← Inicio

Política de privacidad

Última actualización: 6 de julio de 2026

Fecha de última actualización: 6 de julio de 2026

En cumplimiento del principio de transparencia consagrado en el artículo 12 del Reglamento (UE) 2016/679 (RGPD), la presente Política de Privacidad tiene por objeto informar de manera concisa, inteligible, de fácil acceso y con un lenguaje claro y sencillo a los usuarios de EvoMIR —la aplicación web y la extensión de navegador destinadas a la preparación del examen MIR por estudiantes de medicina— acerca de cómo se recaban, tratan, conservan, protegen y, en su caso, comunican sus datos personales, así como acerca de los derechos que les asisten y de los cauces disponibles para su ejercicio.


1. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO Y CONTACTO EN MATERIA DE PROTECCIÓN DE DATOS

1.1. Identidad y datos de contacto del Responsable del Tratamiento

De conformidad con lo dispuesto en el artículo 4.7 y en el artículo 13.1.a) del RGPD, así como en el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ("LOPDGDD"), se informa a los usuarios de que el Responsable del Tratamiento de los datos personales recabados a través del servicio EvoMIR (el "Servicio"), entendiendo por tal tanto el sitio web como la extensión de navegador para Google Chrome y cualesquiera funcionalidades de backend asociadas, es:

1.2. Ausencia de Delegado de Protección de Datos formalmente designado y canal de contacto alternativo

En atención a la naturaleza, el alcance, el contexto y los fines del tratamiento efectuado, el Responsable del Tratamiento no se encuentra legalmente obligado a la designación de un Delegado de Protección de Datos (DPO) conforme al artículo 37.1 RGPD y al artículo 34 LOPDGDD, no habiéndose procedido a su nombramiento formal. No obstante, el propio Titular asume de forma directa y personal las funciones de punto de contacto en materia de protección de datos, canalizando a través de contacto@praxilia.com cuantas consultas, solicitudes de ejercicio de derechos, reclamaciones o incidencias relacionadas con el tratamiento de datos personales que los usuarios deseen formular. El Titular se compromete a reevaluar periódicamente la procedencia de dicha designación conforme evolucione el Servicio.

1.3. Ámbito de aplicación de la presente Política

La presente Política resulta de aplicación a la totalidad de los tratamientos de datos personales derivados de: (i) el acceso, navegación, registro y uso del sitio web de EvoMIR; (ii) la instalación, configuración y utilización de la extensión de navegador para Google Chrome (Manifest V3); (iii) cualesquiera funcionalidades del backend del Servicio; y (iv) cualquier otra vía de contacto o interacción del usuario con el Titular en relación con el Servicio. Se dirige, con carácter general, a estudiantes de medicina y demás personas físicas usuarias del Servicio residentes en España, sin perjuicio de su aplicabilidad a cualesquiera otros usuarios conforme a los criterios de aplicación territorial del artículo 3 RGPD.

1.4. Relación con los Términos y Condiciones de Servicio y otros avisos legales

La presente Política debe interpretarse de forma conjunta e integrada con los Términos y Condiciones de Servicio de EvoMIR y con cualesquiera otros avisos legales o cláusulas informativas específicas. En caso de contradicción entre esta Política y un aviso informativo específico y posterior, prevalecerá dicho aviso exclusivamente respecto del tratamiento al que se refiera.

1.5. Compromiso general de cumplimiento normativo

El Titular manifiesta su compromiso de dar cumplimiento al RGPD, a la LOPDGDD y a cuantas guías y criterios emitidos por la AEPD y el CEPD resulten de aplicación, comprometiéndose a aplicar los principios del artículo 5 RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; y responsabilidad proactiva (accountability).


2. MARCO NORMATIVO APLICABLE Y DEFINICIONES

2.1. Normativa aplicable de referencia

2.1.1. Reglamento (UE) 2016/679 (RGPD).

2.1.2. Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD).

2.1.3. Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico ("LSSI-CE"), en particular en lo relativo a cookies (art. 22.2).

2.1.4. Artículos 7 y 84 LOPDGDD, en materia de protección de menores en el entorno digital.

2.1.5. Cualesquiera otras disposiciones legales o reglamentarias de la UE o de España que resulten aplicables, incluyendo guías y directrices de la AEPD y del Comité Europeo de Protección de Datos (CEPD).

2.2. Definiciones

2.2.1. "Datos personales": toda información sobre una persona física identificada o identificable.

2.2.2. "Tratamiento": cualquier operación o conjunto de operaciones sobre datos personales.

2.2.3. "Responsable del tratamiento": Guillermo Nimubona Castrillo.

