Política de Privacidad

Última actualización: 18 de abril de 2026

1. Responsable del tratamiento

MiCartera
Responsable: Ángel Molín
Contacto: privacidad@micartera.app

MiCartera ("nosotros", "la plataforma") se compromete a proteger la privacidad de sus usuarios conforme al Reglamento General de Protección de Datos (RGPD — Reglamento UE 2016/679) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

2. Datos personales que recogemos

Categoría	Datos	Finalidad
Cuenta	Email, contraseña (hash), fecha de registro	Autenticación y gestión de la cuenta
Financieros	Operaciones de compra/venta, dividendos, lotes FIFO, precios, movimientos de efectivo	Cálculo de P/L, informe fiscal IRPF, alertas, análisis de cartera
Suscripción	ID de cliente Stripe, plan activo, fechas de facturación	Gestión de pagos y acceso a funciones Pro
Conexiones broker	Credenciales API cifradas (AES-256-GCM), ID de conexión	Importación automática de operaciones
Uso	Páginas visitadas, timestamps, tipo de dispositivo	Mejora del servicio y resolución de errores
Informe fiscal puntual	Email, dirección IP en el momento del pago, evidencia de consentimiento (versión y fecha de aceptación de los Términos del Informe), y datos de operaciones aportados por el titular (CSV o formulario manual)	Generación y entrega del informe fiscal puntual — detallado en §11

3. Base jurídica del tratamiento

Ejecución del contrato (art. 6.1.b RGPD): los datos de cuenta, financieros y de suscripción son necesarios para prestar el servicio contratado.
Consentimiento (art. 6.1.a RGPD): el envío de alertas por email y comunicaciones opcionales requiere tu consentimiento explícito, que puedes retirar en cualquier momento.
Interés legítimo (art. 6.1.f RGPD): análisis agregado de uso para mejorar el producto, siempre que no prevalezcan tus derechos fundamentales.
Obligación legal (art. 6.1.c RGPD): conservamos registros de facturación conforme a la normativa fiscal española.

4. Encargados del tratamiento (subprocesadores)

Proveedor	Función	Ubicación
Supabase Inc.	Base de datos, autenticación, almacenamiento	UE (Frankfurt, AWS eu-central-1)
Vercel Inc.	Hosting, CDN, ejecución serverless	Global (edge más cercano, datos en UE)
Stripe Inc.	Procesamiento de pagos	UE (Irlanda) — certificado PCI DSS Nivel 1
Resend Inc.	Envío de emails transaccionales (alertas)	EE.UU. — DPF certificado
Finnhub / CoinGecko	Datos de precios de mercado	EE.UU. / Global — solo datos públicos de mercado

Todos los subprocesadores están vinculados por cláusulas contractuales tipo (SCCs) o disponen de certificación bajo el EU-US Data Privacy Framework cuando tratan datos fuera del EEE.

5. Transferencias internacionales de datos

La base de datos principal (Supabase) se aloja en la Unión Europea. Cuando es necesario transferir datos a proveedores fuera del EEE (Resend, Finnhub), nos apoyamos en cláusulas contractuales tipo aprobadas por la Comisión Europea (Decisión 2021/914) y/o en la certificación del proveedor bajo el EU-US Data Privacy Framework.

6. Plazos de conservación

Datos de cuenta: mientras mantengas la cuenta activa. Tras la eliminación, se borran en un plazo máximo de 30 días.
Cuentas gratuitas inactivas: aplicamos el principio de minimización del RGPD (art. 5.1.e). Nos reservamos el derecho a eliminar cuentas gratuitas que nunca hayan realizado un pago tras un periodo prolongado de inactividad. Si decidiéramos ejercerlo, te avisaríamos por email con antelación suficiente para que puedas reactivar la cuenta o exportar tus datos. Esta política no se aplica a usuarios con suscripción Pro activa o caducada, ni a compradores del informe IRPF puntual de 19 €.
Datos financieros: mientras la cuenta esté activa. Se eliminan junto con la cuenta.
Registros de facturación: 5 años desde la última transacción, conforme a la Ley General Tributaria.
Credenciales de broker: cifradas con AES-256-GCM. Se eliminan inmediatamente al desconectar el broker o eliminar la cuenta.
Logs de uso: máximo 90 días, después se eliminan automáticamente.

