Volver al inicio

Política de Privacidad

Última actualización: 29/12/2025

1. Introducción

En TreeRoute, respetamos tu privacidad y nos comprometemos a proteger tus datos personales. Esta política de privacidad explica cómo recopilamos, usamos, almacenamos y compartimos tu información cuando utilizas nuestra plataforma.

TreeRoute cumple con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y otras leyes de privacidad aplicables.

2. Datos que Recopilamos

Recopilamos solo los datos necesarios para proporcionar nuestros servicios:

  • Información de cuenta: nombre, email, contraseña (encriptada)
  • Información de grupo: nombres de grupos, temas, preferencias de regalo
  • Direcciones de entrega: solo para miembros del grupo con fines de Route Day
  • Fotos de regalos: imágenes subidas voluntariamente
  • Datos de uso: análisis anónimos para mejorar el servicio

3. Cómo Usamos tus Datos

  • Facilitar la creación y gestión de grupos de intercambio
  • Procesar asignaciones de regalos y coordinar el Route Day
  • Enviar notificaciones sobre tus grupos (con tu consentimiento)
  • Mejorar nuestra plataforma mediante análisis anónimos
  • Mostrar publicidad no intrusiva (según preferencias de TCF v2 CMP)

4. Compartir Datos

No vendemos tus datos personales. Solo compartimos información en estas circunstancias:

  • Con otros miembros de tu grupo (nombre visible, dirección de entrega solo para compradores asignados)
  • Con proveedores de servicios esenciales (hosting, email, análisis)
  • Si la ley lo requiere (orden judicial, cumplimiento legal)

4.1. Procesadores de Datos (GDPR Artículo 28)

TreeRoute utiliza los siguientes proveedores de servicios ("procesadores de datos") que procesan datos personales en nuestro nombre. Todos estos proveedores tienen acuerdos de procesamiento de datos (DPAs) que garantizan el cumplimiento del GDPR:

Vercel Inc. (Hosting & Analytics)

  • Ubicación: Estados Unidos (Privacy Shield certified)
  • Datos procesados: Logs del servidor, métricas de rendimiento, Core Web Vitals
  • Finalidad: Hosting de la aplicación, análisis de rendimiento
  • Retención: 30 días (logs), 24 horas (analytics)
  • Seguridad: Encriptación en reposo y tránsito, certificación SOC 2
  • DPA: vercel.com/legal/dpa ↗

Resend (Entrega de Emails)

  • Ubicación: Estados Unidos
  • Datos procesados: Direcciones de email, nombres, contenido de emails transaccionales
  • Finalidad: Envío de notificaciones, invitaciones a grupos, emails de sistema
  • Retención: 90 días
  • Seguridad: Encriptación TLS, autenticación DKIM/SPF
  • Política: resend.com/legal/privacy-policy ↗

Cloudflare R2 (Almacenamiento de Imágenes)

  • Ubicación: Europa (Frankfurt, Alemania)
  • Datos procesados: Fotos de perfil, imágenes de regalos, fotos de galería
  • Finalidad: Almacenamiento seguro de archivos multimedia
  • Retención: Mientras la cuenta esté activa
  • Seguridad: Encriptación AES-256, URLs firmadas con expiración temporal
  • DPA: cloudflare.com/cloudflare-customer-dpa ↗

Neon (Base de Datos PostgreSQL)

  • Ubicación: Europa (AWS eu-west-1, Irlanda)
  • Datos procesados: Toda la información de usuario, grupos, membresías, preferencias
  • Finalidad: Almacenamiento primario de datos de la aplicación
  • Retención: Mientras la cuenta esté activa + 90 días post-Route Day para grupos
  • Seguridad: Encriptación at-rest, backups automáticos, certificación SOC 2
  • Seguridad: neon.tech/security ↗

Upstash Redis (Rate Limiting)

  • Ubicación: Global (con servidores en Europa)
  • Datos procesados: Direcciones IP (hasheadas), contadores de solicitudes
  • Finalidad: Protección contra abuso, rate limiting de APIs
  • Retención: 1 hora (ventana deslizante)
  • Seguridad: IPs hasheadas (no almacenamos IPs completas), encriptación en tránsito
  • Privacidad: upstash.com/docs/redis/security ↗

📜 Garantía GDPR: Todos nuestros procesadores de datos están ubicados en la Unión Europea o tienen mecanismos de transferencia internacional aprobados (Privacy Shield, cláusulas contractuales estándar). Revisamos regularmente sus prácticas de seguridad y cumplimiento.

Última revisión de procesadores: 29/12/2025. Esta lista se actualiza cuando añadimos o eliminamos servicios.

5. Tus Derechos (GDPR)

Bajo el GDPR, tienes derecho a:

  • Acceso: solicitar una copia de tus datos
  • Rectificación: corregir datos inexactos
  • Supresión: solicitar la eliminación de tus datos ("derecho al olvido")
  • Portabilidad: recibir tus datos en formato legible
  • Oposición: oponerte al procesamiento de tus datos

Para ejercer tus derechos, contacta: privacy@treeroute.app

6. Retención de Datos

Conservamos tus datos mientras tu cuenta esté activa. Los grupos inactivos se eliminan automáticamente 90 días después del Route Day. Puedes solicitar la eliminación inmediata de tus datos en cualquier momento.

7. Seguridad

Protegemos tus datos con medidas técnicas y organizativas: encriptación SSL/TLS, contraseñas hasheadas, acceso restringido a datos sensibles, y auditorías de seguridad regulares.

8. Cookies y Rastreo

Usamos cookies esenciales para el funcionamiento del sitio y cookies opcionales para análisis y publicidad. Consulta nuestra Política de Cookies para más detalles.

9. Contacto

Si tienes preguntas sobre esta política de privacidad, contáctanos: