Política de Privacidad

1. Responsable del Tratamiento

La condición de Responsable del Tratamiento, en los términos del artículo 4.7) del RGPD, recae sobre:

El Titular ejerce su actividad bajo el régimen de empresario individual. Todas las comunicaciones relativas a la presente Política deberán dirigirse por correo electrónico a la dirección antes indicada, que constituye el canal oficial a estos efectos.

2. Definiciones

A los efectos de la presente Política, los términos en mayúscula iniciales tendrán el significado que se les atribuye a continuación:

Aplicación o Servicio

La aplicación móvil CountIt, sus componentes, sus servidores y los sitios web complementarios operados por el Titular.

Usuario

Toda persona física mayor de dieciocho (18) años que descargue, instale, se registre o utilice la Aplicación.

Datos Personales

Toda información concerniente a una persona física identificada o identificable, en los términos del artículo 4.1) del RGPD.

Tratamiento

Cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, en los términos del artículo 4.2) del RGPD.

Encargado del Tratamiento

Cualquier persona física o jurídica que trate Datos Personales por cuenta del Titular, en los términos del artículo 28 del RGPD.

Contenido del Usuario

Cualquier contenido (fotografías, vídeos, grabaciones de audio, textos, comentarios) publicado por el Usuario a través del Servicio.

Autoridad de Control

La autoridad pública independiente competente en materia de protección de datos en cada jurisdicción.

3. Ámbito de aplicación

La presente Política resulta de aplicación mundial al tratamiento de Datos Personales realizado en el marco del Servicio. Se han adoptado las medidas necesarias para cumplir, entre otras, las siguientes normas:

• Reglamento (UE) 2016/679 General de Protección de Datos (RGPD).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
• Directiva 2002/58/CE relativa a la privacidad y las comunicaciones electrónicas (Directiva ePrivacy) y su transposición nacional.
• UK General Data Protection Regulation y Data Protection Act 2018, modificadas por la Data (Use and Access) Act 2025.
• California Consumer Privacy Act (CCPA) modificada por la California Privacy Rights Act (CPRA), incluidas las normas reglamentarias vigentes desde el 1 de enero de 2026.
• Personal Information Protection and Electronic Documents Act de Canadá (PIPEDA).
• Loi 25 de Quebec (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels).
• Lei nº 13.709/2018, Lei Geral de Proteção de Dados de Brasil (LGPD).
• Reglamento (UE) 2022/2065 de Servicios Digitales (DSA), en lo relativo al tratamiento de datos en el marco de las actividades de moderación.

En relación con los Usuarios residentes fuera de las jurisdicciones citadas, el Titular aplica con carácter general el estándar más exigente, sin perjuicio de los derechos adicionales que pudiera reconocer la legislación local correspondiente.

4. Categorías de Datos Personales tratados

El Titular trata las siguientes categorías de Datos Personales del Usuario, según el ámbito y modalidad de uso del Servicio:

5. Procedencia de los datos

La totalidad de los Datos Personales tratados procede directamente del Usuario, ya sea por comunicación activa al utilizar el Servicio (registro, configuración, publicación de Contenido) o por captación técnica con su consentimiento o cuando resulte indispensable para la prestación del Servicio. De forma indirecta, el Titular puede recibir:

• Datos de identificación facilitados por los proveedores de autenticación delegada (Google, Apple).
• Eventos de ciclo de vida de suscripción comunicados por RevenueCat mediante webhooks.
• Tokens de notificaciones push y, en su caso, identificadores publicitarios emitidos por el sistema operativo del dispositivo.
• Información relativa a interacciones generadas por terceros Usuarios (por ejemplo, solicitudes de amistad, reportes o etiquetado en publicaciones).

6. Finalidades del Tratamiento y bases jurídicas

Conforme al artículo 6 del RGPD, todo Tratamiento se ampara en una base jurídica determinada. A continuación se relaciona cada finalidad con la base que la legitima:

Cuando la base jurídica sea el consentimiento, el Usuario podrá revocarlo en cualquier momento sin efectos retroactivos. Cuando lo sea el interés legítimo, el Usuario podrá oponerse al Tratamiento conforme al artículo 21 del RGPD.