2.2.4. "Encargado del tratamiento": los proveedores de infraestructura tecnológica que traten datos personales por cuenta del Titular en virtud de contratos de encargo (art. 28 RGPD).

2.2.5. "Interesado": la persona física usuaria del Servicio.

2.2.6. "Consentimiento del interesado": toda manifestación de voluntad libre, específica, informada e inequívoca del interesado.

2.2.7. "Seudonimización": tratamiento de datos personales de manera que ya no puedan atribuirse a un interesado sin utilizar información adicional conservada por separado.

2.2.8. "Elaboración de perfiles": tratamiento automatizado de datos personales para evaluar aspectos personales de una persona física, categoría en la que se incluye el sistema de trust score/antifraude del Servicio (desarrollado en las Secciones 5 y 10).

2.2.9. "Violación de la seguridad de los datos personales": destrucción, pérdida, alteración o comunicación/acceso no autorizados a datos personales.

2.2.10. "Destinatario" y 2.2.11. "Tercero": conforme a las definiciones del art. 4 RGPD.

2.2.12. "Transferencia internacional de datos": todo tratamiento que suponga la transmisión de datos personales fuera del Espacio Económico Europeo (EEE).

2.3. Autoridad de control competente

El interesado tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6, 28001 Madrid — www.aepd.es, con independencia de cualquier otra vía administrativa o judicial.


3. CATEGORÍAS DE DATOS PERSONALES OBJETO DE TRATAMIENTO

3.1. Datos de identificación y perfil de usuario.

3.1.1. Correo electrónico — obtenido automáticamente vía Google OAuth/Firebase Authentication.

3.1.2. Nombre y apellidos — proporcionados directamente por el usuario en el registro.

3.1.3. Nombre de usuario (username) — elegido por el usuario; público, visible en clasificaciones y rankings.

3.1.4. Fecha de nacimiento completa — proporcionada por el usuario, con la única finalidad de verificar la edad mínima de 14 años.

3.1.5. Fotografía de perfil (photoURL) — obtenida automáticamente de la cuenta de Google.

3.1.6. Identificadores internos: UID de Firebase; identificador de "academia" (valor fijo "cto"); campos opcionales de edición/expediente/grupo de estudio.

Valoración: datos de identificación ordinarios, no incluidos en categorías especiales del art. 9 RGPD.

3.2. Datos de comportamiento de estudio.

Generados automáticamente por el uso de la Extensión sobre la Plataforma de Origen (campus-app.grupocto.com, "CTO Medicina"):

3.2.1. Por cada pregunta respondida: identificador de pregunta, enunciado completo, opciones de respuesta, opción elegida, opción correcta, asignatura/tema/subtema, dificultad, si fue anulada, fuente (desglose/autoeval/simulacro/evaluación), marca de tiempo exacta.

3.2.2. Puntuación gamificada ("netas") y acumulados diario/semanal/mensual/total.

3.2.3. Estado de progreso por pregunta (repetición espaciada).

3.2.4. Estadísticas diarias agregadas por asignatura.

3.2.5. Rachas de estudio y rachas de aciertos consecutivos.

3.2.6. Horarios de estudio (franja horaria, día de la semana) para desbloqueo de logros.

3.2.7. Logros desbloqueados y fecha.

3.2.8. Participación en clasificaciones públicas (username + puntuación visibles).

3.2.9. Simulacros de examen completados.

Valoración: aunque el contenido académico verse sobre materias médicas, ello no convierte al usuario-estudiante en titular de un dato de salud propio (art. 9 RGPD), por no informar sobre su estado de salud sino sobre su desempeño académico. No obstante, se aplican medidas de seguridad reforzadas por prudencia.

3.3. Datos derivados del sistema de prevención de fraude (trust score).

Generados automáticamente, sin intervención del usuario:

3.3.1. Trust score (0-100, inicial 50).

3.3.2. Señales de anomalía: velocidad, precisión sospechosa, desincronización de reloj, "poisoning", ráfagas en cuentas nuevas — con severidad, ocurrencias y fecha.

3.3.3. Estado de shadowban y motivo.

Valoración: no son categorías especiales del art. 9 RGPD; al derivar de tratamiento automatizado con efectos sobre el usuario, se les dotan de las garantías del art. 22 RGPD (ver Sección 10.3).

3.4. Datos técnicos y de dispositivo.

3.4.1. IP — capturada indirectamente por Google Cloud/Firebase y reCAPTCHA v3, no almacenada explícitamente por EvoMIR.

3.4.2. User-Agent — capturado en informes de error (Sentry) y logs de Google Cloud.

3.4.3. Identificadores de sesión y tokens de autenticación (Firebase Authentication).

3.4.4. Datos en chrome.storage.local de la Extensión: estado de autenticación, nombre/email de Google, estadísticas de últimos 7 días, racha, cola de eventos pendientes de sincronización.

