Política de privacidad

PolishReady («nosotros», «nos», «nuestro») es el responsable del tratamiento de sus datos personales conforme a esta Política de privacidad. Para consultas sobre el tratamiento de datos, contáctenos en support@polishready.pl.

Recopilamos las siguientes categorías de datos personales:

• Datos de cuenta: correo electrónico, nombre para mostrar y datos de autenticación obtenidos durante el registro mediante Supabase Auth, incluidos datos de proveedores OAuth de terceros (p. ej., Google) si los utiliza.
• Datos de aprendizaje: nivel de polaco seleccionado, lengua materna, progreso, puntuaciones de cuestionarios y ejercicios, registros de finalización de módulos y analítica de rendimiento.
• Contenido generado por el usuario: fotografías de ensayos manuscritos para evaluación automática, grabaciones de audio de prácticas orales y respuestas de texto de los ejercicios.
• Datos de pago: si contrata un plan de pago, los datos de pago los procesa directamente Stripe. Solo recibimos y almacenamos un subconjunto limitado de metadatos de pago (p. ej., últimos cuatro dígitos de la tarjeta, país de facturación, identificadores de transacción y estado de la suscripción). Nunca almacenamos números completos de tarjeta, CVV ni datos bancarios completos.
• Datos técnicos: dirección IP, tipo y versión del navegador, tipo de dispositivo, sistema operativo, referrers, páginas visitadas del Servicio, marcas de tiempo y otros datos de diagnóstico recogidos automáticamente en registros del servidor e infraestructura de alojamiento.
• Cookies: utilizamos únicamente cookies estrictamente necesarias para la autenticación y la gestión de sesión. Véase la sección 8.

Tratamos sus datos personales sobre las siguientes bases legales según el Reglamento (UE) 2016/679 (RGPD):

• Ejecución del contrato (art. 6(1)(b)): tratamiento necesario para prestar el Servicio que ha contratado, incluida la gestión de la cuenta, el procesamiento de contenidos, la generación de retroalimentación y la gestión de la suscripción.
• Intereses legítimos (art. 6(1)(f)): tratamiento necesario para mejorar el servicio, monitorizar la seguridad, prevenir el fraude, analítica y hacer cumplir nuestros Términos de uso, cuando nuestros intereses no prevalezcan sobre sus derechos y libertades fundamentales.
• Consentimiento (art. 6(1)(a)): cuando nos basamos en su consentimiento (p. ej., comunicaciones opcionales), puede retirarlo en cualquier momento sin afectar a la licitud del tratamiento previo.
• Obligación legal (art. 6(1)(c)): tratamiento necesario para cumplir obligaciones legales, incluidas obligaciones fiscales, conservación de registros financieros y respuestas a solicitudes legítimas de autoridades.

Utilizamos sus datos personales para las siguientes finalidades:

• prestar y operar el Servicio, incluida la generación de retroalimentación para ejercicios de escritura y expresión oral;
• personalizar su experiencia de aprendizaje según su nivel y lengua materna;
• procesar pagos de suscripción y facturación mediante Stripe;
• comunicarnos con usted sobre su cuenta, actualizaciones del servicio y solicitudes de soporte;
• analizar patrones de uso agregados y anonimizados para mejorar el Servicio, corregir errores y desarrollar funciones;
• detectar, prevenir y abordar fraude, abusos, incidentes de seguridad y problemas técnicos;
• hacer cumplir nuestros Términos de uso y otras políticas aplicables;
• cumplir obligaciones legales aplicables.

