Política de privacidad

Última actualización: marzo de 2026

1. Responsable del tratamiento

El responsable del tratamiento de datos en este sitio web y en la aplicación KarmaFlow es:

SHOP-Construct UG (haftungsbeschränkt)
von-Schwind-Str. 17, 45768 Marl, Alemania
Contacto: E-Mail schreiben

2. Datos recopilados

Recopilamos y tratamos los siguientes datos:

  • Datos de cuenta: Dirección de correo electrónico, nombre y contraseña cifrada en el momento del registro
  • Datos de uso: Sus entradas de karma, análisis de IA, rachas e hitos
  • Datos técnicos: Información del dispositivo, versión de la aplicación, idioma, zona horaria
  • Datos de pago: Para el pago web a través de Stripe: correo electrónico, estado de pago (no almacenamos datos de tarjeta de crédito)

3. Bases jurídicas del tratamiento

Tratamos sus datos sobre las siguientes bases jurídicas:

  • Art. 6, apartado 1, letra b) del RGPD (Ejecución del contrato): Prestación de las funcionalidades principales de KarmaFlow — registro de entradas, análisis de IA, puntuación karma, rachas, logros. Esta es la prestación contractual principal.
  • Art. 6, apartado 1, letra f) del RGPD (Interés legítimo): Seguridad de la cuenta, prevención de abusos, autenticación basada en tokens, limitación de velocidad.
  • Art. 6, apartado 1, letra a) del RGPD (Consentimiento): Notificaciones push (recordatorio diario, alerta de racha, resumen semanal) — solo tras consentimiento activo.

4. Tratamiento mediante IA y encargados del tratamiento

Sus entradas de diario son analizadas por servicios de IA para asignar dimensiones karma (p. ej., compasión, atención plena, disciplina), otorgar una puntuación karma y generar impulsos de reflexión.

Proveedores de IA utilizados:

  • OpenAI, L.P. (San Francisco, EE. UU.) — Modelos GPT para el análisis karma. Sus entradas se transmiten a OpenAI a través de la API. Según las condiciones de uso de la API de OpenAI (Sección 3), los datos de la API no se utilizan para el entrenamiento de modelos de IA.
  • Anthropic PBC (San Francisco, EE. UU.) — Modelos Claude como sistema de respaldo. Se aplican las mismas medidas de protección. Según la política de uso de Anthropic, los datos de la API no se utilizan para el entrenamiento de IA.

El tratamiento se realiza exclusivamente para la prestación del servicio contractual (art. 6, apartado 1, letra b) del RGPD). No se comparten datos con terceros con fines publicitarios.

5. Transferencia a terceros países (EE. UU.)

Para el análisis de IA y el procesamiento de pagos web, se transfieren datos a proveedores en los Estados Unidos:

  • OpenAI y Anthropic: Transferencia de entradas de diario para el análisis de IA
  • Stripe, Inc.: Transferencia de dirección de correo electrónico y estado de pago para el pago web

La transferencia se basa en el EU-US Data Privacy Framework (decisión de adecuación de la Comisión Europea de 10 de julio de 2023). Además, se aplican cláusulas contractuales tipo (CCT) como garantía adicional.

6. Procesamiento de pagos

  • Stripe, Inc. (San Francisco, EE. UU.) — Procesamiento de pagos para el checkout web en karmaflow.app. Stripe procesa los datos de pago como encargado del tratamiento independiente. El acuerdo de tratamiento de datos (DPA) de Stripe forma parte del contrato de servicios de Stripe.
  • Apple (App Store): Compras dentro de la aplicación en iOS. Apple procesa los datos de pago bajo su propia responsabilidad en materia de protección de datos.
  • Google (Play Store): Compras dentro de la aplicación en Android. Google procesa los datos de pago bajo su propia responsabilidad en materia de protección de datos.

No tenemos acceso a datos de tarjeta de crédito ni datos bancarios.

7. Almacenamiento de datos y plazos de conservación

  • Los datos se almacenan en servidores seguros en la UE (ubicación: Alemania)
  • Las contraseñas se almacenan únicamente como hash (bcrypt)
  • La transmisión se realiza de forma cifrada (HTTPS/TLS)

Plazos de conservación:

  • Datos de cuenta: Almacenados hasta la eliminación de la cuenta por el usuario
  • Al eliminar la cuenta: Marcado inmediato como eliminado (eliminación lógica). Eliminación definitiva de los datos personales tras la expiración de los plazos de conservación fiscal (hasta 10 años para datos de pago según el § 147 del Código Fiscal alemán)
  • Caché de respuestas de IA: 24 horas, luego se elimina automáticamente
  • Tokens de sesión: Token de acceso 15 minutos, token de actualización 7 días

8. Sus derechos (art. 15-22 RGPD)

Usted tiene en todo momento el derecho a:

  • Acceso (art. 15): Conocer qué datos almacenamos sobre usted
  • Rectificación (art. 16): Corregir datos inexactos
  • Supresión (art. 17): Eliminar completamente su cuenta y todos sus datos
  • Limitación (art. 18): Limitar el tratamiento
  • Portabilidad (art. 20): Exportar sus datos en un formato legible por máquina
  • Oposición (art. 21): Oponerse al tratamiento basado en intereses legítimos
  • Revocación (art. 7, apartado 3): Revocar en cualquier momento los consentimientos otorgados (p. ej., notificaciones push)

Puede eliminar su cuenta y exportar sus datos directamente en la aplicación en Ajustes.

Derecho de reclamación: Tiene derecho a presentar una reclamación ante la autoridad de control competente. La autoridad competente es la Comisionada Estatal para la Protección de Datos y la Libertad de Información de Renania del Norte-Westfalia (Kavalleriestr. 2-4, 40213 Düsseldorf, www.ldi.nrw.de).

9. Cookies y rastreo

Este sitio web no utiliza cookies de rastreo ni herramientas de análisis. Solo se utilizan cookies técnicamente necesarias para la gestión de sesiones de administración (HttpOnly, Secure, SameSite=Strict).

10. Contacto

Para preguntas sobre la protección de datos: E-Mail schreiben