3.4.5. Contenido de preguntas descargado por adelantado (prefetch) dentro del propio cuestionario del usuario.

3.5. Datos de errores y diagnóstico técnico.

3.5.1. Trazas de pila (Sentry), con sanitización basada en patrones (no infalible al 100%) que intenta filtrar respuestas, preguntas, tokens y cookies.

3.5.2. Informes de error que pueden generar incidencias en un repositorio privado de GitHub.

3.6. Conclusión general sobre categorías especiales de datos.

El Servicio no trata, con carácter general, categorías especiales de datos del art. 9.1 RGPD. El hecho de que el contenido académico verse sobre ciencias de la salud no determina que el usuario se convierta en titular de un dato de salud propio.


4. ORIGEN DE LOS DATOS Y MODO DE RECOPILACIÓN

4.1. Fuentes de origen de los datos.

4.1.1. Datos proporcionados directamente por el usuario (nombre, apellidos, fecha de nacimiento, username).

4.1.2. Datos obtenidos automáticamente de la cuenta de Google (email, nombre, foto) vía OAuth.

4.1.3. Datos capturados automáticamente por la Extensión mediante interceptación de la interacción del propio usuario con la Plataforma de Origen.

4.1.4. Datos generados internamente por los algoritmos del Servicio (netas, trust score, logros, repetición espaciada).

4.1.5. Datos generados por sistemas de IA de terceros (OpenAI) para clasificación temática y adjudicación de respuesta correcta.

4.2. Funcionamiento técnico de la Extensión como mecanismo de recopilación.

4.2.1. La Extensión se instala voluntariamente y su activación queda sujeta al consentimiento informado del usuario.

4.2.2. Opera mediante intercepción, en el propio navegador del usuario y dentro de su propia sesión autenticada, de las solicitudes de red (fetch/XHR) generadas por la navegación ordinaria del usuario en la Plataforma de Origen, sin iniciar, simular ni automatizar ninguna interacción.

4.2.3. No accede a cuentas ni datos de otros usuarios de la Plataforma de Origen; opera exclusivamente sobre la sesión legítima del propio usuario.

4.2.4. EvoMIR no recaba datos "directamente" de CTO Medicina como fuente contractual: la recopilación se produce de forma mediata a través de la interacción legítima del propio usuario, que es la fuente real del dato.

4.2.5. La captura se limita a los datos necesarios para las finalidades de la Sección 3, sin extenderse a ninguna otra funcionalidad de la Plataforma de Origen.

4.3. EvoMIR como responsable único del tratamiento respecto de estos datos.

4.3.1. EvoMIR es responsable único del tratamiento (art. 4.7 RGPD) de la totalidad de los datos descritos en la Sección 3.

4.3.2. No existe relación de encargo de tratamiento (art. 28 RGPD) entre EvoMIR y CTO Medicina.

4.3.3. Tampoco existe corresponsabilidad (art. 26 RGPD): EvoMIR determina en solitario fines y medios; CTO Medicina no participa en el diseño del Servicio ni recibe los datos capturados por la Extensión.

4.3.4. En consecuencia, EvoMIR asume en solitario todas las obligaciones de responsable del tratamiento respecto de estos datos.

4.3.5. Ello se entiende sin perjuicio de las obligaciones propias e independientes de CTO Medicina como responsable de los datos que el usuario le proporciona directamente al usar su plataforma, regidas por la propia política de privacidad de dicha entidad.


5. FINALIDADES DEL TRATAMIENTO Y BASES JURÍDICAS

5.1. Consideraciones generales sobre las bases jurídicas del tratamiento

5.1.1. Todo tratamiento exige una base jurídica válida conforme al art. 6.1 RGPD. El Responsable ha identificado individualmente la base jurídica de cada finalidad, desarrollada en los apartados 5.2 a 5.11.

5.1.2–5.1.8. Cuando la base sea el consentimiento (art. 6.1.a), este cumple los requisitos de validez del art. 4.11 y 7 RGPD (salvo la advertencia específica del apartado 5.10). Cuando sea la ejecución de contrato (art. 6.1.b), se refiere al contrato constituido por la aceptación de los Términos. Cuando sea el cumplimiento de obligación legal (art. 6.1.c), se identifica la norma correspondiente. Cuando sea el interés legítimo (art. 6.1.f), se realiza el correspondiente test de ponderación.

5.2. Gestión del registro, autenticación y administración de la cuenta

Datos: identificador Google OAuth, email, nombre, username, foto de perfil. Base jurídica: ejecución de contrato (art. 6.1.b RGPD) — necesario para prestar el Servicio solicitado.

