Política de Privacidad

Esta política describe el tratamiento de datos personales realizado por CreatorPrice en cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

1. Identidad del responsable del tratamiento

  • Denominación: Pablo Fernández Ruiz
  • NIF: 72176439R
  • Domicilio: Calle La Industria 11, 39610 El Astillero, Cantabria

2. Datos de contacto

  • Email general: pablofr070703@gmail.com
  • Email de privacidad: pablofr070703@gmail.com
  • Email de seguridad: pablofr070703@gmail.com

3. Delegado de Protección de Datos (DPD)

No designado. Análisis del art. 37 RGPD + art. 34 LOPDGDD documentado en RAT interno; no concurren los supuestos obligatorios en el estado actual.

4. Finalidades y bases legales del tratamiento

FinalidadBase legal
Registro y gestión de cuentaArt. 6.1.b RGPD (ejecución de contrato)
Facturación de la suscripciónArt. 6.1.b + 6.1.c RGPD (obligación legal LGT/CCom)
Vinculación de cuentas OAuth de plataformas (YouTube, Twitch, TikTok, Kick)Art. 6.1.a RGPD (consentimiento explícito)
Comunicaciones de servicio (avisos, alertas, recordatorios)Art. 6.1.b RGPD
Comunicaciones comerciales (cuando aplique)Art. 6.1.a RGPD o art. 21.2 LSSI-CE

5. Categorías de datos tratados

  • Datos identificativos: email de la cuenta, nombre, avatar y tagline o descripción de perfil.
  • Métricas públicas de las plataformas vinculadas (seguidores, visualizaciones, interacciones).
  • Tokens OAuth de las plataformas vinculadas, almacenados cifrados en reposo.
  • Snapshots históricos de métricas para análisis de evolución.
  • Datos de facturación (cuando proceda) tratados por el procesador de pagos.

6. Destinatarios y encargados de tratamiento

EncargadoFinalidadPaísGarantías
SupabaseHosting + Auth + DBUE (eu-west-1 / eu-central-1)DPA + SCCs
StripeProcesamiento de pagosEEUUDPF + DPA
VercelHosting de la aplicaciónEEUUDPF + DPA
ResendEmail transaccionalEEUUDPF + DPA
UpstashRate limitingUE/EEUUDPA + SCCs

7. Transferencias internacionales de datos

Determinados encargados de tratamiento están ubicados en Estados Unidos. Estas transferencias internacionales se amparan en la Decisión de Adecuación de la Comisión Europea relativa al EU-US Data Privacy Framework (DPF) cuando el destinatario está certificado, así como en Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea como garantía adicional conforme al art. 46 RGPD.

8. Plazos de conservación

  • Datos de cuenta: mientras la cuenta esté activa, más 30 días de gracia tras la supresión. Adicionalmente, los datos pueden persistir hasta 7 días en copias de seguridad cifradas de nuestro proveedor de infraestructura antes de su eliminación definitiva.
  • Facturas y documentación contable: 6 años (art. 30 CCom) y 4 años a efectos fiscales (art. 66 LGT).
  • Logs operativos: según la política de retención de nuestros proveedores de infraestructura (Vercel, Supabase), normalmente entre 7 y 30 días.
  • Tokens OAuth cifrados: hasta desvinculación o supresión de la cuenta.

9. Derechos de las personas interesadas

La persona usuaria puede ejercer en cualquier momento los siguientes derechos: acceso, rectificación, supresión, limitación del tratamiento, oposición, portabilidad, retirada del consentimiento prestado y derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado.

Para ejercer estos derechos puede dirigirse al canal de privacidad pablofr070703@gmail.com. Adicionalmente, para el derecho de portabilidad se ofrece el endpoint /api/account/export que permite descargar los datos en formato estructurado. El plazo de respuesta es de un mes desde la recepción de la solicitud, prorrogable en dos meses adicionales cuando la complejidad o el número de solicitudes lo justifiquen.

10. Reclamación ante la autoridad de control

Si la persona interesada considera que el tratamiento de sus datos no se ajusta a la normativa, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), accesible en https://www.aepd.es.

11. Decisiones automatizadas

No se realizan decisiones automatizadas con efectos jurídicos o significativos sobre la persona usuaria.

12. Versión y fecha

Versión vigente: 2026-05-18-2