación con Stripe — base legal: ejecución del contrato.
Enviarte comunicaciones relacionadas con el Servicio (confirmaciones, avisos de cuenta, cambios importantes) — base legal: ejecución del contrato / interés legítimo.
Mantener la seguridad del Servicio y prevenir fraude o abusos — base legal: interés legítimo.
Mejorar el Servicio mediante análisis agregado o anonimizado de uso — base legal: interés legítimo.
Cumplir obligaciones legales (p. ej., fiscales relacionadas con la facturación) — base legal: obligación legal.
4. Con quién compartimos tus datos
Para prestar el Servicio compartimos determinados datos con los siguientes encargados del tratamiento:
Google LLC (EE. UU.) — si usas «Iniciar sesión con Google», Google verifica tu identidad y nos proporciona tu email, nombre y foto.
Stripe, Inc. (EE. UU. / Irlanda) — procesa los pagos de tu suscripción Pro. Para ciertos datos de facturación, Stripe también actúa como responsable independiente conforme a su propia política de privacidad.
Anthropic, PBC (EE. UU.) — los datos de tu perfil de inversión y de tu cartera simulada se envían a la API de Claude para generar los análisis, puntuaciones y decisiones de la cartera. A la fecha de esta política, Anthropic no utiliza los datos enviados vía API para entrenar sus modelos, y los retiene durante un plazo limitado por motivos de seguridad y cumplimiento.
Resend (EE. UU.) — si está activo, envío de emails transaccionales (p. ej., confirmaciones de cuenta).
Railway (EE. UU.) — proveedor de infraestructura/hosting donde se ejecuta la aplicación y se almacenan los datos.
Yahoo Finance y otros proveedores de datos de mercado — se consultan datos de mercado públicos (precios, fundamentales, noticias) sobre los activos de tu cartera; no se les transmiten datos personales tuyos.
No vendemos tus datos personales a terceros, ni los utilizamos con fines publicitarios.
5. Transferencias internacionales
Algunos de los proveedores anteriores (Google, Stripe, Anthropic, Resend, Railway) están ubicados en Estados Unidos. Cuando esto implica una transferencia internacional de datos fuera del Espacio Económico Europeo, se realiza amparándose en las garantías previstas por el RGPD, como el Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework) y/o las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, según el proveedor.
6. Plazo de conservación
Datos de cuenta y perfil: mientras mantengas tu cuenta activa. Si solicitas la baja o eliminación de tu cuenta, eliminaremos o anonimizaremos tus datos personales en un plazo razonable, salvo aquellos que debamos conservar por obligación legal (p. ej., datos de facturación durante el plazo exigido por la normativa fiscal, habitualmente hasta 5-6 años en España).
Logs técnicos: conservados durante un plazo limitado (no superior a 12 meses) por motivos de seguridad.
7. Tus derechos
Conforme al RGPD, tienes derecho a:
Acceso: obtener confirmación de si tratamos tus datos y acceder a ellos.
Rectificación: corregir datos inexactos o incompletos.
Supresión («derecho al olvido»): solicitar la eliminación de tus datos cuando ya no sean necesarios.
Limitación del tratamiento: solicitar que restrinjamos el uso de tus datos en determinados supuestos.
Portabilidad: recibir tus datos en un formato estructurado de uso común.
Oposición: oponerte al tratamiento basado en interés legítimo.
Para ejercer cualquiera de estos derechos, escríbenos a [email de contacto] indicando tu solicitud y el email asociado a tu cuenta. También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).
8. Seguridad
Comunicaciones cifradas mediante HTTPS/TLS.
Contraseñas almacenadas mediante funciones de hash seguras, nunca en texto plano.
Acceso a los datos limitado a lo necesario para prestar el Servicio.
A pesar de estas medidas, ningún sistema es 100 % seguro; en caso de incidente de seguridad que afecte a tus datos, te informaremos conforme a lo exigido por el RGPD.
9. Cookies y almacenamiento local
Vestoria no utiliza cookies de publicidad ni de seguimiento de terceros. Para mantener tu sesión iniciada, utilizamos un token de acceso (JWT) almacenado en el almacenamiento local de tu navegador (localStorage), que solo es accesible por Vestoria. Si inicias sesión con Google, el propio servicio de Google Identity puede establecer cookies técnicas necesarias para su funcionamiento, gestionadas conforme a la política de privacidad de Google.
10. Menores de edad
El Servicio está dirigido a personas mayores de 18 años. No recopilamos conscientemente datos de menores de edad. Si tienes conocimiento de que un menor nos ha proporcionado datos personales, contacta con nosotros para eliminarlos.
11. Cambios en esta política
Podemos actualizar esta Política de Privacidad para reflejar cambios legales o en el Servicio. La fecha de «última actualización» indica la versión vigente. En caso de cambios sustanciales, te lo notificaremos por email o mediante un aviso en la aplicación.
12. Contacto
Para ejercer tus derechos o resolver cualquier duda sobre el tratamiento de tus datos, escríbenos a [email de contacto].