En Khronox tomamos en serio la privacidad de nuestros usuarios. Esta Política de Privacidad explica qué datos personales recopilamos, cómo los usamos, con quién los compartimos y qué derechos tienes sobre ellos. Se aplica al uso de la aplicación móvil Khronox, del sitio web khronox.app y de todos los servicios relacionados.
Cumple con RGPD (Reglamento (UE) 2016/679), LOPDGDD (Ley Orgánica 3/2018), CCPA / CPRA, COPPA, directrices de la App Store Review y Google Play Developer Program Policies.
privacy@khronox.appkhronox.app, funcionales y de análisis (ver §11).Datos bancarios (los gestionan Apple/Google/RevenueCat), datos biométricos, datos de salud, religión, opiniones políticas u otros datos sensibles según el RGPD, salvo que tú los publiques voluntariamente.
| Finalidad | Base legal |
|---|---|
| Crear y gestionar tu cuenta | Ejecución del contrato (art. 6.1.b RGPD) |
| Procesar pagos y suscripciones | Ejecución del contrato (art. 6.1.b) |
| Personalizar el contenido | Interés legítimo y consentimiento (art. 6.1.f y 6.1.a) |
| Notificaciones transaccionales | Ejecución del contrato (art. 6.1.b) |
| Notificaciones promocionales | Consentimiento (art. 6.1.a) |
| Analizar uso para mejorar el producto | Interés legítimo (art. 6.1.f) |
| Cumplir obligaciones legales | Obligación legal (art. 6.1.c) |
| Moderación de contenido | Interés legítimo y obligación legal (art. 6.1.f y 6.1.c) |
| Procesar datos de menores | Consentimiento parental verificable (art. 8 RGPD) |
Operar el servicio (autenticación, sincronización), personalizar tu experiencia, procesar el pasaporte, asegurar el servicio (fraude, abusos, moderación), comunicarnos contigo (transaccional y promocional con opt-in), cumplir la ley y mejorar el producto. Nunca venderemos tus datos personales a terceros con fines de marketing.
Khronox no vende datos personales. Los compartimos solo con encargados del tratamiento bajo DPA:
| Proveedor | Función | Ubicación |
|---|---|---|
| Supabase | Base de datos y auth | UE (Frankfurt) — DPA firmado |
| Anthropic | Claude (Minerva e ID monumentos) | EE.UU. — DPA en negociación |
| Apple / Google | Distribución y pagos | EE.UU. — políticas propias |
| RevenueCat | Suscripciones | EE.UU. — DPA en negociación |
| Sentry o equivalente | Errores técnicos | UE — DPA firmado |
| Resend o equivalente | Correos transaccionales | UE — DPA firmado |
Para transferencias a EE.UU. nos basamos en Cláusulas Contractuales Estándar (CCE), Data Privacy Framework EU-US (si certificado) o tu consentimiento expreso cuando ninguno aplique.
Podemos divulgar datos a autoridades cuando lo exija la ley, dentro del marco legal aplicable.
Si Khronox es adquirida o fusionada, tus datos podrán ser transferidos al nuevo titular, que asumirá las mismas obligaciones. Te avisaremos por correo con al menos 30 días de antelación.
Las fotos se almacenan en Supabase Storage (UE, cifradas en reposo). Si eliminas el sello, la foto se elimina en máx. 30 días. Si eliminas la cuenta, todas tus fotos se eliminan en máx. 30 días.
Cada foto se envía al modelo de IA (Anthropic Claude) para identificar el monumento, cifrada en tránsito (TLS 1.3). Anthropic no usa estas imágenes para entrenar sus modelos.
Si la IA detecta personas, contenido sensible o tiene baja confianza, la foto pasa a una cola revisada exclusivamente por el equipo de Khronox. Se muestra como "En revisión" y solo se accede para tomar la decisión.
Las fotos solo son públicas si lo activas. En el perfil público se muestran sin metadatos de geolocalización ni EXIF. Otros usuarios pueden denunciar; revisión en <48h.
Si una foto es denunciada por contener a una persona sin consentimiento o por contenido prohibido, la eliminamos inmediatamente y notificamos al titular.
| Tipo de dato | Plazo |
|---|---|
| Datos de cuenta activa | Mientras la cuenta esté activa |
| Cuenta eliminada por el usuario | Máx. 30 días, backups purgados en 90 días |
| Fotos del pasaporte (sello activo) | Mientras esté en tu cartilla |
| Fotos del pasaporte (sello eliminado) | Máx. 30 días tras eliminación |
| Mensajes con Minerva | 12 meses, anonimizados después |
| Logs técnicos | 90 días |
| Facturación y pagos | 6 años (obligación fiscal España) |
| Reportes y moderación | 24 meses tras resolución |
Tienes derecho a acceso, rectificación, supresión (derecho al olvido), limitación del tratamiento, portabilidad (JSON), oposición, revocar consentimiento, no ser objeto de decisiones automatizadas con efectos legales significativos, y reclamar ante la AEPD (www.aepd.es).
Para ejercer cualquiera de estos derechos: privacy@khronox.app. Responderemos en máx. 30 días (prorrogable a 60 si es complejo).
No recopilamos datos de menores de 13 años sin consentimiento parental verificable previo. El menor introduce su fecha de nacimiento en onboarding; si es <13 se le pide el correo del adulto; enviamos verificación con warning explícito; solo tras esa verificación se crea la cuenta. Los padres pueden revisar los datos, solicitar la eliminación de la cuenta y revocar el consentimiento.
Aplicamos el umbral más restrictivo (16) salvo que el usuario indique explícitamente que reside en un país con umbral menor.
Perfil no público por defecto; fotos con moderación reforzada; sin compras in-app activadas (requieren reactivación parental).
La app móvil no usa cookies. Usa almacenamiento local del dispositivo (localStorage, SecureStorage, identificador anónimo de instalación).
khronox.appCookies esenciales (no requieren consentimiento), analíticas (Plausible o GA4 con IP anonimizada, consentimiento explícito) y publicitarias (si las activamos, con banner conforme a ePrivacy).
Aplicamos cifrado en tránsito (TLS 1.3) y en reposo, autenticación segura (bcrypt o equivalente, MFA cuando disponible), accesos restringidos, logs de auditoría, backups cifrados y auditorías periódicas. Si detectamos una violación de datos que afecte a tus derechos, te notificaremos en máx. 72 horas y, en su caso, a la AEPD.
Tus conversaciones con Minerva se envían a Anthropic para procesarlas. Anthropic no las usa para entrenar sus modelos. Se conservan 12 meses y luego se anonimizan.
Las fotos se procesan solo para identificación. No se usan para entrenar modelos. Solo se guardan asociadas a tu cuenta.
Minerva y el identificador toman decisiones automatizadas sin efectos legales significativos sobre ti. Puedes solicitar siempre revisión humana en privacy@khronox.app.
Khronox puede modificar esta política. Los cambios sustanciales se notificarán mediante aviso in-app durante 14 días y correo electrónico. La fecha de "Última actualización" arriba refleja la versión vigente.
privacy@khronox.apparacne@khronox.appwww.aepd.es