Política de Privacidad de Khronox

Última actualización: 17 de mayo de 2026  ·  Fecha de entrada en vigor: 17 de mayo de 2026

1. Introducción

En Khronox tomamos en serio la privacidad de nuestros usuarios. Esta Política de Privacidad explica qué datos personales recopilamos, cómo los usamos, con quién los compartimos y qué derechos tienes sobre ellos. Se aplica al uso de la aplicación móvil Khronox, del sitio web khronox.app y de todos los servicios relacionados.

Cumple con RGPD (Reglamento (UE) 2016/679), LOPDGDD (Ley Orgánica 3/2018), CCPA / CPRA, COPPA, directrices de la App Store Review y Google Play Developer Program Policies.

2. Responsable del tratamiento

3. Qué datos recopilamos

3.1 Datos que tú nos proporcionas directamente

3.2 Datos que recopilamos automáticamente

3.3 Datos que recibimos de terceros

3.4 Datos que NO recopilamos

Datos bancarios (los gestionan Apple/Google/RevenueCat), datos biométricos, datos de salud, religión, opiniones políticas u otros datos sensibles según el RGPD, salvo que tú los publiques voluntariamente.

4. Base legal del tratamiento (RGPD)

FinalidadBase legal
Crear y gestionar tu cuentaEjecución del contrato (art. 6.1.b RGPD)
Procesar pagos y suscripcionesEjecución del contrato (art. 6.1.b)
Personalizar el contenidoInterés legítimo y consentimiento (art. 6.1.f y 6.1.a)
Notificaciones transaccionalesEjecución del contrato (art. 6.1.b)
Notificaciones promocionalesConsentimiento (art. 6.1.a)
Analizar uso para mejorar el productoInterés legítimo (art. 6.1.f)
Cumplir obligaciones legalesObligación legal (art. 6.1.c)
Moderación de contenidoInterés legítimo y obligación legal (art. 6.1.f y 6.1.c)
Procesar datos de menoresConsentimiento parental verificable (art. 8 RGPD)

5. Para qué usamos tus datos

Operar el servicio (autenticación, sincronización), personalizar tu experiencia, procesar el pasaporte, asegurar el servicio (fraude, abusos, moderación), comunicarnos contigo (transaccional y promocional con opt-in), cumplir la ley y mejorar el producto. Nunca venderemos tus datos personales a terceros con fines de marketing.

6. Con quién compartimos tus datos

Khronox no vende datos personales. Los compartimos solo con encargados del tratamiento bajo DPA:

ProveedorFunciónUbicación
SupabaseBase de datos y authUE (Frankfurt) — DPA firmado
AnthropicClaude (Minerva e ID monumentos)EE.UU. — DPA en negociación
Apple / GoogleDistribución y pagosEE.UU. — políticas propias
RevenueCatSuscripcionesEE.UU. — DPA en negociación
Sentry o equivalenteErrores técnicosUE — DPA firmado
Resend o equivalenteCorreos transaccionalesUE — DPA firmado

6.1 Transferencias internacionales

Para transferencias a EE.UU. nos basamos en Cláusulas Contractuales Estándar (CCE), Data Privacy Framework EU-US (si certificado) o tu consentimiento expreso cuando ninguno aplique.

6.2 Autoridades

Podemos divulgar datos a autoridades cuando lo exija la ley, dentro del marco legal aplicable.

6.3 Compradores en caso de venta

Si Khronox es adquirida o fusionada, tus datos podrán ser transferidos al nuevo titular, que asumirá las mismas obligaciones. Te avisaremos por correo con al menos 30 días de antelación.

7. Fotos del pasaporte — tratamiento específico

7.1 Almacenamiento

Las fotos se almacenan en Supabase Storage (UE, cifradas en reposo). Si eliminas el sello, la foto se elimina en máx. 30 días. Si eliminas la cuenta, todas tus fotos se eliminan en máx. 30 días.

7.2 Procesamiento por IA

Cada foto se envía al modelo de IA (Anthropic Claude) para identificar el monumento, cifrada en tránsito (TLS 1.3). Anthropic no usa estas imágenes para entrenar sus modelos.

