Política de Privacidad

En cumplimiento del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), se informa al usuario del tratamiento de sus datos personales.

1. Responsable del tratamiento

• Identidad: Sergio Robles
• NIF: 0000000
• Domicilio: C.P. 35500, Arrecife (Las Palmas), España
• Correo de contacto: roblesrh13@gmail.com
• Teléfono: +34 694 299 220
• Sitio web: https://cartasmagicas.site
• Delegado de Protección de Datos (DPO): No aplicable (el titular no está obligado a designar DPO conforme al art. 37 RGPD).

2. Datos que tratamos

Dependiendo de la interacción del usuario, podemos tratar las siguientes categorías de datos:

• Datos de la consulta: nombre (o alias), fecha de nacimiento, pregunta o intención, cartas seleccionadas y texto de la lectura generada.
• Datos de cuenta (opcional): dirección de correo electrónico, contraseña almacenada en forma cifrada (hash) y, si se indica, nombre de perfil.
• Datos de suscripción y uso: identificador anónimo del consultante (oraculo_uid), estado del plan (Básico o Premium), fecha de la última tirada gratuita, contador de lecturas, identificadores de cliente y suscripción en Stripe, fechas de alta y expiración.
• Datos de pago: gestionados íntegramente por Stripe. No almacenamos ni tenemos acceso al número completo de tarjeta.
• Datos de facturación: nombre, email, país y dirección, si son facilitados durante el pago en Stripe.
• Datos técnicos de navegación: dirección IP, tipo de navegador, fecha y hora de acceso, identificador de sesión PHP y token CSRF, a efectos de seguridad y funcionamiento.
• Almacenamiento local del navegador: el usuario puede guardar lecturas en localStorage (colección personal en su dispositivo). Esos datos no se envían al servidor salvo que el usuario los comparta voluntariamente.

3. Finalidad del tratamiento

• Prestar el servicio de lectura de Tarot (plan Básico gratuito y plan Premium de suscripción).
• Generar la interpretación mediante un modelo de inteligencia artificial a partir de los datos de la consulta.
• Gestionar el registro de cuenta, la autenticación y la vinculación de la suscripción al usuario.
• Controlar el límite de la tirada diaria gratuita y el acceso a lecturas Premium.
• Procesar el pago y la suscripción a través de la pasarela Stripe.
• Cumplir con las obligaciones legales, contables y fiscales aplicables.
• Atender consultas, sugerencias o reclamaciones remitidas por el usuario.
• Garantizar la seguridad del Sitio Web y prevenir el fraude.

4. Base legal del tratamiento

• Ejecución del contrato (art. 6.1.b RGPD): prestación del servicio, gestión de la cuenta y procesamiento del pago o suscripción.
• Cumplimiento de obligaciones legales (art. 6.1.c RGPD): conservación de registros contables y fiscales.
• Interés legítimo (art. 6.1.f RGPD): seguridad del Sitio Web, prevención del fraude y control del uso del plan gratuito.
• Consentimiento (art. 6.1.a RGPD): para cookies no estrictamente necesarias, cuando proceda, y para el tratamiento de datos de la consulta enviados a la IA cuando el usuario inicia voluntariamente una lectura.

5. Destinatarios de los datos

Los datos pueden ser comunicados a los siguientes destinatarios:

• Stripe Payments Europe, Ltd. (procesador de pagos) — ubicado en Irlanda (EEE). Política de privacidad: stripe.com/es/privacy.
• Proveedor del servicio de inteligencia artificial (infraestructura en undrh13.tech, alojada en el Espacio Económico Europeo), al que se envían los datos necesarios para generar la lectura: nombre o alias, edad o fecha de nacimiento, pregunta, cartas elegidas y contexto de la tirada. El proveedor actúa como encargado del tratamiento para esta finalidad.
• Proveedor de alojamiento web (Hostinger), donde se alojan el Sitio Web y la base de datos del servicio, con medidas contractuales de protección de datos.
• Administración Pública, jueces y tribunales cuando exista obligación legal.

6. Transferencias internacionales

El proveedor de inteligencia artificial (undrh13.tech) está ubicado en el Espacio Económico Europeo, por lo que el tratamiento de datos de la consulta no implica transferencia a terceros países por ese motivo.

Stripe u otros proveedores vinculados al pago pueden, en determinados supuestos, realizar transferencias fuera del EEE. Dichas transferencias se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea u otros mecanismos de garantía previstos en el RGPD.

7. Plazo de conservación

• Datos de la consulta enviados a la IA: se procesan en tiempo real para generar la respuesta; no se conservan en el servidor del titular vinculados de forma permanente al contenido íntegro de cada lectura, salvo los metadatos de uso indicados abajo.
• Datos de cuenta: mientras la cuenta permanezca activa y, tras su baja, el tiempo necesario para atender reclamaciones legales.
• Datos de suscripción y consultante (identificador, plan, fechas, IDs Stripe): mientras dure la relación con el servicio y, posteriormente, hasta 6 años por obligaciones mercantiles y fiscales cuando proceda.
• Datos de facturación: durante la relación contractual y, posteriormente, los plazos legalmente exigibles (hasta 6 años).
• Datos de navegación y registros de seguridad: máximo 12 meses.
• Lecturas guardadas en localStorage: permanecen en el dispositivo del usuario hasta que las elimine desde su navegador.

8. Decisiones automatizadas y elaboración de perfiles

La interpretación de las cartas se genera mediante un sistema automatizado de inteligencia artificial. El resultado tiene carácter lúdico y de entretenimiento y no produce efectos jurídicos ni decisiones significativamente similares sobre el usuario. No se elaboran perfiles comerciales ni de scoring.

9. Derechos del usuario

El usuario podrá ejercer los siguientes derechos en cualquier momento:

• Acceso: conocer qué datos personales tratamos.
• Rectificación: corregir datos inexactos.
• Supresión ("derecho al olvido"): solicitar la eliminación de los datos.
• Oposición: oponerse al tratamiento.
• Limitación: pedir la limitación temporal del tratamiento.
• Portabilidad: recibir los datos en formato estructurado.
• Retirar el consentimiento en cualquier momento, sin efectos retroactivos.

Para ejercer estos derechos, el usuario puede enviar un correo a roblesrh13@gmail.com acompañando copia de su DNI o documento equivalente.

Asimismo, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) si considera que el tratamiento vulnera sus derechos.

10. Medidas de seguridad

El titular ha adoptado las medidas técnicas y organizativas necesarias para garantizar la seguridad, integridad y confidencialidad de los datos personales, incluyendo conexiones cifradas (HTTPS/TLS), contraseñas almacenadas con funciones de hash seguras, tokens CSRF en operaciones sensibles y acceso restringido a la información.

11. Menores de edad

El servicio está dirigido exclusivamente a mayores de 18 años. No se recogen ni tratan datos de menores de edad de forma consciente.

12. Cambios en la política

El titular podrá modificar esta política para adaptarla a novedades legislativas o de negocio. Las versiones actualizadas se publicarán en el Sitio Web con su correspondiente fecha de revisión.