Politica de Privacidad

Ultima actualizacion: 27 de febrero de 2026

1. Responsable del tratamiento

MiCartera
Responsable: Angel Molin
Contacto: privacidad@micartera.app

MiCartera ("nosotros", "la plataforma") se compromete a proteger la privacidad de sus usuarios conforme al Reglamento General de Proteccion de Datos (RGPD — Reglamento UE 2016/679) y a la Ley Organica 3/2018, de 5 de diciembre, de Proteccion de Datos Personales y garantia de los derechos digitales (LOPDGDD).

2. Datos personales que recogemos

Categoria	Datos	Finalidad
Cuenta	Email, contrasena (hash), fecha de registro	Autenticacion y gestion de la cuenta
Financieros	Operaciones de compra/venta, dividendos, lotes FIFO, precios, movimientos de efectivo	Calculo de P/L, informe fiscal IRPF, alertas, analisis de cartera
Suscripcion	ID de cliente Stripe, plan activo, fechas de facturacion	Gestion de pagos y acceso a funciones Pro
Conexiones broker	Credenciales API cifradas (AES-256-GCM), ID de conexion	Importacion automatica de operaciones
Uso	Paginas visitadas, timestamps, tipo de dispositivo	Mejora del servicio y resolucion de errores

3. Base juridica del tratamiento

Ejecucion del contrato (art. 6.1.b RGPD): los datos de cuenta, financieros y de suscripcion son necesarios para prestar el servicio contratado.
Consentimiento (art. 6.1.a RGPD): el envio de alertas por email y comunicaciones opcionales requiere tu consentimiento explicito, que puedes retirar en cualquier momento.
Interes legitimo (art. 6.1.f RGPD): analisis agregado de uso para mejorar el producto, siempre que no prevalezcan tus derechos fundamentales.
Obligacion legal (art. 6.1.c RGPD): conservamos registros de facturacion conforme a la normativa fiscal espanola.

4. Encargados del tratamiento (subprocesadores)

Proveedor	Funcion	Ubicacion
Supabase Inc.	Base de datos, autenticacion, almacenamiento	UE (Frankfurt, AWS eu-central-1)
Vercel Inc.	Hosting, CDN, ejecucion serverless	Global (edge mas cercano, datos en UE)
Stripe Inc.	Procesamiento de pagos	UE (Irlanda) — certificado PCI DSS Nivel 1
Resend Inc.	Envio de emails transaccionales (alertas)	EE.UU. — DPF certificado
Finnhub / CoinGecko	Datos de precios de mercado	EE.UU. / Global — solo datos publicos de mercado

Todos los subprocesadores estan vinculados por clausulas contractuales tipo (SCCs) o disponen de certificacion bajo el EU-US Data Privacy Framework cuando tratan datos fuera del EEE.

5. Transferencias internacionales de datos

La base de datos principal (Supabase) se aloja en la Union Europea. Cuando es necesario transferir datos a proveedores fuera del EEE (Resend, Finnhub), nos apoyamos en clausulas contractuales tipo aprobadas por la Comision Europea (Decision 2021/914) y/o en la certificacion del proveedor bajo el EU-US Data Privacy Framework.

6. Plazos de conservacion

Datos de cuenta: mientras mantengas la cuenta activa. Tras la eliminacion, se borran en un plazo maximo de 30 dias.
Datos financieros: mientras la cuenta este activa. Se eliminan junto con la cuenta.
Registros de facturacion: 5 anos desde la ultima transaccion, conforme a la Ley General Tributaria.
Credenciales de broker: cifradas con AES-256-GCM. Se eliminan inmediatamente al desconectar el broker o eliminar la cuenta.
Logs de uso: maximo 90 dias, despues se eliminan automaticamente.

7. Medidas de seguridad

Cifrado en transito (TLS 1.3) y en reposo (AES-256)
Autenticacion con tokens JWT firmados; contrasenas con bcrypt (Supabase Auth)
Credenciales de broker cifradas con AES-256-GCM con clave exclusiva del servidor
Row Level Security (RLS) en todas las tablas — cada usuario solo accede a sus propios datos
Operaciones de escritura restringidas a RPCs con SECURITY DEFINER y validacion de propiedad
Rate limiting en endpoints sensibles (pagos, conexiones, alertas)
Headers de seguridad: CSP, HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff
Validacion de cuerpo de request (tamanyo maximo 64 KB / 256 KB webhooks)
Nunca almacenamos datos de tarjeta — los pagos se procesan integramente por Stripe (PCI DSS Nivel 1)

8. Tus derechos (RGPD)

Como usuario tienes derecho a:

Derecho	Descripcion
Acceso (art. 15)	Obtener confirmacion de si tratamos tus datos y acceder a una copia.
Rectificacion (art. 16)	Corregir datos inexactos o incompletos.
Supresion (art. 17)	Solicitar la eliminacion de tus datos ("derecho al olvido").
Portabilidad (art. 20)	Recibir tus datos en formato estructurado y legible (CSV/JSON).
Limitacion (art. 18)	Solicitar la limitacion del tratamiento en ciertos supuestos.
Oposicion (art. 21)	Oponerte al tratamiento basado en interes legitimo.
Retirar consentimiento	En cualquier momento, sin que afecte a la licitud del tratamiento previo.

Para ejercer cualquier derecho, escribe a privacidad@micartera.app. Responderemos en un plazo maximo de 30 dias.

Si consideras que el tratamiento de tus datos vulnera la normativa, puedes presentar una reclamacion ante la Agencia Espanola de Proteccion de Datos (AEPD) — www.aepd.es.

9. Cookies y almacenamiento local

MiCartera utiliza unicamente cookies tecnicas y almacenamiento local estrictamente necesarios para el funcionamiento de la aplicacion:

Nombre	Tipo	Finalidad	Duracion
sb-*-auth-token	Tecnica	Sesion de autenticacion (Supabase)	Sesion / 7 dias
search_filter	Preferencia	Recordar filtro seleccionado (acciones/crypto)	Persistente

No utilizamos cookies de terceros, cookies publicitarias ni herramientas de rastreo (Google Analytics, Facebook Pixel, etc.). No realizamos fingerprinting del navegador.

10. Menores de edad

MiCartera no esta dirigido a menores de 16 anos. No recogemos conscientemente datos de menores. Si descubrimos que un menor se ha registrado, eliminaremos su cuenta y datos de forma inmediata.

11. Cambios en esta politica

Nos reservamos el derecho de modificar esta politica. Cualquier cambio relevante sera notificado por email a los usuarios registrados con al menos 15 dias de antelacion. La fecha de "ultima actualizacion" en la parte superior reflejara siempre la version vigente.

12. Contacto

Para cualquier consulta relacionada con la proteccion de datos: privacidad@micartera.app