1. De un vistazo
Thanxful es una aplicación que le permite llevar un diario personal de gratitud y, si lo desea, recibir reflexiones generadas por inteligencia artificial sobre lo que escribe. Su diario le pertenece. Solo accedemos a sus textos para hacer funcionar el Servicio. Nunca vendemos sus datos, nunca los utilizamos con fines publicitarios y nunca los empleamos para entrenar modelos de inteligencia artificial.
| Tema | Respuesta breve |
|---|---|
| Responsable del tratamiento | Kadir Alan — empresario individual (şahıs şirketi), Türkiye. Contacto: [email protected]. |
| ¿Qué datos se tratan? | Correo electrónico, nombre, fotografía de perfil (opcional), entradas de su diario, estado de ánimo, información de dispositivo y de suscripción. |
| ¿Por qué? | Para prestar el Servicio, gestionar suscripciones, enviar notificaciones recordatorias y, únicamente si usted ha otorgado consentimiento explícito, generar reflexiones de IA a partir de sus entradas. |
| ¿Con quién se comparten? | Con nuestros proveedores de servicios: Google Firebase (infraestructura), OpenAI y Google Gemini (IA), RevenueCat (suscripciones), Apple (inicio de sesión, notificaciones, seguridad). Sus datos no se venden ni se alquilan. |
| ¿Dónde se almacenan? | Su cuenta y su diario residen en la Unión Europea (Google Cloud europe-west1, Bélgica). Sus entradas solo se transfieren a EE. UU. si activa la función de IA. |
| ¿Durante cuánto tiempo? | Hasta que elimine su cuenta. Cuando la elimine, sus datos se suprimen de inmediato de nuestros sistemas activos y, en un plazo de 30 días, también de copias de seguridad y registros. |
| ¿Cuáles son sus derechos? | Acceso, rectificación, supresión, portabilidad, oposición y retirada del consentimiento. Escriba a [email protected] con el asunto Privacidad; le responderemos en un plazo de 30 días. |
2. Identidad del Responsable del Tratamiento
La aplicación Thanxful es ofrecida por Kadir Alan, que opera en Türkiye en condición de empresario individual (şahıs şirketi).
| Responsable del tratamiento | Kadir Alan — empresario individual (şahıs şirketi), Türkiye |
| Contacto | [email protected] (incluir Privacidad en el asunto facilita el correcto encaminamiento de su solicitud) |
Como empresario individual, nos encontramos por debajo del umbral de inscripción en el Registro de Responsables del Tratamiento (VERBİS) de la KVKK y del umbral de designación de Delegado de Protección de Datos previsto en el artículo 37 del RGPD, por lo que no estamos obligados a inscribirnos en VERBİS ni a nombrar un DPO. Si esta situación cambiara, esta política se actualizará. Si necesita una dirección postal de notificación, escríbanos a [email protected]; le facilitaremos una dirección a petición.
3. Ámbito de aplicación
La presente política se aplica a:
- La aplicación iOS Thanxful publicada en la Apple App Store (
com.aota.thanxfuly la versión betacom.aota.thanxful.beta). - El sitio web
thanxful.app(páginas promocionales, los presentes textos legales y el contenido vinculado).
Las prácticas de privacidad de los servicios de terceros a los que pueda ser redirigido desde la aplicación o el sitio (p. ej., Apple App Store, OpenAI, RevenueCat) se rigen por las políticas de dichos servicios; el Responsable del Tratamiento no asume responsabilidad alguna al respecto.
4. Categorías de Datos Personales Tratados
Únicamente se tratan los datos personales necesarios para la prestación del Servicio. Los datos se agrupan en seis categorías:
4.1 Datos identificativos
Cuando crea una cuenta se tratan los siguientes datos:
- Dirección de correo electrónico (obligatoria).
- Nombre o nombre visible (opcional; puede modificarlo o dejarlo en blanco en cualquier momento).
- Fotografía de perfil (opcional; almacenada en Firebase Storage).
- Identificador de usuario de Firebase generado automáticamente por el sistema.
