El responsable del tratamiento de tus datos es el titular de Carnetín. Para cualquier consulta relacionada con protección de datos puedes escribir a hola@carnetin.app.
2. Qué datos tratamos
Datos de cuenta opcional (si creas perfil): nombre de usuario, avatar (emoji o imagen que tú elijas), identificador anónimo generado por la app y token de dispositivo.
Datos de uso educativo: progreso en los mundos, racha, XP, respuestas a preguntas, tiempo por pregunta, sesiones de estudio.
Datos técnicos mínimos: dirección IP (solo para limitar abuso), navegador, idioma. No usamos cookies de seguimiento de terceros.
Datos de profesor / autoescuela (si te registras como profesor): email, contraseña (cifrada con scrypt), nombre de la autoescuela.
Pagos (cuando activemos suscripciones): tramitados directamente por Stripe. No almacenamos números de tarjeta.
No recopilamos datos de geolocalización precisa, audio, vídeo ni lista de contactos.
3. Finalidad y base legal
Ejecución del servicio (art. 6.1.b RGPD): sincronizar tu progreso entre dispositivos, ofrecerte el coach IA, funcionar como PWA.
Interés legítimo (art. 6.1.f RGPD): prevenir el abuso del servicio (rate limiting, detección de fraude), mejorar el producto de forma agregada y anónima.
Consentimiento (art. 6.1.a RGPD): sincronización en la nube si creas un perfil (puedes usar la app sin crearlo).
Ejecución contractual (art. 6.1.b RGPD): suscripciones de pago y gestión de autoescuelas.
4. Plazos de conservación
Progreso sin actividad durante 12 meses: eliminación automática del registro en la nube (tu app local conserva lo que tenga).
Logs de sesión: 180 días.
Datos de autoescuela: mientras la cuenta esté activa. Tras baja, 6 años por obligaciones mercantiles y fiscales.
Logs de rate limit (IP): 24 horas.
5. Destinatarios y encargados del tratamiento
Tus datos se almacenan en proveedores bajo contrato de encargo del tratamiento (art. 28 RGPD):
Hetzner Online GmbH (backend en Alemania): política.
Anthropic PBC (Coach IA, Claude API): solo se envía el texto de la pregunta, sin datos personales. política.
Stripe Payments Europe (pagos, cuando se active): política.
Los datos se procesan dentro del Espacio Económico Europeo (UE) salvo llamadas puntuales al Coach IA, que puede procesarse en EE. UU. bajo cláusulas contractuales tipo aprobadas por la Comisión Europea.
6. Tus derechos
Puedes ejercer los siguientes derechos enviando un email a hola@carnetin.app identificándote con tu ID de usuario:
Acceso: conocer qué datos tenemos sobre ti. Puedes descargarlos directamente desde la app (Perfil → Descargar mis datos).
Rectificación: corregir datos inexactos (editar perfil en la app).
Supresión: eliminar tu cuenta (Perfil → Zona peligrosa → Eliminar cuenta). Es inmediata e irreversible.
Oposición y limitación: oponerte a tratamientos basados en interés legítimo.
Portabilidad: recibir tus datos en formato JSON estructurado (mismo botón "Descargar mis datos").
Carnetín guarda tu progreso en tu propio dispositivo usando localStorage e IndexedDB. Esto no son cookies de seguimiento: son necesarias para el funcionamiento de la app y están exentas del requisito de consentimiento previo del art. 22.2 LSSI. No se comparten con terceros. Puedes borrarlas en cualquier momento desde los ajustes de tu navegador.
8. Menores
Carnetín trata contenido educativo para obtener el permiso B, que en España se puede iniciar a los 17 años. Si eres menor de 14 años, necesitas el consentimiento de tus padres o tutores legales antes de crear un perfil (art. 7 LOPDGDD).
9. Seguridad
Aplicamos medidas técnicas y organizativas razonables: HTTPS obligatorio, contraseñas cifradas con scrypt, tokens de sesión con expiración, cabeceras CSP, rate limiting, backups diarios. Ningún sistema es 100% seguro; te notificaremos cualquier brecha que te afecte en un plazo máximo de 72 horas (art. 34 RGPD).
10. Cambios en esta política
Publicaremos cualquier cambio en esta misma URL con la nueva fecha de actualización. Si el cambio es sustancial te avisaremos dentro de la app.