Política de Privacidad

Resumen

CompoundVision es una aplicación de calculadoras financieras. Nuestro nivel gratuito se ejecuta completamente en tu navegador — nada de lo que introduces se transmite a nuestros servidores. Nuestro nivel Pro sincroniza opcionalmente tu portfolio entre dispositivos mediante un blob cifrado de extremo a extremo (no podemos leer tus datos). Las suscripciones Pro las vende CompoundVision y los pagos se procesan a través de Stripe. Mostramos anuncios en páginas gratuitas gestionados por la Plataforma de Gestión de Consentimiento de Google para usuarios en EEE/UK/CH/California.

1. Responsable del tratamiento

El sitio compoundvision.app es operado por un desarrollador independiente. Para cualquier consulta de privacidad, solicitud RGPD o eliminación de datos, escribe a support@compoundvision.app. Respondemos en menos de 48 horas (normalmente menos de 24h para suscriptores Pro).

2. Nivel gratuito: qué datos permanecen en tu dispositivo

Nunca recopilamos en nuestros servidores (nivel gratuito):

• Entradas, salidas o resultados de cualquier calculadora (interés compuesto, hipoteca, DCA, FIRE, crypto profit, impermanent loss, etc.) — todo computado en cliente con JavaScript.
• Gráficos que generes (Chart.js los renderiza localmente desde tus entradas).

Almacenado solo en tu dispositivo:

• cv-theme — tu tema de colores seleccionado.
• cv-locale — tu preferencia de idioma (en/es).
• Tu elección de consentimiento de cookies, almacenada por el CMP de Google.

3. Nivel Pro: qué datos procesamos en servidores

Cuando compras una licencia Pro y activas la sincronización, ocurre lo siguiente. El precio actual se muestra siempre en la página Pro.

• Cifrado en cliente: tus datos de portfolio (posiciones, transacciones, gastos, inmuebles, etc.) se cifran en tu navegador con AES-256-GCM usando una clave derivada de tu licencia mediante PBKDF2 (310.000 iteraciones). El servidor solo ve un blob cifrado opaco — no podemos descifrarlo.
• Almacenamiento del blob cifrado: guardamos el blob cifrado en Cloudflare R2 (almacenamiento de objetos). El blob se indexa por SHA-256 de tu clave de licencia. Solo un dispositivo con tu clave puede descifrarlo.
• Registros de licencia: tu clave de licencia y metadatos asociados (ID de cliente Stripe, ID de suscripción, estado, plan, fecha de creación) se almacenan en Cloudflare KV. Esto es necesario para verificar tu acceso Pro y gestionar cancelaciones/contracargos.
• Clave de licencia: almacenada en localStorage en tu dispositivo; verificada contra nuestro servidor vía /api/verify.
• Email (opcional): si activas la recuperación por email durante el checkout, almacenamos un hash con clave de tu dirección de email (HMAC-SHA256 con un secreto "pepper" del servidor) en Cloudflare KV, mapeado a tu(s) clave(s) de licencia. Esto es pseudonimización conforme al RGPD: si nuestro KV es accedido sin el secreto del servidor por separado, tu email no se puede recuperar mediante ataques de diccionario ni rainbow tables. El email en texto plano solo se usa transitoriamente — en el checkout para entregarte tu clave, y en la recuperación para enviarte de vuelta tu clave al email que proporciones — y nunca se persiste. Puedes solicitar la eliminación de este mapeo en cualquier momento (ver Sección 8).
• Sin anuncios en páginas Pro: los usuarios Pro no ven anuncios y Google AdSense no se carga en páginas de herramientas Pro.

4. Base jurídica (RGPD Art. 6)

• Ejecución de contrato (Art. 6(1)(b)): procesamiento necesario para el servicio Pro.
• Consentimiento (Art. 6(1)(a)): cookies publicitarias en páginas gratuitas. Retirable en cualquier momento.
• Interés legítimo (Art. 6(1)(f)): cookies necesarias, prevención de fraude y telemetría anónima.

5. Servicios de terceros

Proveedores externos, incluido Google, usan cookies para mostrar anuncios basados en las visitas previas del usuario a este sitio web o a otros. El uso que Google hace de las cookies publicitarias le permite a esta empresa y a sus socios publicar anuncios en función de la visita de los usuarios a este sitio o a otros sitios web. Los usuarios pueden inhabilitar la publicidad personalizada visitando Configuración de anuncios de Google. Como alternativa, los usuarios pueden inhabilitar el uso de cookies para publicidad personalizada por parte de un proveedor externo visitando www.aboutads.info.

Encargados de tratamiento y transferencias internacionales

Los terceros listados a continuación tratan datos limitados por nuestra cuenta. Todos los encargados con sede en EE. UU. están certificados bajo el Marco de Privacidad de Datos UE-EE. UU. (DPF), mecanismo de transferencia legal desde julio de 2023. Las suscripciones Pro de CompoundVision se procesan a través de Stripe; el flujo de datos se describe en la Sección 5.1 anterior.

Derecho de oposición (RGPD Art. 21): puedes oponerte a cualquier tratamiento basado en interés legítimo en cualquier momento contactándonos por el formulario del pie. Derecho a retirar el consentimiento (RGPD Art. 7(3)): puedes retirar el consentimiento en cualquier momento a través del banner de cookies (reaparece al limpiar el localStorage de este sitio). La retirada no afecta a la licitud del tratamiento anterior.

5.1 Stripe (procesador de pagos, solo Pro)

Las suscripciones Pro las vende CompoundVision (operado por Marco B., España) y los pagos se procesan a través de Stripe (Stripe Payments Europe Ltd., Dublín, Irlanda para clientes de la UE; Stripe, Inc., San Francisco, EE.UU. en caso contrario). Stripe es nuestro procesador de pagos. Los datos de tu tarjeta nunca tocan nuestros servidores: Stripe gestiona todos los datos de tarjeta cumpliendo con PCI-DSS. De Stripe recibimos tu ID de cliente Stripe, ID de suscripción, plan, estado y (vía los metadatos que aceptas) tu dirección de email para la entrega de la licencia y la recuperación. Stripe, por su parte, retiene el nombre del titular, la dirección de facturación, los datos del método de pago y los datos de la transacción según su política de privacidad.

5.1b Resend (envío de emails, solo Pro)

Si activas la recuperación por email, los emails transaccionales (entrega de clave de licencia, emails de recuperación) se envían mediante Resend. Resend es nuestro encargado del tratamiento para envío de emails; tenemos un DPA con ellos. Los emails se envían desde noreply@compoundvision.app y contienen tu clave de licencia. Resend registra metadatos de entrega (destinatario/remitente/asunto/marca temporal/estado) según su política de retención.

5.2 Google AdSense (solo páginas gratuitas)

Los anuncios los sirve Google AdSense (ID de publisher ca-pub-8761907366448308) SOLO en páginas gratuitas. Google establece cookies como __gads, __gpi, IDE para medir el rendimiento de anuncios y, con tu consentimiento, personalizarlos.

• Política de Privacidad de Google
• Cómo usa Google las cookies publicitarias
• Controlar personalización de anuncios
• Tus Decisiones en Línea (opt-out UE)

5.3 Google Funding Choices (CMP)

Usamos el CMP certificado de Google para recopilar y gestionar el consentimiento publicitario según exigen GDPR, la Directiva ePrivacy y CCPA. El CMP solo se muestra a usuarios en regiones reguladas.

5.4 APIs de datos financieros

Para mostrar precios de crypto, acciones y divisas, proxieamos peticiones a las siguientes APIs públicas:

• CoinGecko — precios de crypto (no se envían datos personales)
• Financial Modeling Prep (FMP) — datos de acciones/ETFs (no se envían datos personales)
• Frankfurter — tasas de cambio (no se envían datos personales)

5.5 Cloudflare

Sitio alojado en Cloudflare Pages. Los blobs Pro cifrados se almacenan en Cloudflare R2 (almacenamiento de objetos). Los registros de licencia se almacenan en Cloudflare KV. Cloudflare Insights recopila métricas agregadas anónimas. Cloudflare es nuestro encargado de hosting y almacenamiento. Consulta la política de privacidad de Cloudflare.