- Si utiliza Sign in with Apple: su dirección de correo (real o la dirección de retransmisión privada de Apple) y, si decide compartirlo, su nombre completo. Apple no nos comunica su Apple ID.
4.2 Contenido del diario — puede tener la consideración de categoría especial de datos personales
Por cada entrada que guarde se tratan los siguientes datos:
- Texto de la entrada (máximo 3.000 caracteres).
- Formato de texto enriquecido (negrita, cursiva, listas — máximo 30.000 caracteres, codificado).
- Selección opcional de estado de ánimo.
- Información sobre la consigna (prompt) a la que responde (en su caso).
- Fecha del calendario local.
El contenido del diario es personal y sensible. De conformidad con el artículo 6 de la KVKK y el artículo 9 del RGPD, los textos del diario pueden contener categorías especiales de datos personales relativas a su salud, creencias religiosas, opiniones políticas, vida sexual o afiliación sindical. Por ello, el tratamiento del contenido de su diario mediante inteligencia artificial está condicionado en su totalidad a su consentimiento explícito (véase §6).
4.3 Datos de perfil y preferencias
- Información de racha (racha actual y racha más larga).
- Hora de última actividad y zona horaria (zona horaria IANA de su dispositivo, p. ej.
Europe/Istanbul). - Preferencia de idioma (su selección dentro de un listado de 30 idiomas).
- Preferencia de tema (Espresso, Cosmos, Oat, etc.).
- Configuración de notificaciones: si los recordatorios están activados o desactivados, hora del recordatorio y zona horaria.
- Estado de la suscripción: si dispone o no de una suscripción premium activa (a través de RevenueCat; véase §7).
- Registro del consentimiento explícito de IA: un registro únicamente añadible (append-only) en el que constan sus acciones de otorgamiento, denegación o retirada del consentimiento, su origen (onboarding, posterior a una entrada, posterior a una compra o desde Ajustes), la marca temporal y el número de consignas mostradas. Este registro se mantiene en cumplimiento de la Directriz 5.1.2(i) de las App Store Review Guidelines de Apple.
4.4 Datos de dispositivo y de uso
Al utilizar la aplicación se tratan automáticamente los siguientes datos:
- Información del dispositivo: modelo, versión del sistema operativo, versión de la aplicación, configuración regional, país, zona horaria e identificador interno de instancia de aplicación de Firebase.
- Token de notificaciones FCM: el token asignado a su dispositivo por Firebase Cloud Messaging para poder enviarle recordatorios. Se almacena en Firestore vinculado a su cuenta y se renueva tras una reinstalación o cierre de sesión.
- Datos de eventos: metadatos tales como qué pantalla ha visualizado en la aplicación, si ha guardado una entrada, si ha abierto una reflexión o si ha iniciado una compra, sin que el contenido de sus entradas figure en estos registros.
- Informes de fallos a través de Firebase Crashlytics (traza de la pila, estado del dispositivo en el momento del fallo). Crashlytics está desactivado en las compilaciones de depuración (debug); está activado en las compilaciones distribuidas a usuarios.
Los siguientes datos no se tratan:
- Su dirección IP dentro de la aplicación (Firebase Analytics no nos expone esta información).
- Su identificador publicitario (IDFA): utilizamos la versión de Firebase sin AdSupport y las señales de personalización publicitaria están desactivadas.
4.5 Datos de suscripción
Cuando adquiere una suscripción a Thanxful:
- La transacción es procesada por Apple (App Store). Su método de pago y los datos de su tarjeta no se nos transmiten.
- RevenueCat gestiona el ciclo de vida de la suscripción en nuestro nombre. El dato compartido con RevenueCat es su identificador de usuario de Firebase; RevenueCat nos comunica el identificador de producto, el estado, la fecha de expiración y la fecha de renovación.
4.6 Comunicaciones y observaciones
- Correos de soporte que envíe a
[email protected]. - Solicitudes de funcionalidades e informes de errores enviados desde la aplicación (limitados diariamente para evitar abusos). Se almacenan el texto que escriba, su identificador de usuario y la hora de envío. Cuando elimina su cuenta, las observaciones se anonimizan (el identificador de usuario se sustituye por
"deleted_user"); el propio texto no se elimina, pero se desvincula de su persona.