5.3. Verificación de la edad mínima de acceso

Dato: fecha de nacimiento, con la única finalidad de verificar 14+ años conforme al art. 7 LOPDGDD. Base jurídica: cumplimiento de obligación legal (art. 6.1.c) en relación con el art. 7 LOPDGDD, y ejecución de contrato (art. 6.1.b).

5.4. Prestación de las funcionalidades sustantivas del Servicio

Cálculo de netas, progreso por asignatura, repetición espaciada, rachas, logros, clasificaciones/rankings. Base jurídica: ejecución de contrato (art. 6.1.b RGPD).

5.5. Prevención del fraude y del abuso del sistema (trust score, detección de anomalías, shadowban)

Base jurídica: interés legítimo del Responsable (art. 6.1.f RGPD). Test de ponderación: (a) interés legítimo real en preservar la integridad del sistema de puntuación y la confianza de la comunidad de usuarios; (b) necesidad — no existe alternativa razonablemente menos invasiva dada la naturaleza técnica de la detección de fraude; (c) proporcionalidad — las consecuencias (ocultación de rankings) son limitadas, revisadas por humanos, y con derecho de reclamación, por lo que el interés legítimo no resulta desplazado por los derechos del interesado. Precisión sobre el art. 22 RGPD: la decisión final de shadowban no es plenamente automatizada, al incorporar intervención humana significativa previa a su aplicación efectiva.

5.6. Clasificación temática y adjudicación de respuestas mediante IA de terceros (OpenAI)

Base jurídica: interés legítimo (art. 6.1.f) y ejecución de contrato (art. 6.1.b). El contenido remitido a OpenAI es el enunciado/opciones de la pregunta, no datos identificativos del usuario.

5.7. Comunicaciones relacionadas con el Servicio

Avisos técnicos, cambios en Términos/Política de Privacidad, notificaciones de seguridad. Base jurídica: ejecución de contrato (art. 6.1.b) y cumplimiento de obligación legal de información (art. 6.1.c). No ampara comunicaciones comerciales de terceros, que requerirían consentimiento separado conforme al art. 21 LSSI-CE.

5.8. Cumplimiento de obligaciones legales

Atención de derechos ARCO-POL, requerimientos de autoridades, obligaciones fiscales/mercantiles futuras. Base jurídica: cumplimiento de obligación legal (art. 6.1.c RGPD).

5.9. Elaboración de estadísticas internas y mejora del Servicio

Analítica de producto, detección de errores (Sentry), mejora de algoritmos. Base jurídica: interés legítimo (art. 6.1.f), con test de ponderación favorable dada la aplicación de seudonimización y agregación en la medida técnicamente viable.

5.10. CESIÓN Y VENTA A TERCEROS DE DATOS DE COMPORTAMIENTO SEUDONIMIZADOS Y ESTADÍSTICAS AGREGADAS/ANONIMIZADAS CON FINES COMERCIALES

5.10.1. Descripción: el Responsable se reserva la posibilidad de ceder o comercializar, con contrapartida económica, datos de comportamiento seudonimizados y estadísticas agregadas/anonimizadas, en favor de: (i) entidades EdTech, academias e instituciones educativas; (ii) entidades de investigación académica/científica, compañías farmacéuticas, y empleadores/reclutadores del sector salud. El detalle completo (destinatarios, exclusiones, transferencias internacionales) se desarrolla en la Sección 6.

5.10.2. Base jurídica declarada: consentimiento (art. 6.1.a RGPD), entendido prestado mediante la aceptación conjunta de los Términos y de esta Política en el registro.

5.10.3. NOTA TÉCNICA DE CUMPLIMIENTO — ADVERTENCIA:

5.10.3.1. El art. 4.11 RGPD exige que el consentimiento sea "libre, específico, informado e inequívoco"; el art. 7.2 RGPD exige que, en el contexto de una declaración que se refiera también a otros asuntos, la solicitud se distinga claramente; el Considerando 32 rechaza el consentimiento por silencio, casillas premarcadas o inacción.

5.10.3.2. Un consentimiento recabado de forma genérica dentro de la aceptación conjunta de Términos y Política de Privacidad —sin acción afirmativa separada y específica para esta finalidad— presenta un riesgo cierto de no ser reputado válido por la AEPD o los tribunales para esta finalidad concreta, dada su naturaleza especialmente sensible (monetización de datos de comportamiento académico).

5.10.3.3. El Responsable recomienda encarecidamente y se compromete a evaluar la implementación de un mecanismo de consentimiento granular y separado (opt-in específico), aprovechando el campo consents.data_sale ya previsto en el modelo de datos del backend.

