Volver a proyectos

Política de Privacidad de España Decide

Última actualización: 22 de noviembre de 2025

1. Introducción

Bienvenido a España Decide. Valoramos y respetamos su privacidad, y nos comprometemos a proteger los datos personales que comparte con nosotros. Esta Política de Privacidad describe cómo recopilamos, utilizamos, procesamos y protegemos su información cuando utiliza nuestra plataforma de participación ciudadana.

Por favor, lea detenidamente esta Política de Privacidad para comprender nuestras prácticas con respecto a sus datos personales y cómo los trataremos. Al utilizar nuestra aplicación, usted acepta las prácticas descritas en esta política.

2. Responsable del tratamiento de datos

España Decide es una aplicación desarrollada por AppToLast.

Contacto para consultas de privacidad:

  • Correo electrónico: admin@apptolast.com
  • Para ejercer sus derechos de protección de datos, por favor utilice el correo electrónico anterior

3. Información que recopilamos

3.1 Información que usted nos proporciona directamente

Información de la cuenta:

Ofrecemos dos métodos de autenticación:

A) Autenticación con email y contraseña:

  • Dirección de correo electrónico
  • Contraseña (almacenada de forma hasheada y segura, nunca en texto plano)

B) Autenticación con Google Sign-In (OAuth):

  • Nombre completo
  • Dirección de correo electrónico
  • Foto de perfil (opcional)
  • ID de cuenta de Google
  • Preferencias de idioma de su cuenta de Google

Contenido creado por el usuario:

  • Propuestas de política pública:

    • Título de la propuesta
    • Descripción detallada
    • Categoría seleccionada (Economía, Sanidad, Educación, Medio Ambiente, Justicia, Infraestructura, Seguridad, etc.)
    • Fecha y hora de creación
    • Identificador único de propuesta

  • Votos y participación:

    • Votos positivos (upvotes) emitidos
    • Votos negativos (downvotes) emitidos
    • Historial completo de votación
    • Marcas de tiempo de cada voto

  • Perfil de usuario:

    • Preferencias de la aplicación
    • Configuración de notificaciones

3.2 Información recopilada automáticamente

Datos del dispositivo y uso de la aplicación (Firebase Analytics):

  • Modelo de dispositivo y fabricante
  • Sistema operativo y versión
  • Versión de la aplicación
  • Idioma del dispositivo
  • Región geográfica aproximada (basada en IP, a nivel de país/ciudad)
  • Eventos de uso de la aplicación (propuestas vistas, votos emitidos, búsquedas realizadas)
  • Frecuencia y duración de uso de la aplicación
  • Identificadores únicos del dispositivo (Android ID, iOS IDFV)
  • Patrones de navegación dentro de la aplicación

Datos de rendimiento y errores (Firebase Crashlytics):

  • Informes de fallos de la aplicación
  • Registros de errores y excepciones
  • Datos de rendimiento de la aplicación
  • Estado de la memoria y almacenamiento del dispositivo al momento del error
  • Stack traces y diagnósticos técnicos

Datos de red y conexión:

  • Dirección IP (recopilada por Supabase durante la autenticación y uso de la API)
  • Tipo de conexión (WiFi, datos móviles)
  • Información de sesión y tokens de autenticación
  • Datos de sincronización en tiempo real (WebSockets)

3.3 Información de terceros

  • Si utiliza Google Sign-In, recibimos información básica de perfil de Google LLC según los permisos que usted otorgue
  • Esta información se comparte entre Google y Supabase para propósitos de autenticación

4. Base legal para el procesamiento de datos (GDPR)

Procesamos sus datos personales bajo las siguientes bases legales:

  • Ejecución de contrato: Procesamiento necesario para proporcionar los servicios de la plataforma que usted ha solicitado (crear cuenta, publicar propuestas, votar)
  • Interés legítimo: Mejora de nuestros servicios, detección de fraudes, prevención de manipulación de votos, seguridad de la plataforma
  • Consentimiento: Para funcionalidades opcionales y uso de datos analíticos
  • Obligación legal: Cumplimiento de leyes y regulaciones aplicables

5. Cómo utilizamos la información

Utilizamos la información que recopilamos para los siguientes propósitos:

Provisión del servicio:

  • Crear y mantener su cuenta de usuario
  • Permitir la creación, publicación y gestión de propuestas de política pública
  • Procesar y registrar sus votos (upvotes/downvotes)
  • Calcular rankings de propuestas basados en votos netos
  • Sincronizar datos en tiempo real entre dispositivos
  • Proporcionar funcionalidades de búsqueda y filtrado por categorías
  • Mostrar propuestas relevantes según su participación

Integridad y seguridad de la plataforma:

  • Detectar y prevenir manipulación de votos
  • Identificar actividades sospechosas o fraudulentas
  • Prevenir creación de múltiples cuentas por la misma persona
  • Proteger contra spam y abuso de la plataforma
  • Mantener la integridad del sistema de votación

Mejora y desarrollo:

  • Analizar cómo los usuarios utilizan la plataforma
  • Identificar categorías de propuestas más populares
  • Comprender patrones de participación ciudadana
  • Desarrollar nuevas características basadas en uso real
  • Optimizar el rendimiento y la experiencia del usuario

Comunicación:

  • Enviarle notificaciones sobre actividad en sus propuestas (si las habilita)
  • Responder a sus consultas y solicitudes de soporte
  • Informarle sobre cambios importantes en el servicio
  • Enviar actualizaciones sobre la plataforma (con su consentimiento)

Cumplimiento legal:

  • Cumplir con obligaciones legales aplicables
  • Responder a solicitudes legales válidas de autoridades
  • Proteger nuestros derechos legales

6. Servicios de terceros y compartir información

6.1 Proveedores de servicios que utilizamos

Supabase:

España Decide utiliza Supabase como backend principal:

  • Supabase Authentication: Gestión de registro e inicio de sesión (email/password y Google OAuth)
  • Supabase PostgreSQL Database: Almacenamiento de cuentas de usuario, propuestas, votos y datos relacionales
  • Supabase Realtime (WebSockets): Sincronización en tiempo real de votos y propuestas
  • Row-Level Security (RLS): Políticas de seguridad que controlan el acceso a datos

Ubicación de los datos:

  • Sus datos personales se almacenan en servidores de PostgreSQL de Supabase ubicados en la Unión Europea (EU)
  • Los datos de autenticación permanecen exclusivamente en la región especificada
  • No se transfieren datos a otras jurisdicciones

Cumplimiento normativo:

  • Supabase es GDPR compliant y proporciona Acuerdos de Procesamiento de Datos (DPA)
  • Los proyectos de Supabase se ejecutan en instancias PostgreSQL aisladas (no multi-tenant)
  • Cumple con estándares de seguridad SOC 2 Type II
  • Más información en: https://supabase.com/privacy

Firebase (Google LLC):

Utilizamos servicios limitados de Firebase para análisis:

  • Firebase Analytics: Análisis de uso de la aplicación y comportamiento del usuario
  • Firebase Crashlytics: Recopilación de informes de errores y rendimiento

Ubicación de datos de Firebase:

  • Los datos de Firebase Analytics pueden procesarse en servidores de Google LLC ubicados en Estados Unidos
  • Google LLC cumple con los marcos EU-U.S., UK-U.S. y Swiss-U.S. Data Privacy Frameworks
  • Google proporciona Cláusulas Contractuales Estándar (SCC) aprobadas por la UE

6.2 No vendemos sus datos

No vendemos, alquilamos ni comercializamos sus datos personales a terceros para sus propósitos de marketing.

Sus propuestas y votos son públicos dentro de la plataforma (ya que es una plataforma de participación ciudadana), pero no compartimos su información personal de contacto con terceros.

6.3 Divulgación por requerimiento legal

Podemos divulgar su información si estamos legalmente obligados a hacerlo, o si creemos de buena fe que dicha acción es necesaria para:

  • Cumplir con procesos legales o solicitudes gubernamentales
  • Proteger y defender nuestros derechos o propiedad
  • Investigar posibles violaciones de nuestros términos de servicio
  • Proteger la seguridad personal de usuarios de la aplicación o del público
  • Proteger contra responsabilidad legal

7. Almacenamiento y retención de datos

7.1 Dónde almacenamos sus datos

Almacenamiento en la nube:

  • Todos sus datos se almacenan en la base de datos PostgreSQL de Supabase ubicada en la Unión Europea
  • Los datos se cifran en tránsito mediante SSL/TLS
  • Los datos en reposo están protegidos por cifrado AES-256
  • Las instancias de base de datos están aisladas y dedicadas por proyecto

Almacenamiento local temporal:

  • La aplicación puede cachear temporalmente algunos datos en su dispositivo para mejorar el rendimiento
  • Este caché se limpia automáticamente cuando cierra sesión

7.2 Período de retención

Conservamos sus datos personales según los siguientes criterios:

  • Cuenta de usuario activa: Mientras su cuenta permanezca activa
  • Propuestas publicadas: Se retienen indefinidamente como parte del archivo público de participación ciudadana, incluso después de que elimine su cuenta (las propuestas se anonimizan pero permanecen visibles)
  • Votos: Se retienen mientras su cuenta esté activa; se anonimizan después de la eliminación de cuenta
  • Datos de autenticación: Se eliminan inmediatamente al eliminar la cuenta
  • Datos de Analytics y Crashlytics: Se retienen según políticas de Firebase (60 días para analytics, 90 días para crashlytics)
  • Registros de servidor (logs): Se retienen durante 90 días para propósitos de seguridad

Importante: Debido a la naturaleza pública de la plataforma, las propuestas que usted publique permanecerán visibles en la plataforma incluso después de eliminar su cuenta, pero se anonimizarán (no mostrarán su nombre ni email, solo "Usuario anónimo").

8. Seguridad de los datos

Implementamos medidas de seguridad técnicas, organizativas y físicas para proteger sus datos personales:

Medidas técnicas:

  • Cifrado SSL/TLS (HTTPS) para todas las comunicaciones
  • Cifrado AES-256 para datos en reposo
  • Hashing seguro de contraseñas con bcrypt (nunca almacenamos contraseñas en texto plano)
  • Autenticación OAuth 2.0 con Google Sign-In
  • Tokens de sesión con caducidad automática
  • Row-Level Security (RLS) en Supabase PostgreSQL para control de acceso granular
  • Protección contra inyección SQL mediante consultas parametrizadas
  • Validación y sanitización de entradas de usuario
  • Límites de tasa (rate limiting) para prevenir ataques de fuerza bruta

Medidas organizativas:

  • Acceso restringido a datos personales solo para personal autorizado
  • Monitoreo continuo de actividades sospechosas
  • Auditorías de seguridad regulares
  • Políticas de gestión de incidentes de seguridad
  • Cumplimiento con estándares SOC 2 Type II (vía Supabase)

Protección de la integridad de votos:

  • Cada usuario solo puede votar una vez por propuesta
  • Los cambios de voto (upvote → downvote o viceversa) reemplazan el voto anterior
  • Validación del lado del servidor para prevenir manipulación
  • Registro de audit trail para detección de anomalías

Sin embargo, ningún método de transmisión por Internet o almacenamiento electrónico es 100% seguro. Aunque nos esforzamos por proteger sus datos, no podemos garantizar su seguridad absoluta.

9. Sus derechos de privacidad (GDPR)

Como usuario ubicado en la Unión Europea, usted tiene los siguientes derechos respecto a sus datos personales:

9.1 Derecho de acceso

Puede ver su perfil, propuestas creadas e historial de votos directamente desde la aplicación.

Para obtener una copia completa de todos sus datos, contáctenos a admin@apptolast.com.

9.2 Derecho de rectificación

Actualmente puede editar:

  • Su perfil de usuario
  • Configuración de la aplicación

Limitación actual: No puede editar o eliminar propuestas ya publicadas ni modificar votos individuales (solo puede cambiar su voto de upvote a downvote o viceversa). Si necesita corregir información en una propuesta publicada, contáctenos.

9.3 Derecho de eliminación (derecho al olvido)

Para eliminar su cuenta y sus datos personales:

Actualmente, la eliminación de cuenta debe solicitarse contactando a: admin@apptolast.com

Asunto del email: "Solicitud de Eliminación de Cuenta - España Decide"

Qué se eliminará:

  • Su cuenta de usuario y credenciales de autenticación
  • Su información personal (nombre, email, foto de perfil)
  • Su historial de votos (se anonimizarán estadísticas agregadas)
  • Sus configuraciones y preferencias

Qué se anonimizará (NO se eliminará completamente):

  • Las propuestas que haya publicado permanecerán visibles en la plataforma como parte del archivo público, pero se mostrarán como creadas por "Usuario anónimo"
  • Esto es necesario para mantener la integridad del historial de participación ciudadana y las discusiones públicas

Plazo de procesamiento:

  • Procesaremos su solicitud en un plazo máximo de 30 días
  • Los datos en copias de seguridad se eliminarán dentro de 90 días adicionales

La eliminación es permanente e irreversible.