4.7 Prueba de onboarding (antes de crear cuenta)
Si desea probar una única reflexión de IA sin crear una cuenta, se tratan los siguientes datos:
- Un UUID de dispositivo generado por su dispositivo (que no es el IDFA).
- Una dirección IP resumida con SHA-256 (no se almacena la dirección IP en bruto).
- Un token de Apple DeviceCheck (para impedir que la prueba se repita en el mismo dispositivo).
Estos datos se tratan únicamente, y de forma breve, para limitar la prueba (una vez por dispositivo y día, 20 por IP global y día) e impedir abusos.
4.8 Seguridad
- Su código de bloqueo de la aplicación (si decide activarlo) se almacena exclusivamente en el Llavero de iOS (Keychain) de su dispositivo; no sale de su teléfono. Sus datos biométricos (Face ID / Touch ID) permanecen en el Secure Enclave de Apple; no se nos transmiten.
5. Finalidades del Tratamiento y Bases Jurídicas
A continuación se expone, en forma de tabla, la finalidad de cada actividad de tratamiento y su base jurídica conforme a los artículos 5 y 6 de la KVKK y al artículo 6 del RGPD:
| Actividad de tratamiento | Finalidad | Base jurídica KVKK | Base jurídica RGPD |
|---|---|---|---|
| Crear su cuenta y conservar sus entradas | Prestación esencial del Servicio | Art. 5/2(c) — celebración y ejecución del contrato | Art. 6(1)(b) — ejecución del contrato |
| Generar reflexiones de IA a partir de las entradas de su diario | Únicamente si usted otorga consentimiento explícito | Art. 6(2) — consentimiento explícito para categorías especiales de datos | Art. 6(1)(a) + Art. 9(2)(a) — consentimiento explícito para categorías especiales de datos |
| Enviar recordatorios diarios de gratitud | Cuando los activa desde Ajustes | Art. 5(1) — consentimiento explícito | Art. 6(1)(a) — consentimiento |
| Procesar la suscripción a través de Apple y RevenueCat | Prestación del servicio adquirido | Art. 5/2(c) — ejecución del contrato | Art. 6(1)(b) — contrato |
| Notificación de fallos y analítica agregada del producto | Ofrecer una aplicación fiable y estable | Art. 5/2(f) — interés legítimo | Art. 6(1)(f) — interés legítimo |
| Medidas antiabuso (DeviceCheck, hash de IP, límites de cuota) | Impedir el fraude y el abuso de costes | Art. 5/2(f) — interés legítimo | Art. 6(1)(f) — interés legítimo |
| Conservación de registros de pago a efectos fiscales y contables | Cumplimiento de obligación legal | Art. 5/2(a) — obligación legal | Art. 6(1)(c) — obligación legal |
| Atender requerimientos lícitos de las autoridades competentes | Imperativo legal | Art. 5/2(a) — obligación legal | Art. 6(1)(c) — obligación legal |
No realizamos tratamientos con fines de elaboración de perfiles, no llevamos a cabo decisiones automatizadas que puedan producir efectos significativos sobre usted y no vendemos ni alquilamos sus datos personales.
6. Tratamiento del Contenido de su Diario mediante Inteligencia Artificial
El presente apartado se ha redactado expresamente para usted, tanto en el marco de la Directriz 5.1.2(i) de las App Store Review Guidelines de Apple como en su condición de titular del diario.
¿Qué se hace?
Si usted otorga consentimiento explícito, Thanxful transmite las entradas seleccionadas de su diario a proveedores externos de inteligencia artificial; dichos proveedores generan:
- Reflexión instantánea: una breve reflexión sobre una entrada concreta.
- Resumen semanal: un análisis sintético de los últimos 7 días.
- Resumen mensual: un análisis profundo de los últimos 30 días.
¿Quiénes tratan sus entradas?
- OpenAI (proveedor principal): modelos
gpt-4o-miniygpt-4o. Servidores en EE. UU. - Google Gemini (proveedor de respaldo, cuando OpenAI no está disponible): infraestructura global de Google.