5.10.3.4. Esta advertencia no implica reconocimiento de incumplimiento actual, sino un ejercicio de responsabilidad proactiva (accountability, art. 5.2 RGPD).

5.10.4. El usuario puede retirar este consentimiento en cualquier momento (ver Sección 6.4 y Sección 8), sin efecto retroactivo sobre cesiones ya realizadas lícitamente, y sin que afecte al resto de funcionalidades del Servicio.

5.11. Personalización de la experiencia de usuario

Adaptación de dificultad, recomendaciones de estudio. Base jurídica: ejecución de contrato (art. 6.1.b), subsidiariamente interés legítimo (art. 6.1.f).

5.12. Consecuencias de la falta de facilitación de determinados datos

5.12.1. La falta de fecha de nacimiento impide verificar la edad mínima y, por tanto, completar el registro.

5.12.2. La falta de autorización de los permisos de Google OAuth impide la creación de la cuenta.

5.12.3. La oposición al tratamiento antifraude (Sección 5.5) puede determinar la exclusión de funcionalidades competitivas, sin afectar al resto del Servicio.

5.12.4. La retirada del consentimiento a la cesión de datos (Sección 5.10) no afecta a la posibilidad de continuar usando el resto del Servicio con normalidad.


6. COMUNICACIÓN, CESIÓN Y VENTA DE DATOS A TERCEROS. TRANSFERENCIAS INTERNACIONALES

6.1. Consideraciones generales

6.1.1. Se distinguen dos categorías de destinatarios: (a) Encargados del tratamiento — proveedores tecnológicos que tratan datos por cuenta del Responsable (art. 28 RGPD), que no son "terceros" a efectos de venta comercial; y (b) Cesionarios o terceros responsables independientes — entidades que reciben datos seudonimizados/anonimizados para sus propios fines, en el marco de una cesión onerosa.

6.1.2. Esta sección detalla: alcance de los datos cedidos, categorías de destinatarios, finalidades permitidas, base jurídica y advertencias, mecanismos de oposición/revocación, encargados de tratamiento tecnológicos, y transferencias internacionales.

6.1.3. Esta es, a criterio del propio Responsable, la parte más sensible de esta Política.

6.1.4. Ninguna comunicación descrita en esta sección alcanza a categorías especiales de datos (art. 9 RGPD) ni implica decisiones automatizadas con efectos jurídicos (art. 22 RGPD).

6.2. Cesión y venta de datos a terceros con fines comerciales

6.2.1. Alcance objetivo — datos susceptibles de cesión/venta onerosa:

6.2.1.1. Datos de comportamiento y estudio seudonimizados (art. 4.5 RGPD): historial de respuestas, aciertos/fallos, tiempos, rachas, horarios, progreso por asignatura, logros — vinculados a un identificador interno alfanumérico, sin nombre, apellidos, email ni fecha de nacimiento en el dataset cedido.

6.2.1.2. Estadísticas y datos agregados/anonimizados sin posibilidad razonable de reidentificación (Considerando 26 RGPD).

6.2.2. Exclusión expresa — datos identificativos directos: nombre, apellidos, email, fecha de nacimiento y fotografía de perfil nunca se ceden ni venden a los destinatarios comerciales del apartado 6.2.3.

6.2.3. Categorías de destinatarios/cesionarios comerciales: (i) entidades EdTech, academias de preparación MIR e instituciones educativas; (ii) entidades de investigación académica/científica, compañías farmacéuticas, y empleadores/reclutadores del sector salud.

6.2.4. Finalidades permitidas: estudios de mercado; investigación académica/científica; desarrollo de producto educativo; elaboración de perfiles agregados por cohortes; actividades análogas — sin tratamiento ulterior incompatible.

6.2.5. Prohibición contractual de reidentificación: se impone contractualmente a todo cesionario la prohibición absoluta de intentar reidentificar interesados, de cruzar el dataset con otras fuentes, de ceder a su vez los datos a terceros no autorizados, y de usarlos para decisiones individuales automatizadas.

6.2.6. Obligaciones contractuales impuestas a los cesionarios: confidencialidad, limitación de finalidad, medidas de seguridad adecuadas (art. 32 RGPD), limitación temporal de conservación, colaboración con el Responsable para atender derechos de los interesados.

6.3. Advertencia de cumplimiento normativo sobre la base jurídica del consentimiento

ADVERTENCIA DE CUMPLIMIENTO NORMATIVO

6.3.1. Base jurídica declarada: consentimiento (art. 6.1.a RGPD) mediante la aceptación conjunta de Términos y Política de Privacidad en el registro.

