Política de privacidad sobre el tratamiento de datos personales — GuideXpress
La presente política de privacidad se proporciona de conformidad con los artículos 13 y 14 del Reglamento (UE) 2016/679 («RGPD») y del Decreto Legislativo italiano n.º 196 de 30 de junio de 2003, modificado por el Decreto Legislativo n.º 101 de 10 de agosto de 2018 («Código de Privacidad»), a los usuarios de la aplicación móvil GuideXpress y de los servicios relacionados. Se recomienda su lectura antes de crear una cuenta, activar la geolocalización o utilizar las funcionalidades de la App.
En resumen
- Quiénes somos: RDITALY S.r.l., con sede en Aosta. Para cualquier consulta: info@rditaly.com.
- Qué recopilamos: nombre, email, contraseña (cifrada) y, solo si lo decides, fecha de nacimiento y género. Si usas el inicio de sesión social (Apple, Google, Facebook), solo recibimos nombre y email.
- Posición GPS: solo si nos das permiso. Sirve para las audioguías automáticas (también en segundo plano) y para mostrarte contenidos cercanos. No rastreamos tus movimientos.
- Sin publicidad: no vendemos tus datos, no hacemos marketing, no usamos SDK publicitarios. Cero.
- Analytics anónimos: analizamos el uso de la App con un identificador aleatorio, nunca vinculado a tu cuenta. Puedes solicitar su desactivación en cualquier momento.
- Notificaciones push: puedes activar o desactivar por separado cada tipo de notificación (sellos, feedback de tours, comunicaciones) desde los ajustes.
- Tus datos son tuyos: puedes modificarlos, exportarlos o eliminar toda tu cuenta con un solo toque desde la sección Cuenta. La eliminación es inmediata y definitiva.
- Seguridad: contraseña cifrada con bcrypt, conexiones HTTPS, datos cifrados en reposo (AES-256), acceso a la base de datos limitado por usuario (Row-Level Security).
- Conservación: datos de la cuenta mientras estés registrado; analytics máx. 24 meses; logs técnicos máx. 12 meses. Después, todo eliminado.
- Edad mínima: 16 años para registrarse. Para los más pequeños, un padre puede activar el modo de escucha infantil desde su propia cuenta.
Este resumen se proporciona por comodidad y no sustituye la política de privacidad completa que sigue.
1. Responsable del tratamiento
El Responsable del tratamiento es:
RDITALY S.r.l.
Sede legal: Via Lavoratori Vittime del Col du Mont, 21 e 24 — 11100 Aosta (AO), Italia
Email de privacidad: info@rditaly.com
Email general: info@rditaly.com
Toda referencia a «nosotros», «el Responsable», «la Sociedad» en la presente política debe entenderse como RDITALY S.r.l.
2. Delegado de Protección de Datos (DPO)
El Responsable ha designado voluntariamente un Delegado de Protección de Datos (DPO) conforme al art. 37 del RGPD:
Valerio Falcicchio
Email: info@rditaly.com
El interesado puede dirigirse al DPO para cualquier cuestión relativa al tratamiento de sus datos personales y al ejercicio de sus derechos previstos por el RGPD.
3. Ámbito de aplicación
La presente política se aplica:
- a la aplicación móvil GuideXpress (Apple App Store y Google Play Store);
- al sitio web guidexpress.com y sus subdominios;
- al portal policy.guidexpress.com;
- a los servicios accesorios (audioguías georreferenciadas, gamificación, notificaciones push, exploración geolocalizada).
No se aplica a sitios o servicios de terceros enlazados desde la App.
4. Categorías de datos personales tratados
4.1 Datos proporcionados voluntariamente por el usuario
Registro email/contraseña:
- nombre y apellidos;
- dirección de email;
- contraseña (cifrada con hash unidireccional);
- opcionales: fecha de nacimiento y género.
Login social (Apple, Google, Facebook): identificador del proveedor, email, nombre mostrado.
Durante el uso: avatar, preferencias del sistema, favoritos, itinerarios, feedback, tickets de soporte.
