Aviso legal

El Responsable del tratamiento de tus datos personales es Roberto Galati, persona física con sede en Italia, que opera Essential City Info.

Email de contacto para cualquier solicitud relativa a la privacidad: support@essentialcityinfo.com.

No estamos legalmente obligados a designar un Delegado de Protección de Datos (DPO) según el art. 37 RGPD; el contacto anterior gestiona todas las solicitudes en los plazos legales.

Datos de cuenta (si decides registrarte): email, contraseña (almacenada solo como hash con sal por nuestro proveedor de autenticación), nombre visible, nacionalidad (opcional), idioma preferido.

Datos de uso: páginas del Servicio que visitas, idioma, tipo de dispositivo, identificadores de sesión anónimos.

Datos técnicos: dirección IP (usada por los proveedores de hosting estrictamente para seguridad y entrega, no conservada por nosotros de forma identificable), user-agent del navegador, diagnóstico básico de fallos.

Datos de geolocalización: ubicación aproximada o precisa, solo si concedes permiso explícito al navegador. La ubicación se procesa en tu dispositivo para calcular distancias y NO se almacena en nuestros servidores.

Favoritos y preferencias: identificadores de puntos de interés marcados como favoritos, guardados localmente en tu dispositivo (localStorage) y, si has iniciado sesión, sincronizados opcionalmente a tu cuenta.

Datos de feedback: texto opcional que envías voluntariamente (ej. "reportar dato erróneo").

NO recogemos conscientemente categorías especiales de datos (art. 9 RGPD) como salud, religión, opiniones políticas, datos biométricos, etc.

Prestación del Servicio (mostrar puntos de interés cercanos, ZTL, transporte, avisos) — base jurídica: ejecución de un contrato (art. 6(1)(b) RGPD) y nuestro interés legítimo en operar el Servicio (art. 6(1)(f)).

Autenticación y gestión de cuenta — base jurídica: ejecución de un contrato (art. 6(1)(b)).

Funciones de geolocalización — base jurídica: tu consentimiento explícito (art. 6(1)(a)), revocable en cualquier momento desde los ajustes del navegador/dispositivo.

Seguridad, prevención de fraude, mitigación de abusos — base jurídica: interés legítimo (art. 6(1)(f)).

Analytics y mejora del producto (si y cuando estén activados) — base jurídica: tu consentimiento (art. 6(1)(a)) recogido vía banner de cookies.

Cumplimiento de obligaciones legales (ej. responder a requerimientos legítimos de autoridades competentes) — base jurídica: obligación legal (art. 6(1)(c)).

Gestión de feedback o solicitudes de soporte — base jurídica: interés legítimo (art. 6(1)(f)).

Empleamos los siguientes encargados (sub-encargados) que actúan según nuestras instrucciones documentadas conforme al art. 28 RGPD:

Supabase (base de datos, autenticación, storage de archivos) — operado por Supabase Inc., infraestructura en regiones UE cuando esté disponible. Acuerdo de tratamiento y Cláusulas Contractuales Tipo (CCT) en vigor para cualquier componente fuera del EEE.

Cloudflare (CDN, hosting edge, protección DDoS) — operado por Cloudflare Inc., EE.UU. CCT en vigor.

Lovable (plataforma de desarrollo y despliegue) — operada por Lovable AB, Suecia (UE).

Paddle (Merchant of Record, procesamiento de pagos, facturación, cumplimiento fiscal, emisión de recibos, prevención de fraude, reembolsos y atención al cliente para pedidos de pago) — operado por Paddle.com Market Limited, Reino Unido, y sus afiliadas. Cuando compras Premium, se comparten con Paddle los siguientes datos personales: nombre, dirección de correo electrónico, dirección de facturación, dirección IP, país, detalles del método de pago e información de la transacción. Paddle actúa como responsable autónomo del tratamiento para los datos de pago. Consulta la Política de Privacidad de Paddle en https://www.paddle.com/legal/privacy y los Buyer Terms en https://www.paddle.com/legal/checkout-buyer-terms.

Fuentes públicas/open-data que MOSTRAMOS (no les transmitimos tus datos personales): Roma Capitale, ATAC, Roma Mobilità, OpenStreetMap, Salutelazio, Protezione Civile, MIT, ARPA Lazio, Aviación Civil. Son fuentes de las que leemos, no destinos a los que enviamos.

NO vendemos, alquilamos ni cedemos tus datos personales a anunciantes, data brokers ni terceros con o sin contraprestación.

Tus datos se almacenan principalmente en infraestructura ubicada en la Unión Europea. Cuando algún encargado opere servidores fuera del EEE, las transferencias están protegidas por las garantías apropiadas del Capítulo V RGPD, esto es, decisiones de adecuación de la Comisión Europea, Cláusulas Contractuales Tipo (CCT) y medidas suplementarias (cifrado en tránsito y en reposo).

