Política de Privacidad

1. Introducción y Ámbito de Aplicación

OTU Studio LLC (“La Empresa”, “nosotros” o “nuestro/a”) opera la aplicación móvil Oposi y los servicios web relacionados (conjuntamente, el “Servicio”). Oposi es un servicio de suscripción de pago diseñado para ayudar a los usuarios en la preparación de oposiciones al empleo público en España.

Esta Política de Privacidad describe cómo recopilamos, usamos, divulgamos, conservamos y protegemos su información personal. Nos comprometemos a cumplir con las leyes de protección de datos aplicables, incluyendo: el Reglamento General de Protección de Datos de la UE (RGPD, Reglamento (UE) 2016/679); la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD); la Ley de Privacidad del Consumidor de California (CCPA, modificada por la CPRA); y otras regulaciones nacionales e internacionales de protección de datos aplicables.

Al utilizar el Servicio, usted reconoce que ha leído y comprendido esta Política de Privacidad. Si no está de acuerdo con nuestras prácticas de datos, no debe utilizar el Servicio.

2. Responsable del Tratamiento

El responsable del tratamiento de sus datos personales es:

OTU Studio LLC
Sociedad de responsabilidad limitada constituida en el Estado de Delaware, Estados Unidos.
Consultas legales: legal@oposi.app
Delegado de Protección de Datos: dpo@oposi.app
Soporte: support@oposi.app

3. Categorías de Datos Personales Recopilados

3.1 Datos que Usted Proporciona Directamente

Datos de registro de cuenta: nombre, dirección de correo electrónico y método de autenticación (Apple Sign-In, Google Sign-In o correo electrónico/contraseña). La creación de cuenta es obligatoria para acceder al Servicio, ya que se trata de un servicio de suscripción de pago.

Datos de perfil y preferencias: tipo de oposición seleccionada, fecha de examen prevista, intensidad de estudio, objetivos diarios de estudio y preferencias de notificación.

Contenido generado por el usuario: misiones de estudio personalizadas, notas, consultas al tutor IA y comentarios enviados a soporte.

3.2 Datos Recopilados Automáticamente

Datos de uso y rendimiento: resultados de tests, preguntas respondidas, tasas de acierto, tiempos de respuesta, duración de sesiones de estudio, intervalos de tarjetas FSRS, datos de racha, misiones completadas y patrones de interacción con funciones.

Datos del dispositivo y técnicos: tipo y modelo del dispositivo, sistema operativo y versión, versión de la aplicación, identificadores únicos del dispositivo (IDFV), dirección IP, información de red móvil y zona horaria.

Datos de diagnóstico: informes de errores, registros de fallos y métricas de rendimiento recopilados a través de Sentry.

3.3 Datos de Salud (Opcional, Requiere Consentimiento Explícito)

Si voluntariamente conecta Apple Health o Google Health Connect, podemos acceder a: duración del sueño, puntuaciones de calidad del sueño, horas de acostarse y despertar, y datos generales de actividad.

Los datos de salud se procesan exclusivamente en su dispositivo con el fin de generar recomendaciones personalizadas de horarios de estudio y puntuaciones de disponibilidad cognitiva. Los datos de salud nunca se transmiten a nuestros servidores, nunca se almacenan en nuestras bases de datos y nunca se comparten con terceros.

Puede desconectar las integraciones de salud en cualquier momento a través de la configuración de la aplicación (Más > Ajustes > Apple Health), y todos los datos de salud almacenados localmente se eliminarán inmediatamente.

3.4 Datos de Suscripción y Pago

No recopilamos, procesamos ni almacenamos directamente información de tarjetas de pago, datos bancarios ni información financiera. Todas las transacciones de pago, incluyendo los cobros de suscripción y los cobros automáticos tras la finalización del período de prueba gratuito, se procesan exclusivamente a través de la App Store de Apple o la Google Play Store.

