Política de privacidad

Responsable del tratamiento

El responsable del tratamiento de los datos personales de este servicio es Luca Henrik Stosch, Einzelunternehmen — operando como «Nekonbini».

Dirección postal: Von-Bargen-Straße 39, 22041 Hamburgo, Alemania
Correo electrónico: luca@sutoshu.com

No se ha designado un delegado de protección de datos (no se cumple ningún criterio del Art. 37 RGPD).

Datos que tratamos

• Cuenta e inicio de sesión: tu dirección de correo electrónico (usada como identificador de cuenta y para correos de verificación), tu nombre visible cuando lo configuras y el método de autenticación que utilizaste (contraseña de un solo uso por correo, Google o Apple). El inicio de sesión con Google o Apple se gestiona a través de Firebase Authentication; del proveedor de identidad solo recibimos tu dirección de correo verificada y (opcionalmente) tu nombre visible.
• Estado de aprendizaje: tu biblioteca de palabras y kanji guardados, el estado de repetición espaciada (historial de repasos, planificación, nivel de casilla), las historias que has generado o importado, el progreso a nivel de frase, los contadores de XP y de racha, tus ajustes (idioma de la interfaz, zona horaria, nivel JLPT objetivo, objetivo diario de XP) y las marcas que registran qué pasos de onboarding has completado. Es el estado de aprendizaje personalizado que permite que las ayudas de lectura, los repasos y las pantallas adaptativas funcionen en todos tus dispositivos.
• Contenido que envías: textos que importas o pegas, documentos que subes para tokenizar, prompts y respuestas en las conversaciones con el tutor de IA, historias mnemotécnicas de kanji que escribes y cualquier reacción que dejes en las entradas de kanji compartidas por la comunidad. Parte de este contenido se reenvía a proveedores de IA (ver «Encargados del tratamiento» más abajo) para generar traducciones, explicaciones y respuestas.
• Metadatos de suscripción, facturación y uso de IA: qué plan (si lo hay) está activo en tu cuenta, cuándo expira y un registro por llamada de las solicitudes de IA realizadas en tu nombre — conteos de tokens de entrada y salida, proveedor utilizado, función que activó la llamada y coste estimado. Los pagos con tarjeta los gestiona Stripe (ver «Encargados del tratamiento» más abajo); nosotros no vemos ni almacenamos los números completos de las tarjetas.
• Datos técnicos de operación: registros de peticiones del servidor (marca temporal, ruta, código de estado, dirección IP, user-agent) necesarios para operar y proteger el servicio; eventos de error capturados por nuestro servicio de seguimiento de errores (ver «Telemetría» más abajo); y — solo con tu consentimiento — eventos agregados de analítica de páginas vistas (ver «Telemetría» más abajo). Los trazos de escritura a mano que dibujas durante la práctica de kanji se evalúan en el servidor en tiempo real, pero no se almacenan.

Finalidades y bases jurídicas

Tratamos los datos anteriores para prestar el servicio de aprendizaje personalizado al que te has dado de alta (sincronizar tu biblioteca, planificar repasos, generar historias, mantener conversaciones con el tutor de IA) conforme al Art. 6 (1)(b) RGPD (ejecución del contrato contigo); para operar, asegurar y depurar el servicio — registros del servidor, detección de abusos, seguimiento de errores — conforme al Art. 6 (1)(f) RGPD (nuestro interés legítimo en mantener el servicio disponible y libre de usos indebidos); para medir el uso agregado del producto conforme al Art. 6 (1)(a) RGPD (tu consentimiento, que puedes retirar en cualquier momento); y para cumplir con obligaciones legales, en particular la normativa fiscal y contable alemana aplicable a los planes de pago, conforme al Art. 6 (1)(c) RGPD cuando proceda.

Analítica, seguimiento de errores y almacenamiento en tu dispositivo

Nekonbini utiliza dos servicios externos de telemetría. Los tratamos de forma distinta porque sus finalidades son distintas.

