weniger

Política de privacidad

Esta política explica qué datos personales se tratan al utilizar weniger, con qué finalidades y qué derechos tienes en ese contexto.

1. Responsable

El responsable del tratamiento es el operador indicado en el aviso legal.

2. Ámbito de aplicación

Esta política se aplica al sitio web de weniger, a la app móvil y a los correos transaccionales asociados.

3. Datos tratados

  • Datos de cuenta como correo electrónico, hash de contraseña, idioma preferido, moneda, zona horaria y ajustes de visualización.
  • Datos de perfil como alias y métodos de acceso vinculados.
  • Datos de retos como nombres de retos, periodos, miembros, invitaciones, gastos, clasificaciones y análisis derivados.
  • Datos de sesión y seguridad como información de sesión, nombres de dispositivo, marcas de tiempo de uso reciente, direcciones IP, datos de user-agent y refresh tokens con hash.
  • Datos de seguridad de Turnstile y step-up como acción del reto, estado firmado del reto, estado de verificación, tickets efímeros del reto e indicadores de riesgo con hash.
  • Datos de consentimiento para la categoría de analítica, incluidos los sellos de tiempo de tu decisión.
  • Datos de comunicación transaccional para correos de confirmación, invitación, acceso, seguridad y restablecimiento de contraseña.

4. Finalidades del tratamiento

  • Proporcionar y proteger las cuentas de usuario.
  • Gestionar retos privados y mostrar clasificaciones, análisis y proyecciones.
  • Enviar mensajes necesarios de servicio y seguridad.
  • Prevenir abusos, analizar errores, garantizar la seguridad informática y documentar acciones relevantes para la seguridad.
  • Medir el uso del sitio web y de la app móvil con Google Analytics cuando hayas dado tu consentimiento.

5. Bases jurídicas

  • Art. 6.1.b RGPD para la prestación de la cuenta, las funciones del reto y la comunicación necesaria.
  • Art. 6.1.c RGPD cuando existan obligaciones legales de conservación o prueba.
  • Art. 6.1.f RGPD para seguridad informática, prevención de abusos, rate limiting y gestión de dispositivos/sesiones.
  • Art. 6.1.a RGPD junto con el artículo 25.1 TDDDG para Google Analytics en el sitio web y en la app móvil, así como para el consentimiento opcional de estadísticas.

6. Hosting, infraestructura y destinatarios

  • El hosting y la base de datos funcionan actualmente con Hetzner en Alemania.
  • Los correos transaccionales se envían actualmente a través de Strato como proveedor SMTP.
  • La protección anti-bot y antiabuso para flujos de autenticación basados en riesgo se gestiona con Cloudflare Turnstile (Cloudflare, Inc., EE. UU.).
  • Si das tu consentimiento para estadísticas, los datos de uso del sitio web y los eventos estadísticos de la app móvil se transmiten a Google Analytics. En la app móvil esto solo ocurre cuando has iniciado sesión a través de un relay del servidor.
  • Fuera de ello, los datos personales solo se comunican a terceros cuando es necesario para operar el servicio, existe una obligación legal o cuentas con tu consentimiento expreso.

7. Analítica con Google Analytics

Google Analytics se utiliza en el sitio web y en la app móvil solo después de tu consentimiento previo. En la app móvil la transmisión solo se realiza cuando has iniciado sesión a través de un relay del servidor.

Esto puede incluir páginas vistas y vistas de pantalla, información técnica del navegador y del dispositivo, datos limitados de uso, información de referencia, estado del consentimiento y datos estadísticos de eventos.

El consentimiento es voluntario y puedes retirarlo en cualquier momento con efectos para el futuro desde la configuración de cookies.

8. Cloudflare Turnstile (defensa anti-bot y antiabuso)

Para solicitudes de autenticación basadas en riesgo (en especial registro, inicio de sesión, solicitud de restablecimiento o solicitud de magic link), se puede exigir Cloudflare Turnstile como paso adicional de seguridad.

El script de Turnstile se carga solo cuando es necesario dentro del flujo step-up y no como seguimiento global permanente.

En este contexto pueden tratarse la dirección IP, metadatos de navegador y dispositivo, hostname, acción del reto, marca temporal, token de Turnstile y señales derivadas de verificación o riesgo.

