Política de privacidad
Última actualización: 31 de mayo de 2026.
Esta Política describe cómo la aplicación y el servicio Aurora Arcana recoge, usa, almacena, comparte y protege tus datos personales. Está redactada para cumplir simultáneamente con la Ley General de Protección de Datos Personales brasileña (LGPD, Lei 13.709/2018), el Reglamento General de Protección de Datos europeo (GDPR, Reglamento UE 2016/679) y la California Consumer Privacy Act (CCPA/CPRA).
1. Responsable del tratamiento
El responsable de los datos personales tratados por Aurora Arcana es:
- Marcos da Silva de Souza (persona física, empresario individual, mientras la constitución de persona jurídica esté pendiente)
- Dirección de contacto: a facilitar bajo solicitud formal por escrito al correo indicado abajo.
- Correo de contacto: [email protected]
2. Delegado de Protección de Datos (DPO)
Por ahora, el papel de Delegado de Protección de Datos (DPO) previsto en el Art. 41 de la LGPD y en los Art. 37–39 del GDPR es ejercido de forma provisional por el propio responsable, a través del canal:
3. Datos que recogemos
Solo recogemos lo necesario para el funcionamiento de la app.
3.1. Identificadores
- anonId — UUID generado en el dispositivo, almacenado localmente. Vincula tu historial al backend sin requerir login.
- Nombre (opcional) — si lo rellenas en Ajustes.
- Correo (opcional) — si te suscribes a Aurora+ o activas la recuperación de cuenta.
3.2. Datos sensibles
Los datos de esta subsección son datos personales sensibles en los términos del Art. 5, II de la LGPD y del Art. 9 del GDPR. Requieren consentimiento específico y destacado.
- Datos de nacimiento usados para la carta natal: fecha, hora, ciudad, latitud/longitud, huso horario.
- Bienestar emocional capturado por el mood tracker: emoji, escala de energía, nota textual opcional.
- Conversaciones con Aurora: todo lo que escribes al chat, incluido el contexto emocional.
3.3. Contenido generado por ti
- Tiradas de cartas, humor diario, conversaciones, lecturas compartidas, feed social (si haces opt-in).
3.4. Localización
- Ciudad de nacimiento: la proporcionas manualmente; se geocodifica.
- Localización actual: solo si activas astrocartografía.
- País por IP vía Cloudflare: se usa una sola vez para premarcar el selector de país; la IP no se almacena.
3.5. Dispositivo y push
- Token de push (APNs/FCM), plataforma, versión de la app.
3.6. Pago
- IDs de Stripe (customer, subscription, payment intent). No almacenamos el número de tarjeta.
3.7. Telemetría
- Mínima y opt-out.
4. Base legal por finalidad
Cada finalidad tiene una base legal específica, conforme al Art. 7 de la LGPD y al Art. 6 del GDPR (y al Art. 9 cuando se trata de datos sensibles):
- Operar la app (sortear cartas, guardar historial): ejecución de contrato (LGPD Art. 7, V · GDPR Art. 6(1)(b)).
- Carta natal y chat con Aurora: consentimiento específico (LGPD Art. 7, I y Art. 11, I · GDPR Art. 9(2)(a)).
- Astrocartografía y push: consentimiento mediante el prompt del SO.
- Preselección de país por IP: interés legítimo, bajo riesgo (LGPD Art. 7, IX · GDPR Art. 6(1)(f)).
- Suscripción Aurora+: ejecución de contrato.
- Seguridad y prevención del fraude: interés legítimo.
- Obligaciones fiscales y judiciales: obligación legal.
Puedes revocar cualquier consentimiento en cualquier momento.
5. Comunicación a terceros (encargados del tratamiento)
No vendemos tus datos. Compartimos solo con encargados estrictamente necesarios, bajo contrato (Art. 33 LGPD / Art. 28 GDPR):
- Stripe — pagos y suscripciones (EE. UU., bajo SCC).
