Harcio

Política de privacidad

Fecha de vigencia: 2026-05-03

Esta Política de privacidad explica cómo Harcio («Harcio», «nosotros») recopila, utiliza, almacena y comparte los datos personales tratados al usar nuestro servicio de reparto de gastos de viaje. Se ha elaborado conforme a la Ley turca n.º 6698 de Protección de Datos Personales (KVKK) y al Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

1. Responsable del tratamiento

Harcio actúa como responsable del tratamiento y opera desde Turquía. Para cualquier duda, solicitud o reclamación sobre privacidad, contáctanos en [email protected].

2. Datos que recopilamos

Al crear tu cuenta y usar el servicio, recopilamos:

  • Información de cuenta: dirección de correo, hash de la contraseña, nombre y - al iniciar sesión con Google - la URL de tu foto de perfil.
  • Contenido de los viajes: nombre del viaje, descripción, moneda, lista de participantes, gastos (importe, descripción, categoría, fecha), configuración de reparto, fotos de los recibos y, opcionalmente, datos de IBAN de tu cuenta.
  • Datos de notificación: endpoints y claves de suscripción push (p256dh, auth) para web push, o tokens de dispositivo para push nativo iOS/Android.
  • Registros técnicos: dirección IP, user agent y marca de tiempo registrados durante los intentos de inicio de sesión y las llamadas a la API. Estos registros se procesan únicamente con fines de seguridad, prevención de abusos y auditoría.

3. Finalidades y bases legales

Tratamos tus datos con los siguientes fines:

  • Prestación del servicio y mantenimiento de tu cuenta.
  • Autenticación y gestión de sesiones.
  • Envío de notificaciones (push, correo) según tus preferencias.
  • Seguridad, detección de fraudes y abusos, y cumplimiento de obligaciones legales.
  • Mejora de la calidad del servicio y depuración.

El tratamiento se basa en la ejecución del contrato, el interés legítimo y - en funciones opcionales como las preferencias de notificación - tu consentimiento explícito.

4. Dónde almacenamos los datos

Todos los datos personales se almacenan en nuestra infraestructura Supabase autoalojada (PostgreSQL + Storage) que se ejecuta en nuestros propios servidores en Turquía. Los datos no se mantienen en ningún proveedor cloud externo; solo la aplicación Next.js está expuesta a Internet a través de un túnel Cloudflare.

5. Servicios de terceros

Los siguientes terceros pueden recibir datos limitados para operar el servicio:

  • Google OAuth: al elegir «Continuar con Google» para autenticarte.
  • Apple Sign-In: al elegir «Continuar con Apple» para autenticarte.
  • Frankfurter API (api.frankfurter.dev): para obtener tipos de cambio basados en datos del Banco Central Europeo para gastos multimoneda. No se comparten datos personales.
  • TCMB (tcmb.gov.tr): utilizado como fuente de tipos de cambio de respaldo para pares de divisas que incluyen TRY. No se comparten datos personales.
  • Servicios web push VAPID: el proveedor push de tu navegador (p. ej. Mozilla, Google) para entregar notificaciones web.
  • Apple Push Notification service (APNs) y Firebase Cloud Messaging (FCM): para notificaciones push móviles.

6. Conservación

Conservamos tus datos mientras tu cuenta permanezca activa. Al eliminar tu cuenta, la información personalmente identificable (correo, nombre, foto de perfil, IBAN) se borra de inmediato. Los datos operativos restantes (p. ej. el historial de los viajes en los que has participado) se eliminan de forma permanente en un plazo máximo de 30 días mediante una tarea cron automatizada.

7. Tus derechos según KVKK y RGPD

Como persona interesada, tienes derecho a:

  • Solicitar acceso a tus datos personales.
  • Rectificar datos incorrectos o incompletos.
  • Solicitar la eliminación de tus datos. Puedes iniciar el proceso desde Ajustes › Cuenta › Eliminar cuenta.
  • Oponerte a determinadas actividades de tratamiento.
  • Solicitar la portabilidad de tus datos.
  • Retirar el consentimiento en cualquier momento para los tratamientos basados en él.

Envía tus solicitudes a [email protected]; respondemos en un plazo de 30 días.

8. Privacidad de menores

Harcio no está diseñado para usuarios menores de 13 años. Si descubrimos que un usuario menor de 13 años ha proporcionado datos, cerraremos la cuenta y eliminaremos los datos relacionados.

9. Cookies y almacenamiento local

  • Cookie de sesión de NextAuth: necesaria para la gestión de sesiones; se establece con las marcas HttpOnly, Secure y SameSite=Lax.
  • Preferencia de tema: tu elección «Claro / Oscuro / Sistema» se guarda en el localStorage del navegador y nunca se envía al servidor.

10. Cambios en esta política

Podemos actualizar esta política de vez en cuando. Los cambios importantes se anuncian por correo electrónico a tu dirección registrada y mediante un banner en la aplicación. El campo «Fecha de vigencia» se actualiza con cada cambio.

11. Contacto

Para cualquier pregunta o solicitud sobre esta política o tus datos personales, contáctanos en [email protected].