Política de Privacidad

Esta Política de Privacidad describe cómo NestRules recopila, utiliza y comparte información personal cuando usas nuestras aplicaciones móviles y web.

Responsable del tratamiento

NestRules

Dirección postal

Dirección pendiente de confirmación — disponible a solicitud escribiendo a legal@nestrules.app

Correo de privacidad

privacidad@nestrules.app

NestRules opera como persona física en México. Si estás en la Unión Europea, Reino Unido o en cualquier otra jurisdicción con leyes aplicables, esta política se aplica a ti en la medida en que esas leyes sean relevantes.

Esta política aplica cuando:

• Creas o usas una cuenta en nuestras aplicaciones (iOS, Android o web).
• Introduces información sobre menores a tu cargo como padre, madre o tutor legal.
• Compartes una guía de cuidado mediante un enlace.
• Te registras en nuestra lista de espera o comunicaciones.
• Nos contactas para soporte o ejercer tus derechos.

Esta política se aplica junto con nuestros Términos de Servicio.

3.1 Datos de cuenta

3.2 Datos del perfil infantil (introducidos por ti)

3.3 Datos de familia y reglas de cuidado

3.4 Datos de facturación

3.5 Datos técnicos y de uso

3.6 Datos de lista de espera

Procesamos tus datos para las finalidades que listamos abajo. Para cada finalidad indicamos la base legal conforme al Reglamento General de Protección de Datos (GDPR, art. 6) y a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México.

Proveer el servicio contratado

base legal: ejecución del contrato (GDPR 6.1.b). Incluye crear tu cuenta, guardar tus reglas, generar enlaces compartibles y PDFs.

Autenticación y seguridad

base legal: ejecución del contrato e interés legítimo (GDPR 6.1.b y 6.1.f). Incluye inicio de sesión, 2FA, bloqueos por abuso y detección de accesos sospechosos.

Procesamiento de pagos

base legal: ejecución del contrato (GDPR 6.1.b) y obligación legal fiscal (GDPR 6.1.c).

Notificaciones sobre el servicio

base legal: ejecución del contrato (GDPR 6.1.b) para correos transaccionales (bienvenida, verificación, restablecimiento de contraseña, alguien vio tu guía).

Almacenamiento de datos de salud del menor

base legal: consentimiento explícito (GDPR 9.2.a). Si desactivas el consentimiento o eliminas la información, dejamos de procesar esos datos.

Mejora del servicio y prevención de fraude

base legal: interés legítimo (GDPR 6.1.f), limitado al mínimo necesario y sin elaboración de perfiles.

Cumplimiento de obligaciones legales

base legal: obligación legal (GDPR 6.1.c), por ejemplo para conservar registros fiscales o responder a requerimientos de autoridad competente.

Los menores no crean cuenta en NestRules. La cuenta la abre un adulto (padre, madre o tutor legal) que introduce voluntariamente los datos de los niños a su cargo.

Como adulto titular de la cuenta:

Los datos del menor solo son visibles para:

Registramos la fecha y hora en que otorgaste ese consentimiento (campo health_data_consent_at). Puedes retirar el consentimiento en cualquier momento borrando esa información desde la app.

Nunca transmitimos datos de salud a Sentry, Firebase, servicios de analítica o similares. Si ocurre un error en la aplicación mientras trabajas con esos campos, nuestro capturador de errores elimina el contenido antes de enviarlo al servicio de diagnóstico.

Trabajamos con proveedores terceros que nos ayudan a operar el servicio. Cada uno actúa como encargado del tratamiento bajo contrato (DPA) y solo procesa los datos estrictamente necesarios para su función.

Stripe Payments Europe, Ltd.

procesamiento de pagos (web).

Apple Inc.

procesamiento de compras in-app en iOS y "Sign in with Apple".

Google LLC

notificaciones push (Firebase Cloud Messaging), inicio de sesión con Google y compras in-app en Android (a través de RevenueCat).

RevenueCat, Inc.

orquestación de suscripciones en la app móvil.

Resend, Inc.

envío de correo transaccional.

DigitalOcean, LLC y/o Amazon Web Services, Inc.

almacenamiento de archivos (PDFs de guía).

Laravel Nightwatch

monitorización del backend.

Functional Software, Inc. (Sentry)

captura de errores en la app móvil, con depuración previa de datos personales.

La lista completa y actualizada, con enlaces a las políticas de cada proveedor, se mantiene en nuestro registro público de sub-encargados.