4.2 Datos recopilados automáticamente
Geolocalización: coordenadas GPS en tiempo real y en segundo plano (solo con permiso del usuario).
Dispositivo y uso: UUID pseudónimo, modelo del dispositivo, SO, versión de la App, idioma, token FCM, interacciones con la App, informes de errores.
Gamificación: POI visitados, sellos obtenidos, transacciones del wallet, completamiento de tours.
4.3 Datos recibidos de terceros
En caso de login social, solo los datos indicados en el par. 4.1 según la configuración del proveedor.
4.4 Categorías especiales de datos
El Responsable no solicita ni trata categorías especiales de datos (art. 9 RGPD).
4.5 Datos relativos a menores
La App está destinada a usuarios de 16 años o más. El modo de escucha infantil es activable exclusivamente de manera manual por el adulto titular de la cuenta. En este escenario no se recopilan datos del menor.
Si el Responsable tiene conocimiento de datos relativos a menores de 16 años sin autorización parental, procederá a la eliminación inmediata.
5. Finalidades del tratamiento y bases jurídicas
5.1 Prestación del Servicio (art. 6.1.b RGPD)
Cuenta, funcionalidades de la App, audioguías, favoritos, gamificación, soporte técnico.
5.2 Geolocalización (consentimiento — art. 6.1.a RGPD)
Consentimiento recogido a dos niveles: permiso del SO + pantalla informativa in-app.
| Finalidad | Tipo | Datos recopilados |
|---|---|---|
| Contenidos de proximidad | Core | Coordenadas GPS en memoria (no persistidas) |
| Audioguías automáticas | Core | Coordenadas GPS en memoria (no persistidas) |
| Registro de visitas POI para sellos | Core | Evento de visita (no las coordenadas) |
| Navegación cartográfica | Core | Coordenadas transmitidas a Mapbox |
| Posición durante eventos de audio (analytics) | Mejora | Coordenadas pseudonimizadas, máx. 24 meses |
Revocación posible en cualquier momento desde los ajustes del dispositivo.
5.3 Notificaciones push (consentimiento — art. 6.1.a RGPD)
Sellos, feedback de tours, comunicaciones informativas. Cada categoría desactivable independientemente.
5.4 Obligaciones legales (art. 6.1.c RGPD)
Obligaciones fiscales, contables y solicitudes de las Autoridades.
5.5 Interés legítimo (art. 6.1.f RGPD)
Seguridad, diagnóstico, analytics pseudonimizados. Las coordenadas GPS nunca se tratan sobre la base del interés legítimo.
Oposición posible en cualquier momento escribiendo a info@rditaly.com.
5.6 Defensa en juicio (art. 6.1.f RGPD)
Por la duración estrictamente necesaria.
6. Modalidades del tratamiento y medidas de seguridad
- Cifrado: TLS 1.2+, AES-256 en reposo, bcrypt para contraseñas, iOS Keychain / Android Keystore para credenciales en el dispositivo.
- Control de acceso: Row-Level Security, SECURITY DEFINER para funciones críticas, máx. 5 intentos de inicio de sesión.
- Pseudonimización: esquema analytics separado, UUID no vinculado a la cuenta, ninguna tabla de correspondencia.
- Continuidad: copias de seguridad cifradas (máx. 30 días), segregación dev/producción.
- Organización: formación del personal, procedimiento de violación de datos (72h), EIPD disponible previa solicitud.
7. Destinatarios
| Categoría | Entidades | Rol |
|---|---|---|
| Infraestructura cloud | Supabase, Inc. | Encargado (art. 28) |
| Notificaciones push | Google LLC (FCM) | Encargado |
| Mapas | Mapbox, Inc. | Encargado |
| Login social | Apple, Google, Meta | Responsables independientes |
| Ticketing | RDITALY (Perfex CRM) | Interno |
| Consultores | Despachos de abogados, contables | Encargados/responsables |
| Autoridades | Autoridades judiciales, fiscales | Responsables independientes |
Los datos no se venden ni se ceden a terceros con fines de marketing o de perfilado.
