1. Identificación del Responsable del Tratamiento
En cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD), y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), se informa al usuario de que el responsable del tratamiento de los datos personales recabados a través de la aplicación móvil El Casal es:
| Responsable | Araceli Teruel Domenech |
| Actividad | Desarrollo y mantenimiento de aplicaciones móviles para comunidades falleras |
| Correo electrónico | info@araceliteruel.es |
| Aplicación | El Casal (disponible en Google Play Store) |
2. Datos Personales que Recabamos
La aplicación recaba las siguientes categorías de datos personales:
2.1 Datos de registro y autenticación
- Nombre completo y apellidos del usuario registrado.
- Dirección de correo electrónico utilizada como identificador de acceso.
- Credenciales de acceso (contraseña almacenada de forma cifrada; el responsable no tiene acceso a la contraseña en texto claro).
- Token de sesión JWT para mantener la sesión activa de forma segura.
2.2 Datos de perfil y familia
- Nombre, apellidos y fecha de nacimiento de los miembros del núcleo familiar registrados por el usuario adulto.
- Fotografía de perfil (opcional, subida voluntariamente por el usuario).
- Número de socio o identificador de la asociación fallera.
- Datos de perfiles de menores de edad vinculados a la cuenta familiar, gestionados exclusivamente por el adulto responsable.
2.3 Datos económicos y de actividad
- Saldo del monedero virtual (wallet) asociado a la cuenta del usuario.
- Historial de transacciones y compras de bonos realizadas en la aplicación.
- Datos de inscripciones a actividades y listas de participación.
- Registros de asistencia y actas de convocatorias.
2.4 Datos técnicos
- Token de notificaciones push (FCM Token) para el envío de comunicaciones de la asociación.
- Identificador de dispositivo a efectos del servicio de notificaciones.
- Datos de uso de la aplicación necesarios para el correcto funcionamiento del servicio.
3. Finalidad y Base Legal del Tratamiento
| Finalidad | Base legal | Plazo |
|---|---|---|
| Gestión de la cuenta y autenticación del usuario | Ejecución del contrato (art. 6.1.b RGPD) | Duración de la relación + 5 años |
| Gestión del perfil familiar y de menores vinculados | Ejecución del contrato + interés legítimo (art. 6.1.b y 6.1.f RGPD) | Duración de la relación |
| Procesamiento de pagos y compra de bonos (Redsys) | Ejecución del contrato (art. 6.1.b RGPD) | 5 años (normativa fiscal) |
| Gestión de inscripciones y actividades | Ejecución del contrato (art. 6.1.b RGPD) | Duración de la actividad + 1 año |
| Envío de notificaciones push de la asociación | Consentimiento del usuario (art. 6.1.a RGPD) | Hasta revocación del consentimiento |
| Generación de códigos QR de pago seguros | Ejecución del contrato (art. 6.1.b RGPD) | Sesión activa (30 segundos por QR) |
| Cumplimiento de obligaciones legales y contables | Obligación legal (art. 6.1.c RGPD) | Según normativa aplicable |
4. Destinatarios y Transferencias Internacionales
Los datos personales no serán cedidos a terceros salvo en los siguientes supuestos:
- Google LLC (Firebase): servicios de autenticación, base de datos en tiempo real y notificaciones push. Google actúa como encargado del tratamiento bajo el Data Processing Agreement del RGPD. Sus servidores pueden estar ubicados en la Unión Europea o fuera de ella, contando en este último caso con las garantías adecuadas (cláusulas contractuales tipo).
- Redsys – Servicios de Procesamiento, S.L.: pasarela de pago homologada en España para el procesamiento de transacciones con tarjeta bancaria. El tratamiento se rige por su propia política de privacidad y los estándares PCI-DSS.
- La asociación fallera o entidad gestora que contrata el servicio: recibe los datos necesarios para la gestión interna de sus socios (nombre, actividades, transacciones). Esta entidad actúa como responsable independiente respecto a sus propios tratamientos.