La base jurídica es el art. 6.1.f RGPD (interés legítimo en seguridad informática, prevención de abusos, defensa frente a bots y protección contra credential stuffing y ataques automatizados de autenticación).

Para proteger este sitio web, Cloudflare suele tratar las señales de Turnstile como encargado del tratamiento por cuenta del operador; además, Cloudflare puede tratar ciertas señales como responsable para mejorar la detección de bots.

El destinatario es Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, Estados Unidos; la validación del lado servidor se realiza mediante el endpoint siteverify de Turnstile.

Los tokens de Turnstile y los tickets asociados son efímeros y se tratan solo para la comprobación técnica de seguridad.

Más información: https://developers.cloudflare.com/turnstile/ y https://www.cloudflare.com/privacypolicy/.

9. Transferencias internacionales

Al utilizar Google Analytics no puede descartarse la transferencia de datos personales a destinatarios fuera de la UE o del EEE, especialmente en Estados Unidos.

Al utilizar Cloudflare Turnstile tampoco puede descartarse la transferencia de datos personales fuera de la UE o del EEE, especialmente a Estados Unidos.

Google Analytics se trata únicamente con tu consentimiento. Cloudflare Turnstile se trata sobre la base del interés legítimo en seguridad. Encontrarás más información en las políticas de privacidad de los proveedores.

10. Conservación

  • Los datos de cuenta se conservan normalmente hasta la eliminación de la cuenta, salvo que existan obligaciones legales de conservación.
  • Los datos de retos, invitaciones y gastos se conservan hasta la eliminación de la cuenta o hasta que se eliminen los datos correspondientes, cuando ello sea necesario para el servicio.
  • Los datos de sesión y seguridad se conservan solo mientras sean necesarios para autenticación, seguridad y prevención de abusos, incluidos los tickets efímeros de Turnstile.
  • Los datos de consentimiento se conservan hasta su retirada o hasta que una nueva decisión sustituya a la anterior.
  • Tras la eliminación de la cuenta, los datos personales de uso se borran o se anonimiza su contenido; cualquier conservación residual se limita a lo legalmente necesario.

11. Cookies, almacenamiento local y tecnologías similares

  • Las cookies necesarias y el almacenamiento de sesión se utilizan para el acceso, la seguridad de sesión, la protección CSRF y los ajustes de idioma.
  • Las decisiones de consentimiento se guardan en el navegador para respetarlas en visitas posteriores.
  • Las tecnologías analíticas no esenciales solo se activan tras el consentimiento.

12. App móvil, push y funciones del dispositivo

La app móvil trata datos de cuenta, datos de retos y ajustes locales conforme a las finalidades descritas anteriormente.

Las notificaciones push siguen siendo opcionales. La analítica móvil se envía a Google Analytics solo después del consentimiento estadístico y solo cuando has iniciado sesión a través de un relay del servidor.

13. Derechos de las personas interesadas

  • Derecho de acceso a los datos personales que te conciernen.
  • Derecho de rectificación de datos inexactos.
  • Derecho de supresión cuando se cumplan los requisitos legales.
  • Derecho a la limitación del tratamiento.
  • Derecho a la portabilidad de los datos que hayas facilitado.
  • Derecho de oposición frente a tratamientos basados en interés legítimo.
  • Derecho a retirar el consentimiento en cualquier momento con efectos para el futuro.

14. Exportación de datos y eliminación de la cuenta

Tu cuenta ofrece una exportación estructurada y legible por máquina de tus datos portables en un archivo ZIP con archivos JSON y CSV.

La exportación incluye los datos de tu cuenta, ajustes, participación en retos, tus propios gastos e invitaciones abiertas. Los datos compartidos solo se exportan con el contexto mínimo necesario para la portabilidad.

Tras la eliminación de la cuenta, los datos personales se borran o se anonimizan; cualquier registro residual exigido por ley se conserva solo en la medida necesaria.

Contacto para consultas de privacidad

legal@smtyyy.de

Derecho a reclamar

Tienes derecho a presentar una reclamación ante una autoridad de control en materia de protección de datos, en particular en el estado miembro de tu residencia habitual, de tu lugar de trabajo o del lugar de la supuesta infracción.