¿Qué datos se transmiten?
- Los textos de las entradas del periodo analizado.
- Su nombre visible (para que la reflexión pueda dirigirse a usted por su nombre).
- Su preferencia de idioma (para que la reflexión se genere en su idioma).
¿Qué datos no se transmiten?
- Su dirección de correo electrónico.
- La información de rachas, el estado de la suscripción ni ningún otro dato de perfil.
- Ningún dato de otro usuario.
Plazos de conservación por parte de los proveedores
- OpenAI conserva las solicitudes recibidas a través de la API durante un máximo de 30 días a efectos de detección de abusos y, transcurrido ese plazo, las elimina. OpenAI no utiliza los datos enviados a través de la API para entrenar modelos. (Fuente: Términos de la API de OpenAI.)
- Google Gemini no utiliza, por defecto, los datos enviados a través de la API para entrenar modelos. (Fuente: Términos de la API de Google Gemini.)
Su consentimiento explícito
- Se le solicita su consentimiento explícito en el primer momento en que la inteligencia artificial podría intervenir: durante el onboarding, tras guardar una entrada o tras una compra premium.
- Su consentimiento se conserva en un registro de auditoría únicamente añadible (
users/{uid}/aiConsent). - Puede retirar su consentimiento en cualquier momento: Ajustes → Consentimiento de IA. La retirada detiene de forma inmediata cualquier tratamiento futuro. Las reflexiones generadas hasta ese momento permanecen en su historial hasta que las suprima o elimine su cuenta.
- Dado que su diario puede contener categorías especiales de datos en el sentido del artículo 6 de la KVKK y del artículo 9 del RGPD, la base jurídica para su transferencia a los proveedores de inteligencia artificial es su consentimiento explícito.
Las reflexiones de IA no constituyen asesoramiento médico, jurídico ni terapéutico
Las reflexiones son textos generados automáticamente. Pueden ser erróneas, engañosas o estar descontextualizadas. No sustituyen a un terapeuta colegiado, médico, abogado u otro profesional. Si atraviesa una situación de angustia, le recomendamos acudir a un profesional cualificado o, en caso de emergencia, a los servicios de emergencia locales.
7. Comunicación de datos y terceros
Sus datos personales solo se comparten con los proveedores de servicios indicados a continuación y exclusivamente para las finalidades señaladas. Cada proveedor está obligado contractualmente a tratar sus datos personales únicamente conforme a nuestras instrucciones y a aplicar medidas de seguridad adecuadas.
| Proveedor | Función | Datos comunicados | Región | Política de privacidad |
|---|---|---|---|---|
| Google LLC (Firebase) | Infraestructura: autenticación, Firestore, Storage, Cloud Functions, mensajería, analítica, informes de fallos, configuración remota, App Check | Todos los datos de perfil, entradas del diario, tokens FCM, eventos de analítica, informes de fallos | Firestore y Cloud Functions en europe-west1 (Bélgica, UE). Analítica y Crashlytics en la infraestructura global de Google. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | Generación de reflexiones de IA | Texto del diario, nombre visible e idioma — únicamente cuando otorgue su consentimiento | EE. UU. | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | Generación de reflexiones de IA (respaldo) | Idénticos a OpenAI | EE. UU. / global | https://policies.google.com/privacy |
| RevenueCat, Inc. | Gestión de suscripciones | Identificador de usuario de Firebase, identificador de producto, estado de la suscripción, fecha de renovación | EE. UU. | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple, notificaciones APNs, DeviceCheck, pagos en App Store | Correo electrónico de Apple ID, tokens de notificación, bit de dispositivo, registro de la compra | Infraestructura de Apple | https://www.apple.com/legal/privacy/ |
Nota sobre Meta / Facebook: en nuestro archivo Info.plist se incluye únicamente la declaración FacebookAppID: 2198469434228743 con el fin de habilitar el esquema de URL de "compartir en Instagram Stories". No se utiliza el SDK de Facebook y no se envía ningún dato a Meta. Si decide compartir —y solo en ese caso— la imagen seleccionada se transmite a la aplicación Instagram a través de la Hoja de Compartir de iOS.
