Política de Privacidad

Fecha de Vigencia: 1 de mayo de 2026

Esta Política de Privacidad describe cómo TorreYa ("nosotros", "nos" o "nuestro") recopila, utiliza, almacena y comparte información cuando usted utiliza la aplicación móvil TorreYa (la "App") y el sitio web asociado en https://www.torreya.app (el "Sitio").

Al instalar o utilizar la App, usted reconoce que ha leído y comprendido esta Política de Privacidad.

---

1. Quiénes Somos

TorreYa es el responsable del tratamiento de sus datos personales según se describe en esta Política. Para preguntas o solicitudes relacionadas con sus datos personales, contáctenos utilizando los datos del Apartado 11.

---

2. Información que Recopilamos

2.1 Datos de Cuenta e Identidad (Usuarios Partner y Administrador)

Si se le otorga una cuenta Partner o Administrador, recopilamos y almacenamos:

• Dirección de correo electrónico — utilizada como identificador único de inicio de sesión.
• Contraseña — almacenada exclusivamente como un hash criptográfico unidireccional (bcrypt); su contraseña en texto plano nunca se almacena ni es accesible.
• Apodo público — un nombre visible que se muestra públicamente junto al contenido que usted crea.
• Metadatos del sistema — marca de tiempo de creación de la cuenta, marca de tiempo del último inicio de sesión y marca de tiempo de la última actualización.

2.2 Token de Notificaciones Push

Cuando usted acepta recibir notificaciones push en iOS, la App recopila y transmite a nuestros servidores:

• Token de dispositivo de Apple Push Notification Service (APNS) — un identificador específico del dispositivo utilizado para enrutar las notificaciones push a su dispositivo.

Puede retirar el consentimiento para notificaciones push en cualquier momento a través de la configuración de notificaciones de su dispositivo. El retiro del consentimiento provocará la cancelación del registro del token.

2.3 Datos de Reportes de Contenido (Todos los Usuarios)

Cuando cualquier usuario envía un reporte de contenido a través de la App, recopilamos:

• Dirección de correo electrónico del reportante — utilizada para posibles seguimientos administrativos; se mantiene estrictamente interna y nunca se publica.
• Dirección IP del reportante — capturada para detectar y prevenir patrones de reporte abusivos o automatizados. Rechazamos las direcciones IP de cadenas proxy para preservar la precisión.
• Detalles del reporte — tipo de entidad, identificador de entidad, categoría del problema seleccionada y descripción de texto libre opcional (que puede contener datos personales si usted los introduce).

2.4 Datos Almacenados en su Dispositivo

La App almacena los siguientes datos localmente en su dispositivo:

• Token de autenticación (JWT) y su perfil de usuario actual (ID de usuario, rol, apodo público) — almacenados en almacenamiento seguro cuando esté disponible.
• Caché de configuración de la App — URL base de la API seleccionada y un JSON de configuración en caché con una marca de tiempo.
• Estado de registro de notificaciones push — último token de dispositivo registrado, URL base asociada, estado de reintento.

2.5 Diagnósticos en Tiempo de Ejecución (Usuarios Administrador)

Los usuarios Administrador tienen acceso a una funcionalidad de reporte de problemas avanzados. El búfer de registro en tiempo de ejecución dentro de la App se mantiene únicamente en RAM (aproximadamente los últimos 5 minutos) y no se persiste en disco. Un Administrador puede exportar este búfer a través de la hoja de compartir del sistema operativo. La carga exportada puede incluir eventos técnicos, marcas de tiempo, mensajes de error, URL base y una vista previa enmascarada del token push. Una vez exportados, los datos quedan sujetos a las prácticas de privacidad del destino de compartición elegido.

2.6 Datos que No Recopilamos

No utilizamos SDKs de analítica móvil, SDKs de publicidad ni píxeles de seguimiento dentro de la App. No recopilamos datos de geolocalización precisa.

---

3. Cómo Utilizamos su Información

Datos	Finalidad	Base Legal
Correo electrónico, contraseña hasheada	Autenticación y gestión de cuenta	Ejecución de contrato
Apodo público	Mostrar el contenido creado públicamente	Ejecución de contrato
Metadatos del sistema	Auditoría de seguridad, mantenimiento de cuenta	Interés legítimo
Token de dispositivo APNS	Entrega de notificaciones push con consentimiento	Consentimiento
Correo electrónico e IP del reportante	Prevención del abuso del sistema de reportes	Interés legítimo
Contenido del reporte	Moderación de contenido y seguridad de la plataforma	Obligación legal / Interés legítimo
Datos de sesión local	Mantenimiento de la sesión sin inicio de sesión repetido	Ejecución de contrato

---

4. Procesamiento Automatizado de Contenido

Nuestro backend ejecuta tareas programadas que importan contenido disponible públicamente de sitios web municipales de terceros (por ejemplo, listados de eventos culturales y deportivos locales). El contenido importado se atribuye a una cuenta de sistema interna y pasa por el mismo proceso de pre-moderación que el contenido creado por partners. Este proceso no involucra sus datos personales.

