← Volver al home

// privacidad

Qué datos guardamos
y cuáles no.

Versión 2026-06-06 · última actualización: 6/6/2026

1. Responsable del tratamiento

Javier Mancera, autónomo dado de alta en España. NIF y domicilio fiscal constan en la cláusula 10 de los Términos. Marca comercial: Kursear (kursear.es).

Contacto en materia de privacidad: hola@kursear.es. Sin DPO obligatorio (kursear no realiza tratamientos sistemáticos a gran escala de categorías especiales · art. 37 RGPD).

2. Qué datos tratamos y para qué

Sólo los necesarios para que el servicio funcione. Para cada categoría indicamos la base jurídica del art. 6 RGPD:

  • Email + contraseña (autenticación) · base: ejecución del contrato (art. 6.1.b).
  • Respuestas del diagnóstico (12-13 campos sobre tu objetivo, nivel, tiempo y recursos) · base: ejecución del contrato. Las usamos para generar tu formación personalizada.
  • Mini-diagnóstico del funnel (si lo completas antes de registrarte): tu email y las respuestas de texto libre del cuestionario · base: consentimiento (art. 6.1.a). Solo sirven para recomendarte una formación · purgamos el texto libre a los 90 días (ver §6). Te pedimos no incluir datos personales sensibles en ese texto.
  • Manual + plan de 30 días + conversaciones con el Profesor IA · base: ejecución del contrato.
  • Evidencias diarias (imágenes, links, textos, métricas que tú subes voluntariamente) · base: ejecución del contrato + consentimiento expreso para procesamiento por IA verificador.
  • Datos de pago: nosotros NO vemos tu tarjeta. Lemon Squeezy (Merchant of Record EU) procesa el pago y nos envía confirmación + IVA. Sólo guardamos `order_id` y el email de facturación.
  • Métricas de uso de The Game (XP, rachas, logros) · base: ejecución del contrato.
  • Cookies y analítica · base: consentimiento (cookies opcionales) + interés legítimo (analítica anónima Plausible).

3. Sub-procesadores

Para prestar el servicio compartimos parte de tus datos con los siguientes proveedores, cada uno actuando como encargado o sub-encargado de tratamiento bajo contrato firmado (DPA art. 28 RGPD). Lista pública y siempre actualizada:

Ver listado completo de sub-procesadores

4. Transferencia internacional a EEUU (Anthropic)

La generación de tu formación y la verificación de tus evidencias utilizan modelos Claude de Anthropic, PBC (San Francisco, EEUU). Esto implica una transferencia internacional de datos personales a un país tercero. Para cumplir con los arts. 44-50 RGPD nos apoyamos en:

  • Cláusulas Contractuales Tipo (SCC) de la Comisión Europea, Decisión 2021/914, módulo 3 (procesador UE → sub-procesador no UE).
  • Adhesión de Anthropic al Data Privacy Framework UE-EEUU (decisión de adecuación 2023/1795).
  • Compromiso contractual de Anthropic de NO entrenar sus modelos con los inputs/outputs de la API (Commercial Terms of Service).

Tus evidencias se almacenan cifradas en reposo en Supabase EU (Frankfurt). A Anthropic se transmiten exclusivamente durante la verificación. Si no consientes esta transferencia, no podemos prestarte el servicio · puedes ejercer tu derecho de oposición y solicitar el borrado total.

5. Decisión automatizada (art. 22 RGPD + EU AI Act)

Cada evidencia que subes la evalúa un verificador basado en IA (Anthropic Claude Haiku 4.5). Su decisión (`verified` / `rejected`) afecta a tu derecho a la garantía 100% condicional, a la entrega del artefacto firmado y a tu posición en la cohorte.

Tienes derecho a:

  • Conocer la lógica aplicada y los criterios de aceptación de cada día (publicados en tu plan).
  • Impugnar la decisión mediante apelación humana desde tu dashboard.
  • Plazo de apelación: 14 días naturales desde la decisión.
  • SLA de respuesta humana: 7 días laborables.