De estos procesadores recibimos únicamente: confirmación de transacción, estado de la suscripción (activa, cancelada, expirada), tipo de plan (mensual o anual) y fecha de renovación. No recibimos datos de su tarjeta ni de su cuenta bancaria.

Consulte las políticas de privacidad de Apple (apple.com/legal/privacy) y Google (policies.google.com/privacy) para obtener información detallada sobre el tratamiento de sus datos de pago.

3.5 Datos que No Recopilamos

No recopilamos: datos biométricos (huella dactilar, reconocimiento facial); datos de geolocalización precisa; contactos o datos de la agenda telefónica; fotografías o contenido multimedia; datos de cámara o micrófono; datos de otras aplicaciones instaladas en su dispositivo; ni datos de navegación fuera de la aplicación.

4. Finalidades y Bases Legales del Tratamiento

Conforme al artículo 6 del RGPD, tratamos sus datos sobre las siguientes bases legales:

Ejecución de un contrato (Art. 6(1)(b) RGPD)

Proporcionar, mantener y mejorar el Servicio. Gestionar su cuenta y su suscripción de pago. Procesar la conversión del período de prueba gratuito a suscripción de pago. Ofrecer planes de estudio personalizados y calendarios de tarjetas optimizados por el algoritmo FSRS. Generar analíticas de progreso, métricas de preparación y estimaciones de probabilidad de aprobado. Proporcionar la función de tutor IA. Entregar alertas de cambios legislativos del BOE.

Consentimiento (Art. 6(1)(a) RGPD)

Tratamiento de datos de salud para funciones de disponibilidad cognitiva y recomendaciones de horarios de estudio. Envío de notificaciones push para recordatorios de estudio, alertas de racha y cambios en el BOE. Envío de comunicaciones promocionales o de marketing. Procesamiento de cookies analíticas opcionales en módulos web.

Interés legítimo (Art. 6(1)(f) RGPD)

Garantizar la seguridad del Servicio y prevenir el fraude, abuso y uso compartido no autorizado de cuentas. Realizar analíticas anónimas y agregadas para mejorar el Servicio. Generar datos de comparación de cohorte (todas las comparaciones utilizan datos anónimos y agregados que no identifican a usuarios individuales). Depuración, monitorización de errores y optimización del rendimiento a través de Sentry. Detección y prevención de intentos de obtener múltiples períodos de prueba gratuitos.

Obligación legal (Art. 6(1)(c) RGPD)

Cumplimiento de requisitos fiscales, contables y regulatorios aplicables. Respuesta a solicitudes legítimas de autoridades públicas y judiciales.

5. Tratamiento de Datos del Tutor IA

Cuando utiliza la función de tutor IA, sus consultas se envían a un proveedor de servicios de inteligencia artificial de terceros para su procesamiento y generación de respuestas educativas.

Implementamos las siguientes salvaguardias:

(a) No se transmite información de identificación personal (nombre, correo electrónico, identificador de cuenta) con las consultas de IA.

(b) Las consultas se anonimizan y el proveedor de IA no puede vincularlas a su identidad.

(c) No utilizamos sus interacciones con el tutor IA para entrenar, ajustar ni mejorar modelos de IA de terceros.

(d) Los registros de consultas de IA se conservan durante un máximo de 30 días para control de calidad y se eliminan permanentemente después.

(e) Nuestros proveedores de IA tienen prohibido contractualmente utilizar sus consultas para sus propios fines, incluyendo el entrenamiento de sus modelos.

Importante: Las respuestas generadas por IA pueden contener errores o inexactitudes. No nos responsabilizamos del contenido generado por la IA. Consulte la Sección 7 de nuestros Términos y Condiciones para más información sobre las limitaciones del tutor IA.

6. Compartición y Divulgación de Datos

No vendemos, alquilamos, cedemos ni intercambiamos sus datos personales a ningún tercero a cambio de contraprestación monetaria o de otro tipo.