6.3.2. El modelo actual de aceptación conjunta, sin checkbox específico y separado, presenta un riesgo significativo de no satisfacer el estándar de especificidad, granularidad y separabilidad exigido por el art. 4.11 RGPD, el Considerando 32, y las Directrices 05/2020 del EDPB sobre el consentimiento (que exigen acción afirmativa clara, consentimiento específico por finalidad, y no vinculación/bundling con la prestación del Servicio). Los datos seudonimizados siguen siendo datos personales (art. 4.5 y Considerando 26 RGPD).

6.3.3. El backend ya contempla el campo consents.data_sale (booleano, versionado, revocable) para una futura gestión granular.

6.3.4. El Responsable recomienda la implantación de un opt-in específico y separado, declara su intención de implementarlo en plazo razonable, y deja constancia de que esta advertencia no implica reconocimiento de incumplimiento actual ni renuncia a la validez de la base jurídica declarada.

6.4. Derecho de oposición/revocación específico para esta cesión

6.4.1. El usuario puede revocar/oponerse específicamente a esta cesión en cualquier momento, sin justificación, escribiendo a contacto@praxilia.com.

6.4.2. El ejercicio de este derecho: (i) no afecta al resto de funcionalidades del Servicio; (ii) surte efectos solo hacia el futuro (ex nunc), sin retroactividad sobre cesiones ya realizadas lícitamente; (iii) será atendido sin dilación indebida; (iv) es compatible con el resto de derechos de la Sección 8.

6.5. Encargados de tratamiento y proveedores tecnológicos

6.5.1.1. Google LLC / Google Ireland Limited (Firebase/GCP): autenticación, Firestore (europe-southwest1), Cloud Functions, App Check/reCAPTCHA v3, Cloud Logging, Cloud Error Reporting.

6.5.1.2. OpenAI, L.L.C. (EEUU): enunciado/opciones de preguntas (sin datos identificativos) para embeddings (text-embedding-3-small) y adjudicación (gpt-5.4).

6.5.1.3. OpenRouter, Inc. (EEUU): fallback de embeddings.

6.5.1.4. Sentry (Functional Software, Inc.) (EEUU): monitorización de errores, con sanitización imperfecta.

6.5.1.5. GitHub, Inc. (Microsoft; EEUU/Irlanda): incidencias técnicas en repositorio privado.

6.5.2. Estos encargados tratan datos solo para las finalidades técnicas descritas, bajo contratos de encargo con obligaciones de confidencialidad, seguridad y devolución/supresión (art. 28.3 RGPD).

6.6. Transferencias internacionales de datos fuera del EEE

6.6.1. Determinados encargados están establecidos, o tratan datos, fuera del EEE (principalmente EEUU), lo que constituye transferencia internacional (Capítulo V RGPD).

6.6.2. Garantías aplicables: (i) Cláusulas contractuales tipo de la Comisión Europea (Decisión de Ejecución (UE) 2021/914); y/o (ii) adhesión al EU-U.S. Data Privacy Framework (Decisión de Ejecución de la Comisión de 10 de julio de 2023).

6.6.3. Transferencias concretas: Google (App Check/reCAPTCHA, posibles señales fuera del EEE); OpenAI (enunciados/opciones de preguntas, sin identificadores directos); OpenRouter (igual que OpenAI); Sentry (diagnóstico de errores); GitHub (incidencias técnicas) — todas amparadas en CCT y/o Data Privacy Framework según la certificación vigente de cada proveedor en cada momento.

6.6.4. El marco de garantías puede variar en el tiempo (certificaciones, pronunciamientos del TJUE, decisiones de la Comisión); el Responsable mantendrá actualizada esta información y aplicará en todo caso el mecanismo legalmente exigible.

6.6.5. En ausencia sobrevenida de garantía válida, el Responsable adoptará las medidas del Capítulo V RGPD, pudiendo suspender la transferencia afectada.

6.7. Derecho del interesado a obtener copia de las garantías aplicadas

6.7.1. Conforme al art. 15.2 RGPD, el interesado puede solicitar copia de las cláusulas contractuales tipo suscritas, información sobre certificaciones DPF vigentes, y cualquier otra información razonable sobre las garantías, dirigiéndose a contacto@praxilia.com, atendida en el plazo máximo de un mes (prorrogable conforme al art. 12.3 RGPD).


7. PLAZO DE CONSERVACIÓN DE LOS DATOS

7.1. Criterios generales aplicados. Conforme al art. 5.1.e) RGPD, los datos se conservan solo el tiempo necesario según: (i) la subsistencia de la cuenta activa; (ii) un margen razonable de defensa frente a reclamaciones (plazo general de prescripción de acciones personales del art. 1964.2 Código Civil español: 5 años; el Responsable limita voluntariamente este margen a 3 años); y (iii) obligaciones legales de conservación, actualmente inexistentes al no haber facturación.