Solicitudes de autoridades competentes
Sus datos personales solo se comunicarán a las autoridades competentes en el marco de un proceso jurídico válido en Türkiye o de un proceso jurídico válido en otro país con jurisdicción sobre nosotros. En la medida en que la ley lo permita, le informaremos de tales requerimientos.
Ausencia de venta de datos
Sus datos personales no se venden. En el sentido de la CCPA/CPRA, tampoco se "comparten" para publicidad conductual fuera de contexto.
8. Transferencias Internacionales
Su cuenta y su diario se almacenan en la Unión Europea (Google Cloud europe-west1, Bélgica).
Algunos de nuestros proveedores de servicios se encuentran en Estados Unidos:
- OpenAI y Google Gemini reciben las entradas de su diario (únicamente cuando usted otorga su consentimiento) con el fin de procesarlas mediante inteligencia artificial.
- RevenueCat trata el estado de su suscripción.
- Algunos servicios de Apple y Firebase operan sobre infraestructura global.
Los mecanismos jurídicos en los que se basan estas transferencias son los siguientes:
- En el marco del RGPD: las Cláusulas Contractuales Tipo (SCC) de la Decisión 2021/914 de la Comisión Europea incorporadas a los acuerdos de tratamiento de datos firmados con cada proveedor; medidas técnicas aplicadas durante y tras la transferencia (cifrado, control de accesos). Para los proveedores certificados conforme al EU–US Data Privacy Framework también se invoca dicha decisión de adecuación.
- En el marco del RGPD del Reino Unido: el UK International Data Transfer Addendum (IDTA) añadido a las mismas SCC.
- En el marco de la KVKK: nos basamos en el siguiente conjunto de garantías acumulativas:
- Su consentimiento explícito conforme al artículo 9 de la KVKK para la transferencia del contenido de su diario a EE. UU., en el supuesto de que active la función de inteligencia artificial;
- Los acuerdos de tratamiento de datos (DPA) celebrados con cada proveedor —en particular el DPA de Google Cloud / Firebase (que incorpora las SCC), el Anexo de Tratamiento de Datos de la API de OpenAI y el DPA de RevenueCat—, como garantía contractual;
- Las medidas técnicas enumeradas en §11 (cifrado, App Check y minimización de datos personales en el registro).
Nuestro objetivo es suscribir el modelo de Standart Sözleşme publicado por la Autoridad de Protección de Datos Personales con cada proveedor que acepte firmarlo y notificarlo a la Autoridad en el plazo de 5 días hábiles desde la fecha de la firma. En aquellos casos en que el proveedor no acepte el modelo de la Autoridad y emplee su propio DPA, se aplicará el conjunto de garantías antes indicado.
Puede solicitar una copia de las garantías de transferencia escribiendo a [email protected].
9. Plazo de Conservación
Los datos personales se conservan únicamente durante el tiempo necesario.
| Datos | Plazo de conservación |
|---|---|
| Datos de la cuenta (correo electrónico, nombre, perfil, preferencias) | Hasta que elimine su cuenta. |
| Entradas del diario, estados de ánimo, rachas | Hasta que las elimine usted mismo, hasta que utilice Restablecer Contenido o hasta que elimine su cuenta. |
| Registro del consentimiento explícito de IA | Durante toda la vida de la cuenta, en formato únicamente añadible (exigido por la Directriz 5.1.2(i) de la App Store). Se elimina junto con la cuenta. |
| Reflexiones de IA generadas (instantáneas, semanales, mensuales) | Hasta que las elimine usted mismo o elimine su cuenta. |
| Tokens de notificación FCM | Hasta que su dispositivo cancele el registro, cierre sesión o se elimine la cuenta. |
| Informes de fallos de Crashlytics | 90 días (valor predeterminado de Google). |
| Eventos de Firebase Analytics | 14 meses (valor mínimo predeterminado de Google). |
| Registros de servidor (Cloud Logging) | 400 días (el contenido de las entradas no se incluye en los registros; véase §11). |
| Registros de trazabilidad (Cloud Trace) | 15 días. |
| Solicitudes de funcionalidades / informes de errores | Se conservan con fines de mejora del producto; al eliminarse la cuenta, se anonimizan retirando el identificador de usuario. |
| Registros de pago (a través de Apple y RevenueCat) | El plazo previsto por la legislación fiscal y mercantil turca, habitualmente 10 años. |
Cuando elimina su cuenta (Ajustes → Avanzado → Eliminar cuenta o por correo electrónico), su perfil, sus entradas, sus reflexiones, sus logros, su registro de consentimiento de IA y sus tokens FCM se suprimen de inmediato de nuestros sistemas activos. La supresión completa en las cachés, copias de seguridad y registros de los proveedores de servicios puede prolongarse hasta 30 días.
