Política de privacidad

¿Qué datos personales recopilamos y por qué?

Base legal para el procesamiento (GDPR Artículo 6)

Bajo GDPR, debo tener una base legal para procesar tus datos: • Cookies Necesarias (Artículo 6(1)(f)): Mi interés legítimo en recordar tu elección de consentimiento y prevenir re-prompting (no se requiere consentimiento). • Analítica (Artículo 6(1)(a)): Consentimiento explícito a través del banner antes de cargar cookies de GA4. • Newsletter (Artículo 6(1)(a)): Consentimiento explícito mediante double opt-in (confirmas tu suscripción haciendo clic en el enlace del email de confirmación). • Comentarios (Artículo 6(1)(f)): Mi interés legítimo en operar un blog público y gestionar spam (publicar es opcional; consientes al enviar). • Formulario de contacto (Artículo 6(1)(a)): Consentimiento explícito (envías voluntariamente el formulario). • Registros de servidor (Artículo 6(1)(f)): Interés legítimo de Vercel en seguridad de plataforma y prevención de abuso.

¿Quién tiene acceso a tus datos?

No vendo tus datos. Aquí está quién tiene acceso y por qué: • Google Analytics: Recibe datos de analítica anonimizados (no email, no nombre) solo si das consentimiento para cookies de analítica. Puedes optar por no participar en cualquier momento. • Supabase (base de datos): Almacena comentarios, suscriptores de newsletter, y registros de servidor en tablas cifradas. La seguridad a nivel de fila (RLS) previene acceso no autorizado. Solo yo (a través de mi cuenta de administrador) puedo consultar datos de suscriptores o comentarios. • Resend (servicio de email): Recibe emails de suscriptores de newsletter solo para enviar emails de confirmación y newsletter. Resend es un servicio de email transaccional conforme a GDPR y no usa tu email para marketing. • Cloudflare Turnstile: Recibe un token que generas cuando el formulario ejecuta su comprobación anti-bot. Ver la sección dedicada de Turnstile más abajo para más detalles. • Vercel (hosting): Ve todos los datos de solicitud HTTP según registros de plataforma (IP, URL, user agent). Vercel es un proveedor de hosting conforme a GDPR. No se comparten datos con publicistas, intermediarios, u otras terceras partes para fines de marketing.

Cloudflare Turnstile (protección anti-bot)

candio.net usa Cloudflare Turnstile para proteger los envíos de formularios (contacto, newsletter, comentarios del blog) frente al abuso automatizado. Turnstile se ejecuta en tu navegador como alternativa a los CAPTCHA tradicionales y opera en modo 'invisible' — no tienes que hacer clic en nada. No se realiza ningún seguimiento publicitario. Para distinguirte de un bot, Turnstile puede recoger y procesar un conjunto limitado de señales técnicas: tu dirección IP, fragmentos de cabeceras HTTP (incluidos User-Agent y Accept-Language), características del navegador (tamaño de pantalla, idioma, zona horaria) y señales de comportamiento de un desafío sandbox dentro del navegador. Cloudflare usa estas señales únicamente para emitir o rechazar un token de verificación de un solo uso; solo el token se envía a mi servidor. No se comparte conmigo ningún identificador personal más allá de lo que escribas en el formulario. Cloudflare es el encargado del tratamiento de estas señales bajo un Acuerdo de Procesamiento de Datos (DPA). Cloudflare no usa los datos de Turnstile para perfiles publicitarios. Para todos los detalles, consulta la política de privacidad de Cloudflare: https://www.cloudflare.com/privacypolicy/ Turnstile es necesario para usar el formulario de contacto. Si no puedes o prefieres no usarlo, contáctame a través de los enlaces sociales en el pie de página.

¿Cuánto tiempo mantenemos tus datos?

Aquí está el calendario de retención: • Comentarios: Almacenados indefinidamente (contenido público). Puedes solicitar la eliminación en cualquier momento a través del formulario de contacto. • Suscriptores de newsletter: Retenidos mientras 'confirmados'. Cuando te desuscribes, tu estado cambia a 'desuscrito' y el registro se elimina después de 90 días (para prevenir resuscripciones rebote). Puedes solicitar eliminación inmediata. • Envíos de formulario de contacto: Almacenados indefinidamente (optaste por participar al enviar). Puedo usarlos para dar seguimiento si estamos en una conversación activa. Puedes solicitar la eliminación en cualquier momento a través del formulario de contacto. • Datos de analítica: Google Analytics usa una ventana de retención de 14 meses por defecto (puedes configurar esto en la configuración de Analytics). Después de 14 meses, los eventos se agregan y los datos de usuarios individuales se eliminan. • Registros de servidor: Vercel retiene registros según su política (típicamente hasta 3 meses). No puedo extender o acortar esto. • IPs hasheadas: Se mantienen con comentarios indefinidamente para detectar patrones de spam pero no pueden vincularse a ti.

