Política de Privacidad

Resumen: Recolectamos lo mínimo necesario para que la App funcione: tu correo, los datos de tu mascota que tú elijas registrar y datos técnicos básicos (errores y métricas anónimas). No vendemos tus datos. No los usamos para perfilamiento publicitario. Puedes exportarlos o borrarlos en cualquier momento desde la App. Datos primarios alojados en infraestructura europea; respaldos cifrados en Backblaze B2 (EE. UU.). Esta política aplica a usuarios en todo el mundo y respeta GDPR, LGPD, CCPA/CPRA y la Ley N° 29733 (Perú).

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es [NOMBRE LEGAL DEL TITULAR] (persona natural), con domicilio en [DIRECCIÓN]. Contacto del responsable de protección de datos (DPO): privacy@mascotapp.smarthuaraz.cloud.

2. Ámbito de aplicación

Esta política aplica al tratamiento de datos personales que realizamos cuando usas la aplicación móvil (iOS y Android), la versión web y el sitio legal públicos asociados. No aplica a sitios web o servicios de terceros enlazados desde la App, los cuales se rigen por sus propias políticas.

3. Datos que recolectamos

Datos que tú nos das

• Cuenta: correo electrónico, contraseña hasheada (bcrypt), nombre para mostrar, idioma preferido.
• Perfiles de mascota: nombre, especie, raza, fechas de nacimiento/adopción, género, peso, microchip, fotos.
• Salud animal: vacunas, medicamentos y dosis administradas, registros veterinarios, peso histórico, alergias, parámetros de agua o hábitat (especies acuáticas/exóticas), recordatorios.
• Cuidado: bitácora de actividades (alimentación, paseos, limpieza, etc.).
• Engagement: rachas, insignias ganadas, hitos, respuestas de quiz.

Datos generados automáticamente

• Técnicos: dirección IP, tipo de dispositivo, sistema operativo, idioma del sistema, identificadores de sesión, push token.
• Diagnóstico de errores: stack traces y contexto técnico cuando la app falla — vía Sentry.
• Métricas de uso: pantallas visitadas, eventos pseudonimizados — vía PostHog. Puedes oponerte desde Perfil → Privacidad → Métricas anónimas.

Datos opcionales (con tu consentimiento)

• Ubicación aproximada: solo cuando usas el localizador de veterinarios cercanos. No la guardamos en nuestros servidores; se usa solo para la consulta puntual a Google Places.
• Cámara y galería: para subir fotos de tus mascotas.
• Notificaciones push: para recordatorios de cuidado y medicación.

NO recolectamos datos bancarios o de pago (la App es gratuita), datos biométricos, contactos de tu agenda, historial de navegación fuera de la App, datos de salud humana, geolocalización en segundo plano, ni identificadores publicitarios (IDFA/AAID), salvo que en el futuro habilitemos publicidad con tu consentimiento explícito.

4. Finalidades del tratamiento

• Crear, mantener y operar tu cuenta y la del Hogar.
• Permitirte registrar y consultar perfiles e información de tus mascotas.
• Enviarte recordatorios de cuidado, medicación y vacunación.
• Diagnosticar errores y mantener la seguridad y disponibilidad del servicio.
• Analizar uso agregado y métricas pseudonimizadas para mejorar el producto.
• Comunicarnos contigo sobre cambios al servicio o respuestas a tus consultas.
• Cumplir obligaciones legales aplicables.
• Localizar veterinarios cercanos cuando lo solicites (uso puntual de tu ubicación, no se almacena en nuestros servidores).

NO usamos tus datos para perfilamiento publicitario fuera de la App, venta a terceros, entrenamiento de modelos de inteligencia artificial generales, ni compartir información de salud con aseguradoras u otros fines comerciales.

5. Compartición con terceros

Compartimos datos exclusivamente con los procesadores que necesitamos para operar:

• Hostinger (VPS) — alojamiento de backend, base de datos PostgreSQL y almacenamiento Garage S3.
• Better-Auth (self-hosted) — autenticación; corre dentro de nuestro propio backend.
• Resend — envío de correos transaccionales (verificación, reset de contraseña).
• Sentry — captura de errores y crashes (sin datos de salud ni fotos).
• PostHog — analíticas de producto pseudonimizadas.
• Google Places API — solo cuando usas el localizador de veterinarios.
• Backblaze B2 — copias de respaldo encriptadas (datos cifrados client-side antes de subir).
• Apple / Google — solo si inicias sesión con Apple o Google; reciben los datos mínimos del flow OAuth (correo, nombre).
• Servicios de notificación push (Apple APNs, Google FCM) vía Expo Push.
• Autoridades competentes cuando sea legalmente exigible.

NUNCA vendemos tus datos. NUNCA los compartimos con anunciantes para perfilamiento. NUNCA compartimos datos de salud con aseguradoras u otros terceros con fines comerciales.

