Política de privacidad

Introducción

SeenWant respeta tu privacidad. Esta Política de Privacidad explica qué información personal recopilamos, cómo la usamos y compartimos, y los derechos que tienes. Se aplica a usuarios en todo el mundo e incluye disposiciones específicas para residentes de California (CCPA/CPRA) y del Espacio Económico Europeo (GDPR).

1. Datos que recopilamos

• Datos de cuenta de Google: email, nombre, foto de perfil (al autenticarse)
• Datos de biblioteca: tus listas de películas, series, libros, juegos, valoraciones y estados (Seen/Want)
• Comentarios y contenido generado por usuarios publicado en listas
• Datos del formulario de comentarios: nombre, Telegram (opcional), texto del mensaje
• Datos técnicos: tipo de navegador, dirección IP, información del dispositivo, ubicación aproximada derivada de IP
• Datos de uso: páginas vistas, actividad de deslizamiento, interacciones
• Datos de análisis: estadísticas anónimas de uso, grabaciones de sesión (Microsoft Clarity)
• Datos de cookies y localStorage: tema, idioma, preferencias de invitado, estado de consentimiento

2. Categorías de información personal (CCPA/CPRA)

Bajo la ley de California, divulgamos las siguientes categorías de información personal recopilada en los últimos 12 meses:

• Identificadores: email, nombre, dirección IP, ID de cuenta, Google OAuth subject
• Actividad en internet: páginas vistas, interacciones de deslizamiento, tiempo de sesión, URL referente, grabaciones de sesión
• Geolocalización: ubicación aproximada derivada de IP (nivel ciudad/país — no recopilamos GPS preciso)
• Inferencias: preferencias de medios inferidas de tu actividad de deslizamiento para personalización
• Visual/audio (Microsoft Clarity): grabaciones de sesión mostrando tus interacciones con la interfaz

NO recopilamos conscientemente categorías de Información Personal Sensible (geolocalización precisa, origen racial/étnico, creencias religiosas, datos de salud, números de cuenta financiera, IDs gubernamentales, orientación sexual, datos biométricos, contenido de comunicaciones privadas).

3. Fuentes de información personal

• Directamente de ti (autenticación, deslizamientos, comentarios, formulario de contacto)
• De Google (al iniciar sesión con Google OAuth)
• Automáticamente de tu dispositivo (IP, navegador, patrones de uso)
• De proveedores de análisis (Microsoft Clarity)

4. Cómo usamos los datos

• Para proporcionar y operar el servicio (autenticación, sincronización de biblioteca, recomendaciones)
• Para procesar envíos de comentarios
• Para analizar patrones de uso y mejorar el servicio
• Para detectar y prevenir fraude, abuso e incidentes de seguridad
• Para hacer cumplir nuestros Términos de Servicio
• Para cumplir con obligaciones legales
• NO usamos tus datos para publicidad o targeting comportamental
• NO vendemos tu información personal a terceros

5. Compartir y divulgar datos

Compartimos información personal solo con las siguientes categorías de destinatarios y para los fines listados:

• Proveedores de servicios (procesadores): Supabase (BD/auth), Vercel (hosting), Microsoft Clarity (análisis), wsrv.nl (proxy CDN de imágenes), Google (OAuth) — únicamente para operar el servicio bajo obligaciones contractuales de confidencialidad y seguridad
• Fuentes de datos de terceros: TMDB, RAWG, Google Books, Open Library — al obtener datos de medios podemos enviar tu IP y datos de solicitud, pero no información de cuenta
• Cumplimiento legal: cuando lo requiera la ley, citación, o para proteger derechos, seguridad o propiedad
• Transferencias comerciales: en caso de fusión, adquisición o venta de activos, tus datos pueden transferirse (serás notificado)

NO vendemos tu información personal por contraprestación monetaria. Nota: bajo CCPA/CPRA, compartir datos con proveedores de análisis (Microsoft Clarity) para análisis comportamental cross-context puede clasificarse como 'sharing'. Puedes optar por no compartir — ver California Privacy Rights y /privacy/do-not-sell.

6. Almacenamiento de datos y transferencias internacionales

Tus datos se almacenan en Supabase (PostgreSQL) con cifrado en reposo y en tránsito. Los servidores están ubicados en UE y EE.UU. Si accedes a SeenWant desde fuera de EE.UU., tus datos pueden transferirse y procesarse en EE.UU. Nos basamos en Cláusulas Contractuales Estándar (SCCs) para transferencias UE→EE.UU. cuando aplique. El procesamiento de Microsoft Clarity ocurre principalmente en Estados Unidos.