7.2. Datos identificativos y de comportamiento vinculados a un usuario identificado. Se conservan mientras la cuenta esté activa, y 3 años adicionales tras la baja si no se ejerció el derecho de supresión, exclusivamente para atender reclamaciones. Transcurrido dicho plazo sin incidencia, se suprimen o anonimizan irreversiblemente.

7.3. Datos de señales de fraude, trust score y candidaturas a shadowban. Mismas reglas temporales que el apartado 7.2, por compartir la misma finalidad probatoria/defensiva ligada al interés legítimo antifraude.

7.4. Tensión entre el plazo general y el derecho de supresión inmediata. El plazo de 3 años es un máximo por defecto, aplicable solo si el usuario se da de baja sin ejercer expresamente su derecho de supresión. El derecho de supresión (art. 17 RGPD) prevalece y puede ejercitarse en cualquier momento, salvo excepciones tasadas del art. 17.3 RGPD (actualmente inaplicables al no existir obligación legal de facturación). La función de autoservicio "eliminar mi cuenta" ejecuta de forma inmediata y automatizada: borrado de perfil y subcolecciones (eventos, qstate, logros, estadísticas diarias, señales de fraude, candidatura a shadowban), purga de rankings, y borrado de la cuenta de autenticación. Tras el borrado, se conserva únicamente un marcador anónimo interno de la baja, sin datos identificativos, con fines de auditoría, conservable indefinidamente por no ser dato personal.

7.5. Datos agregados o anonimizados. Al no permitir reidentificación razonable (Considerando 26 RGPD), dejan de ser datos personales y se conservan indefinidamente.

7.6. Registros técnicos de infraestructura de terceros. Google Cloud Logging: ~30 días (política estándar del proveedor). Sentry: ~90 días (política estándar del proveedor). Estos plazos son los aplicados por defecto y pueden variar según configuración de cada proveedor.

7.7. Revisión periódica. El Responsable revisará periódicamente esta política de conservación y su implementación técnica efectiva.


8. DERECHOS DE LOS INTERESADOS Y PROCEDIMIENTO PARA SU EJERCICIO

8.1. Consideraciones generales. Canal de ejercicio: contacto@praxilia.com, salvo funcionalidades de autoservicio ya implementadas. El Responsable podrá verificar la identidad del solicitante. Plazo de respuesta: 1 mes, prorrogable 2 meses adicionales en casos complejos (art. 12.3 RGPD). Ejercicio gratuito, salvo solicitudes manifiestamente infundadas o excesivas (art. 12.5 RGPD).

8.2. Derecho de acceso (art. 15 RGPD). Satisfecho mediante la función ya implementada exportMyDataFn (perfil, eventos/respuestas, estado de preguntas, estadísticas diarias, puntuaciones, tests consumidos), o por correo electrónico.

8.3. Derecho de rectificación (art. 16 RGPD). Mediante solicitud por correo electrónico, al no existir aún autoservicio dedicado para todos los campos.

8.4. Derecho de supresión (art. 17 RGPD). Satisfecho mediante deleteMyAccountFn (borrado inmediato de perfil, subcolecciones, señales de fraude, candidatura a shadowban, purga de rankings, borrado de cuenta de autenticación en modalidad "best-effort" por dependencia de terceros). Este derecho prevalece sobre el plazo de conservación de 3 años del apartado 7.2/7.4.

8.5. Derecho a la limitación del tratamiento (art. 18 RGPD). Mediante solicitud por correo electrónico.

8.6. Derecho de oposición (art. 21 RGPD). Incluye expresamente: (i) oposición al tratamiento antifraude basado en interés legítimo (trust score/shadowban); y (ii) oposición a la cesión de datos a terceros (remisión a Sección 6.4).

8.7. Derecho a la portabilidad (art. 20 RGPD). Satisfecho mediante la misma función exportMyDataFn.

8.8. Derecho a no ser objeto de decisiones automatizadas (art. 22 RGPD). El sistema de trust score/shadowban incorpora intervención humana significativa previa a cualquier medida definitiva, por lo que no se considera decisión "únicamente automatizada"; no obstante, se ofrece este derecho por precaución, incluyendo intervención humana, expresión de punto de vista, e impugnación.

8.9. Derecho a retirar el consentimiento (art. 7.3 RGPD). Sin efecto retroactivo sobre el tratamiento previo a la retirada.

8.10. Derecho a reclamar ante la AEPD (art. 77 RGPD). C/ Jorge Juan, 6, 28001 Madrid — www.aepd.es, sin necesidad de agotar previamente ninguna vía frente al Responsable.


