Legal
Política de privacidad
Información sobre el tratamiento de datos personales en el uso de NiiRo Smart Wedding.
1. Responsable del tratamiento
NiiRo AI
Robin Kolb
Email: info@niiro.ai
2. Qué datos se procesan
Al visitar y utilizar NiiRo Smart Wedding, se pueden procesar los siguientes datos:
- datos técnicos de acceso y registros del servidor
- datos de cuenta de parejas y organizadores de bodas
- datos de respuesta de los invitados
- imágenes y contenidos subidos
- datos de pago a través del checkout de Stripe
3. Fines del tratamiento
Los datos personales se tratan con los siguientes fines:
- Operación de la plataforma: Provisión y operación de la plataforma (Art. 6(1)(b) RGPD).
- Gestión de bodas: Gestión de invitaciones, confirmaciones y galerías (Art. 6(1)(b) RGPD).
- Procesamiento de pagos: Procesamiento de pagos de activación de parejas a través de Stripe (Art. 6(1)(b) RGPD).
- Seguridad: Prevención de abusos, análisis de errores y seguridad del sistema (Art. 6(1)(f) RGPD).
- Análisis: Estadísticas de uso anónimas a través de Vercel Analytics, solo con vuestro consentimiento (Art. 6(1)(a) RGPD).
4. Bases legales
El tratamiento de datos personales se basa en las siguientes bases legales del RGPD:
- Art. 6(1)(a) (Consentimiento): Para cookies de análisis y tratamientos de datos no esenciales.
- Art. 6(1)(b) (Ejecución del contrato): Para la provisión de la plataforma, gestión de cuentas y procesamiento de pagos.
- Art. 6(1)(f) (Interés legítimo): Para medidas de seguridad, análisis de errores y prevención de abusos.
- Art. 6(1)(c) (Obligación legal): Para obligaciones de conservación fiscal de datos de pago.
5. Proveedores de servicios (encargados del tratamiento)
Para prestar nuestros servicios, utilizamos los siguientes encargados del tratamiento, con quienes existen acuerdos de tratamiento de datos (DPA) conforme al Art. 28 RGPD. Un Registro de Actividades de Tratamiento completo según el Art. 30 RGPD — con rutas contractuales, categorías de datos, ubicación de almacenamiento y plazos de conservación — se mantiene internamente:
- Vercel Inc. (USA) — EU-Vertragspartner: Vercel International Limited (Dublin, Irland)
- Alojamiento, análisis web (sin cookies, basado en consentimiento) y monitorización de rendimiento. Región: UE (Fráncfort, fra1, fijada en vercel.json — verificada en el código fuente; confirmación via Panel de Vercel pendiente hasta 2026-04-26). Parte contratante en la UE: Vercel International Limited, Dublín, Irlanda. Matriz: Vercel Inc., EE. UU. Base jurídica: Art. 28 RGPD. Transferencia: EU-US Data Privacy Framework + Cláusulas Contractuales Tipo de la UE (SCC Módulo 2).
- Supabase Inc. (USA)
- Base de datos PostgreSQL, autenticación y tiempo real. Región: UE (AWS Fráncfort, eu-central-1, verificado en vivo mediante IP del servidor). Matriz: Supabase Inc., EE. UU./Singapur. Base jurídica: Art. 28 RGPD. Transferencia: EU-US DPF + SCC Módulo 2.
- Cloudflare Inc. (R2, USA)
- Almacenamiento de objetos Cloudflare R2 para galería de fotos y medios. Región: UE (Europa Occidental, weur — configuración estándar; confirmación en vivo vía Panel de Cloudflare pendiente hasta 2026-04-26). Matriz: Cloudflare Inc., EE. UU. Base jurídica: Art. 28 RGPD. Transferencia: EU-US DPF + SCC Módulo 2.
- Upstash Inc. (USA)
- Upstash Redis para limitación de velocidad y protección contra abusos. Región: UE (confirmación operativa via Upstash Console pendiente hasta 2026-04-26). Matriz: Upstash Inc., EE. UU. Datos procesados: contadores efímeros basados en IP (máx. 30 días). Base jurídica: Art. 6(1)(f) RGPD + Art. 28 RGPD. Transferencia: EU-US DPF + SCC Módulo 2.