7. Retención de datos

Conservamos información personal solo el tiempo necesario para los fines descritos en esta Política:

• Datos de cuenta y biblioteca: mientras tu cuenta esté activa; eliminados en 30 días tras solicitud de eliminación
• Comentarios y contenido generado por usuarios: mientras tu cuenta esté activa; eliminados en 30 días tras eliminación de cuenta (o antes si eliminas el comentario)
• Envíos del formulario de contacto: hasta 24 meses para soporte y calidad
• Logs del servidor (IP, datos de solicitud): hasta 90 días, luego eliminados o anonimizados
• Datos de análisis (Microsoft Clarity): hasta 13 meses según política de retención de Microsoft
• Copias de seguridad: hasta 30 días, luego eliminadas permanentemente

8. Cookies y tecnologías similares

Usamos cookies y localStorage para: (a) Estrictamente necesario — sesión de autenticación, CSRF, estado de consentimiento (no se puede deshabilitar); (b) Funcional — tema, idioma, preferencias de invitado (esencial para tus configuraciones guardadas); (c) Análisis — Microsoft Clarity para grabaciones de sesión y mapas de calor (cargado solo después de aceptar el banner de cookies). NO usamos cookies de publicidad o tracking. Puedes rechazar análisis haciendo clic en 'Rechazar' en el banner, en la configuración del navegador o habilitando Global Privacy Control (GPC). Honramos automáticamente las señales GPC como opt-out de sharing.

9. Tus derechos de privacidad de California (CCPA/CPRA)

Si eres residente de California, tienes los siguientes derechos bajo California Consumer Privacy Act (CCPA) modificado por California Privacy Rights Act (CPRA):

• Right to Know: solicitar qué información personal recopilamos, las fuentes, los propósitos y categorías de destinatarios
• Right to Access: solicitar copia de tu información personal
• Right to Delete: solicitar eliminación de tu información personal
• Right to Correct: solicitar corrección de información personal inexacta
• Right to Opt Out of Sale or Sharing: no vendemos, pero puedes optar no compartir con proveedores de análisis
• Right to Limit Use of Sensitive Personal Information: no recopilamos PI sensible conscientemente, pero puedes confirmar
• Right to Non-Discrimination: no negaremos servicio, no cobraremos precios diferentes ni proporcionaremos calidad diferente si ejerces estos derechos
• Right to Designate an Authorized Agent para presentar solicitud en tu nombre

Para ejercer estos derechos: envía solicitud vía formulario de contacto en el pie de página o por email al contacto de privacidad. Verificaremos tu identidad coincidiendo el email asociado a tu cuenta. Tiempo de respuesta: hasta 45 días (extensible 45 días con aviso). Gratuito a menos que las solicitudes sean excesivas o repetitivas.

10. No vender ni compartir mi información personal

Puedes optar por no compartir tu información personal con nuestro proveedor de análisis. Dos formas: (1) visita nuestra página /privacy/do-not-sell y envía la solicitud; (2) habilita Global Privacy Control (GPC) en tu navegador — honramos automáticamente las señales GPC como opt-out para visitantes de California (y otras jurisdicciones aplicables). Optar no afectará tu capacidad de usar SeenWant.

11. Tus derechos UE/EEA (GDPR)

Si estás en el Espacio Económico Europeo, Reino Unido o Suiza, tienes los siguientes derechos bajo GDPR:

• Derecho de acceso (Article 15)
• Derecho de rectificación (Article 16)
• Derecho al olvido / 'right to be forgotten' (Article 17)
• Derecho a la limitación del tratamiento (Article 18)
• Derecho a la portabilidad de datos (Article 20)
• Derecho a oponerse al tratamiento (Article 21)
• Derecho a retirar el consentimiento en cualquier momento
• Derecho a presentar una queja ante una autoridad supervisora

Bases legales para el procesamiento: Contrato (creación de cuenta, sincronización), Intereses Legítimos (análisis, seguridad, mejora del servicio), Consentimiento (cookies, marketing si aplica), Obligación Legal (cumplimiento).

12. Seguridad

Usamos: HTTPS para todas las conexiones, Row Level Security en la base de datos, OAuth 2.0 para autorización, copias cifradas, security headers (CSP, HSTS, X-Content-Type-Options), rate limiting en rutas API. Ningún sistema es 100% seguro — si se detecta una brecha que afecte tus datos, te notificaremos a ti y a las autoridades aplicables en 72 horas donde lo requiera la ley (GDPR Art. 33-34, leyes aplicables de notificación de brechas de estados de EE.UU.).

13. Privacidad de menores (COPPA)

SeenWant no está dirigido a niños menores de 13 años. No recopilamos conscientemente información personal de niños menores de 13 sin consentimiento parental verificable, en cumplimiento de la Children's Online Privacy Protection Act (COPPA). Si eres padre o tutor y crees que tu hijo menor de 13 años nos ha proporcionado información personal, contáctanos vía formulario y la eliminaremos rápidamente. Para usuarios de California 13-15: no vendemos ni compartimos información personal de menores de 16 años sin autorización afirmativa.

14. Cambios en esta política

Cuando hagamos cambios materiales en esta Política, actualizaremos la fecha 'Última actualización' y daremos aviso vía interfaz del servicio o email al menos 14 días antes de que los cambios entren en vigor. Recomendamos revisión periódica.

15. Formulario de comentarios

Cuando envías comentarios, recopilamos tu nombre, Telegram (si se proporciona) y el texto del mensaje. Estos datos se entregan a nuestro canal interno de Telegram para procesar consultas. No usamos datos de feedback para marketing. Retención: hasta 24 meses.

16. Contacto y Privacy Officer

Para preguntas de privacidad, solicitudes CCPA/CPRA/GDPR o ejercer tus derechos: usa el formulario de contacto en el pie de página. El nombre de la entidad legal, dirección postal y email dedicado de privacidad se proporcionarán una vez finalizados. Para avisos DMCA: ver /dmca.