Política de privacidad

Última actualización: enero 2026

1. Responsable del tratamiento

Termoclina · proyecto independiente con sede en Valencia (España). Contacto: [email protected].

2. Datos que recopilamos

• Cuenta: email, nombre visible, handle, idioma, imagen de perfil (opcional), bio (opcional), organización profesional (opcional).
• Actividad: publicaciones en foro y blog, reacciones, notificaciones recibidas, badges otorgados.
• Auditoría: dirección IP y user-agent en eventos relevantes (login, cambios de perfil, exports). Retención: 90 días.
• Cookies: consulta nuestra Política de cookies.

3. Base legal y finalidades

• Ejecución del contrato (art. 6.1.b RGPD): mantener tu cuenta, mostrar tu actividad pública.
• Interés legítimo (art. 6.1.f): seguridad, prevención de abusos, mejora del servicio.
• Consentimiento (art. 6.1.a): newsletter, cookies analíticas.

4. Compartición

No vendemos tus datos. Compartimos solo con encargados estrictamente necesarios:

• Resend (envío de emails transaccionales/magic-link), UE/EEUU bajo cláusulas contractuales tipo.
• Google (login OAuth si decides usarlo).
• hCaptcha (anti-bot, verificación en signup/login), IP procesada por hCaptcha Inc.

5. Tus derechos

Puedes ejercer tus derechos en cualquier momento desde Ajustes → Privacidad:

• Acceso y portabilidad (art. 15 y 20): botón “Exportar mis datos” → ZIP con JSON estructurado.
• Rectificación (art. 16): editas tu perfil libremente.
• Supresión / derecho al olvido (art. 17): botón “Eliminar mi cuenta”. Anonimizamos email/nombre/handle/bio. El contenido público (posts) se mantiene como “[Cuenta eliminada]” para preservar hilos de conversación.
• Oposición y limitación (art. 18 y 21): escríbenos.
• Reclamación: Agencia Española de Protección de Datos (aepd.es).

6. Seguridad

Cifrado en tránsito (HTTPS), cifrado en reposo de tokens y datos sensibles, hashing SHA-256 de Personal Access Tokens, sesiones JWE, rate-limit y captcha en endpoints sensibles.

7. Retención

• Cuenta activa: indefinido mientras la mantengas.
• Cuenta eliminada: anonimizada inmediatamente.
• Logs de auditoría: 90 días.
• Backups: hasta 30 días tras eliminación.

8. Menores

No dirigido a menores de 14 años. Si detectamos cuentas de menores sin consentimiento parental verificable, las eliminamos.