9. PROTECCIÓN DE MENORES DE EDAD

9.1. Edad mínima y fundamento legal. 14 años, conforme al art. 7 LOPDGDD (en relación con el art. 8 RGPD, que permite a los Estados fijar el umbral entre 13 y 16 años).

9.2. Declaración responsable y limitaciones de la verificación. La verificación se realiza actualmente solo en el cliente/frontend (cálculo a partir de la fecha declarada), sin verificación adicional en el backend ni mediante documentación acreditativa. El Responsable no puede garantizar con certeza absoluta que ningún usuario haya falseado su fecha de nacimiento, y se compromete a evaluar mecanismos reforzados en el futuro.

9.3. Actuación ante el conocimiento de incumplimiento. Ante conocimiento efectivo de un registro de un menor de 14 años: (a) suspensión cautelar inmediata; (b) cancelación de cuenta y supresión de datos, salvo obligación legal en contrario; (c) posible conservación de un registro mínimo para prevenir reincidencia; (d) comunicación a los padres/tutores que se hubieran dirigido al Responsable.

9.4. Recomendaciones a padres/tutores de usuarios de 14 a 17 años. Con carácter meramente informativo y no vinculante (no exigible dado que la LOPDGDD permite el consentimiento propio desde los 14 años): diálogo sobre el uso del Servicio, revisión conjunta de la configuración de privacidad, supervisión del tiempo de uso, contacto con el Responsable ante dudas.

9.5. Canal específico para padres/tutores. contacto@praxilia.com, pudiendo el Responsable requerir acreditación de la relación de patria potestad/tutela antes de atender la solicitud.


10. SEGURIDAD DE LOS DATOS, COOKIES Y TECNOLOGÍAS SIMILARES, ELABORACIÓN DE PERFILES, MODIFICACIONES DE LA POLÍTICA

10.1. Medidas técnicas y organizativas de seguridad. Control de acceso mediante reglas de seguridad de Firestore; cifrado en tránsito (HTTPS/TLS) y en reposo (estándar GCP); sanitización de logs/informes de error (imperfecta, basada en patrones); deduplicación mediante "nonce" único por evento; protección anti-bot (Firebase App Check + reCAPTCHA v3). Ningún sistema es absolutamente inexpugnable; el Responsable revisa y mejora estas medidas periódicamente.

10.2. Cookies y tecnologías de almacenamiento local.

10.2.1. Cookies/almacenamiento de Firebase Authentication: técnicos/funcionales, estrictamente necesarios, exentos del consentimiento previo del art. 22.2 LSSI-CE.

10.2.2. sessionStorage para el fallback de login con Google (detección de popup bloqueado): finalidad estrictamente técnica.

10.2.3. chrome.storage.local de la Extensión: preferencias, estado de sesión, datos de progreso, no accesible por otros sitios/extensiones.

10.2.4. No se ha detectado el uso de Google Analytics ni píxeles publicitarios de terceros a la fecha de esta Política. El Responsable se reserva el derecho a incorporarlos en el futuro, comprometiéndose entonces a: actualizar esta Política, implementar un gestor de consentimiento de cookies, y solicitar consentimiento previo conforme al art. 22.2 LSSI-CE.

10.3. Elaboración de perfiles (profiling). El sistema de trust score/detección de anomalías constituye profiling (art. 4.4 RGPD), con base jurídica y ponderación desarrolladas en la Sección 5.5. No genera decisiones plenamente automatizadas (intervención humana previa a medidas definitivas). El usuario puede solicitar información sobre la lógica aplicada (art. 13.2.f RGPD), que el Responsable facilitará sin comprometer la eficacia del sistema antifraude.

10.4. Notificación de violaciones de seguridad. Notificación a la AEPD en el plazo de 72 horas (art. 33 RGPD) cuando exista riesgo para los derechos y libertades; comunicación directa a los interesados cuando el riesgo sea alto (art. 34 RGPD), salvo excepciones (p. ej., datos cifrados e ininteligibles).

10.5. Modificaciones de la presente Política. El Responsable puede modificarla en cualquier momento, publicando la versión vigente con fecha de actualización. Cambios sustanciales se notificarán con antelación razonable; cuando afecten a finalidades que requieran consentimiento específico, se recabará dicho consentimiento antes de aplicar el cambio a los datos ya tratados.

10.6. Legislación aplicable y fuero. RGPD, LOPDGDD y LSSI-CE; reclamaciones ante la AEPD; sumisión a los Juzgados y Tribunales españoles.

10.7. Contacto. Guillermo Nimubona Castrillocontacto@praxilia.com.

Términos de usoPolítica de privacidadMi cuenta (GDPR)