Esta política describe cómo GLOW recoge, utiliza y protege tus datos personales conforme al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). Léela con calma — y si tienes dudas escríbenos.
No tenemos Delegado de Protección de Datos designado al no ser obligatorio para nuestra actividad. Para cualquier asunto relacionado con tus datos, escribe directamente al email anterior.
Los siguientes datos se consideran categoría especial bajo el artículo 9 del RGPD y solo los tratamos cuando tú los introduces voluntariamente con consentimiento explícito:
El cobro lo gestiona Stripe Payments Europe Ltd. como encargado del tratamiento. Nosotros nunca vemos ni almacenamos los datos de tu tarjeta. Solo conservamos el identificador de tu suscripción y su estado.
| Finalidad | Base legal |
|---|---|
| Prestarte el servicio (cuenta, planes, sincronización) | Ejecución del contrato — art. 6.1.b RGPD |
| Tratar tus datos de salud para generar planes personalizados | Consentimiento explícito — art. 9.2.a RGPD |
| Gestionar tu suscripción y emitir facturas | Obligación legal y contractual — art. 6.1.b y c RGPD |
| Enviarte comunicaciones operativas (verificación, recuperación, fin de prueba) | Ejecución del contrato — art. 6.1.b RGPD |
| Detectar abuso, fraude y errores técnicos | Interés legítimo — art. 6.1.f RGPD |
No realizamos marketing externo, no vendemos tus datos a terceros, no compartimos con redes publicitarias y no tomamos decisiones automatizadas con efectos jurídicos sobre ti.
Para prestar el servicio confiamos en los siguientes proveedores. Todos firman acuerdos de tratamiento conforme al art. 28 RGPD:
| Proveedor | Función | Ubicación |
|---|---|---|
| Supabase Inc. | Base de datos, autenticación y almacenamiento de fotos | UE (eu-west-1, Irlanda) · marco DPF |
| Stripe Payments Europe Ltd. | Procesamiento de pagos y suscripciones | Irlanda + EE.UU. (DPF) |
| Anthropic PBC | Generación de planes con IA (Claude) | EE.UU. — cláusulas contractuales tipo |
| Vercel Inc. | Hosting de la web y la app | EE.UU. (DPF) |
| Railway Corp. | Hosting del servidor backend | EE.UU. — cláusulas contractuales tipo |
| Functional Software Inc. (Sentry) | Monitorización de errores | EE.UU. (DPF) |
Los datos transferidos fuera del EEE se basan en el EU-U.S. Data Privacy Framework (DPF) o, en su defecto, en cláusulas contractuales tipo aprobadas por la Comisión Europea.
Tienes derecho a, en cualquier momento y de forma gratuita:
Cómo ejercerlos:
Responderemos en un plazo máximo de un mes. Si consideras que no hemos atendido tu derecho, puedes presentar reclamación ante la Agencia Española de Protección de Datos en aepd.es.
Aplicamos medidas técnicas y organizativas razonables: cifrado en tránsito (TLS 1.3), cifrado en reposo en la base de datos, control de acceso por usuario (Row Level Security), almacenamiento privado de fotos con URLs firmadas y rotativas, autenticación con tokens JWT verificados en cada petición y bloqueo automático tras intentos fallidos.
Ninguna medida es perfecta. Si detectamos una brecha que pueda afectarte, te lo notificaremos por email en 72 horas tal como exige el RGPD.
El servicio está dirigido a mayores de 18 años. No tratamos a sabiendas datos de menores de 14 años. Si nos consta que un dato pertenece a un menor de 14, lo eliminaremos.
Si modificamos esta política de forma sustancial te lo comunicaremos por email con al menos 30 días de antelación. La fecha de la última actualización aparece arriba del documento.
Esta política se rige por la legislación española. Para cualquier controversia derivada de su aplicación, las partes se someten a los Juzgados y Tribunales de la ciudad correspondiente al domicilio del usuario consumidor, conforme al art. 90.2 del Real Decreto Legislativo 1/2007 (Ley General para la Defensa de los Consumidores y Usuarios).