10. Sus derechos
En función del país en el que se encuentre, le asisten total o parcialmente los siguientes derechos:
Artículo 11 de la KVKK (residentes en Türkiye):
- Conocer si sus datos personales son objeto de tratamiento.
- Solicitar información al respecto en caso de que sí lo sean.
- Conocer la finalidad del tratamiento y si los datos se utilizan conforme a dicha finalidad.
- Conocer los terceros, en el país o en el extranjero, a los que se hayan transferido.
- Solicitar la rectificación cuando los datos sean incompletos o inexactos.
- Solicitar la supresión o destrucción al amparo del artículo 7 de la KVKK.
- Solicitar que las actuaciones de rectificación, supresión o destrucción se comuniquen a los terceros a los que se hubieran transmitido los datos.
- Oponerse a la aparición de un resultado en su contra como consecuencia del análisis exclusivamente automatizado.
- Solicitar la reparación del perjuicio sufrido como consecuencia de un tratamiento contrario a Derecho.
RGPD (residentes en la UE/EEE y el Reino Unido):
- Acceso (Art. 15), rectificación (Art. 16), supresión (Art. 17), limitación del tratamiento (Art. 18), portabilidad de los datos (Art. 20), oposición (Art. 21), retirada del consentimiento explícito (Art. 7). Aún no disponemos de una pantalla de exportación autoservicio; si lo solicita por correo electrónico, le entregaremos sus entradas y datos de perfil en formato JSON estructurado en un plazo de 30 días.
CCPA / CPRA (residentes en California):
- Derecho a conocer qué información personal se recopila, sus fuentes, sus finalidades y los terceros implicados.
- Derecho de supresión y rectificación.
- Derecho a oponerse a la venta o comunicación de la información personal: no vendemos ni compartimos sus datos, por lo que no existe nada a lo que oponerse.
- Derecho a limitar el uso de la información personal sensible: la información sensible (el contenido de su diario) no se utiliza al margen de las finalidades indicadas en §5.
- Derecho a no sufrir discriminación por el ejercicio de sus derechos.
¿Cómo puede ejercer sus derechos?
Envíenos un correo electrónico a [email protected] con el asunto Solicitud de Privacidad e indique qué derecho desea ejercer. Para verificar su identidad, podemos solicitarle información adicional (habitualmente, pidiéndole que responda desde la dirección de correo asociada a su cuenta). De conformidad con el artículo 13 de la KVKK y el artículo 12 del RGPD, su solicitud se resolverá en un plazo máximo de 30 días. Si fuera necesaria una prórroga, se le comunicará el motivo y la fecha prevista de respuesta.
Si en el marco de la CCPA desea actuar a través de un representante autorizado, podremos seguir contactando con usted directamente para verificar la autorización del representante.
Salvo que su solicitud sea manifiestamente infundada o excesiva, el ejercicio de estos derechos es gratuito.
Autoridades ante las que presentar reclamación
- Türkiye: Autoridad de Protección de Datos Personales (KVKK) — https://www.kvkk.gov.tr/
- UE/EEE: autoridad de protección de datos del país en que resida — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- Reino Unido: Information Commissioner's Office — https://ico.org.uk/
- California: California Privacy Protection Agency — https://cppa.ca.gov/
11. Medidas de Seguridad de los Datos
La seguridad de los datos se contempla desde la fase de diseño. Las medidas técnicas y organizativas aplicadas comprenden, entre otras:
- Cifrado en tránsito: todo el tráfico de red se cifra con TLS 1.2 o superior.