Podemos compartir su información con las siguientes categorías de destinatarios, exclusivamente para los fines descritos:

Proveedores de infraestructura

Vercel (alojamiento de frontend, Estados Unidos) y Railway (alojamiento de backend, Estados Unidos). Estos proveedores procesan datos conforme a Acuerdos de Tratamiento de Datos (DPA) con Cláusulas Contractuales Tipo.

Monitorización de errores

Sentry (informes de errores y monitorización de rendimiento). Sentry recibe únicamente datos de diagnóstico técnico; no se transmite contenido de estudio identificable del usuario.

Procesadores de pago

Apple (App Store) y Google (Play Store) procesan las transacciones de suscripción, incluyendo los cobros automáticos tras la finalización del período de prueba. Solo recibimos confirmaciones de estado de suscripción.

Servicios de notificaciones push

Apple Push Notification Service (APNs) y Firebase Cloud Messaging (FCM) entregan notificaciones. Solo se transmiten tokens de dispositivo y contenido de notificación.

Proveedores de servicios de IA

Las consultas anonimizadas son procesadas por nuestro proveedor de IA para la función de tutor, sujeto a las salvaguardias descritas en la Sección 5.

Procesador de pagos por suscripción

Stripe procesa la gestión de suscripciones. Stripe recibe datos necesarios para la facturación conforme a su política de privacidad (stripe.com/privacy).

Requisitos legales y regulatorios

Podemos divulgar información si así lo exige la ley, citación judicial, orden judicial o requerimiento gubernamental, o si creemos de buena fe que la divulgación es necesaria para proteger nuestros derechos, su seguridad o la seguridad de terceros, o para detectar y prevenir fraude.

Transferencias empresariales

En caso de fusión, adquisición, concurso de acreedores o venta de la totalidad o parte de nuestros activos, sus datos personales pueden ser transferidos a la entidad adquirente. Le notificaremos cualquier transferencia de este tipo y cualquier cambio en los términos de privacidad aplicables con al menos 30 días de antelación.

7. Transferencias Internacionales de Datos

Sus datos personales pueden ser transferidos y procesados en Estados Unidos y otros países fuera del Espacio Económico Europeo (EEE). Garantizamos que todas las transferencias internacionales estén protegidas por salvaguardias apropiadas, incluyendo:

(a) Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914).

(b) Acuerdos de Tratamiento de Datos (DPA) con todos los subencargados del tratamiento.

(c) Medidas técnicas incluyendo cifrado en tránsito (TLS 1.3) y en reposo (AES-256).

Puede solicitar una copia de las Cláusulas Contractuales Tipo aplicables contactándonos en dpo@oposi.app.

8. Conservación de Datos

Conservamos sus datos personales conforme al siguiente calendario:

Datos de cuenta activa

Conservados durante la duración de su suscripción activa y/o actividad de la cuenta.

Datos de rendimiento y analíticas de estudio

Conservados durante la duración de su cuenta para permitir el seguimiento histórico del progreso, comparaciones de cohorte y analíticas de preparación a largo plazo.

Registros de consultas del tutor IA

Conservados durante un máximo de 30 días y eliminados permanentemente después.

Datos del período de prueba

Los datos de uso durante el período de prueba gratuito se tratan de la misma forma que los datos de suscriptores de pago. Si el Usuario no convierte a suscripción de pago y no cancela su cuenta, los datos se conservan durante 90 días adicionales y se eliminan después.

Eliminación de cuenta

Tras la eliminación de la cuenta (iniciada por usted o por nosotros), todos los datos personales se eliminan o anonimizan irreversiblemente dentro de los 30 días naturales siguientes, excepto cuando la conservación sea requerida por la legislación aplicable (por ejemplo, los registros fiscales y contables pueden conservarse hasta 7 años conforme a la normativa tributaria española y estadounidense).

