Legal · Privacidad

Política de privacidad

Última actualización: April 2026

La protección de tus datos personales nos importa. Esta Política de Privacidad explica de forma transparente qué datos tratamos, con qué finalidades, sobre qué base jurídica y a quién los cedemos. Se aplica al uso de la app malla (iOS, Android) y de esta web. La base legal es el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD) en España, así como la BDSG alemana.

1. Responsable

Odin Adventure Labs LLC
30 N Gould St, Ste R
Sheridan, WY 82801 · EE. UU.
Correo: support@themalla.app
Responsable de contenidos: Lukas Langhammer.

No estamos obligados legalmente a designar un Delegado de Protección de Datos. Para consultas sobre privacidad escribe al correo anterior con el asunto „Privacidad".

2. Qué datos tratamos

  • Datos de cuenta: nombre / apodo, fecha de nacimiento (para verificar +18), correo, teléfono (para OTP), idioma, zona horaria.
  • Contenido de perfil: fotos, bio, intereses, preferencias, modo (Love / Group / Friends). Este contenido puede permitir inferencias sobre categorías especiales del Art. 9 RGPD (p.ej. orientación sexual); lo facilitas voluntariamente y la base es tu consentimiento explícito (Art. 9(2)(a) RGPD).
  • Ubicación: ubicación aproximada (a nivel de ciudad) para mostrar perfiles y eventos relevantes; ubicación precisa solo si activas „Nearby". Puedes revocar el permiso en los ajustes del sistema en cualquier momento.
  • Comunicaciones: chats y mensajes de grupo, reportes al equipo de soporte o de seguridad.
  • Datos de uso: likes, matches, RSVPs, filtros, eventos de app (seudonimizados), duración de sesión, reportes de error.
  • Datos de dispositivo y técnicos: modelo, SO, versión de app, idioma, IP (truncada cuando es posible), tokens push.
  • Estado de pago y suscripción: recibos de compra y estado de suscripción desde App Store o Google Play. No tratamos datos de tarjeta ni bancarios.
  • Deep-links y atribución: enlaces de instalación, parámetros de campaña, referrer (vía Branch.io — ver abajo).

3. Finalidades y bases jurídicas

  • Prestación de las funciones (perfil, matching, chats, eventos): Art. 6(1)(b) RGPD (contrato).
  • Verificación de edad y prevención de perfiles falsos / abusos: Art. 6(1)(c) y (f) RGPD.
  • Notificaciones push de matches / eventos: Art. 6(1)(a) RGPD (consentimiento).
  • Analítica de producto y análisis de errores (seudonimizado): Art. 6(1)(a) RGPD (consentimiento).
  • Atribución de marketing: Art. 6(1)(a) RGPD (consentimiento).
  • Aplicación de los Términos y reglas de seguridad: Art. 6(1)(f) RGPD.
  • Conservación por ley (p.ej. fiscal): Art. 6(1)(c) RGPD.

4. Destinatarios / encargados (subencargados)

No vendemos tus datos. Los siguientes proveedores tratan datos por nuestra cuenta (Art. 28 RGPD) o como responsables independientes en plataformas de terceros:

  • Supabase (Supabase Inc., EE. UU. / región UE Fráncfort): hosting, base de datos, auth, almacenamiento, mensajería en tiempo real. Residencia principal de datos: UE.
  • Twilio Inc. (EE. UU. / Irlanda): envío de códigos SMS de un solo uso (OTP) para verificar el teléfono e iniciar sesión.
  • Mixpanel Inc. (EE. UU.) — residencia de datos en la UE: analítica de producto seudonimizada (solo con consentimiento); los datos se tratan en la UE (endpoint y proyecto UE). IPs truncadas; tracking opt-in.
  • Google Firebase / Google Ireland Ltd.: Firebase Cloud Messaging (push) y Crashlytics (análisis de errores).
  • Branch.io (Branch Metrics Inc., EE. UU.): deep-linking y referrer de instalación; solo con consentimiento.
  • RevenueCat Inc. (EE. UU.): gestión y validación de suscripciones in-app; recibe un identificador de usuario seudonimizado y eventos de compra. Sin datos de pago ni de tarjeta.
  • Apple Inc. (App Store): distribución de la app y compras in-app; responsable independiente.
  • Google LLC / Google Ireland Ltd. (Google Play): distribución y compras in-app; responsable independiente.
  • Partners de eventos y locales (solo al canjear un descuento / RSVP): nombre, código de reserva y estado de edad como máximo.
  • Autoridades / policía: solo cuando la ley lo exija.

Lista completa y actualizada de encargados disponible a solicitud en support@themalla.app.

5. Transferencias internacionales

Algunos servicios (Twilio, Mixpanel, Branch.io, RevenueCat, Apple, Google) también tratan datos en EE. UU. u otros países terceros. Las amparamos en:

  • Cláusulas contractuales tipo de la UE (Art. 46(2)(c) RGPD);
  • cuando procede, certificación bajo el EU-U.S. Data Privacy Framework (Art. 45 RGPD);
  • y medidas técnicas y organizativas adicionales (cifrado, seudonimización, minimización).

6. Notificaciones push y permisos

Solo enviamos notificaciones push con tu consentimiento en el diálogo del sistema. Puedes desactivarlas en los ajustes del dispositivo en cualquier momento. Lo mismo aplica al acceso a cámara (fotos de perfil), galería y ubicación.

7. Analítica y publicidad

No utilizamos seguimiento publicitario entre dispositivos ni identificador publicitario (IDFA/AAID). La analítica de producto (Mixpanel) y el análisis de errores (Crashlytics) funcionan seudonimizados y solo con tu consentimiento; si lo rechazas, no se realiza analítica.