- Cifrado en reposo: cifrado del lado del servidor con AES-256 de Google Cloud.
- Autenticación: Firebase Auth; las contraseñas no se almacenan en ningún caso en texto plano.
- App Check: Apple App Attest en la compilación de producción; se rechazan las solicitudes procedentes de fuentes no fiables.
- Apple DeviceCheck: impide abusos en las pruebas de onboarding.
- Reglas estrictas de seguridad de Firestore: cada usuario solo lee y escribe sus propios datos.
- Aislamiento de datos sensibles: el código de bloqueo de la aplicación se conserva exclusivamente en el Llavero de iOS; los datos biométricos permanecen en el Apple Secure Enclave.
- Registros con datos personales minimizados: el contenido del diario no se incluye en los registros del servidor; únicamente se registran los metadatos imprescindibles para la operación y la depuración (identificador de usuario, tipo de evento, estado).
- Gestión de claves secretas: las claves de API (OpenAI, RevenueCat, Apple DeviceCheck) se almacenan en Firebase Secret Manager y no figuran en el código.
Dado que ningún sistema es absolutamente seguro, en caso de detectarse una brecha de datos personales:
- Se notificará a la Autoridad de Protección de Datos Personales en un plazo de 72 horas, conforme al apartado 5 del artículo 12 de la KVKK;
- Se realizarán las notificaciones pertinentes a los residentes en la UE/EEE y a las autoridades correspondientes con arreglo a los artículos 33 y 34 del RGPD.
12. Menores
Thanxful no está dirigida a menores de 13 años. Para utilizar el Servicio es necesario tener al menos 13 años cumplidos (véase el §3 de las Condiciones de Uso). Si tiene entre 13 y 16 años (edad de consentimiento digital en algunos Estados miembros de la UE), la legislación de su país puede exigir el consentimiento de su padre, madre o tutor legal. Conforme al artículo 15 del Código Civil turco (TMK), los menores de 18 años no disponen de plena capacidad contractual, por lo que para los usuarios menores de 18 años se requerirá el consentimiento de su padre, madre o tutor.
No se recopilan datos personales de menores de 13 años de manera consciente. Si, en su condición de padre, madre o tutor, considera que su hijo o hija ha compartido información sin su conocimiento, escríbanos a [email protected] y la información será suprimida.
La calificación por edad de la aplicación en la App Store (4+) indica que el contenido de la aplicación es adecuado para todas las edades (no contiene violencia, contenido sexual ni lenguaje soez). Esta calificación de contenido no altera la prohibición contractual de uso por parte de menores de 13 años.
Durante el onboarding no se aplica una barrera de edad (age gate) específica para los usuarios; la edad mínima se exige por vía contractual escrita, práctica habitual en las aplicaciones de diario y bienestar.
13. Información para residentes en California (CCPA / CPRA)
Si reside en California, además del resto de la presente política le es de aplicación este apartado.
Categorías de información personal recopiladas (últimos 12 meses)
| Categoría CCPA | ¿Se recopila? | Fuente | Finalidad | Comunicada a |
|---|---|---|---|---|
| Identificadores (correo electrónico, identificador de usuario, identificador de dispositivo) | Sí | Usted; su dispositivo | Cuenta, seguridad, analítica | Firebase, RevenueCat |
| Registros de Clientes de California (Cal. Civ. Code §1798.80) | Sí (nombre) | Usted | Cuenta | Firebase |
| Clasificaciones protegidas | No | — | — | — |
| Información comercial (historial de suscripción) | Sí | Apple, RevenueCat | Prestación de la suscripción | RevenueCat |
| Información biométrica | No (Face ID permanece en el dispositivo) | — | — | — |
| Actividad de Internet o de red | Limitada (eventos de la aplicación, informes de fallos) | Su dispositivo | Analítica, fiabilidad | Firebase |
| Geolocalización | Solo a nivel aproximado (país / zona horaria) | Su dispositivo | Localización de contenidos | Firebase |
| Audio o imagen | Fotografía de perfil (opcional) | Usted | Perfil | Firebase Storage |
| Información profesional o de empleo | No | — | — | — |
| Información educativa | No | — | — | — |
| Inferencias | No | — | — | — |
| Información personal sensible | El contenido del diario se considera sensible | Usted | Reflexiones de IA (únicamente con consentimiento) | OpenAI, Google Gemini |
Sus derechos en California
- Derecho a saber / acceso: véase §10.