8. Transferencias fuera del EEE
| Proveedor | Datos | Garantía |
|---|---|---|
| Google LLC | Token FCM, ID, email, nombre | EU-U.S. DPF + CCE |
| Apple Inc. | ID Apple, email relay, nombre | EU-U.S. DPF + CCE |
| Meta Platforms | ID Facebook, email, nombre | EU-U.S. DPF + CCE |
| Supabase, Inc. | Cuenta, preferencias, sellos, avatar | CCE + medidas suplementarias |
| Mapbox, Inc. | Coordenadas GPS, IP | CCE + medidas suplementarias |
Copia de las garantías disponible previa solicitud a info@rditaly.com.
9. Período de conservación
| Categoría | Período |
|---|---|
| Datos de la cuenta | Duración del registro (eliminación inmediata previa solicitud) |
| Gamificación | Hasta la eliminación de la cuenta |
| Tokens push | Hasta la desactivación o eliminación |
| Logs técnicos / crash | Máx. 12 meses |
| Analytics pseudonimizados | Máx. 24 meses |
| Tickets de soporte | 24 meses desde el cierre |
| Datos fiscales | 10 años (art. 2220 Código Civil italiano) |
| Defensa en juicio | Hasta la conclusión + prescripción |
10. Derechos del interesado
- Acceso (art. 15) — confirmación y copia de los datos
- Rectificación (art. 16) — corrección de datos inexactos
- Supresión (art. 17) — derecho al olvido
- Limitación (art. 18) — limitación del tratamiento
- Portabilidad (art. 20) — datos en formato JSON
- Oposición (art. 21) — al interés legítimo
- Decisiones automatizadas (art. 22) — el Responsable no las realiza
- Retirada del consentimiento (art. 7.3) — en cualquier momento
- Reclamación (art. 77) — ante el Garante per la protezione dei dati personali
11. Modalidades de ejercicio de los derechos
- Desde la App: Cuenta → Ajustes (eliminación inmediata)
- Email: info@rditaly.com
- Correo postal: RDITALY S.r.l., Via Lavoratori Vittime del Col du Mont, 21 e 24 — 11100 Aosta (AO), Italia
Respuesta en un plazo de 30 días (prorrogable 2 meses). El ejercicio es gratuito.
11.1 Eliminación de la cuenta
Desde la App (Cuenta → Eliminar cuenta): eliminación inmediata de perfil, favoritos, sellos, wallet, visitas, notificaciones, tokens, avatar y datos locales. Datos residuales: copias de seguridad (máx. 30 días), analytics pseudonimizados (no vinculables), datos requeridos por ley.
12. Cookies y tecnologías de seguimiento
La App no utiliza cookies. Genera un UUID aleatorio local para analytics agregados, no vinculado a la cuenta ni al hardware. Conservado máx. 24 meses. Riesgo de reidentificación evaluado en la EIPD.
13. Personalización, tratamiento automatizado y marketing
| Tratamiento | Datos | Base jurídica | ¿Perfil? |
|---|---|---|---|
| Página de inicio por proximidad | GPS actual | Consentimiento | No |
| Modo de escucha por edad | Fecha de nacimiento | Contrato | No |
| Ordenación por ciudad | Ciudad elegida | Contrato | No |
| Sellos digitales | POI visitados | Contrato | No |
| Analytics | Pantallas, eventos | Interés legítimo | No |
Ningún perfilado, ninguna segmentación, ninguna sugerencia personalizada. Ningún SDK publicitario integrado.
14. Suministro de datos
Los datos obligatorios son necesarios para la cuenta. Los datos opcionales (nacimiento, género, avatar, GPS, notificaciones): libres, la negativa solo limita las funcionalidades correspondientes.
15. Modificaciones de la política
No sustanciales: publicadas directamente. Sustanciales: 30 días de preaviso + nuevo consentimiento si es necesario. La continuación del uso no constituye consentimiento tácito.
16. Jurisdicción competente y ley aplicable
Ley italiana y RGPD. Tribunal del domicilio del consumidor o Tribunal de Aosta.