7. Plazos de conservación

Los Datos Personales se conservan únicamente durante el tiempo necesario para el cumplimiento de las finalidades para las que fueron recabados. Se aplican los siguientes criterios:

• Datos de identificación, perfil y Contenido del Usuario: mientras la cuenta permanezca activa. Tras su eliminación, se procede a su borrado inmediato, salvo las copias de seguridad operativas, que se sobrescriben en el ciclo ordinario y, en todo caso, en un plazo no superior a treinta (30) días.
• Cuentas inactivas: aquellas cuentas que permanezcan sin actividad durante un periodo superior a veinticuatro (24) meses podrán ser eliminadas por el Titular, previa notificación al correo electrónico del Usuario con al menos treinta (30) días de antelación.
• Datos de geolocalización: la última posición conocida se sobrescribe en cada actualización. El histórico solo se conserva, con fines de funcionalidad social, durante un periodo máximo de cuarenta y ocho (48) horas.
• Tokens de restablecimiento de contraseña: una (1) hora desde su generación.
• Sesiones autenticadas (JWT): trescientos sesenta y cinco (365) días o hasta el cierre voluntario de sesión, lo que ocurra primero.
• Datos relacionados con suscripciones, facturación y operaciones comerciales: el plazo legal exigido por la normativa mercantil y tributaria (mínimo seis [6] años conforme al artículo 30 del Código de Comercio y hasta diez [10] años para determinadas obligaciones fiscales).
• Datos relativos a reportes y procedimientos de moderación: durante la vigencia de las cuentas implicadas y hasta tres (3) años adicionales con fines probatorios.
• Registros de seguridad, conexión y rendimiento (logs): máximo doce (12) meses.

8. Encargados del Tratamiento y destinatarios

En la prestación del Servicio intervienen terceros proveedores que actúan como Encargados del Tratamiento en los términos del artículo 28 del RGPD, en virtud de los correspondientes contratos de tratamiento (DPA), que garantizan un nivel equivalente de protección.

La incorporación de un nuevo Encargado del Tratamiento sustancial se reflejará en esta Política con anterioridad razonable a su entrada en operación. La lista anterior puede consultarse en cualquier momento solicitándola al correo electrónico del Titular.

9. Transferencias internacionales de datos

La operación de determinados Encargados del Tratamiento implica la transferencia de Datos Personales fuera del Espacio Económico Europeo. Dichas transferencias se realizan al amparo de los mecanismos previstos en el Capítulo V del RGPD:

• Decisiones de adecuación adoptadas por la Comisión Europea, incluido el EU–U.S. Data Privacy Framework para los proveedores certificados.
• Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914.
• Medidas técnicas complementarias (cifrado en tránsito y en reposo, segmentación de accesos, gestión de claves) cuando el país de destino no proporcione un nivel equivalente de protección.

El Usuario podrá solicitar copia de las garantías aplicables a cualquier transferencia internacional escribiendo al correo electrónico del Titular.

10. Derechos del Usuario

La normativa de protección de datos reconoce al Usuario el ejercicio gratuito de los siguientes derechos:

• Acceso (artículo 15 RGPD): a conocer los Datos Personales objeto de Tratamiento y obtener una copia de los mismos.
• Rectificación (artículo 16 RGPD): a la corrección de datos inexactos o incompletos.
• Supresión (artículo 17 RGPD): al borrado de los datos en los supuestos previstos.
• Limitación del tratamiento (artículo 18 RGPD).
• Portabilidad (artículo 20 RGPD): a recibir los datos en formato estructurado, de uso común y lectura mecánica (JSON).
• Oposición (artículo 21 RGPD): al Tratamiento basado en interés legítimo.
• Revocación del consentimiento (artículo 7.3 RGPD), sin efectos retroactivos.
• No ser objeto de decisiones automatizadas con efectos jurídicos significativos (artículo 22 RGPD).

El Usuario podrá ejercer los anteriores derechos mediante comunicación dirigida al correo appcountit@gmail.com, acompañando, cuando resulte necesario para confirmar su identidad, documento acreditativo suficiente. La respuesta se emitirá en el plazo máximo de treinta (30) días naturales, ampliable conforme al artículo 12.3 RGPD.

Sin perjuicio de lo anterior, el Usuario tiene derecho a presentar reclamación ante la Autoridad de Control competente. En España, dicha autoridad es la Agencia Española de Protección de Datos (C/ Jorge Juan, 6, 28001 Madrid; www.aepd.es). En los demás Estados miembros, el Usuario podrá dirigirse a la autoridad de su país de residencia.