Datos anonimizados

Los datos que hayan sido anonimizados y agregados de forma irreversible de modo que no puedan identificar razonablemente a ninguna persona pueden conservarse indefinidamente con fines analíticos, estadísticos y de mejora del producto.

Copias de seguridad

Las copias de seguridad que contengan datos personales se purgan dentro de los 90 días siguientes a la solicitud de eliminación.

9. Sus Derechos

Conforme al RGPD, la LOPDGDD y demás legislación aplicable, usted tiene los siguientes derechos:

Derecho de acceso (Art. 15 RGPD)

Solicitar una copia de todos los datos personales que tenemos sobre usted, incluyendo información sobre las finalidades del tratamiento, las categorías de datos, los destinatarios y los plazos de conservación.

Derecho de rectificación (Art. 16 RGPD)

Solicitar la corrección de datos personales inexactos o incompletos.

Derecho de supresión (Art. 17 RGPD)

Solicitar la eliminación de sus datos personales (“derecho al olvido”), sujeto a obligaciones legales de conservación. La supresión de datos no da derecho a reembolso de suscripciones pagadas.

Derecho a la limitación del tratamiento (Art. 18 RGPD)

Solicitar la limitación del tratamiento en determinadas circunstancias, como mientras verificamos la exactitud de sus datos o mientras evaluamos una oposición al tratamiento.

Derecho a la portabilidad de los datos (Art. 20 RGPD)

Recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica (JSON o CSV), incluyendo su historial de estudio, resultados de tests y progreso. Puede solicitar la transmisión directa a otro responsable del tratamiento cuando sea técnicamente posible.

Derecho de oposición (Art. 21 RGPD)

Oponerse al tratamiento basado en interés legítimo, incluida la elaboración de perfiles con fines analíticos y las comparaciones de cohorte.

Derecho a retirar el consentimiento (Art. 7(3) RGPD)

Retirar el consentimiento en cualquier momento cuando el tratamiento se base en el consentimiento (datos de salud, notificaciones push, marketing), sin que ello afecte a la licitud del tratamiento anterior a la retirada.

Derecho a no ser objeto de decisiones automatizadas (Art. 22 RGPD)

No tomamos decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o significativamente similares sobre usted. Las métricas de preparación y probabilidades de aprobado son estimaciones orientativas y no constituyen decisiones automatizadas con efectos jurídicos.

Cómo ejercer sus derechos

Contacte con nuestro Delegado de Protección de Datos en dpo@oposi.app. Responderemos a las solicitudes verificadas dentro de los 30 días (prorrogables por 60 días adicionales para solicitudes complejas, con notificación previa). Estos derechos se proporcionan de forma gratuita, excepto cuando las solicitudes sean manifiestamente infundadas o excesivas, en cuyo caso podremos cobrar una tasa razonable o rechazar la solicitud.

Derecho a reclamar

También tiene derecho a presentar una reclamación ante: la Agencia Española de Protección de Datos (AEPD, www.aepd.es, C/ Jorge Juan 6, 28001 Madrid); o la autoridad de control de su jurisdicción dentro del EEE.

10. Derechos de Privacidad de California (CCPA/CPRA)

Si usted es residente de California, tiene derechos adicionales conforme a la CCPA/CPRA:

(a) Derecho a conocer qué información personal recopilamos, usamos y divulgamos.

(b) Derecho a eliminar su información personal.

(c) Derecho a excluirse de la venta o compartición de información personal. Confirmamos que no vendemos ni compartimos información personal según la definición de la CCPA.

(d) Derecho a la no discriminación por ejercer sus derechos de privacidad.

(e) Derecho a corregir información personal inexacta.

Para ejercer estos derechos, contacte con nuestro DPO en dpo@oposi.app.

11. Seguridad de los Datos

Implementamos medidas técnicas y organizativas robustas para proteger sus datos personales, incluyendo:

(a) Cifrado de todos los datos en tránsito mediante TLS 1.3.