Algunos de nuestros proveedores (Stripe, Google, Apple, Resend, AWS, DigitalOcean, Sentry) tienen infraestructura fuera de México o del Espacio Económico Europeo. Las transferencias se amparan en:

• Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea.
• El Marco de Privacidad de Datos UE-EE.UU. (EU-US Data Privacy Framework) cuando el proveedor está certificado.
• Los DPAs que firmamos con cada proveedor.

Cuenta activa

mientras la mantengas abierta.

Cuenta eliminada

los datos personales se borran de nuestros sistemas dentro de los 30 días siguientes. Los enlaces compartidos se invalidan de inmediato.

Registros fiscales y de pago

5 años por obligación legal (Código Fiscal de la Federación, México).

Registros de errores y crashes

90 días máximo.

Copias de seguridad cifradas

hasta 35 días, tras lo cual se sobrescriben.

Aplicamos medidas técnicas y organizativas apropiadas al riesgo, incluyendo:

• Tráfico cifrado extremo a extremo mediante HTTPS/TLS.
• Contraseñas almacenadas con bcrypt (factor ≥ 12).
• Autenticación de dos factores (2FA) opcional basada en TOTP.
• Tokens de sesión rotados y revocables; bloqueo tras intentos fallidos.
• Verificación obligatoria de correo electrónico para acceder a datos de familia.
• Separación estricta de entornos y acceso mínimo privilegiado para el equipo técnico.
• Copias de seguridad cifradas y pruebas de restauración periódicas.
• Revisiones de seguridad del código antes de cada despliegue.

Tienes los siguientes derechos sobre tus datos personales, reconocidos por el GDPR, la LFPDPPP y otras leyes aplicables:

Acceso

obtener una copia de los datos que tenemos sobre ti.

Rectificación

corregir información inexacta o incompleta.

Supresión (derecho al olvido)

solicitar que borremos tus datos.

Portabilidad

recibir tus datos en formato estructurado para moverlos a otro servicio.

Oposición

oponerte al tratamiento basado en interés legítimo.

Limitación

pedir que suspendamos temporalmente el tratamiento mientras se resuelve una disputa.

Retirar el consentimiento

para tratamientos basados en consentimiento (por ejemplo, datos de salud).

Puedes ejercer la mayoría de estos derechos directamente desde la app (exportar datos, actualizar perfil, eliminar cuenta). Para consultas más específicas, escríbenos a privacidad@nestrules.app. Responderemos en un plazo máximo de 30 días.

NestRules no usa cookies publicitarias ni rastreadores cross-site. Utilizamos únicamente cookies técnicas estrictamente necesarias:

laravel_session

mantener tu sesión iniciada en la web.

XSRF-TOKEN

protección contra falsificación de peticiones.

locale

recordar tu idioma preferido.

Estas cookies son técnicamente necesarias (art. 22.2 LSSI-CE) y no requieren consentimiento previo.

NestRules no toma decisiones automatizadas que produzcan efectos jurídicos sobre ti, ni elabora perfiles. Toda la lógica del servicio es impulsada por las reglas que tú mismo configuras.

NestRules está dirigido exclusivamente a personas mayores de 16 años que actúan como padres, madres o tutores legales. Al registrarte, confirmas que cumples con esa edad mínima.

Si descubrimos que una cuenta fue creada por una persona que no cumple la edad mínima, la eliminaremos junto con toda la información asociada.

Podemos actualizar esta política para reflejar cambios legales, técnicos o de producto. Cuando los cambios sean significativos:

• Te notificaremos dentro de la aplicación o por correo electrónico antes de que entren en vigor.
• Actualizaremos la versión y la fecha al inicio de este documento.
• Si el cambio requiere nuevo consentimiento (por ejemplo, una finalidad nueva), te pediremos aceptarlo antes de continuar usando la app.

Si consideras que hemos tratado tus datos personales de forma indebida, puedes presentar una reclamación ante la autoridad competente de tu país, incluyendo:

México

Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI): home.inai.org.mx

España

Agencia Española de Protección de Datos (AEPD): www.aepd.es

Unión Europea

Autoridad de control del país del interesado (lista en edpb.europa.eu).

Estados Unidos (California)

California Privacy Protection Agency: cppa.ca.gov

Nos gustaría intentar resolver tu inquietud primero directamente, así que por favor escríbenos a privacidad@nestrules.app antes de acudir a la autoridad.

Privacidad y ejercicio de derechos

privacidad@nestrules.app

Asuntos legales

legal@nestrules.app

Soporte general

soporte@nestrules.app

Dirección postal

Dirección pendiente de confirmación — disponible a solicitud escribiendo a legal@nestrules.app