5.6 Formspree (formulario de feedback)

El formulario de feedback funciona con Formspree. Solo se transmite el texto que escribes.

6. Transferencias internacionales

Stripe, Google, Cloudflare, Formspree y las APIs de datos financieros tienen sede en EE.UU. (o infraestructura en EE.UU.) con operaciones globales. Los datos pueden transferirse y procesarse en Estados Unidos bajo el Marco de Privacidad de Datos UE-EE.UU. y/o Cláusulas Contractuales Tipo (SCCs).

7. Retención

• Nivel gratuito: no se almacenan datos personales en servidores.
• Blobs cifrados Pro (R2): retenidos mientras la licencia esté activa y 90 días tras la cancelación de la suscripción (periodo de gracia para renovación), luego purgados. Puedes solicitar la eliminación anticipada en cualquier momento.
• Registros de licencia (KV): la clave de licencia, ID de cliente Stripe, ID de suscripción, plan y estado se conservan durante la suscripción. Tras la cancelación, conservamos un registro mínimo (ID de cliente Stripe, ID de suscripción, marca temporal de cancelación) hasta 7 años según exigen la ley fiscal y contable española (trazabilidad de facturas).
• Email de recuperación (si se activó): almacenado como hash HMAC-SHA256 con clave (no en texto plano) en KV mientras al menos una de tus licencias esté activa. Eliminado tras solicitud de supresión RGPD o cuando todas tus licencias se cancelen permanentemente.
• Registros de transacciones Stripe: retenidos por Stripe según su política (normalmente 7 años por cumplimiento y procesamiento de pagos).
• Logs de entrega de emails Resend: retenidos por Resend según su política (normalmente 30 días).

8. Tus derechos (RGPD Art. 15-22, 77)

Si eres residente de EEE/UK (RGPD), tienes derecho a:

• Acceder, rectificar y suprimir tus datos personales (Art. 15-17)
• Limitar u oponerte al tratamiento (Art. 18, 21)
• Portabilidad de datos (Art. 20) — usuarios Pro pueden exportar su portfolio descifrado desde la app en cualquier momento
• Retirar el consentimiento (Art. 7(3)) mediante el enlace "Cookies" del pie
• Presentar reclamación ante tu autoridad de control (Art. 77). Para España: AEPD

Para ejercer derechos que requieren acción por nuestra parte (supresión de cuenta Pro, acceso a registros de licencia), escribe a support@compoundvision.app. Respondemos en menos de 48h y completamos la mayoría de solicitudes en 7 días; el máximo del RGPD Art. 12(3) es 30 días.

9. Residentes de California (CCPA/CPRA)

No "vendemos" ni "compartimos" información personal. El CMP de Google gestiona la señal CCPA para usuarios de California. Ejerce tus derechos mediante el enlace "Cookies" del pie.

10. Privacidad infantil

Este servicio no está dirigido a menores de 13 años (COPPA) ni 16 (RGPD Art. 8). No recopilamos conscientemente datos de menores. Las compras Pro requieren mayoría de edad.

11. No es asesoramiento financiero

CompoundVision es solo una herramienta de cálculo. Nada de lo mostrado constituye asesoramiento financiero, de inversión, fiscal o legal. Consulta siempre a un profesional cualificado antes de tomar decisiones financieras.

12. Cambios en esta política

Podemos actualizar esta política conforme evolucione el servicio o cambien los requisitos legales. Los cambios sustanciales se anunciarán mediante aviso en la parte superior durante 30 días.

13. Contacto

Para consultas relacionadas con privacidad, solicitudes RGPD (acceso, rectificación, supresión, portabilidad) o preguntas generales sobre esta política, escribe a support@compoundvision.app.

Tiempos de respuesta:

• Consultas generales: menos de 48 horas
• Suscriptores Pro: prioridad, normalmente menos de 24 horas
• Solicitudes de derechos RGPD: máximo 30 días (Art. 12(3)), normalmente mucho más rápido

También puedes usar el formulario de feedback en el pie de cualquier página para asuntos no urgentes.