- Obligación legal: cuando una autoridad competente (judicial, fiscal, administrativa) lo requiera mediante resolución fundada en derecho.
5. Derechos del Usuario
De conformidad con el RGPD y la LOPDGDD, el usuario puede ejercer en cualquier momento los siguientes derechos:
6. Tratamiento de Datos de Menores de Edad
La aplicación permite que los usuarios adultos registren perfiles de miembros menores de su núcleo familiar (hijos, tutelados) con el único fin de gestionar su participación en actividades de la asociación fallera. En estos casos:
- El adulto que crea el perfil del menor declara ser su padre, madre o tutor legal, asumiendo la responsabilidad sobre la veracidad de los datos introducidos.
- Los datos del menor se limitan a los estrictamente necesarios para la gestión de su actividad en la asociación (nombre, apellidos, fecha de nacimiento).
- Estos datos son gestionados exclusivamente por el adulto responsable a través de su propia cuenta y no dan lugar a una cuenta independiente para el menor.
- No se recaban datos sensibles de menores, ni se les envían notificaciones directamente, ni se comparten sus datos con terceros más allá de lo estrictamente necesario para la prestación del servicio.
- El responsable del tratamiento no verifica de forma automática la veracidad de la relación paternofilial o de tutela declarada por el usuario registrado. No obstante, cualquier uso fraudulento puede ser comunicado a info@araceliteruel.es.
7. Seguridad de los Datos
El responsable ha adoptado las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales y prevenir su alteración, pérdida, tratamiento o acceso no autorizados, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos. Entre otras:
- Autenticación mediante tokens JWT con caducidad, almacenados de forma segura en el dispositivo.
- Comunicaciones cifradas mediante HTTPS/TLS en todas las peticiones a la API.
- Códigos QR de pago generados con firma HMAC-SHA256 y rotación automática cada 30 segundos.
- Infraestructura de autenticación gestionada por Google Firebase, con estándares de seguridad certificados.
- Procesamiento de pagos delegado íntegramente en Redsys (certificación PCI-DSS), sin que el responsable almacene datos de tarjetas bancarias.
8. Conservación de los Datos
Los datos personales serán conservados durante el tiempo necesario para la prestación del servicio y durante los plazos legalmente establecidos:
- Datos de cuenta: durante la vigencia de la relación con la asociación y, una vez finalizada, por el plazo de prescripción de las acciones legales que pudieran derivarse (máximo 5 años).
- Datos de transacciones económicas: durante 5 años conforme a la normativa fiscal española (Ley 58/2003, General Tributaria).
- Tokens de notificaciones push: hasta que el usuario retire su consentimiento o desinstale la aplicación.
- Una vez transcurridos los plazos de conservación aplicables, los datos serán eliminados o anonimizados de forma segura.
9. Cookies y Tecnologías de Seguimiento
La aplicación móvil El Casal no utiliza cookies en su funcionamiento habitual. No obstante, los servicios de terceros integrados (Firebase, Redsys) pueden utilizar identificadores de dispositivo o tecnologías similares para el correcto funcionamiento de sus servicios, conforme a sus propias políticas de privacidad.
10. Cambios en la Política de Privacidad
El responsable se reserva el derecho de modificar la presente política de privacidad para adaptarla a novedades legislativas, jurisprudenciales o de funcionamiento. En caso de cambios sustanciales, el usuario será informado mediante notificación en la aplicación o por correo electrónico con antelación razonable.
La versión actualizada de esta política estará siempre disponible en la ficha de la aplicación en Google Play Store.
11. Legislación Aplicable y Jurisdicción
La presente política de privacidad se rige por la normativa española y europea en materia de protección de datos, en particular:
- Reglamento (UE) 2016/679 (RGPD) – General Data Protection Regulation.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
- Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE).
Para cualquier controversia derivada del tratamiento de datos personales, las partes se someten a la jurisdicción de los tribunales españoles, sin perjuicio del derecho del usuario a acudir a la Agencia Española de Protección de Datos (AEPD).
info@araceliteruel.es · Ref: «RGPD El Casal»