Analítica — consentimiento necesario

Usamos un servicio de analítica agregada para entender cómo se usa el servicio. La analítica solo se carga después de que aceptes en el banner de consentimiento; las direcciones IP no se almacenan de forma identificable. Puedes retirar o cambiar tu elección en cualquier momento desde el banner de consentimiento o en los ajustes de tu cuenta; esto detiene los siguientes eventos de analítica durante el resto de la sesión y en visitas posteriores.

Seguimiento de errores — interés legítimo

Utilizamos un servicio de seguimiento de errores para capturar errores no controlados y caídas y poder corregirlos. Los eventos de error incluyen la URL de la página (con las query strings eliminadas para evitar que se filtren tokens de autenticación), la versión del navegador, una traza de la pila y — para usuarios autenticados — el identificador interno de usuario, para poder asociar el informe a quien encontró el problema. No se recogen cookies ni direcciones IP. El seguimiento de errores se realiza bajo nuestro interés legítimo en mantener un servicio operativo (Art. 6 (1)(f) RGPD); puedes oponerte a este tratamiento en la dirección de contacto indicada arriba.

Almacenamiento en tu dispositivo

Tu elección de consentimiento y el estado de autenticación se guardan en el localStorage de tu navegador. Un pequeño conjunto adicional de claves conserva preferencias de interfaz (último idioma seleccionado, estado del layout). Se trata de almacenamiento técnico en tu propio dispositivo, no de cookies de seguimiento de terceros; basta con borrar los datos del sitio en tu navegador para eliminarlas.

Encargados del tratamiento y servicios de terceros

Los siguientes proveedores tratan datos personales por encargo nuestro, o como responsables independientes en la parte de su servicio que ellos controlan. Esta lista está actualizada a la fecha de «última actualización» indicada más abajo; la actualizamos antes de incorporar cualquier nuevo encargado al servicio.

• Amazon Web Services EMEA SARL (Luxemburgo) — alojamiento de la aplicación y la base de datos en la Unión Europea (Alemania). AWS puede recurrir, como subencargado, a su matriz estadounidense al amparo del EU-US Data Privacy Framework y de las Cláusulas Contractuales Tipo de la UE (ver «Transferencias internacionales» más abajo).
• Resend (Resend Inc., Estados Unidos, al amparo del EU-US Data Privacy Framework y de las Cláusulas Contractuales Tipo de la UE) — envía correos transaccionales, como la contraseña de un solo uso de seis dígitos utilizada para el inicio de sesión por correo.
• Stripe Payments Europe Ltd. (Irlanda, con transferencia a Estados Unidos a Stripe Inc. al amparo del EU-US Data Privacy Framework y de las Cláusulas Contractuales Tipo de la UE) — procesa los pagos de suscripción.
• Firebase Authentication (Google Ireland Limited / Google LLC) — gestiona el inicio de sesión federado a través de Google y Apple. Los datos intercambiados son tu dirección de correo verificada y (si se ha proporcionado) tu nombre visible. Firebase es un servicio estadounidense; ver «Transferencias internacionales de datos» más abajo para la base jurídica.
• Sentry (instancia UE) — captura errores no controlados y caídas. La instancia que utilizamos está alojada en la Unión Europea; los datos de los eventos se quedan en la UE. Ver «Telemetría» arriba para conocer lo que se envía en cada evento.
• Google Analytics 4 (Google Ireland Limited / Google LLC) — solo se carga si has dado tu consentimiento a la analítica. Ver «Telemetría» arriba. Google es un encargado con sede en Estados Unidos; ver «Transferencias internacionales de datos» más abajo para la base jurídica.
• Entre los subencargados de IA se incluyen OpenAI (EE. UU.), Google (UE/EE. UU.), Mistral AI (FR) y OpenRouter (EE. UU.) como intermediario de enrutamiento. Cuando usas una función con IA, enviamos el texto relevante — por ejemplo, la frase que estás leyendo, tu prompt de chat o el documento que has importado — junto con el contexto mínimo necesario para la respuesta. El conjunto activo puede cambiar a medida que ajustamos calidad y coste de los modelos; actualizamos esta lista antes de que un nuevo proveedor entre en servicio.