Para usuarios del Reino Unido se aplican garantías equivalentes mediante UK IDTA o UK Addendum a las CCT.

Datos de cuenta: conservados mientras la cuenta esté activa y hasta 30 días tras solicitud de eliminación, salvo obligaciones legales más largas (ej. contables o defensa jurídica).

Geolocalización: NO conservada — procesada en tiempo real y descartada.

Favoritos: hasta que los borres tú o elimines la cuenta.

Logs de servidor: hasta 30 días para seguridad y depuración, luego eliminados o anonimizados automáticamente.

Copias de seguridad: backups cifrados pueden persistir hasta 30 días adicionales antes de la rotación.

Feedback/correspondencia de soporte: hasta 24 meses desde la última interacción.

Derecho de acceso (art. 15) — obtener copia de tus datos.

Derecho de rectificación (art. 16) — corregir datos inexactos.

Derecho de supresión / "derecho al olvido" (art. 17) — solicitar la eliminación.

Derecho de limitación (art. 18) — limitar el uso de tus datos.

Derecho a la portabilidad (art. 20) — recibir tus datos en formato estructurado y legible por máquina.

Derecho de oposición (art. 21) — oponerte al tratamiento basado en interés legítimo.

Derecho a retirar el consentimiento en cualquier momento, sin afectar la licitud del tratamiento previo basado en el consentimiento.

Derecho a no ser objeto de decisiones automatizadas (art. 22) — NO realizamos decisiones automatizadas con efectos jurídicos o significativos sobre ti.

Derecho a presentar reclamación ante una autoridad de control. España: Agencia Española de Protección de Datos (AEPD) — www.aepd.es. Italia: Garante — www.garanteprivacy.it. Otros países UE: tu DPA nacional. Reino Unido: ICO — ico.org.uk.

Para ejercer cualquier derecho, escribe a support@essentialcityinfo.com. Responderemos en 30 días (prorrogables 60 para solicitudes complejas, con aviso). Podemos solicitar prueba de identidad para evitar solicitudes fraudulentas.

Si eres residente en California tienes derecho a: (a) saber qué información personal recogemos, usamos, divulgamos; (b) eliminar información personal; (c) corregir información inexacta; (d) oponerte a la "venta" o "compartición" de tu información personal; (e) limitar el uso de información personal sensible; (f) no sufrir discriminación por ejercer tus derechos.

NO vendemos ni compartimos información personal con fines de publicidad comportamental cross-context según la definición del CPRA.

Para ejercer derechos CCPA/CPRA escribe a support@essentialcityinfo.com con asunto "California Privacy Request". Verificaremos tu identidad antes de proceder.

Implementamos medidas técnicas y organizativas adecuadas según el art. 32 RGPD, incluyendo: cifrado en tránsito (TLS 1.2+), cifrado en reposo de la base de datos, control de acceso basado en roles, políticas Row-Level Security en cada tabla, contraseñas con hash (bcrypt/argon2), revisiones periódicas de seguridad, principio de mínimo privilegio y cabeceras de seguridad (HSTS, X-Frame-Options, CSP cuando aplique).

Ningún sistema puede garantizar seguridad absoluta. En caso de violación de datos personales que suponga un riesgo para tus derechos y libertades, lo notificaremos a la autoridad de control competente en 72 horas y, si el riesgo es alto, también a los usuarios afectados sin demora indebida (arts. 33-34 RGPD).

El Servicio no está destinado y no debe ser usado por menores de 16 años en la UE/EEE, 13 en EE.UU./Reino Unido, o la edad mínima equivalente en tu jurisdicción. No recogemos conscientemente datos personales de menores. Si crees que un menor nos ha facilitado datos personales, contacta support@essentialcityinfo.com y procederemos a su eliminación inmediata.

Utilizamos un conjunto mínimo de localStorage/cookies estrictamente necesarios (ej. idioma, token de sesión, favoritos). En el futuro podríamos introducir analytics first-party; en tal caso se mostrará un banner de consentimiento y el tratamiento quedará suspendido hasta tu aceptación. Consulta la Política de Cookies separada para los detalles.

El Servicio contiene enlaces a sitios y servicios de terceros (ej. Google Maps, Roma Mobilità, ATAC, sitios de embajadas). No somos responsables del contenido, prácticas de privacidad o términos de dichos terceros. Revisa sus respectivas políticas antes de interactuar.

Podemos actualizar esta Política para reflejar cambios normativos, tecnológicos o de nuestras prácticas. La fecha "Última actualización" arriba reflejará la revisión más reciente. Para cambios sustanciales daremos aviso in-app, por email (si tienes cuenta) o mediante aviso destacado en el sitio. El uso continuado tras dicho aviso constituye aceptación.

Preguntas, reclamaciones, solicitudes: support@essentialcityinfo.com.

Dirección postal disponible bajo solicitud escrita al email anterior.