Bajo el EU AI Act (Reglamento 2024/1689) clasificamos este sistema como limited risk · informamos al usuario antes de cada interacción IA (transparencia art. 50) y mantenemos el control humano sobre cualquier consecuencia material.

6. Retención de datos (art. 5.1.e RGPD)

No guardamos datos indefinidamente. Política aplicada por el cron diario `/api/cron/storage-cleanup`:

  • Evidencias `verified`: borradas 12 meses tras la finalización del curso (excepto el resumen anonimizado para el artefacto firmado).
  • Evidencias `rejected`: borradas 3 meses tras la decisión.
  • Evidencias `failed` (error técnico): borradas 30 días tras la decisión.
  • Evidencias atascadas (`pending` / `verifying` más de 7 días): borradas como limpieza.
  • Cuenta inactiva sin login durante 24 meses: avisamos por email · si no hay actividad en 30 días borramos automáticamente.
  • Texto libre del mini-diagnóstico del funnel: purgado a los 90 días de su captación (cron /api/cron/purge-funnel-transcripts). Tu email en la lista de espera se conserva hasta la apertura de tu ola + 24 meses, o hasta que te des de baja.
  • Datos fiscales / pagos: conservados 4 años (Ley General Tributaria) + 6 años (Código de Comercio).

7. Tus derechos (arts. 15 a 22 RGPD)

Acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento y revisión humana de decisiones automatizadas. Dos vías para ejercerlos:

  • Botón en tu dashboard ( /account/settings) · self-service para Exportar mis datos (JSON · art. 20) y Borrar mi cuenta (art. 17).
  • Email a hola@kursear.es con asunto “DSAR · [tu derecho]” · resolvemos en ≤ 30 días naturales (art. 12.3 RGPD) · prorrogable a 2 meses para solicitudes complejas con aviso previo.

Excepción importante al borrado: el artefacto firmado público emitido al completar tu formación (URL /u/[tu-slug]/a/[uuid]) NO se borra al ejercer el derecho de supresión · se anonimiza (slug, nombre y métricas reemplazados por valores genéricos), pero la firma HMAC y la prueba de existencia permanecen, porque la credencial pública depende de su inmutabilidad. Esta excepción figura expresamente en el contrato que firmas tras el pago (cláusula 7).

Tienes derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.

8. Cookies y analítica

Plausible es el analytics base · IP anónima, sin fingerprinting, sin cookies, sin cross-site. Funciona aunque rechaces el banner.

Si aceptas el banner de cookies activamos Google Analytics 4 y, cuando lancemos campañas, los píxeles publicitarios (Google Ads, Meta, TikTok) para medir conversiones. Si rechazas, esos servicios reciben señales sin cookies (Consent Mode v2) y no escriben nada en tu navegador. Tu decisión se guarda en localStorage. Para cambiarla: borra el sitio en la configuración de tu navegador y recarga.

No mandamos newsletter no consentido. No vendemos datos a terceros. No entrenamos modelos con tu contenido (los proveedores IA lo prohíben contractualmente).

9. Brechas de seguridad

Si se produce una brecha que afecte a tus datos personales: notificaremos a la AEPD en menos de 72h (art. 33 RGPD) y a ti por email sin demora indebida cuando suponga alto riesgo para tus derechos (art. 34 RGPD). Mantenemos un registro interno de incidentes (art. 33.5 RGPD).

10. Cambios a esta política

Si cambia algo material (nuevo sub-procesador, cambio de base jurídica, transferencia a un país nuevo) te avisaremos por email con al menos 30 días de antelación y, si procede, te pediremos una nueva aceptación expresa de la versión actualizada antes de seguir tratando tus datos sobre la nueva base. Cada aceptación queda registrada con su versión, marca temporal e IP en nuestro registro de consentimientos para auditoría.