Política de Privacidad

Última actualización: 27 de febrero de 2026

1. Responsable del tratamiento

MiCartera
Responsable: Ángel Molín
Contacto: privacidad@micartera.app

MiCartera ("nosotros", "la plataforma") se compromete a proteger la privacidad de sus usuarios conforme al Reglamento General de Protección de Datos (RGPD — Reglamento UE 2016/679) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

2. Datos personales que recogemos

Categoría	Datos	Finalidad
Cuenta	Email, contraseña (hash), fecha de registro	Autenticación y gestión de la cuenta
Financieros	Operaciones de compra/venta, dividendos, lotes FIFO, precios, movimientos de efectivo	Cálculo de P/L, informe fiscal IRPF, alertas, análisis de cartera
Suscripción	ID de cliente Stripe, plan activo, fechas de facturación	Gestión de pagos y acceso a funciones Pro
Conexiones broker	Credenciales API cifradas (AES-256-GCM), ID de conexión	Importación automática de operaciones
Uso	Páginas visitadas, timestamps, tipo de dispositivo	Mejora del servicio y resolución de errores

3. Base jurídica del tratamiento

Ejecución del contrato (art. 6.1.b RGPD): los datos de cuenta, financieros y de suscripción son necesarios para prestar el servicio contratado.
Consentimiento (art. 6.1.a RGPD): el envío de alertas por email y comunicaciones opcionales requiere tu consentimiento explícito, que puedes retirar en cualquier momento.
Interés legítimo (art. 6.1.f RGPD): análisis agregado de uso para mejorar el producto, siempre que no prevalezcan tus derechos fundamentales.
Obligación legal (art. 6.1.c RGPD): conservamos registros de facturación conforme a la normativa fiscal española.

4. Encargados del tratamiento (subprocesadores)

Proveedor	Función	Ubicación
Supabase Inc.	Base de datos, autenticación, almacenamiento	UE (Frankfurt, AWS eu-central-1)
Vercel Inc.	Hosting, CDN, ejecución serverless	Global (edge más cercano, datos en UE)
Stripe Inc.	Procesamiento de pagos	UE (Irlanda) — certificado PCI DSS Nivel 1
Resend Inc.	Envío de emails transaccionales (alertas)	EE.UU. — DPF certificado
Finnhub / CoinGecko	Datos de precios de mercado	EE.UU. / Global — solo datos públicos de mercado

Todos los subprocesadores están vinculados por cláusulas contractuales tipo (SCCs) o disponen de certificación bajo el EU-US Data Privacy Framework cuando tratan datos fuera del EEE.

5. Transferencias internacionales de datos

La base de datos principal (Supabase) se aloja en la Unión Europea. Cuando es necesario transferir datos a proveedores fuera del EEE (Resend, Finnhub), nos apoyamos en cláusulas contractuales tipo aprobadas por la Comisión Europea (Decisión 2021/914) y/o en la certificación del proveedor bajo el EU-US Data Privacy Framework.

6. Plazos de conservación

Datos de cuenta: mientras mantengas la cuenta activa. Tras la eliminación, se borran en un plazo máximo de 30 días.
Datos financieros: mientras la cuenta esté activa. Se eliminan junto con la cuenta.
Registros de facturación: 5 años desde la última transacción, conforme a la Ley General Tributaria.
Credenciales de broker: cifradas con AES-256-GCM. Se eliminan inmediatamente al desconectar el broker o eliminar la cuenta.
Logs de uso: máximo 90 días, después se eliminan automáticamente.

7. Medidas de seguridad

Cifrado en tránsito (TLS 1.3) y en reposo (AES-256)
Autenticación con tokens JWT firmados; contraseñas con bcrypt (Supabase Auth)
Credenciales de broker cifradas con AES-256-GCM con clave exclusiva del servidor
Row Level Security (RLS) en todas las tablas — cada usuario solo accede a sus propios datos
Operaciones de escritura restringidas a RPCs con SECURITY DEFINER y validación de propiedad
Rate limiting en endpoints sensibles (pagos, conexiones, alertas)
Headers de seguridad: CSP, HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff
Validación de cuerpo de request (tamaño máximo 64 KB / 256 KB webhooks)
Nunca almacenamos datos de tarjeta — los pagos se procesan íntegramente por Stripe (PCI DSS Nivel 1)

8. Tus derechos (RGPD)

Como usuario tienes derecho a:

Derecho	Descripción
Acceso (art. 15)	Obtener confirmación de si tratamos tus datos y acceder a una copia.
Rectificación (art. 16)	Corregir datos inexactos o incompletos.
Supresión (art. 17)	Solicitar la eliminación de tus datos ("derecho al olvido").
Portabilidad (art. 20)	Recibir tus datos en formato estructurado y legible (CSV/JSON).
Limitación (art. 18)	Solicitar la limitación del tratamiento en ciertos supuestos.
Oposición (art. 21)	Oponerte al tratamiento basado en interés legítimo.
Retirar consentimiento	En cualquier momento, sin que afecte a la licitud del tratamiento previo.

Para ejercer cualquier derecho, escribe a privacidad@micartera.app. Responderemos en un plazo máximo de 30 días.

Si consideras que el tratamiento de tus datos vulnera la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) — www.aepd.es.

9. Cookies y almacenamiento local

MiCartera utiliza únicamente cookies técnicas y almacenamiento local estrictamente necesarios para el funcionamiento de la aplicación:

Nombre	Tipo	Finalidad	Duración
sb-*-auth-token	Técnica	Sesión de autenticación (Supabase)	Sesión / 7 días
search_filter	Preferencia	Recordar filtro seleccionado (acciones/crypto)	Persistente

No utilizamos cookies de terceros, cookies publicitarias ni herramientas de rastreo (Google Analytics, Facebook Pixel, etc.). No realizamos fingerprinting del navegador.

10. Menores de edad

MiCartera no está dirigido a menores de 16 años. No recogemos conscientemente datos de menores. Si descubrimos que un menor se ha registrado, eliminaremos su cuenta y datos de forma inmediata.

11. Cambios en esta política

Nos reservamos el derecho de modificar esta política. Cualquier cambio relevante será notificado por email a los usuarios registrados con al menos 15 días de antelación. La fecha de "última actualización" en la parte superior reflejará siempre la versión vigente.

12. Contacto

Para cualquier consulta relacionada con la protección de datos: privacidad@micartera.app