Transferencias internacionales de datos

La mayor parte de los datos que conservamos sobre ti se almacena en la Unión Europea. Algunos de los encargados mencionados están establecidos en Estados Unidos; tus datos se transfieren a esos proveedores cuando utilizas una función que depende de ellos. Nos basamos en la decisión de adecuación de la Comisión Europea para el EU-US Data Privacy Framework cuando el destinatario está certificado en ese marco, y en las Cláusulas Contractuales Tipo de la UE (Módulo Dos, responsable-a-encargado) como garantía adicional.

Cuánto tiempo conservamos tus datos

Conservamos los datos de cuenta, el estado de aprendizaje y el contenido que has enviado mientras tu cuenta exista; cuando solicitas la eliminación de tu cuenta, todo ello se elimina en un plazo de 30 días. Cuando aplica la conservación contable legal de los §§ 147 AO y 257 HGB (suscripciones de pago), las facturas y los datos de facturación subyacentes se conservan durante el plazo legal (actualmente hasta 10 años), una vez eliminada el resto de la cuenta. Las solicitudes de contraseña de un solo uso por correo se borran automáticamente en cuanto el código se ha usado o ha caducado. Los registros del servidor, los eventos de error y los datos de analítica los rotan automáticamente nuestros proveedores según sus periodos por defecto; nosotros no los ampliamos.

Tus derechos

Conforme al RGPD, tienes los siguientes derechos sobre tus datos personales. Para ejercer cualquiera de ellos, escríbenos a la dirección de correo electrónico indicada en la sección «Responsable del tratamiento» más arriba, desde la dirección de correo asociada a tu cuenta. Respondemos en un plazo de 30 días desde la recepción de la solicitud; si una solicitud es especialmente compleja, te lo comunicaremos y te explicaremos la prórroga.

• Derecho de acceso (Art. 15) — solicitar una copia de los datos personales que conservamos sobre ti.
• Derecho de rectificación (Art. 16) — pedir que corrijamos datos inexactos o incompletos.
• Derecho de supresión (Art. 17) — pedir que eliminemos tu cuenta y los datos asociados.
• Derecho a la portabilidad de los datos (Art. 20) — pedir una exportación de los datos que hayas facilitado en un formato legible por máquina.
• Derecho de oposición (Art. 21) — oponerte al tratamiento basado en interés legítimo, incluidos los registros del servidor y el seguimiento de errores.
• Derecho a retirar el consentimiento (Art. 7(3)) — para el tratamiento basado en consentimiento (analítica), puedes retirar tu consentimiento en cualquier momento desde el banner de cookies; esto no afecta a la licitud del tratamiento anterior a la retirada.
• Derecho a presentar una reclamación — presentar una reclamación ante una autoridad de control de tu país de residencia. Para Hamburgo, la autoridad competente es el Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit (Comisionado de Hamburgo para la Protección de Datos y la Libertad de Información).

Menores

Nekonbini está pensado para usuarios a partir de 16 años. No recogemos a sabiendas datos personales de menores de 16 años. Si crees que un menor se ha dado de alta, escríbenos a la dirección indicada en la sección «Responsable del tratamiento» más arriba y eliminaremos la cuenta.

Seguridad

Los datos se alojan en la UE en infraestructura contratada. La autenticación utiliza tokens de sesión firmados emitidos tras la verificación sin contraseña. No almacenamos contraseñas. El acceso a producción está limitado al operador.

Cambios en esta política

Actualizaremos esta página cuando nuestro tratamiento cambie de forma relevante — en particular cuando se incorpore un nuevo encargado o subencargado, o cuando añadamos funciones que introduzcan nuevas categorías de datos. La fecha de «última actualización» indicada más abajo cambia con cada modificación sustancial; para cambios que afecten a tus derechos o requieran un nuevo consentimiento, además avisaremos a los usuarios autenticados dentro de la app.