Política de Privacidad

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es el administrador de la congregación que gestiona esta instancia de PPAM (Predicación Pública en Áreas Metropolitanas). Puedes contactar al responsable a través de la aplicación.

2. Datos que recopilamos (Art. 13 RGPD)

Recopilamos los siguientes datos personales:

• Datos de cuenta: dirección de correo electrónico, contraseña (almacenada como hash bcrypt, nunca en texto plano), fecha de creación de la cuenta.
• Perfil de publicador: nombre completo, congregación, sexo, número(s) de teléfono, fotografía de perfil, vínculo conyugal.
• Datos de actividad: disponibilidad horaria semanal y fechas específicas, asignaciones de predicación, zonas territoriales asignadas.
• Datos técnicos: tokens de sesión (refresh tokens, almacenados como hash SHA-256), token de dispositivo Expo para notificaciones push.
• Registros de auditoría: acciones realizadas en el sistema (inicio de sesión, cambios de perfil, asignaciones) con marca de tiempo.

3. Categorías especiales de datos (Art. 9 RGPD)

La participación en actividades de predicación religiosa constituye un dato de categoría especial conforme al Art. 9 del RGPD (datos relativos a creencias religiosas). El tratamiento de estos datos se basa en tu consentimiento explícito, otorgado al registrarte, y en la necesidad de coordinar las actividades voluntarias de tu congregación (Art. 9.2.a y 9.2.d RGPD).

4. Finalidad y base jurídica del tratamiento

• Coordinación de predicación: gestionar zonas, horarios, asignaciones y notificaciones. Base jurídica: interés legítimo de la organización religiosa (Art. 6.1.f y Art. 9.2.d RGPD).
• Comunicaciones: envío de correos de notificación y notificaciones push sobre asignaciones. Base jurídica: consentimiento (Art. 6.1.a RGPD).
• Seguridad y auditoría: registro de acciones para detectar accesos no autorizados. Base jurídica: interés legítimo (Art. 6.1.f RGPD).
• Autenticación con Google: si utilizas «Iniciar sesión con Google», procesamos tu dirección de correo y nombre de perfil de Google. Base jurídica: consentimiento (Art. 6.1.a RGPD).

5. Plazos de conservación (Art. 5.1.e RGPD)

• Datos de cuenta y perfil: mientras la cuenta esté activa. Se eliminan al ejercer el derecho de supresión.
• Refresh tokens: 30 días. Los tokens expirados se eliminan automáticamente.
• Tokens de verificación de email: 24 horas tras su uso o expiración.
• Notificaciones leídas: 90 días.
• Recordatorios de asignación: 90 días.
• Registros de auditoría: 1 año (en forma anonimizada).

6. Destinatarios y transferencias internacionales

Tus datos se comparten únicamente con los siguientes proveedores de servicios (encargados del tratamiento):

• Railway (EE. UU.): alojamiento de la base de datos y el servidor API. Transferencia amparada en cláusulas contractuales tipo (CCT).
• Supabase (EE. UU.): almacenamiento de fotografías de perfil. Transferencia amparada en CCT.
• Resend (EE. UU.): envío de correos transaccionales. Transferencia amparada en CCT.
• Expo / EAS (EE. UU.): envío de notificaciones push. Transferencia amparada en CCT.
• Google (EE. UU.): autenticación OAuth opcional. Transferencia amparada en CCT.

No cedemos tus datos a terceros con fines comerciales ni publicitarios.

7. Tus derechos (Arts. 15-22 RGPD)

Puedes ejercer los siguientes derechos desde tu perfil en la aplicación o contactando al responsable:

• Acceso (Art. 15): obtener una copia de todos tus datos personales. Disponible en Perfil → Exportar mis datos.
• Rectificación (Art. 16): corregir datos inexactos desde la sección de perfil.
• Supresión (Art. 17) — «derecho al olvido»: eliminar tu cuenta y todos los datos asociados. Disponible en Perfil → Eliminar cuenta. Esta acción es irreversible.
• Portabilidad (Art. 20): descargar tus datos en formato JSON estructurado. Disponible en Perfil → Exportar mis datos.
• Oposición (Art. 21): oponerte al tratamiento basado en interés legítimo. Contacta al responsable del tratamiento.
• Limitación (Art. 18): solicitar la limitación del tratamiento en determinadas circunstancias.
• Retirada del consentimiento (Art. 7.3): puedes retirar tu consentimiento en cualquier momento eliminando tu cuenta. La retirada no afecta a la licitud del tratamiento previo.

También tienes derecho a presentar una reclamación ante la autoridad de control competente (en España: AEPD — www.aepd.es; en Chile: CPLT).

8. Seguridad (Art. 5.1.f RGPD)

Aplicamos medidas técnicas y organizativas adecuadas: contraseñas almacenadas con bcrypt (factor 12), tokens de sesión almacenados como hash SHA-256, comunicaciones cifradas con TLS, rotación de refresh tokens, rate limiting en endpoints de autenticación y registros de auditoría de operaciones sensibles.

9. Menores de edad

La aplicación requiere que los usuarios tengan al menos 16 años para registrarse, conforme al Art. 8 del RGPD. No recopilamos intencionadamente datos de menores de 16 años.

10. Cambios en esta política

Si realizamos cambios materiales en esta política de privacidad, te notificaremos por correo electrónico o mediante un aviso destacado en la aplicación. El uso continuado de la aplicación tras la notificación implica la aceptación de los cambios.