Política de privacidad

Última actualización: 6 de mayo de 2026.

Responsable del tratamiento

David Ruiz Sánchez, persona física residente en España. Contacto: [email protected]. En este sitio no existe Delegado de Protección de Datos (DPD) designado por no ser obligatorio en proyectos de esta naturaleza, pero el responsable atiende personalmente las consultas.

Datos que se tratan y finalidades

1. Registro y autenticación

Cuando creas una cuenta, almacenamos tu email y un hash bcrypt de tu contraseña (no la contraseña en claro, no se puede recuperar). Finalidad: permitirte acceder a la zona privada del cancionero. Base jurídica: ejecución del servicio gratuito que solicitas.

2. Aceptación de términos

Registramos la versión de los términos aceptada, la dirección IP desde la que se aceptaron, el user-agent y el momento. Finalidad: cumplir con la obligación probatoria del consentimiento informado (RGPD art. 7.1).

3. Verificación de email y reseteo de contraseña

Generamos tokens de un solo uso con caducidad corta (24 h verificación, 30 min reseteo). En el flujo de reseteo guardamos además la IP solicitante para auditoría ante abusos. Los tokens se invalidan al consumirse o al solicitar uno nuevo.

4. Analítica anónima (Google Analytics 4)

Si pulsas "Aceptar" en el banner de cookies, cargamos Google Analytics 4 con identificador G-TSTB5HVWNT. La señal recogida incluye: páginas visitadas, dispositivo, navegador, país aproximado y duración de sesión. No se recogen datos personales identificables: la IP se anonimiza, no se cruza con tu cuenta y los identificadores de cliente son aleatorios. Si pulsas "Rechazar" o no respondes, GA4 no se carga. Base jurídica: consentimiento (RGPD art. 6.1.a, ePrivacy).

5. Logs operacionales

El servidor mantiene logs cortos (30 días) con IPs y rutas de peticiones, exclusivamente para detectar abusos y depurar errores. No se cruzan con tu cuenta y no se ceden a terceros. Base jurídica: interés legítimo del responsable en la seguridad del servicio.

Plazos de conservación

• Cuenta y email: hasta que solicites su borrado.
• Tokens de verificación / reseteo: hasta su consumo o caducidad.
• Logs operacionales: 30 días desde su generación.
• Datos analíticos GA4: según la retención por defecto de Google (2 meses para datos de usuario).

Destinatarios y encargados de tratamiento

• Hetzner Online GmbH (Alemania): hosting del servidor (DPA estándar UE).
• Cloudflare, Inc. (EE.UU.): CDN y DNS, con cláusulas contractuales tipo aprobadas por la Comisión Europea.
• Google LLC (EE.UU.): Google Analytics, sólo si das consentimiento. Adhesión al Data Privacy Framework UE-EE.UU.
• Gmail SMTP (Google): para enviar correos transaccionales (verificación, reseteo). En el futuro se migrará a Resend con dominio propio.

Tus derechos

Como titular de los datos, puedes ejercer en cualquier momento los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad escribiendo a [email protected] desde la dirección registrada en tu cuenta. La solicitud se atiende en un plazo máximo de un mes.

Si consideras que el tratamiento no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

Menores

El servicio no está dirigido a menores de 16 años (umbral del consentimiento digital en España, art. 7.1 LOPDGDD). Si detectamos una cuenta de un menor, la suspenderemos.

Cambios en esta política

Si modificamos esta política sustancialmente, lo notificaremos por email a los usuarios registrados y publicaremos el cambio en esta misma página, con fecha de actualización en cabecera.