Política de privacidad

1. Datos que recolectamos

• Registro: nombre de usuario y correo electrónico.
• Uso: historias mnemotécnicas guardadas en tu banco personal.
• Progreso: nivel de aprendizaje, racha de días, tarjetas de repaso.
• Técnicos: dirección IP y tipo de dispositivo (para seguridad).

2. Cómo usamos tus datos

• Personalizar tu experiencia de aprendizaje y repaso espaciado.
• Mejorar los algoritmos de generación de historias mnemotécnicas.
• Mantener la seguridad de tu cuenta.
• Nunca vendemos tus datos a terceros.
• No compartimos información personal con anunciantes.

3. Derechos del usuario

• Acceso: puedes ver todos tus datos en la sección Mi Banco.
• Exportación: puedes exportar tus historias en formato JSON.
• Eliminación: puedes solicitar la eliminación completa de tu cuenta y datos.
• Corrección: puedes editar tu información de perfil en cualquier momento.

4. Seguridad

Utilizamos cifrado SSL/TLS para todas las conexiones (TLS 1.2+ con HSTS preload). Las contraseñas se almacenan con Werkzeug PBKDF2-SHA256, 600 000 iteraciones y sal aleatoria de 16 bytes (estándar OWASP 2024). Aplicamos protección CSRF en todos los formularios, cabeceras de seguridad Content-Security-Policy, X-Frame-Options y X-Content-Type-Options en cada respuesta, y limitación de tasa (rate-limiting) en endpoints sensibles.

5. Subprocesadores de IA

Para generar historias mnemotécnicas y ejercicios, tu número, las palabras del Sistema Herigone y los textos que escribes en el canvas son procesados por la API de Google Gemini. No enviamos información personal identificable (nombre de usuario, correo electrónico, contraseña, IP) a esta API. Google procesa estos datos según su política: policies.google.com/privacy. Puedes desactivar la generación de historias con IA en tu configuración.

Otros proveedores que pueden procesar datos asociados a tu cuenta:

• Stripe (pagos): correo electrónico y detalles de pago. Stripe procesa los datos de tarjeta directamente — nuestros servidores nunca los reciben ni almacenan. Política: stripe.com/privacy.
• Hostinger SMTP (correos transaccionales): solo correo electrónico y contenido del mensaje (verificación, recuperación de contraseña).

6. Menores de edad

GREGORIOmemoria está diseñado para uso educativo. Los menores de 13 años deben contar con autorización de un padre o tutor para crear una cuenta. No recolectamos intencionalmente información de menores sin consentimiento parental.

7. Cookies

Utilizamos cookies de sesión para mantener tu sesión activa (expira a los 7 días de inactividad) y cookies de preferencias para el modo oscuro/claro. La cookie "remember me" expira a los 30 días. No utilizamos cookies de rastreo ni publicidad. Tampoco cargamos Google Analytics, Facebook Pixel ni ningún otro tracker de terceros.

8. Retención de datos

Los siguientes plazos se aplican mediante un cron diario que se ejecuta a las 03:00 UTC:

• Datos de cuenta (usuario, correo, historias guardadas): mientras la cuenta esté activa.
• Historial de login (user_login_history): eliminado automáticamente a los 90 días.
• Registro de auditoría (audit_log): eliminado automáticamente a los 90 días.
• Registro de búsquedas (search_log): eliminado automáticamente a los 3 años.
• Direcciones IP: anonimizadas en el momento de la captura (solo guardamos los primeros 3 octetos, ej. 192.168.1.xxx) y eliminadas por completo tras 1 año de inactividad.
• Datos de menores de 13 años (COPPA): eliminados automáticamente si no hay consentimiento parental verificado en 30 días desde el registro.
• Eliminación a petición: en cualquier momento desde configuración → eliminar cuenta, sin necesidad de justificación.

9. Menores de 13 años (COPPA)

Cumplimos con la Children's Online Privacy Protection Act (COPPA) de los Estados Unidos. Los menores de 13 años deben proporcionar el correo electrónico de un padre o tutor durante el registro, y dicho padre o tutor debe autorizar explícitamente el uso de la plataforma. Sin esa autorización, la cuenta queda en estado provisional y se elimina automáticamente a los 30 días.

Los padres pueden solicitar en cualquier momento la revisión, modificación o eliminación de los datos de su hijo escribiendo a info@semhys.com.

10. Reportar una vulnerabilidad

Si encuentras un problema de seguridad, escríbenos a seguridad@semhys.com. Consulta también nuestro security.txt.