9.4 Derecho de portabilidad de datos (exportación)

Exportación de datos:

Actualmente, no disponemos de funcionalidad automática de exportación de datos en la aplicación.

Para obtener una copia de sus datos, contáctenos a: admin@apptolast.com

Asunto del email: "Solicitud de Exportación de Datos - España Decide"

Proporcionaremos sus datos en formato JSON estructurado que incluirá:

  • Información de su cuenta
  • Todas las propuestas que haya creado
  • Su historial completo de votos
  • Metadatos y timestamps

Plazo de entrega: Dentro de 30 días desde su solicitud.

9.5 Derecho de restricción del procesamiento

Puede solicitar la restricción del procesamiento de sus datos personales en ciertas circunstancias contactándonos.

9.6 Derecho de oposición

Puede oponerse al procesamiento de sus datos personales para fines de marketing directo (que actualmente no realizamos) o basado en intereses legítimos.

9.7 Derecho a retirar el consentimiento

Cuando el procesamiento se base en su consentimiento (como analytics), puede retirarlo en cualquier momento. Esto no afectará la legalidad del procesamiento antes de la retirada.

9.8 Cómo ejercer sus derechos

Para ejercer cualquiera de estos derechos, contáctenos a través de:

  • Correo electrónico: admin@apptolast.com
  • Asunto sugerido: "Solicitud de Derechos GDPR - España Decide"

Información que debe incluir:

  • Su nombre completo
  • Email asociado a su cuenta
  • Descripción clara del derecho que desea ejercer
  • Cualquier información adicional que nos ayude a verificar su identidad

Responderemos a su solicitud dentro de 30 días. Podemos solicitarle información adicional para verificar su identidad antes de procesar la solicitud.

9.9 Derecho a presentar una reclamación

Si no está satisfecho con cómo manejamos sus datos personales, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) o la autoridad de protección de datos de su país.

10. Transferencias internacionales de datos

Almacenamiento principal (Supabase):

  • Todos sus datos personales, propuestas y votos se almacenan exclusivamente en servidores ubicados en la Unión Europea
  • Supabase no transfiere estos datos fuera de la región EU especificada
  • Esto incluye datos de autenticación, base de datos PostgreSQL y datos en tiempo real

Servicios de análisis (Firebase):

  • Firebase Analytics puede procesar algunos datos analíticos en servidores de Google LLC ubicados en Estados Unidos
  • Estos datos son principalmente agregados y anónimos (eventos de uso, métricas de rendimiento)
  • Google LLC cumple con:
    • Marcos EU-U.S., UK-U.S. y Swiss-U.S. Data Privacy Frameworks
    • Cláusulas Contractuales Estándar (SCC) aprobadas por la UE
    • Acuerdos de Procesamiento de Datos (DPA) compatibles con GDPR

Garantías de protección:

  • Todos los proveedores de servicios que procesan datos fuera de la UE cumplen con GDPR
  • Se aplican Cláusulas Contractuales Estándar de la UE para transferencias a EE.UU.
  • Los datos están protegidos por medidas de seguridad equivalentes independientemente de su ubicación

11. Privacidad de los niños

España Decide no está dirigida a niños menores de 13 años.

No recopilamos conscientemente información personal de niños menores de 13 años. Si descubrimos que hemos recopilado información personal de un niño menor de 13 años sin verificación del consentimiento parental, tomaremos medidas para eliminar esa información de nuestros servidores lo antes posible.

Si usted es padre o tutor y cree que su hijo nos ha proporcionado información personal, contáctenos a admin@apptolast.com.

12. Naturaleza pública de la plataforma

Información importante sobre la visibilidad de sus datos:

España Decide es una plataforma de participación ciudadana pública. Esto significa que:

Información pública visible para todos los usuarios:

  • Todas las propuestas que publique son públicas y visibles para cualquier usuario de la plataforma
  • El contenido de las propuestas (título, descripción, categoría)
  • El número de votos netos que recibe cada propuesta (upvotes - downvotes)
  • La fecha de publicación de propuestas

Información privada (NO visible para otros usuarios):

  • Su dirección de correo electrónico
  • Su contraseña
  • Cómo ha votado en propuestas específicas (su historial de votos es privado)
  • Su dirección IP

Anonimato después de eliminar cuenta:

  • Si elimina su cuenta, las propuestas que haya publicado permanecerán visibles pero se mostrarán como creadas por "Usuario anónimo"
  • No habrá forma de vincular esas propuestas a usted

Recomendación de privacidad:

  • No incluya información personal sensible en el contenido de sus propuestas
  • Las propuestas deben centrarse en políticas públicas, no en información personal

13. Cambios a esta política de privacidad

Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas, tecnología, requisitos legales u otras razones operativas.