Los títulos, resúmenes y cuerpos de texto del contenido pueden enviarse a Google Cloud Translation API para generar traducciones multilingües automáticas. Esto involucra únicamente datos de contenido, no datos personales de usuarios.

---

5. Compartición de Datos y Encargados del Tratamiento

No vendemos sus datos personales. Compartimos datos únicamente con las siguientes categorías de encargados del tratamiento, bajo las protecciones contractuales adecuadas:

Encargado	Finalidad	Datos Compartidos
Google Cloud Platform (GCP)	Alojamiento e infraestructura para servicios de backend	Datos almacenados en nuestros servidores
Apple Push Notification Service (APNS)	Entrega de notificaciones push a dispositivos iOS	Token de dispositivo APNS
Google Cloud Translation API	Traducción automática de contenido	Texto de contenido (sin datos personales de usuarios)

También podemos divulgar datos personales a las autoridades competentes cuando así lo exija la legislación aplicable.

---

6. Retención de Datos

• Datos de cuenta — conservados durante la vigencia de la cuenta y durante un período razonable posterior para fines de auditoría y cumplimiento legal.
• Registros eliminados de forma lógica — cuando el contenido o las cuentas se "eliminan", se marcan internamente y se ocultan inmediatamente del acceso público. No se borran permanentemente del almacenamiento en el momento de la eliminación; el borrado permanente sigue nuestro calendario interno de retención.
• Visibilidad del contenido — el contenido del feed y los eventos publicados se ocultan automáticamente a los usuarios anónimos transcurridos 14 días desde su fecha de publicación o fecha de inicio del evento.
• Tokens push — conservados mientras la cuenta esté activa; cancelados a petición o al terminar la cuenta.
• Reportes de contenido — conservados para moderación, cumplimiento legal y fines de auditoría.
• Diagnósticos en tiempo de ejecución — solo en RAM; no se persisten. Las copias exportadas quedan fuera de nuestro control.

---

7. Seguridad

Implementamos las siguientes medidas técnicas y organizativas:

• Las contraseñas se almacenan exclusivamente como hashes bcrypt; las contraseñas en texto plano nunca se registran ni almacenan.
• Todos los endpoints de API Partner y Administrador están protegidos por JSON Web Tokens (JWT).
• Los endpoints de autenticación tienen límite de tasa para prevenir ataques de fuerza bruta.
• Los algoritmos de seguimiento de IP están calibrados para identificar las IPs reales de los clientes y rechazar cadenas proxy falsificadas.
• Las respuestas de error de la aplicación se filtran para no exponer nunca estructuras de base de datos ni trazas de pila internas.
• Una norma interna estricta prohíbe registrar cualquier información de identificación personal en los registros de aplicación del lado del servidor.

Ningún método de transmisión por internet o almacenamiento electrónico es completamente seguro. No podemos garantizar una seguridad absoluta.

---

8. Sus Derechos

Si usted se encuentra en el Espacio Económico Europeo (EEA), el Reino Unido u otra jurisdicción con legislación de protección de datos aplicable, puede tener los siguientes derechos:

• Derecho de acceso — solicitar una copia de los datos personales que conservamos sobre usted.
• Derecho de rectificación — solicitar la corrección de datos inexactos o incompletos.
• Derecho de supresión — solicitar la eliminación de sus datos personales en determinadas circunstancias.
• Derecho de limitación — solicitar que limitemos el tratamiento de sus datos personales.
• Derecho a la portabilidad de datos — recibir sus datos personales en un formato estructurado y legible por máquina.
• Derecho de oposición — oponerse al tratamiento basado en intereses legítimos.
• Derecho a retirar el consentimiento — cuando el tratamiento se base en el consentimiento (p. ej., notificaciones push), puede retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento anterior.
• Derecho a presentar una reclamación — tiene derecho a presentar una reclamación ante la autoridad supervisora de protección de datos de su localidad.

Para ejercer cualquiera de estos derechos, contáctenos utilizando los datos del Apartado 11.

---

9. Privacidad de los Menores

La App no está dirigida a menores de 16 años. No recopilamos conscientemente datos personales de menores. Si tiene conocimiento de que un menor nos ha proporcionado datos personales sin el consentimiento de sus padres o tutores, contáctenos y tomaremos medidas para eliminar dichos datos.

---

10. Cambios en esta Política de Privacidad

Podemos actualizar esta Política de Privacidad periódicamente. Cuando lo hagamos, revisaremos la fecha de vigencia en la parte superior y publicaremos la nueva versión en https://www.torreya.app/privacy-policy. Las versiones anteriores permanecerán accesibles en URLs versionadas. El uso continuado de la App tras la publicación de los cambios implica la aceptación de la Política actualizada.

---

11. Contáctenos

Si tiene preguntas, solicitudes o reclamaciones sobre esta Política de Privacidad o sus datos personales, contáctenos:

• Web: https://www.torreya.app/contact
• Correo electrónico: i.surzhenko@gmail.com