Política de Privacidad

Para la prestación del servicio recogemos los siguientes datos personales que el usuario nos proporciona voluntariamente al suscribirse y al usar la Aplicación:

• Nombre y apellidos
• Club o entidad deportiva (opcional)
• Correo electrónico
• Dispositivo (sistema operativo y versión)
• Identificador único del dispositivo (para el vínculo de licencia)

Adicionalmente, cuando el usuario realiza un pago, Gumroad, Inc. actúa como Merchant of Record (MoR) y trata los datos financieros (nombre, dirección de facturación, datos de tarjeta) conforme a su propia política de privacidad. Gumroad es responsable del cobro, la facturación, la gestión del IVA europeo y la emisión del recibo. Inbound Studio no almacena datos de tarjetas bancarias en ningún momento; recibe únicamente confirmación del pago, identificador de venta (sale_id), email del comprador y país de facturación a efectos de habilitar el acceso a la Aplicación.

Para prestar el servicio, utilizamos los siguientes encargados del tratamiento (o, en el caso de Gumroad, responsable autónomo en su rol de MoR) que ofrecen garantías suficientes de cumplimiento del RGPD:

• Gumroad, Inc. — Merchant of Record y procesamiento de pagos (EE. UU.; certificado PCI-DSS; transferencia internacional amparada en el marco EU-US Data Privacy Framework y/o cláusulas contractuales tipo de la Comisión Europea). Gumroad gestiona el cobro, el IVA europeo y la facturación al consumidor final.
• Google Firebase (Google Cloud EMEA Ltd.) — autenticación, base de datos en tiempo real, almacenamiento y Cloud Functions en región europe-west1; los datos en reposo permanecen en la UE. Posibles transferencias técnicas a EE. UU. amparadas en cláusulas contractuales tipo UE.
• Resend — envío de emails transaccionales (confirmación de compra, invitaciones, notificaciones). Procesamiento en EE. UU. con cláusulas contractuales tipo.
• Vercel, Inc. — hospedaje web y analítica sin cookies (EE. UU.; DPA firmado).
• Sentry (Functional Software Inc.) — monitorización de errores en la Aplicación. Los eventos enviados se anonimizan (hash del UID con sal, eliminación de paths con nombre de usuario, sin tarjetas ni emails en logs).

Los enlaces a las políticas de privacidad de cada encargado están disponibles previa solicitud por correo electrónico a ceo@gmsportstudio.com.

Los datos personales se conservarán mientras tengas una suscripción activa y hasta seis meses después de la baja. Transcurrido ese plazo, los datos que no sean necesarios para la relación contractual o para cumplir obligaciones legales (facturación: 4-6 años Art. 30 Código de Comercio) serán eliminados o anonimizados.

En virtud del RGPD y la LOPDGDD, puedes ejercitar en cualquier momento los siguientes derechos escribiendo a ceo@gmsportstudio.com:

• Acceso — conocer qué datos tratamos sobre ti.
• Rectificación — corregir datos inexactos.
• Supresión — solicitar el borrado («derecho al olvido»).
• Limitación — restringir el tratamiento en ciertos casos.
• Portabilidad — recibir tus datos en formato estructurado.
• Oposición — oponerte al tratamiento basado en interés legítimo.

Respondemos en un plazo máximo de 30 días. Si no quedas satisfecho, puedes reclamar ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

Aplicamos medidas técnicas y organizativas adecuadas para proteger tus datos frente a accesos no autorizados, pérdida o destrucción accidental, conforme al Art. 32 RGPD. Entre ellas: cifrado en tránsito (TLS), control de acceso basado en roles en Firebase y contraseñas con hash seguro.

Podemos actualizar esta política para reflejar cambios legales o del servicio. Notificaremos los cambios materiales por correo electrónico o mediante aviso destacado en el Sitio.