7.3 Revisión manual

Si la IA detecta personas, contenido sensible o tiene baja confianza, la foto pasa a una cola revisada exclusivamente por el equipo de Khronox. Se muestra como "En revisión" y solo se accede para tomar la decisión.

7.4 Fotos públicas

Las fotos solo son públicas si lo activas. En el perfil público se muestran sin metadatos de geolocalización ni EXIF. Otros usuarios pueden denunciar; revisión en <48h.

7.5 Borrado por denuncia

Si una foto es denunciada por contener a una persona sin consentimiento o por contenido prohibido, la eliminamos inmediatamente y notificamos al titular.

8. Conservación de los datos

Tipo de datoPlazo
Datos de cuenta activaMientras la cuenta esté activa
Cuenta eliminada por el usuarioMáx. 30 días, backups purgados en 90 días
Fotos del pasaporte (sello activo)Mientras esté en tu cartilla
Fotos del pasaporte (sello eliminado)Máx. 30 días tras eliminación
Mensajes con Minerva12 meses, anonimizados después
Logs técnicos90 días
Facturación y pagos6 años (obligación fiscal España)
Reportes y moderación24 meses tras resolución

9. Tus derechos (RGPD / LOPDGDD)

Tienes derecho a acceso, rectificación, supresión (derecho al olvido), limitación del tratamiento, portabilidad (JSON), oposición, revocar consentimiento, no ser objeto de decisiones automatizadas con efectos legales significativos, y reclamar ante la AEPD (www.aepd.es).

Para ejercer cualquiera de estos derechos: privacy@khronox.app. Responderemos en máx. 30 días (prorrogable a 60 si es complejo).

10. Datos de menores y COPPA / GDPR-K

10.1 COPPA (EE.UU., <13 años)

No recopilamos datos de menores de 13 años sin consentimiento parental verificable previo. El menor introduce su fecha de nacimiento en onboarding; si es <13 se le pide el correo del adulto; enviamos verificación con warning explícito; solo tras esa verificación se crea la cuenta. Los padres pueden revisar los datos, solicitar la eliminación de la cuenta y revocar el consentimiento.

10.2 GDPR-K (UE, <16 años)

Aplicamos el umbral más restrictivo (16) salvo que el usuario indique explícitamente que reside en un país con umbral menor.

10.3 Restricciones por defecto en cuentas de menores

Perfil no público por defecto; fotos con moderación reforzada; sin compras in-app activadas (requieren reactivación parental).

11. Cookies y tecnologías similares

11.1 En la aplicación móvil

La app móvil no usa cookies. Usa almacenamiento local del dispositivo (localStorage, SecureStorage, identificador anónimo de instalación).

11.2 En el sitio web khronox.app

Cookies esenciales (no requieren consentimiento), analíticas (Plausible o GA4 con IP anonimizada, consentimiento explícito) y publicitarias (si las activamos, con banner conforme a ePrivacy).

12. Seguridad de los datos

Aplicamos cifrado en tránsito (TLS 1.3) y en reposo, autenticación segura (bcrypt o equivalente, MFA cuando disponible), accesos restringidos, logs de auditoría, backups cifrados y auditorías periódicas. Si detectamos una violación de datos que afecte a tus derechos, te notificaremos en máx. 72 horas y, en su caso, a la AEPD.

13. Inteligencia artificial

13.1 Minerva

Tus conversaciones con Minerva se envían a Anthropic para procesarlas. Anthropic no las usa para entrenar sus modelos. Se conservan 12 meses y luego se anonimizan.

13.2 Identificación de monumentos

Las fotos se procesan solo para identificación. No se usan para entrenar modelos. Solo se guardan asociadas a tu cuenta.

13.3 Decisiones automatizadas

Minerva y el identificador toman decisiones automatizadas sin efectos legales significativos sobre ti. Puedes solicitar siempre revisión humana en privacy@khronox.app.

14. Cambios en esta política

Khronox puede modificar esta política. Los cambios sustanciales se notificarán mediante aviso in-app durante 14 días y correo electrónico. La fecha de "Última actualización" arriba refleja la versión vigente.

15. Contacto