11. Eliminación de la cuenta

El Usuario puede solicitar la eliminación completa de su cuenta en cualquier momento desde la propia Aplicación (Ajustes → Cuenta → Eliminar cuenta) o mediante comunicación al correo electrónico del Titular. La eliminación comporta:

• Borrado del perfil, Contenido del Usuario, comentarios, audios y vínculos sociales.
• Borrado en cascada de los datos asociados, incluidos suscripciones internas, referidos, pertenencia a grupos, ubicación y reportes emitidos.
• Eliminación de los archivos multimedia del almacenamiento de objetos (Cloudflare R2).
• Eliminación de la cuenta de autenticación.
• Conservación residual estrictamente limitada a obligaciones legales (contables, fiscales) o a la defensa frente a reclamaciones.

La eliminación es irreversible.

12. Medidas de seguridad

El Titular aplica las medidas técnicas y organizativas previstas en el artículo 32 del RGPD, ajustadas al estado de la técnica y al riesgo del Tratamiento. Entre otras:

• Cifrado de las comunicaciones mediante TLS 1.2 o superior.
• Cifrado en reposo de la base de datos relacional y del almacenamiento de objetos.
• Almacenamiento de contraseñas mediante funciones de hash con sal (bcrypt) sin posibilidad de recuperación en claro.
• Autenticación basada en tokens JWT firmados.
• Política de mínimo privilegio en el acceso a la infraestructura.
• Limitación de peticiones para mitigar ataques de fuerza bruta y abuso de la API.
• Validación de los archivos cargados mediante inspección de bytes mágicos.
• Auditorías periódicas de seguridad y actualización continuada de dependencias.
• Protocolo documentado de respuesta a incidentes.

13. Notificación de brechas de seguridad

En caso de violación de la seguridad de los Datos Personales que pueda suponer un riesgo para los derechos y libertades de las personas físicas, el Titular procederá a la notificación a la Agencia Española de Protección de Datos en el plazo máximo de setenta y dos (72) horas desde que tenga constancia, conforme al artículo 33 del RGPD. Cuando la brecha entrañe un riesgo elevado, será comunicada sin dilación indebida al Usuario afectado, en términos claros y sencillos y con indicación de las medidas recomendadas, conforme al artículo 34 del RGPD.

14. Publicidad y consentimiento publicitario

El acceso al Servicio es gratuito y se financia mediante la publicidad servida por Google AdMob. La presentación de publicidad personalizada requiere consentimiento expreso, que se recoge mediante la User Messaging Platform de Google (UMP), basada en el Transparency and Consent Framework de IAB Europe en su versión 2.3, obligatoria desde febrero de 2026.

• Si el Usuario presta su consentimiento, podrá visualizar publicidad adaptada a sus intereses; Google podrá emplear el identificador publicitario del dispositivo a tal fin.
• Si el Usuario rechaza el consentimiento, se mostrarán anuncios no personalizados basados exclusivamente en información contextual.
• El consentimiento podrá modificarse en cualquier momento desde los ajustes de privacidad de la Aplicación.
• En dispositivos iOS, se solicita adicionalmente el permiso de App Tracking Transparency.

La información detallada sobre el Tratamiento publicitario por parte de Google se encuentra en policies.google.com/technologies/ads.

15. Tecnologías de almacenamiento local

La Aplicación no emplea cookies en sentido estricto, en tanto que se ejecuta como aplicación nativa. Sí utiliza tecnologías de almacenamiento local del dispositivo (AsyncStorage) con las siguientes finalidades técnicas estrictamente necesarias o, en su caso, basadas en consentimiento:

• Mantenimiento de la sesión iniciada.
• Conservación del identificador interno del dispositivo con finalidad antifraude.
• Memoria de las preferencias del Usuario (idioma, compartición de ubicación, notificaciones).
• Caché de contenido visualizado para mejorar el rendimiento.
• Persistencia de la decisión publicitaria tomada en el CMP.

El sitio web complementario (countit.app) emplea exclusivamente cookies técnicas estrictamente necesarias para su funcionamiento. No se utilizan cookies analíticas ni publicitarias en la web.

16. Personas menores de edad

El Servicio está dirigido exclusivamente a personas mayores de dieciocho (18) años. El Titular no recaba intencionadamente datos de personas menores. En el proceso de alta se requiere la introducción de la fecha de nacimiento y se deniega el registro a quienes no acrediten dicha edad.

