Volver al home

Privacidad

Qué datos guardamos
y cuáles no.

Versión 2026-05-17 · última actualización: 17/5/2026

1. Responsable del tratamiento

Javier Mancera, autónomo dado de alta en España. NIF y domicilio fiscal constan en la cláusula 10 de los Términos. Marca comercial: Kursear (kursear.es).

Contacto en materia de privacidad: hola@kursear.es. Sin DPO obligatorio (kursear no realiza tratamientos sistemáticos a gran escala de categorías especiales · art. 37 RGPD).

2. Qué datos tratamos y para qué

Sólo los necesarios para que el servicio funcione. Para cada categoría indicamos la base jurídica del art. 6 RGPD:

  • Email + contraseña (autenticación) · base: ejecución del contrato (art. 6.1.b).
  • Respuestas del diagnóstico (12-13 campos sobre tu objetivo, nivel, tiempo y recursos) · base: ejecución del contrato. Las usamos para generar tu formación personalizada.
  • Manual + plan de 30 días + conversaciones con el Profesor IA · base: ejecución del contrato.
  • Evidencias diarias (imágenes, links, textos, métricas que tú subes voluntariamente) · base: ejecución del contrato + consentimiento expreso para procesamiento por IA verificador.
  • Datos de pago: nosotros NO vemos tu tarjeta. Lemon Squeezy (Merchant of Record EU) procesa el pago y nos envía confirmación + IVA. Sólo guardamos `order_id` y el email de facturación.
  • Métricas de uso de The Game (XP, rachas, logros) · base: ejecución del contrato.
  • Cookies y analítica · base: consentimiento (cookies opcionales) + interés legítimo (analítica anónima Plausible).

3. Sub-procesadores

Para prestar el servicio compartimos parte de tus datos con los siguientes proveedores, cada uno actuando como encargado o sub-encargado de tratamiento bajo contrato firmado (DPA art. 28 RGPD). Lista pública y siempre actualizada:

Ver listado completo de sub-procesadores

4. Transferencia internacional a EEUU (Anthropic)

La generación de tu formación y la verificación de tus evidencias utilizan modelos Claude de Anthropic, PBC (San Francisco, EEUU). Esto implica una transferencia internacional de datos personales a un país tercero. Para cumplir con los arts. 44-50 RGPD nos apoyamos en:

  • Cláusulas Contractuales Tipo (SCC) de la Comisión Europea, Decisión 2021/914, módulo 3 (procesador UE → sub-procesador no UE).
  • Adhesión de Anthropic al Data Privacy Framework UE-EEUU (decisión de adecuación 2023/1795).
  • Compromiso contractual de Anthropic de NO entrenar sus modelos con los inputs/outputs de la API (Commercial Terms of Service).

Tus evidencias se almacenan cifradas en reposo en Supabase EU (Frankfurt). A Anthropic se transmiten exclusivamente durante la verificación. Si no consientes esta transferencia, no podemos prestarte el servicio · puedes ejercer tu derecho de oposición y solicitar el borrado total.

5. Decisión automatizada (art. 22 RGPD + EU AI Act)

Cada evidencia que subes la evalúa un verificador basado en IA (Anthropic Claude Haiku 4.5). Su decisión (`verified` / `rejected`) afecta a tu derecho a la garantía 100% condicional, a la entrega del artefacto firmado y a tu posición en la cohorte.

Tienes derecho a:

  • Conocer la lógica aplicada y los criterios de aceptación de cada día (publicados en tu plan).
  • Impugnar la decisión mediante apelación humana desde tu dashboard.
  • Plazo de apelación: 14 días naturales desde la decisión.
  • SLA de respuesta humana: 7 días laborables.

Bajo el EU AI Act (Reglamento 2024/1689) clasificamos este sistema como limited risk · informamos al usuario antes de cada interacción IA (transparencia art. 50) y mantenemos el control humano sobre cualquier consecuencia material.

6. Retención de datos (art. 5.1.e RGPD)

No guardamos datos indefinidamente. Política aplicada por el cron diario `/api/cron/storage-cleanup`:

  • Evidencias `verified`: borradas 12 meses tras la finalización del curso (excepto el resumen anonimizado para el artefacto firmado).
  • Evidencias `rejected`: borradas 3 meses tras la decisión.
  • Evidencias `failed` (error técnico): borradas 30 días tras la decisión.
  • Evidencias atascadas (`pending` / `verifying` más de 7 días): borradas como limpieza.
  • Cuenta inactiva sin login durante 24 meses: avisamos por email · si no hay actividad en 30 días borramos automáticamente.
  • Datos fiscales / pagos: conservados 4 años (Ley General Tributaria) + 6 años (Código de Comercio).

7. Tus derechos (arts. 15 a 22 RGPD)

Acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento y revisión humana de decisiones automatizadas. Dos vías para ejercerlos:

  • Botón en tu dashboard ( /account/settings) · self-service para Exportar mis datos (JSON · art. 20) y Borrar mi cuenta (art. 17).
  • Email a hola@kursear.es con asunto “DSAR · [tu derecho]” · resolvemos en ≤ 30 días naturales (art. 12.3 RGPD) · prorrogable a 2 meses para solicitudes complejas con aviso previo.

Excepción importante al borrado: el artefacto firmado público emitido al completar tu formación (URL /u/[tu-slug]/a/[uuid]) NO se borra al ejercer el derecho de supresión · se anonimiza (slug, nombre y métricas reemplazados por valores genéricos), pero la firma HMAC y la prueba de existencia permanecen, porque la credencial pública depende de su inmutabilidad. Esta excepción figura expresamente en el contrato que firmas tras el pago (cláusula 7).

Tienes derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.

8. Cookies y analítica

Plausible es el analytics base · IP anónima, sin fingerprinting, sin cookies, sin cross-site. Funciona aunque rechaces el banner.

Si aceptas el banner de cookies activamos Google Analytics 4 y, cuando lancemos campañas, los píxeles publicitarios (Google Ads, Meta, TikTok) para medir conversiones. Si rechazas, esos servicios reciben señales sin cookies (Consent Mode v2) y no escriben nada en tu navegador. Tu decisión se guarda en localStorage. Para cambiarla: borra el sitio en la configuración de tu navegador y recarga.

No mandamos newsletter no consentido. No vendemos datos a terceros. No entrenamos modelos con tu contenido (los proveedores IA lo prohíben contractualmente).

9. Brechas de seguridad

Si se produce una brecha que afecte a tus datos personales: notificaremos a la AEPD en menos de 72h (art. 33 RGPD) y a ti por email sin demora indebida cuando suponga alto riesgo para tus derechos (art. 34 RGPD). Mantenemos un registro interno de incidentes (art. 33.5 RGPD).

10. Cambios a esta política

Si cambia algo material (nuevo sub-procesador, cambio de base jurídica, transferencia a un país nuevo) te avisaremos por email con al menos 30 días de antelación y, si procede, te pediremos firmar un nuevo contrato actualizado. Versiones anteriores quedan archivadas en contracts_signed para auditoría.