Compartimos datos personales con las siguientes categorías de proveedores de servicios únicamente para los fines descritos en esta Política:

• Supabase (Supabase Inc.): autenticación, alojamiento de bases de datos y almacenamiento de archivos. Los datos de cuenta, registros de aprendizaje y contenido cargado se almacenan en infraestructura gestionada por Supabase.
• Stripe (Stripe Payments Europe, Ltd.): procesamiento de pagos. Stripe recibe los datos de pago directamente en el checkout. El tratamiento por Stripe se rige por la política de privacidad de Stripe y los acuerdos de tratamiento de datos aplicables.
• Resend (Resend, Inc.): envío de correo transaccional. Su dirección de correo se comparte con Resend para verificación de cuenta, restablecimiento de contraseña y notificaciones del servicio.
• Google Cloud / Gemini (Google LLC): evaluación automática y retroalimentación. El contenido enviado (imágenes de ensayos, grabaciones de audio) se transmite a los servicios de Google para su procesamiento. El uso de datos por Google se rige por los términos de tratamiento de datos de Google y Google Cloud.
• Vercel (Vercel Inc.): alojamiento de la aplicación y CDN.

No vendemos, alquilamos ni intercambiamos datos personales con terceros para sus fines de marketing o publicidad.

Podemos divulgar datos si la ley, la regulación, un proceso legal o una solicitud gubernamental ejecutable lo exige, o cuando creamos de buena fe que la divulgación es necesaria para proteger nuestros derechos, bienes o seguridad, o los de otros, o para detectar y prevenir fraude o incidentes de seguridad.

Sus datos personales pueden transferirse y tratarse en países fuera del Espacio Económico Europeo (EEE), incluidos los Estados Unidos, donde nuestros proveedores mantienen infraestructura. En tales casos garantizamos salvaguardias adecuadas conforme al capítulo V del RGPD, incluyendo:

• cláusulas contractuales tipo (SCC) aprobadas por la Comisión Europea;
• decisiones de adecuación adoptadas por la Comisión Europea;
• certificaciones de proveedores en marcos reconocidos (p. ej., EU-U.S. Data Privacy Framework).

Al utilizar el Servicio, usted reconoce y acepta la transferencia de datos a jurisdicciones cuyas leyes de protección de datos pueden diferir de las de su país de residencia.

Conservamos sus datos personales solo el tiempo necesario para los fines de esta política o según exija la ley. Plazos específicos:

• Datos de cuenta: mientras su cuenta esté activa. Tras una solicitud de eliminación, borraremos o anonimizaremos de forma irreversible sus datos en un plazo de 30 días, salvo que la ley exija conservación adicional.
• Datos de aprendizaje y contenido del usuario: mientras su cuenta esté activa. Los datos anonimizados y agregados derivados de su contenido pueden conservarse indefinidamente para mejorar el Servicio y entrenar modelos con datos anonimizados.
• Registros de pago y financieros: hasta 7 años tras la fecha de la transacción, según la normativa fiscal y financiera aplicable.
• Registros técnicos y de servidor: hasta 90 días para monitorización de seguridad, depuración y respuesta a incidentes.

Tras el plazo aplicable, los datos personales se eliminan de forma segura o se anonimizan de forma irreversible.

Utilizamos las siguientes categorías de cookies:

• Cookies estrictamente necesarias: necesarias para la autenticación, la sesión y el funcionamiento básico del Servicio. No pueden desactivarse sin perder la posibilidad de usar el Servicio.

Actualmente no utilizamos cookies publicitarias, de redes sociales ni analítica de terceros.

Puede gestionar las preferencias de cookies en la configuración del navegador. Desactivar las cookies necesarias impedirá iniciar sesión y usar el Servicio. Al continuar usando el Servicio, consiente el uso de cookies necesarias según lo descrito anteriormente.

Si se encuentra en el Espacio Económico Europeo, tiene los siguientes derechos en virtud del RGPD:

• Derecho de acceso (art. 15): obtener una copia de los datos personales que conservamos.
• Derecho de rectificación (art. 16): solicitar la corrección de datos inexactos o incompletos.
• Derecho de supresión (art. 17): solicitar la supresión de datos, con sujeción a obligaciones legales de conservación y bases legítimas de tratamiento posterior.
• Derecho a la limitación del tratamiento (art. 18): solicitar la limitación del tratamiento en determinadas circunstancias.
• Derecho a la portabilidad (art. 20): recibir sus datos en un formato estructurado, de uso común y legible por máquina.
• Derecho de oposición (art. 21): oponerse al tratamiento basado en intereses legítimos o con fines de marketing directo.
• Derecho a retirar el consentimiento: cuando el tratamiento se base en el consentimiento, puede retirarlo en cualquier momento sin afectar a la licitud del tratamiento previo.