Notificación de cambios:

  • Le notificaremos cualquier cambio material mediante notificación dentro de la aplicación o por email
  • La fecha de "Última actualización" al principio de esta política se actualizará
  • Para cambios significativos que afecten sus derechos, podemos solicitar su consentimiento explícito

Su responsabilidad:

  • Le recomendamos que revise periódicamente esta política
  • El uso continuado de la aplicación después de cambios constituye su aceptación de la política actualizada

14. Cookies y tecnologías de seguimiento

España Decide no utiliza cookies ya que es una aplicación móvil nativa.

Sin embargo, utilizamos tecnologías similares:

Identificadores de dispositivo:

  • Android Advertising ID (Android) / IDFV (iOS) para Firebase Analytics
  • Estos identificadores nos ayudan a analizar el uso de la aplicación
  • Puede desactivar el seguimiento de publicidad en la configuración de su dispositivo:
    • Android: Configuración > Google > Anuncios > Desactivar personalización de anuncios
    • iOS: Configuración > Privacidad > Seguimiento > Desactivar "Permitir solicitudes de seguimiento"

Tokens de sesión:

  • Utilizamos tokens JWT para mantener su sesión autenticada
  • Estos tokens caducan automáticamente por seguridad
  • Se almacenan de forma segura en su dispositivo

Almacenamiento local:

  • Caché temporal de datos para mejorar el rendimiento
  • Se limpia al cerrar sesión

15. Uso de datos analíticos

Utilizamos Firebase Analytics para comprender cómo los usuarios interactúan con España Decide:

Datos recopilados:

  • Eventos de usuario (crear propuesta, votar, buscar, navegar categorías)
  • Datos demográficos aproximados (país, idioma)
  • Información del dispositivo (modelo, SO, versión de app)
  • Métricas de engagement (tiempo en la aplicación, propuestas más vistas)
  • Categorías de propuestas más populares

Finalidad:

  • Comprender qué temas de política pública interesan más a los ciudadanos
  • Mejorar la experiencia del usuario y la navegación
  • Identificar problemas técnicos y áreas de mejora
  • Optimizar el rendimiento de la plataforma
  • Tomar decisiones informadas sobre desarrollo de nuevas características

Opciones del usuario:

  • Los datos de Analytics son principalmente agregados y anónimos
  • Puede contactarnos para solicitar la exclusión de recopilación de datos analíticos

16. Contacto

Si tiene preguntas, comentarios o inquietudes sobre esta Política de Privacidad o nuestras prácticas de privacidad, contáctenos a través de:

Correo electrónico: admin@apptolast.com

Para solicitudes de:

  • Ejercer derechos GDPR (acceso, eliminación, portabilidad, etc.)
  • Eliminar su cuenta
  • Exportar sus datos
  • Corregir información en propuestas publicadas
  • Reportar problemas de privacidad o seguridad
  • Consultas sobre cómo usamos sus datos
  • Solicitar exclusión de analytics

Tiempo de respuesta: Nos comprometemos a responder a todas las consultas de privacidad dentro de 30 días.

17. Consentimiento

Al crear una cuenta y utilizar España Decide, usted:

  • Confirma que ha leído y comprendido esta Política de Privacidad
  • Acepta la recopilación, uso y procesamiento de sus datos personales como se describe en este documento
  • Confirma que tiene al menos 13 años de edad
  • Comprende que las propuestas que publique serán públicas y visibles para todos los usuarios
  • Comprende que las propuestas publicadas permanecerán en la plataforma (anonimizadas) incluso si elimina su cuenta
  • Acepta el uso de Firebase Analytics para mejorar la aplicación
  • Acepta que sus datos se almacenen en servidores ubicados en la Unión Europea

Si no está de acuerdo con esta política, por favor no utilice nuestra aplicación. Puede retirar su consentimiento en cualquier momento eliminando su cuenta contactando a admin@apptolast.com.

Esta política ha sido diseñada para cumplir con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, la Ley Orgánica de Protección de Datos (LOPD) de España y otras leyes de privacidad aplicables.