(b) Cifrado de datos sensibles en reposo mediante AES-256.

(c) Autenticación segura mediante tokens JWT y OAuth 2.0 (Apple Sign-In, Google Sign-In).

(d) Controles de acceso basados en roles y principio de mínimo privilegio para todos los sistemas internos.

(e) Evaluaciones de seguridad periódicas y revisiones de código.

(f) Escaneo automatizado de vulnerabilidades y monitorización de dependencias.

(g) Detección y respuesta a incidentes a través de monitorización con Sentry.

(h) Prácticas de ciclo de vida de desarrollo seguro (SDLC).

Aunque implementamos medidas de seguridad estándar de la industria, ningún método de transmisión por internet o almacenamiento electrónico es 100% seguro. No podemos garantizar la seguridad absoluta de sus datos. En caso de brecha de seguridad que afecte a sus datos personales, le notificaremos conforme a los plazos y requisitos establecidos por el RGPD (72 horas a la autoridad de control) y la legislación aplicable.

12. Privacidad de Menores

El Servicio no está dirigido ni destinado al uso por parte de menores de 16 años. No recopilamos conscientemente datos personales de menores de 16 años. Si tenemos conocimiento de que hemos recopilado inadvertidamente datos personales de un menor de 16 años, tomaremos medidas inmediatas para eliminar dichos datos y cancelar la cuenta y suscripción asociadas, con reembolso del período no consumido. Si cree que hemos recopilado datos de un menor de 16 años, contáctenos inmediatamente en dpo@oposi.app.

13. Cookies y Tecnologías de Seguimiento

La aplicación móvil Oposi no utiliza cookies ni tecnologías de seguimiento basadas en web.

Para nuestros módulos basados en web (visor de temario y páginas de convocatorias accedidas a través de navegador), podemos utilizar:

(a) Cookies estrictamente necesarias requeridas para la funcionalidad básica del sitio (no requieren consentimiento conforme al Art. 22.2 LSSI).

(b) Cookies analíticas para comprender los patrones de uso (implementadas solo con su consentimiento explícito mediante un banner de consentimiento de cookies conforme a la Directiva 2002/58/CE).

Puede gestionar las preferencias de cookies en cualquier momento a través de la configuración de cookies de nuestro sitio web o a través de la configuración de su navegador. La desactivación de cookies analíticas no afecta al funcionamiento del Servicio.

14. Enlaces y Servicios de Terceros

El Servicio puede contener enlaces a sitios web y servicios de terceros, incluyendo: el Boletín Oficial del Estado (boe.es); el Instituto Nacional de Administración Pública (inap.es); Apple (apple.com); y Google (google.com). No somos responsables de las prácticas de privacidad, el contenido o la seguridad de estos servicios de terceros. Le recomendamos revisar sus políticas de privacidad antes de proporcionar cualquier información personal.

15. Cambios en esta Política de Privacidad

Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas, tecnología, requisitos legales u otros factores. Los cambios materiales se comunicarán a través de:

(a) Una notificación dentro de la aplicación.

(b) Un correo electrónico a la dirección asociada con su cuenta.

(c) Una fecha de “Entrada en vigor” actualizada en la parte superior de esta Política.

Le proporcionaremos un aviso con al menos 15 días de antelación antes de que los cambios materiales entren en vigor. Su uso continuado del Servicio después de que cualquier cambio entre en vigor constituye la aceptación de la Política actualizada. Si no está de acuerdo con los cambios, debe dejar de utilizar el Servicio y solicitar la eliminación de su cuenta.

16. Contáctenos

Para cualquier pregunta, consulta o solicitud relativa a esta Política de Privacidad o nuestras prácticas de datos:

OTU Studio LLC
Sociedad de responsabilidad limitada — Delaware, Estados Unidos
Consultas generales: legal@oposi.app
Delegado de Protección de Datos (DPO): dpo@oposi.app
Soporte técnico: support@oposi.app