Tus derechos bajo GDPR (residentes de EU y UK)

Si estás en la EU o UK, tienes los siguientes derechos: • Derecho a acceder (Artículo 15): Puedes solicitar una copia de todos los datos personales que tengo sobre ti. • Derecho a rectificación (Artículo 16): Puedes corregir datos inexactos (p.ej., actualizar una dirección de email). • Derecho a la eliminación / 'Derecho al olvido' (Artículo 17): Puedes solicitar la eliminación de tus datos, excepto donde tengo una obligación legal de retenerlos (p.ej., prevención de fraude). • Derecho a restringir el procesamiento (Artículo 18): Puedes pedirme que deje de procesar tus datos pero los mantenga almacenados. • Derecho a la portabilidad de datos (Artículo 20): Puedes solicitar tus datos en un formato portátil (CSV/JSON) para transferirlos a otro servicio. • Derecho a objetar (Artículo 21): Puedes objetar al procesamiento para marketing o analítica. Para analítica, usa el banner de consentimiento para rechazar cookies. • Derecho a retirar consentimiento (Artículo 7): Puedes retirar consentimiento para analítica, newsletter, o comentarios en cualquier momento contactándome o usando los enlaces de preferencia. • Derecho a presentar una reclamación: Si crees que no estoy respetando tus derechos, puedes presentar una reclamación con tu autoridad nacional de protección de datos (p.ej., ICO en UK, CNIL en Francia, etc.). Para ejercer cualquiera de estos derechos, usa el formulario de contacto en la página principal con tu solicitud. Me esfuerzaré por responder en 30 días.

Tus derechos bajo CCPA/CPRA (residentes de California)

Si eres residente de California, tienes los siguientes derechos bajo CCPA/CPRA: • Derecho a saber: Puedes solicitar qué información personal he recopilado, las fuentes, mi propósito comercial, y con quién la comparto. • Derecho a eliminar: Puedes solicitar la eliminación de información personal (con excepciones limitadas para prevención de fraude y cumplimiento legal). • Derecho a corregir: Puedes solicitar la corrección de información inexacta. • Derecho a optar por no participar en 'venta': Puedes optar por no participar en la venta de tu información personal. Nota: candio.net no vende información personal por dinero o consideración valiosa. Para ejercer derechos de CCPA, usa el formulario de contacto en la página principal. Verificaré tu identidad y responderé en 45 días.

Menores de 16 años

candio.net no está dirigido a menores de 16 años. No recopilo intencionalmente datos personales de menores de 16 años. Si descubro que he recopilado datos de un menor de 16 años sin consentimiento parental, los eliminaré inmediatamente. Si eres padre, madre o tutor y crees que tu hijo ha proporcionado datos, usa el formulario de contacto en la página principal.

Transferencias internacionales de datos

Algunos de mis proveedores de servicios están basados en Estados Unidos (Google, Cloudflare, Vercel, Supabase, Resend). Cuando los datos se transfieren a EE.UU., están protegidos por Cláusulas Contractuales Estándar (CCE) u otros mecanismos aprobados bajo GDPR. Estos proveedores se comprometen con el cumplimiento de GDPR y han acordado manejar datos con las mismas protecciones que la EU.

Cómo protegemos tus datos

Uso medidas de seguridad estándar de la industria: • Todos los datos en tránsito están cifrados con HTTPS/TLS. • Base de datos (Supabase) está cifrada en reposo y usa seguridad a nivel de fila para prevenir acceso no autorizado. • Las claves de API y secretos se almacenan solo en el servidor (nunca se exponen en el código del navegador). • Los formularios están protegidos con CAPTCHA de Turnstile para prevenir envíos automatizados. • El rate limiting en puntos finales de API previene ataques de fuerza bruta y spam. • Los encabezados de seguridad (CSP, HSTS, X-Frame-Options) están configurados en next.config.mjs para prevenir inyección y ataques de framing. • Los datos de comentarios y suscriptores de newsletter no se exponen a la API pública — los datos de analítica siempre están anonimizados. Sin embargo, ninguna seguridad es perfecta. Si crees que ha habido una brecha de datos o incidente de seguridad, usa el formulario de contacto inmediatamente.

Cambios en esta política

Si hago cambios materiales en esta Política de Privacidad (p.ej., nueva recopilación de datos, nuevos socios de intercambio, nuevos períodos de retención), actualizaré la fecha de 'Última actualización' e notificaré a los usuarios mediante la re-visualización del banner de consentimiento. Los cambios no serán retroactivos; se aplican solo a los datos recopilados después de la fecha de cambio. Las actualizaciones menores (aclaraciones, correcciones de errores, actualizaciones de enlaces) pueden no requerir notificación.

Contactame

Usa el formulario de contacto en la página principal para comunicarte conmigo sobre solicitudes de datos, preguntas de privacidad, o cualquier asunto relacionado con esta política. Me esfuerzaré por responder a todas las solicitudes de datos en 30 días.