Legal
Política de privacidad
Fecha de vigencia: April 6, 2026
La versión en inglés de este documento es el texto legal autoritativo.
Descripción general
Estrevia se construye sobre un principio de privacidad ante todo: tus datos de nacimiento son personales. Solo recopilamos lo necesario para proporcionar el Servicio, ciframos los datos sensibles en reposo y te damos control total sobre tu información.
1. Datos que recopilamos
- Fecha de nacimiento
- Hora de nacimiento (opcional — requerida para cálculos de casas)
- Lugar de nacimiento (ciudad, país, coordenadas)
Cifrado con AES-256-GCM antes del almacenamiento. La clave de cifrado vive en las variables de entorno secretas de Vercel — nunca toca la base de datos.
- Dirección de correo electrónico (requerida para crear una cuenta)
- Tokens de autenticación administrados por Clerk
- Signo solar, signo lunar, signo del Ascendente
- Elemento, planeta regente, porcentaje de rareza
Los datos compartidos contienen solo resultados astrológicos derivados — nunca datos de nacimiento sin procesar.
- Páginas visitadas, funciones usadas
- Recuento de cálculos de cartas
- Eventos de compartir pasaportes
Se recopilan solo con tu consentimiento vía aceptación de cookies. Procesados por PostHog (región EU).
- Información de facturación (últimos 4 dígitos de tarjeta, vencimiento) — procesado por Stripe
- Estado de suscripción y plan
Nunca almacenamos números completos de tarjetas. Todo el procesamiento de pagos es manejado por Stripe, Inc.
2. Cómo usamos tus datos
- Calcular y almacenar tus cartas natales
- Generar y mostrar tu Pasaporte Cósmico
- Autenticarte vía Clerk
- Procesar pagos de suscripción vía Stripe
- Enviar correos transaccionales (carta guardada, confirmación de suscripción) vía Resend
- Analizar el uso del producto para mejorar el Servicio (con tu consentimiento)
- Monitorear errores y rendimiento vía Sentry
No vendemos tus datos, los usamos para publicidad dirigida ni los compartimos con intermediarios de datos.
3. Cifrado de datos de nacimiento
La fecha, hora y lugar de nacimiento se clasifican como datos personales bajo el RGPD. Protegemos estos datos con cifrado AES-256-GCM antes de escribirlos en la base de datos.
- Cada registro usa un IV (vector de inicialización) único
- Clave de cifrado almacenada en variables de entorno de Vercel — no en la base de datos
- El descifrado ocurre solo en el momento de la solicitud, dentro de funciones de servidor seguras
- Los datos descifrados nunca se registran ni almacenan en sistemas intermedios
4. Servicios de terceros
Autenticación y gestión de sesiones
Datos compartidos: Correo electrónico, tokens OAuth
Procesamiento de pagos
Datos compartidos: Información de facturación, eventos de suscripción
Análisis de producto (región EU)
Datos compartidos: Eventos de uso anonimizados — solo con consentimiento de cookies
Base de datos PostgreSQL serverless
Datos compartidos: Datos de usuario cifrados en reposo
Alojamiento e infraestructura edge
Datos compartidos: Registros de solicitudes (IP, cabeceras) — retenidos según la política de Vercel
Entrega de correo transaccional
Datos compartidos: Dirección de correo, contenido del correo
Monitoreo de errores
Datos compartidos: Rastros de error, contexto de usuario anonimizado
5. Retención de datos
| Datos | Retención |
|---|---|
| Cartas temporales (sin cuenta) | 7 days |
| Cartas guardadas (con cuenta) | Hasta la eliminación de la cuenta |
| Datos del Pasaporte Cósmico compartido | Hasta que se elimine la carta |
| Datos de cuenta (correo) | Hasta la eliminación de la cuenta |
| Eventos de análisis | 12 meses (predeterminado de PostHog) |
6. Tus derechos (RGPD)
Si te encuentras en el Espacio Económico Europeo o el Reino Unido, tienes los siguientes derechos respecto a tus datos personales:
Acceso
Solicitar una copia de todos los datos que tenemos sobre ti.
Rectificación
Corregir datos personales inexactos.
Eliminación
Eliminar tu cuenta y todos los datos asociados.
Exportación
Descargar tus datos en JSON legible por máquina.
Restricción
Restringir el procesamiento de tus datos.
Objeción
Objetar el procesamiento basado en intereses legítimos.
Para exportar tus datos: GET /api/v1/user/data-export (autenticado) — devuelve JSON con todas las cartas y datos de perfil.
Para eliminar tu cuenta: Configuración de cuenta → Eliminar cuenta, o DELETE /api/v1/user/account — elimina permanentemente todos los datos en cascada.
Para ejercer cualquier otro derecho, escríbenos a privacy@estrevia.app. Responderemos dentro de 30 días.
7. Cookies y rastreo
Usamos cookies y localStorage para:
- Autenticación — tokens de sesión de Clerk. Necesarios para que el Servicio funcione. No requieren consentimiento.
- Análisis — identificador de cliente de PostHog (localStorage). Requiere consentimiento explícito vía el banner de cookies.
Puedes retirar el consentimiento de análisis en cualquier momento borrando el localStorage de tu navegador o contactándonos. No usamos cookies de publicidad.
8. Transferencias internacionales de datos
Nuestros datos de análisis (PostHog) se procesan en la UE. La infraestructura de base de datos (Neon) puede almacenar datos en EE.UU. Cuando corresponda, las transferencias se rigen por las Cláusulas Contractuales Estándar (CCE) aprobadas por la Comisión Europea.
9. Privacidad de menores
Solo los usuarios de 13 años o más pueden crear una cuenta. No recopilamos intencionalmente datos personales directamente de niños menores de 13 años.
Cartas para familiares. Un titular de cuenta adulto puede ingresar datos de nacimiento de un menor (fecha, hora, lugar) para calcular una carta natal. En este caso, el adulto actúa como controlador de datos de esa información, es responsable de obtener el consentimiento parental necesario, y puede eliminar o exportar los datos en cualquier momento vía /settings. Los datos de nacimiento se almacenan cifrados con AES-256-GCM y nunca se usan para crear perfiles del menor, servir publicidad ni entrenar modelos de IA.
Si crees que un menor ha creado su propia cuenta o que se han recopilado datos personales de un menor sin el consentimiento apropiado, contáctanos en privacy@estrevia.app y eliminaremos los datos en 30 días.
10. Contacto y responsable del tratamiento
Estrevia actúa como responsable del tratamiento de los datos personales procesados a través del Servicio.
Consultas de privacidad, solicitudes RGPD e informes de brechas de datos: privacy@estrevia.app
También tienes derecho a presentar una queja ante tu autoridad supervisora local (por ejemplo, la ICO en el Reino Unido, la CNIL en Francia).