8. Cookies y almacenamiento local

En la app usamos solo almacenamiento local estrictamente necesario (token de sesión, idioma). Detalles web: Aviso de cookies.

9. Conservación

  • Datos de cuenta: hasta que borres tu perfil.
  • Cuentas inactivas (sin login >24 meses): anonimización.
  • Contenido de chat: eliminado al borrar la conversación o la cuenta.
  • Logs de errores y analítica: máx. 14 meses, luego agregados.
  • Registros de moderación por infracciones: hasta 36 meses (interés legítimo).
  • Justificantes de pago: 10 años (§ 147 AO / derecho mercantil).

10. Tus derechos

  • Acceso (Art. 15 RGPD)
  • Rectificación (Art. 16 RGPD)
  • Supresión / derecho al olvido (Art. 17 RGPD)
  • Limitación (Art. 18 RGPD)
  • Portabilidad (Art. 20 RGPD)
  • Oposición (Art. 21 RGPD)
  • Retirada del consentimiento con efectos futuros (Art. 7(3) RGPD).
  • Reclamación ante una autoridad de control, p.ej. la Agencia Española de Protección de Datos (AEPD) o la BayLDA bávara.

Puedes borrar tu cuenta directamente en la app: Ajustes → Cuenta → „Borrar cuenta". Alternativamente escribe a support@themalla.app. La eliminación técnica definitiva se completa en 30 días.

Para ejercer el acceso (Art. 15) y la portabilidad (Art. 20), escríbenos a support@themalla.app con el asunto "Solicitud de datos" — respondemos en un plazo de 30 días.

11. Decisiones automatizadas / profiling

Nuestras recomendaciones de perfiles y eventos se basan en tus datos (modo, intereses, distancia, rango de edad). No hay decisión automatizada con efecto jurídico en el sentido del Art. 22 RGPD.

12. Seguridad

Cifrado en tránsito (TLS 1.2+), contraseñas con hash salado, acceso a datos de producción por least-privilege, revisiones de seguridad y actualizaciones de dependencias regulares. Datos sensibles cifrados adicionalmente en base de datos.

13. Protección de menores

malla es exclusivamente para mayores de 18. No recopilamos conscientemente datos de menores. Avisos: support@themalla.app.

14. Medidas de seguridad y moderación

Para proteger a la comunidad tratamos ciertos datos para detectar y prevenir abusos: filtros automáticos contra spam / acoso, revisión de contenidos reportados por el equipo de seguridad, límites de velocidad, señales anti-fraude por dispositivo e IP y bloqueos por incumplimiento de los Términos o las Normas de la Comunidad. Base jurídica: Art. 6(1)(b) y (f) RGPD.

15. Notificación de brechas

Si se produce una violación de datos personales con riesgo para tus derechos, notificaremos a la autoridad competente en un plazo de 72 horas (Art. 33 RGPD) y te informaremos sin dilación indebida si el riesgo es alto (Art. 34 RGPD).

16. Cambios en esta política

Actualizamos esta política cuando cambia nuestro tratamiento o el marco legal. La versión vigente siempre está disponible en la app y en esta web; los cambios relevantes se anuncian por correo o banner in-app al menos 30 días antes de su entrada en vigor.

17. Anexos regionales

17.1 UE / EEE / Suiza

Hemos designado un representante en la UE conforme al Art. 27 RGPD. Puedes contactarlo vía support@themalla.app (asunto: „Representante UE / Art. 27 RGPD"). Puedes presentar una reclamación ante tu autoridad de control local — lista en edpb.europa.eu. En España: Agencia Española de Protección de Datos (AEPD), aepd.es. En Suiza se aplica además la nLPD; autoridad: FDPIC.

17.2 Reino Unido

Para usuarios del Reino Unido rige el UK GDPR y la Data Protection Act 2018. Hemos designado un representante UK (Art. 27 UK GDPR) vía support@themalla.app. Reclamaciones: ICO, ico.org.uk.

17.3 California, EE. UU. (CCPA / CPRA)

Si resides en California, el California Consumer Privacy Act (modificado por la CPRA) te otorga los derechos a conocer, eliminar, rectificar, oponerte a „sale" / „share", limitar el uso de datos sensibles, no sufrir discriminación y usar un representante autorizado. No vendemos datos personales ni los compartimos para publicidad contextual cruzada. Respetamos las señales Global Privacy Control (GPC) en la web. Solicitudes: support@themalla.app (asunto: „CCPA / CPRA"). Verificamos las solicitudes para evitar divulgaciones no autorizadas.

Categorías recopiladas (CCPA): identificadores (nombre, correo, teléfono), actividad de internet / red, geolocalización aproximada, datos sensibles (pueden inferirse del contenido del perfil como la orientación sexual — solo voluntariamente), información comercial (compras / suscripciones vía Apple / Google), inferencias (intereses).

17.4 Brasil (LGPD)

Para usuarios de Brasil rige la Lei Geral de Proteção de Dados (LGPD) con los derechos del Art. 18 LGPD. Autoridad: ANPD, gov.br/anpd.

17.5 Australia

Para usuarios australianos rigen los Australian Privacy Principles (APP). Autoridad: OAIC, oaic.gov.au.

18. Contacto y reclamaciones

Cualquier consulta sobre privacidad: escribe a support@themalla.app con el asunto „Privacidad". Respondemos en 30 días (RGPD) o 45 días (CCPA, prorrogables 45 días adicionales).