Para ejercer estos derechos, escriba a support@polishready.pl. Responderemos en un plazo de 30 días. Podemos solicitar verificación de identidad.

Si considera que se han vulnerado sus derechos de protección de datos, tiene derecho a presentar una reclamación ante una autoridad de supervisión, en particular en el Estado miembro de la UE de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción.

Si es residente de California, pueden aplicarle derechos adicionales en virtud de la California Consumer Privacy Act (CCPA) y la California Privacy Rights Act (CPRA):

• Derecho a saber: divulgación de las categorías y piezas específicas de información personal recopilada, fuentes, fines comerciales de la recogida y categorías de terceros con quienes compartimos datos.
• Derecho a eliminar: solicitud de eliminación de información personal, con excepciones legalmente reconocidas.
• Derecho a no discriminación: no le discriminaremos por ejercer sus derechos CCPA.

No «vendemos» ni «compartimos» información personal en el sentido definido por la CCPA/CPRA.

El Servicio no está dirigido a menores de 16 años y no recopilamos a sabiendas datos personales de menores de 16 años. Si nos enteramos de que hemos recopilado datos de un menor de 16 años sin el consentimiento parental adecuado, tomaremos medidas para eliminar dichos datos con la mayor brevedad posible. Si cree que un menor de 16 años nos ha proporcionado datos, contáctenos de inmediato en support@polishready.pl.

Implementamos medidas técnicas y organizativas adecuadas para proteger sus datos personales contra el acceso, alteración, divulgación o destrucción no autorizados, incluyendo cifrado en tránsito (TLS/SSL), conexiones cifradas a la base de datos, controles de acceso y autenticación, revisiones periódicas de seguridad y monitorización de la infraestructura.

Ningún método de transmisión por Internet ni de almacenamiento electrónico es completamente seguro. Aunque nos esforzamos por proteger sus datos con medios comercialmente razonables, no podemos garantizar una seguridad absoluta y no seremos responsables de brechas de seguridad salvo en la medida exigida por la ley aplicable.

El Servicio utiliza tratamiento automatizado, incluidos modelos de aprendizaje automático de terceros, para generar retroalimentación sobre sus ejercicios de idioma (escritura y expresión oral). Este tratamiento es parte esencial del Servicio y se realiza sobre la base de la ejecución del contrato.

Este tratamiento no le produce efectos jurídicos ni le afecta de manera significativa en el sentido del art. 22 del RGPD. La retroalimentación es orientativa y tiene fines educativos y de práctica exclusivamente. No está sujeto a decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o similares según el art. 22 del RGPD.

Podemos actualizar esta Política de privacidad periódicamente para reflejar cambios en nuestras prácticas, tecnologías, requisitos legales u otros factores. Los cambios sustanciales se indicarán actualizando la «Fecha de entrada en vigor» al inicio del documento. Es su responsabilidad revisar la política periódicamente. El uso continuado del Servicio tras la publicación de cambios constituye la aceptación de la política actualizada. Si los cambios afectan de manera sustancial al tratamiento de sus datos existentes, haremos esfuerzos razonables para notificarle (p. ej., por correo electrónico o en la aplicación) antes de que los cambios entren en vigor.

Para preguntas, inquietudes o solicitudes relativas a sus datos personales o a esta Política, contáctenos en:

support@polishready.pl

Para asuntos relacionados con el RGPD, también tiene derecho a contactar a la autoridad de protección de datos competente en su jurisdicción.