6. Almacenamiento y transferencias internacionales

Los datos primarios se alojan en infraestructura europea operada por Hostinger. Los respaldos encriptados se almacenan en Backblaze B2 (EE. UU.). Los procesadores Resend, Sentry, PostHog, Google y Backblaze procesan datos en EE. UU. bajo Cláusulas Contractuales Tipo de la Comisión Europea (SCC 2021/914) y, cuando corresponda, medidas técnicas suplementarias (cifrado en tránsito y en reposo, pseudonimización).

7. Retención

• Datos de cuenta y mascotas: mientras tengas cuenta activa.
• Tras eliminar tu cuenta: los datos se purgan inmediatamente de la base de datos primaria. Las copias de respaldo encriptadas se rotan según el siguiente calendario: 7 diarias, 4 semanales, 6 mensuales (máximo seis meses).
• Logs técnicos (Sentry, métricas): retención máxima de 30 días.
• Datos de cumplimiento legal: el plazo que la ley exija.

8. Tus derechos

Como titular de datos personales tienes derecho a:

• Acceso: saber qué datos tenemos sobre ti y obtener copia.
• Rectificación: corregir datos inexactos.
• Cancelación / supresión / "derecho al olvido": borrar tu cuenta y datos.
• Oposición: oponerte a tratamientos basados en interés legítimo.
• Portabilidad: recibir tus datos en formato estructurado (JSON).
• Limitación: solicitar limitación temporal del tratamiento.
• Retiro de consentimiento: revocar consentimiento dado para finalidades específicas.

Cómo ejercerlos:

• Acceso/rectificación: directamente desde la App (Perfil → Editar perfil; Mascotas → Editar).
• Portabilidad: Perfil → Tus datos → Exportar mis datos (descarga JSON inmediato).
• Supresión: Perfil → Zona de peligro → Eliminar cuenta. Instrucciones detalladas (incluyendo cómo solicitarla sin acceso a la App) en /delete-account.
• Otros derechos: escríbenos a privacy@mascotapp.smarthuaraz.cloud.

Plazos de respuesta: 20 días hábiles (Perú), 30 días calendario (GDPR), 15 días hábiles (LGPD), 45 días calendario (California).

Para residentes de California (CCPA/CPRA): tienes derecho a saber, derecho a borrar y derecho a no ser discriminado por ejercer tus derechos. NO vendemos ni compartimos datos personales en el sentido de la CCPA/CPRA, por lo que no se requiere "Do Not Sell or Share My Personal Information".

Si consideras que no respetamos tus derechos puedes presentar una reclamación ante la Autoridad Nacional de Protección de Datos Personales del Perú (www.gob.pe/anpdp) o ante tu autoridad europea correspondiente.

9. Menores de edad

MascotApp NO está dirigida a menores de 13 años. No recolectamos datos a sabiendas de menores. Si descubrimos que un menor de 13 ha creado una cuenta sin consentimiento parental, la eliminaremos sin demora. Padres, madres o tutores que detecten esta situación pueden contactarnos a privacy@mascotapp.smarthuaraz.cloud y procederemos en máximo 72 horas.

10. Foto de mascota, nombres y datos de terceros

Las fotos que cargas pueden contener incidentalmente imágenes de personas (familiares, niños, vecinos, veterinarios). Eres responsable de obtener el consentimiento de las personas identificables que aparezcan. Recomendamos no incluir caras de menores de edad ni de terceros sin su consentimiento.

El nombre de tu mascota es libre; si tu mascota lleva el nombre de un familiar (incluido un menor) considera usar un sobrenombre o variación. Eliminamos los metadatos EXIF de geolocalización antes de almacenar las fotos para no exponer la ubicación de tu hogar.

11. Seguridad

• Cifrado en tránsito (TLS 1.3 obligatorio en todos los endpoints).
• Cifrado de tokens de sesión en el llavero del sistema operativo (Keychain en iOS, EncryptedSharedPreferences en Android).
• Hashing de contraseñas mediante bcrypt (Better-Auth).
• Aislamiento estricto por cuenta a nivel de aplicación: cada consulta filtra por account_id autenticado.
• Cookies de sesión HttpOnly, Secure, SameSite=Lax.
• Rate-limiting en endpoints de autenticación.
• Cabeceras de seguridad (HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, CSP) en la versión web.
• Backups encriptados con clave en poder exclusivo del titular.
• Auditoría continua de dependencias y rotación periódica de secretos.

En caso de brecha de seguridad que afecte tus datos personales y suponga un riesgo para tus derechos, te notificaremos sin demora indebida (en GDPR: máximo 72 horas).

12. Cookies (web)

Solo en la versión web usamos cookies estrictamente necesarias para mantener tu sesión iniciada (Better-Auth). Detalles en nuestra Política de Cookies.

13. Cambios a esta política

Podemos actualizar esta política. Las modificaciones materiales se notificarán con al menos catorce (14) días calendario de antelación por correo electrónico y aviso destacado en la App.

14. Contacto

DPO: privacy@mascotapp.smarthuaraz.cloud · Soporte general: legal@mascotapp.smarthuaraz.cloud