- Stripe Payments Europe Ltd. (Dublin, Irland) / Stripe Inc. (San Francisco, USA)
- Procesamiento de pagos (certificado PCI DSS Nivel 1). Procesamiento principal para clientes de la UE: Stripe Payments Europe Ltd., Dublín, Irlanda. Matriz: Stripe Inc., San Francisco, EE. UU. Base jurídica: Art. 28 RGPD + Art. 6(1)(c) RGPD (obligación de conservación fiscal). Transferencia: EU-US DPF + SCC Módulo 2.
- Resend Inc. (USA)
- Correos electrónicos transaccionales (enlaces de invitación, notificaciones a parejas). Región: UE (Fráncfort, si está activado en el panel de Resend — confirmación operativa pendiente hasta 2026-04-26). Matriz: Resend Inc., EE. UU. Base jurídica: Art. 28 RGPD. Transferencia: EU-US DPF + SCC Módulo 2.
- Google LLC (reCAPTCHA, USA) — EU-Tochter: Google Ireland Limited (Dublin)
- Google reCAPTCHA para protección anti-bots en endpoints de autenticación. Estado de activación (a fecha 2026-04-20): actualmente NO activo. Activación prevista con el refuerzo de autenticación (T-25); la activación se realizará únicamente cuando la protección anti-bots esté habilitada y estará sujeta al consentimiento mediante el banner de cookies conforme al § 25 TTDSG. Filial en la UE: Google Ireland Limited, Dublín, Irlanda. Matriz: Google LLC, EE. UU. Datos procesados (al activarse): dirección IP, agente de usuario, identificadores de cookies, movimientos del ratón. Base jurídica: Art. 6(1)(f) RGPD + consentimiento conforme al § 25 TTDSG. Transferencia: EU-US DPF + SCC Módulo 2.
El Registro de Actividades de Tratamiento completo (Art. 30 RGPD), incluidos los acuerdos de tratamiento de datos (DPA), está disponible previa solicitud a través de info@niiro.ai.
6. Transferencias de datos a terceros países
Algunos de nuestros proveedores tienen su sede en EE. UU. Las transferencias de datos se basan en el EU-US Data Privacy Framework (decisión de adecuación de la Comisión Europea del 10 de julio de 2023) y cláusulas contractuales tipo (SCCs).
7. Cookies y almacenamiento local
NiiRo Smart Wedding distingue entre almacenamientos necesarios y opcionales:
- Necesarias: Cookies de sesión (__Host-niiro_admin_session, __Host-niiro_photo_session), configuración local. Esenciales para el funcionamiento.
- Análisis (opcional): Vercel Analytics y SpeedInsights solo se activan tras el consentimiento explícito a través del banner de cookies.
El consentimiento puede revocarse en cualquier momento a través del banner de cookies.
8. Período de conservación
Los períodos de conservación dependen del fin del tratamiento:
- Datos de cuenta: hasta que el usuario elimine la cuenta.
- Datos de boda (respuestas, galería, contenidos): hasta 12 meses después de la fecha de la boda.
- Datos de pago: 10 años según obligaciones de conservación fiscal y comercial.
- Registros del servidor y datos de limitación: máximo 30 días.
9. Derechos de los interesados
Como persona interesada, tenéis los siguientes derechos según el RGPD:
- Acceso (Art. 15): Podéis solicitar información sobre los datos personales que almacenamos.
- Rectificación (Art. 16): Podéis solicitar la corrección de datos inexactos.
- Supresión (Art. 17): Podéis solicitar la eliminación de vuestros datos, salvo obligaciones legales de conservación.
- Limitación (Art. 18): Podéis solicitar la limitación del tratamiento.
- Portabilidad (Art. 20): Tenéis derecho a recibir vuestros datos en un formato legible por máquina.
- Oposición (Art. 21): Podéis oponeros al tratamiento basado en intereses legítimos.
- Derecho de reclamación: Tenéis derecho a presentar una reclamación ante una autoridad de protección de datos.
10. Toma de decisiones automatizada
No se realiza ninguna toma de decisiones automatizada, incluida la elaboración de perfiles, de conformidad con el Art. 22 del RGPD.
11. Contacto de privacidad
Para consultas de privacidad, contactadnos en info@niiro.ai.
Responsable de protección de datos: Robin Kolb
Debido al tamaño de nuestra empresa, no estamos obligados a designar un Delegado de Protección de Datos. Para cualquier consulta sobre protección de datos, utilizad la dirección de contacto indicada anteriormente.