Política de Privacidad
Última actualización: 29 de abril de 2026
1. Responsable del tratamiento
- Titular: Niki Baffi
- NIF: Y1845703J
- Domicilio: Calle Virgen de la Cabeza nº 3, 29007 Málaga, España
- Sitio web: erasmusguru.com
- Correo electrónico: hola@erasmusguru.com
2. Datos que tratamos
Si visitas el Sitio sin crear una cuenta, los sistemas de alojamiento pueden registrar de forma automática datos técnicos de acceso (dirección IP, tipo de navegador, páginas visitadas, fecha y hora) con fines de seguridad y mantenimiento.
Si decides crear una cuenta en ErasmusGuru tratamos los siguientes datos personales:
- Email (obligatorio): para iniciar sesión, verificar tu identidad y enviarte comunicaciones transaccionales (verificación de email, restablecimiento de contraseña, confirmación de borrado de cuenta).
- Contraseña: nunca la almacenamos en claro. Guardamos un hash criptográfico (PBKDF2-SHA256, 210.000 iteraciones, salt único por usuario). No podemos recuperarla; en caso de olvido se restablece a través de un email.
- Identificador externo de Google (
google_sub), si decides iniciar sesión con Google: identificador único de tu cuenta de Google que no revela datos de tu cuenta personal. - Datos de perfil opcionales: nombre que muestras, biografía, URL de avatar, año académico Erasmus, ciudad de destino, universidad de destino. Tú los rellenas y puedes editarlos o vaciarlos en cualquier momento desde tu perfil.
- Guías guardadas: las páginas que marcas con el botón de marcador (países, ciudades, universidades, guías, alojamientos).
- Sesiones activas: identificador opaco de sesión, dirección IP hasheada con HMAC-SHA256 (irreversible), cabecera User-Agent, fecha de creación y de última actividad.
- Estado de la newsletter: si has dado tu consentimiento de doble opt-in, fecha de confirmación y, en su caso, fecha de baja.
3. Finalidad y base jurídica del tratamiento
- Cuenta y perfil: ejecución del contrato (art. 6.1.b RGPD) — proporcionarte la cuenta, guardar tus preferencias y permitirte acceder al área privada.
- Newsletter: consentimiento explícito previo con doble opt-in (art. 6.1.a RGPD). Puedes retirarlo en cualquier momento.
- Logs técnicos y prevención de abuso: interés legítimo en garantizar la seguridad del Sitio (art. 6.1.f RGPD).
- Cumplimiento de obligaciones legales (fiscales, de auditoría, requerimientos judiciales): art. 6.1.c RGPD.
4. Subprocessors y transferencias internacionales
Para operar el servicio compartimos algunos de tus datos con los siguientes proveedores («subprocessors»). Todos ellos cuentan con garantías adecuadas para transferencias internacionales y ofrecen Acuerdos de Tratamiento de Datos (DPA):
| Proveedor | Datos tratados | Finalidad | Ubicación | Garantía |
|---|---|---|---|---|
| Cloudflare | Tráfico web (IP, User-Agent), datos de cuenta y de uso almacenados en D1 y KV | Hosting, CDN, base de datos serverless, mitigación de ataques | UE / EE.UU. | SCC + DPF |
| Resend | Email, nombre opcional, contenido del mensaje | Envío de emails transaccionales (verificación, baja newsletter, confirmación de borrado) | EE.UU. | SCC + DPA |
| Google LLC | Solo cuando inicias sesión con Google: identificador sub, email y nombre/foto si los compartes | Autenticación OAuth 2.0 | EE.UU. | DPF |
No vendemos ni cedemos tus datos a terceros con fines publicitarios o de perfilado. Tampoco utilizamos herramientas de analítica o tracking de terceros (Google Analytics, píxeles de redes sociales, etc.).
5. Plazos de conservación
| Dato | Plazo |
|---|---|
| Cuenta y perfil | Hasta que solicites el borrado |
| Sesiones | 30 días desde la última actividad (deslizante); destruidas al cerrar sesión o borrar cuenta |
| Tokens de verificación | 24 horas (excepto unsubscribe newsletter: 1 año) |
| Estado newsletter (suscrito/baja) | Indefinido mientras la cuenta esté activa; tras baja conservamos solo la fecha de baja para no contactarte de nuevo |
| Identificador anonimizado tras borrado | Indefinido, sin contenido personal (cumplimiento de obligaciones legales) |
| Logs técnicos de acceso | Según política del proveedor de hosting (Cloudflare: 90 días por defecto) |
6. Tus derechos
En virtud del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), tienes los siguientes derechos. Puedes ejercerlos directamente desde la aplicación o escribiéndonos a hola@erasmusguru.com:
- Acceso y portabilidad (arts. 15 y 20): descarga un JSON con todos tus datos desde Mi cuenta → Perfil → Privacidad y datos → Descargar mis datos.
- Rectificación (art. 16): edita tu perfil en Mi cuenta → Perfil.
- Supresión / «derecho al olvido» (art. 17): borra tu cuenta en Mi cuenta → Perfil → Privacidad y datos → Borrar mi cuenta. Anonimizamos tu email, eliminamos tu perfil, guías guardadas y sesiones, y anulamos tu suscripción a la newsletter. Conservamos un identificador interno anonimizado (sin datos personales) por requerimientos de auditoría.
- Limitación del tratamiento (art. 18): contacta con nosotros.
- Oposición (art. 21) — newsletter: con un clic en el enlace Date de baja presente en cada email, o desde Mi cuenta → Perfil → Privacidad y datos → Newsletter.
- Revocación del consentimiento (art. 7.3): en cualquier momento.
Si consideras que tratamos tus datos incorrectamente, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.
7. Seguridad técnica
Aplicamos medidas técnicas y organizativas razonables para proteger tu información:
- Tráfico cifrado con TLS 1.3 en todo momento (Cloudflare).
- Contraseñas hasheadas con PBKDF2-SHA256 (210.000 iteraciones, salt único de 16 bytes por usuario). Nunca las vemos ni podemos recuperarlas.
- Tokens de sesión opacos de 256 bits, almacenados en cookie
HttpOnly,Secure,SameSite=Lax. - Validación criptográfica completa de los tokens de Google (RS256, JWKS, comprobación de issuer y audience).
- Limitación de intentos en endpoints de autenticación (rate limiting por IP).
- Protección CSRF en mutaciones (validación de header
Origin/Referer). - IP de sesión hasheada con HMAC-SHA256 (no almacenamos IP en claro).
8. Cambios en esta política
Podemos actualizar esta Política de Privacidad cuando se produzcan cambios en el Sitio o en la normativa aplicable. La fecha de última actualización en la parte superior indica cuándo se realizaron los cambios más recientes. Si los cambios son sustanciales, te lo notificaremos por email a la dirección asociada a tu cuenta.
9. Contacto
Para cualquier consulta sobre privacidad, ejercicio de derechos o reclamaciones, escríbenos a hola@erasmusguru.com.