7. Medidas de seguridad

Cifrado en tránsito (TLS 1.3) y en reposo (AES-256)
Autenticación con tokens JWT firmados; contraseñas con bcrypt (Supabase Auth)
Credenciales de broker cifradas con AES-256-GCM con clave exclusiva del servidor
Row Level Security (RLS) en todas las tablas — cada usuario solo accede a sus propios datos
Operaciones de escritura restringidas a RPCs con SECURITY DEFINER y validación de propiedad
Rate limiting en endpoints sensibles (pagos, conexiones, alertas)
Headers de seguridad: CSP, HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff
Validación de cuerpo de request (tamaño máximo 64 KB / 256 KB webhooks)
Nunca almacenamos datos de tarjeta — los pagos se procesan íntegramente por Stripe (PCI DSS Nivel 1)

8. Tus derechos (RGPD)

Como usuario tienes derecho a:

Derecho	Descripción
Acceso (art. 15)	Obtener confirmación de si tratamos tus datos y acceder a una copia.
Rectificación (art. 16)	Corregir datos inexactos o incompletos.
Supresión (art. 17)	Solicitar la eliminación de tus datos ("derecho al olvido").
Portabilidad (art. 20)	Recibir tus datos en formato estructurado y legible (CSV/JSON).
Limitación (art. 18)	Solicitar la limitación del tratamiento en ciertos supuestos.
Oposición (art. 21)	Oponerte al tratamiento basado en interés legítimo.
Retirar consentimiento	En cualquier momento, sin que afecte a la licitud del tratamiento previo.

Para ejercer cualquier derecho, escribe a privacidad@micartera.app. Responderemos en un plazo máximo de 30 días.

Si consideras que el tratamiento de tus datos vulnera la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) — www.aepd.es.

9. Cookies y almacenamiento local

MiCartera utiliza únicamente cookies técnicas y almacenamiento local estrictamente necesarios para el funcionamiento de la aplicación:

Nombre	Tipo	Finalidad	Duración
sb-*-auth-token	Técnica	Sesión de autenticación (Supabase)	Sesión / 7 días
search_filter	Preferencia	Recordar filtro seleccionado (acciones/crypto)	Persistente

No utilizamos cookies de terceros, cookies publicitarias ni herramientas de rastreo (Google Analytics, Facebook Pixel, etc.). No realizamos fingerprinting del navegador.

10. Menores de edad

MiCartera no está dirigido a menores de 16 años. No recogemos conscientemente datos de menores. Si descubrimos que un menor se ha registrado, eliminaremos su cuenta y datos de forma inmediata.

11. Informes fiscales puntuales

Además del servicio de suscripción descrito en las secciones anteriores, MiCartera ofrece un servicio de informe fiscal puntual (pago único) para compradores que no son usuarios registrados del servicio principal. Cuando contratas un informe fiscal puntual, el tratamiento de tus datos se rige por las siguientes condiciones específicas, adicionales a las generales de esta Política.

11.1 Datos tratados

Para generar el informe, MiCartera trata los datos de operaciones que el titular aporta voluntariamente (mediante CSV de su broker o formulario manual), junto con su email, su dirección IP en el momento del pago y la evidencia de consentimiento a los Términos y Condiciones del Informe (versión aceptada y momento de la aceptación). No se crea cuenta de usuario en los sistemas de MiCartera.

11.2 Base jurídica

El tratamiento se ampara en la ejecución del contrato de compra del informe (art. 6.1.b RGPD). La conservación posterior a la vida útil del servicio responde a una obligación legal (art. 6.1.c RGPD) — plazos detallados más abajo.

11.3 Encargados del tratamiento

Se utilizan únicamente los subprocesadores ya descritos en la §4, limitados a los aplicables a este flujo:

Supabase Inc. — almacenamiento del informe generado y de los datos aportados por el titular (UE, Frankfurt).
Stripe Inc. — procesamiento del pago puntual de 19 € (UE, Irlanda; PCI DSS Nivel 1).
Resend Inc. — envío del email de confirmación con el enlace al informe.
Vercel Inc. — hosting y ejecución serverless.

No se utilizan los proveedores de datos de mercado (Finnhub, CoinGecko) para este flujo: el informe se calcula íntegramente a partir de los datos que el titular aporta.

11.4 Plazos de conservación

Los datos del informe se conservan durante 90 días naturales desde la fecha de pago, para permitir al titular acceder y descargar el informe (cláusula 6 de los Términos y Condiciones del Informe). Transcurridos los 90 días, el acceso al informe se cierra y los datos pasan a un estado de archivo inaccesible durante 4 años adicionales, por requerimientos fiscales y de auditoría (Ley 58/2003 General Tributaria, art. 66 — prescripción de 4 años), antes de ser eliminados definitivamente.

11.5 Derechos del titular

Aplican íntegramente los derechos RGPD descritos en la §8. Para ejercerlos como comprador puntual, contacta a privacidad@micartera.app identificando el identificador del informe (calculoId) y el email de compra.

Los Términos y Condiciones específicos del informe puntual están disponibles en /terminos-informe-fiscal.

12. Cambios en esta política

Nos reservamos el derecho de modificar esta política. Cualquier cambio relevante será notificado por email a los usuarios registrados con al menos 15 días de antelación. La fecha de "última actualización" en la parte superior reflejará siempre la versión vigente.

13. Contacto

Para cualquier consulta relacionada con la protección de datos: privacidad@micartera.app