- OpenAI — generación de respuestas de Aurora, con
store=falseobligatorio (EE. UU., bajo SCC). - Cloudflare — CDN, proxy inverso, protección (red global, bajo SCC).
- Apple y Google — distribución, notificaciones push.
Como la app se opera desde Brasil y usa encargados en Estados Unidos, existe transferencia internacional, amparada por Cláusulas Contractuales Tipo (Art. 46 GDPR; Art. 33–36 LGPD).
6. Conservación
- Los datos se mantienen mientras la cuenta esté activa.
- Tras la eliminación (
DELETE /api/users/me) o desinstalación, mantenemos 30 días para disputas de pago. - Pasado ese periodo, los datos son eliminados o anonimizados.
- Los logs de seguridad y datos fiscales pueden conservarse por el plazo legal mínimo.
7. Tus derechos como titular
Conforme al Art. 18 de la LGPD y a los Art. 15–21 del GDPR, tienes derecho a:
- Acceso y portabilidad —
GET /api/users/me/export. - Rectificación —
PATCH /api/users/meo en Ajustes. - Supresión —
DELETE /api/users/me. - Anonimización o bloqueo — por solicitud al correo.
- Revocación del consentimiento — en Ajustes o por correo.
- Información sobre la compartición — Sección 5.
- Oposición al tratamiento basado en interés legítimo.
- Reclamación ante la ANPD (Brasil), la AEPD (España) o la autoridad nacional de control de datos correspondiente en el EEE.
Atendemos las solicitudes en hasta 15 días (LGPD) y 30 días (GDPR).
8. Niños y adolescentes
Aurora Arcana no está destinado a menores de 13 años.
- Brasil: 13–17 años requieren consentimiento de padres o tutores (LGPD Art. 14).
- Unión Europea: GDPR Art. 8 — límite por defecto, 16 años.
- EE. UU.: COPPA — prohibido tratar datos de menores de 13 sin consentimiento parental verificable.
9. Seguridad
- TLS 1.2+ en todo el tráfico.
- Secretos rotados cada 90 días.
- Contraseñas y tokens nunca en texto plano.
- Auditoría del acceso administrativo.
- Principio de mínimo privilegio.
- Pseudonimización en la telemetría — el
anonIdnunca se envía a terceros, incluida OpenAI.
10. Cookies y almacenamiento local
En la app: solo almacenamiento técnico estrictamente necesario. Sin SDKs de tracking, fingerprinting ni publicidad comportamental.
En el sitio: solo cookies/localStorage estrictamente necesarios (sesión e idioma). Sin marketing, analítica cross-site ni píxeles de redes sociales.
11. Inteligencia Artificial
La funcionalidad Aurora usa el modelo gpt-5-nano de OpenAI:
- Las respuestas se generan estadísticamente — pueden contener imprecisiones.
- El contenido es simbólico. No lo uses para decisiones médicas, jurídicas, financieras o de seguridad.
- Las conversaciones no se usan para entrenar modelos —
store=falseobligatorio. - El
anonIdnunca se envía a OpenAI.
11.a. Decisiones Automatizadas (Art. 22 GDPR / Art. 20 LGPD)
Aurora genera respuestas usando IA, pero ninguna decisión con efectos jurídicos se toma exclusivamente mediante procesamiento automatizado. Tus lecturas son simbólicas y contemplativas. Tienes derecho a una revisión humana — escribe a [email protected] con el asunto Art. 20 LGPD / Art. 22 GDPR review.
12. Residentes de California (CCPA / CPRA)
Si eres residente de California, la CCPA/CPRA te garantiza derechos específicos. Para ejercerlos visita Your Privacy Choices o escribe a [email protected].
13. Cambios en esta política
Podemos actualizar esta política. La versión vigente es siempre la publicada en esta página. Los cambios materiales se comunicarán en la app antes de entrar en vigor.
14. Contacto
- Correo: [email protected]
- ANPD: gov.br/anpd