En cumplimiento de la Children's Online Privacy Protection Act (COPPA), tampoco se recaban datos de menores de trece (13) años. En caso de que un padre, madre o representante legal tenga conocimiento de que un menor a su cargo ha facilitado datos al Servicio contraviniendo lo anterior, podrá solicitar la eliminación inmediata escribiendo a appcountit@gmail.com.

El Titular investigará toda denuncia razonable de uso del Servicio por personas menores y suspenderá cautelarmente las cuentas implicadas.

17. Decisiones automatizadas y elaboración de perfiles

No se adoptan decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos en el Usuario o le afecten significativamente de modo similar.

Se emplean algoritmos automatizados para funcionalidades internas tales como la ordenación del feed por relevancia, la sugerencia de amistades o la detección automatizada de contenido potencialmente inadecuado. Toda decisión sancionadora relevante podrá ser objeto de revisión humana a solicitud del Usuario.

18. Disposiciones específicas por jurisdicción

18.1 Residentes en California (CCPA / CPRA)

Los Usuarios residentes en California disponen adicionalmente de los siguientes derechos: saber qué categorías y elementos específicos de información personal han sido recopilados; obtener su supresión; rectificar información inexacta; limitar el uso de información personal sensible (que, conforme al CPRA, incluye los datos de geolocalización precisa); y no ser objeto de trato discriminatorio por el ejercicio de tales derechos.

El Titular no vende ni comparte (en el sentido del CCPA) información personal de los Usuarios. No obstante, la presentación de publicidad personalizada mediante Google AdMob puede interpretarse como una forma de "sharing" bajo el CCPA. El rechazo del consentimiento publicitario equivale al ejercicio del derecho "Do Not Sell or Share My Personal Information".

Las solicitudes podrán dirigirse a appcountit@gmail.com con la referencia "CCPA Request". Se admitirá la actuación mediante representante autorizado en los términos del Reglamento del CCPA.

18.2 Residentes en Canadá (PIPEDA)

Los Usuarios residentes en Canadá disfrutan de los derechos previstos en la Personal Information Protection and Electronic Documents Act. El Titular obtiene su consentimiento explícito para el Tratamiento de datos de geolocalización conforme a las directrices de la Office of the Privacy Commissioner of Canada. Las reclamaciones podrán dirigirse a la mencionada autoridad ( www.priv.gc.ca).

18.3 Residentes en Quebec (Loi 25)

Los Usuarios residentes en Quebec disponen adicionalmente de los derechos de acceso, rectificación, portabilidad, desindexación y cese del Tratamiento previstos en la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Las reclamaciones podrán dirigirse a la Commission d'accès à l'information du Québec ( www.cai.gouv.qc.ca).

18.4 Residentes en el Reino Unido

El Tratamiento se rige por el UK GDPR, la Data Protection Act 2018 y la Data (Use and Access) Act 2025. La autoridad competente es la Information Commissioner's Office ( ico.org.uk).

18.5 Residentes en Brasil (LGPD)

El Tratamiento de Datos Personales de residentes en Brasil se rige por la Lei 13.709/2018 (LGPD). Se reconocen los derechos previstos en el artículo 18 de la LGPD. La autoridad competente es la Autoridade Nacional de Proteção de Dados ( gov.br/anpd).

18.6 Resto de jurisdicciones

El estándar del RGPD se aplica como nivel mínimo común al resto de Usuarios. Cuando la legislación local reconozca derechos adicionales, el Titular los respetará en sus propios términos.

19. Modificaciones de la Política

La presente Política podrá ser modificada para adaptarla a cambios normativos, técnicos o funcionales. La fecha de la última versión consta al inicio del documento. Las modificaciones sustanciales se comunicarán al Usuario por correo electrónico, mediante notificación en la Aplicación o por cualquier otro medio idóneo, con una antelación mínima de treinta (30) días naturales, salvo cuando la urgencia legal exija un plazo inferior.

El Titular conserva las versiones anteriores de la Política, que pondrá a disposición del Usuario previa solicitud.

20. Idioma vinculante

La versión original y vinculante de la presente Política es la redactada en lengua española (España). Cualquier traducción se ofrece con fines informativos. En caso de discrepancia entre versiones, prevalecerá la versión española.

21. Contacto

Para cualquier comunicación relativa a la presente Política o al Tratamiento de Datos Personales:

• Correo electrónico: appcountit@gmail.com
• Dirección postal: Alejandro Forte Bañón, C/ Francisco Benedito Roda 29, 30510 Yecla (Murcia), España.