- Supresión / rectificación: véase §10.
- Oposición a la venta o comunicación: no vendemos ni compartimos su información personal, por lo que no existe nada a lo que oponerse.
- Limitación del uso de información sensible: la información sensible (el contenido de su diario) solo se utiliza para las finalidades descritas en §6 y con su consentimiento explícito.
- No discriminación: el ejercicio de estos derechos no restringe su acceso al Servicio, no implica un precio diferente y no supone una calidad distinta.
Para presentar una solicitud, escriba a [email protected] con el asunto California Privacy Request. Verificaremos su identidad a través de la dirección de correo asociada a la cuenta.
No se ofrecen incentivos económicos a cambio de información personal.
14. Cookies y tecnologías similares
En la aplicación iOS: no se utilizan cookies web. La aplicación únicamente almacena, en su dispositivo, pequeñas preferencias en UserDefaults (como el tema, el idioma o la preferencia de notificación) y el código de bloqueo de la aplicación en el Llavero de iOS. Estos datos no se comparten con nosotros ni con terceros.
En thanxful.app: a la fecha de entrada en vigor de la presente política, el sitio promocional no utiliza cookies, web beacons ni rastreadores analíticos de terceros. En caso de incorporarse en el futuro, se actualizará el presente apartado, se mostrará en el sitio un aviso de consentimiento de cookies (cookie banner) y la modificación se considerará un cambio sustancial conforme a §15.
15. Modificaciones de la Política
La presente política puede actualizarse periódicamente. En el caso de modificaciones sustanciales (modificaciones que afecten a sus derechos o al modo en que se tratan sus datos), se le informará por correo electrónico y mediante notificación dentro de la aplicación con una antelación mínima de 30 días respecto de la entrada en vigor del cambio. En el caso de modificaciones no sustanciales (correcciones tipográficas, aclaraciones), se actualizará el documento y se actualizará la Fecha de Entrada en Vigor que figura en la parte superior.
Si no acepta la nueva versión, puede dejar de utilizar el Servicio y eliminar su cuenta antes de la fecha de entrada en vigor.
16. Contacto
Para cualquier consulta, solicitud o reclamación en materia de privacidad:
- Correo electrónico:
[email protected](asunto:Privacidad) - Responsable del tratamiento: Kadir Alan — empresario individual (şahıs şirketi), Türkiye
Si necesita una dirección postal de notificación, escríbanos previamente a [email protected]; le facilitaremos la dirección a petición.
Las autoridades de control ante las que puede presentar una reclamación se enumeran en §10.
17. Glosario
- KVKK: Ley n.º 6698 de Protección de Datos Personales (Türkiye).
- GDPR / RGPD: Reglamento General de Protección de Datos n.º 2016/679 de la Unión Europea.
- CCPA / CPRA: California Consumer Privacy Act, en su versión modificada por la California Privacy Rights Act.
- COPPA: Children's Online Privacy Protection Act (EE. UU., menores de 13 años).
- FCM: Firebase Cloud Messaging (infraestructura de notificaciones).
- Categoría especial de datos personales / dato sensible: categorías de datos relativos a la salud, religión, opinión política, vida sexual u otras análogas, que requieren una protección reforzada conforme al artículo 6 de la KVKK y al artículo 9 del RGPD.
- Responsable del tratamiento: persona física o jurídica que determina los fines y medios del tratamiento de datos personales y es responsable del establecimiento y la gestión del sistema de registro de datos (en este caso: Kadir Alan).
- Consentimiento explícito: consentimiento referido a una cuestión concreta, basado en información previa y manifestado libremente.
Gracias por confiar en nosotros en su camino de gratitud.
— Thanxful