Política de Privacidad
Versión 1.0 · Última actualización: 3 de mayo de 2026
Normativa: RGPD (UE) 2016/679 · LOPDGDD · LSSI-CE
1. Identidad del Responsable del Tratamiento
La plataforma opera bajo la marca comercial Kwizz Academia, gestionada por sus fundadores con residencia fiscal en España, mientras se tramita la constitución de la Sociedad Limitada definitiva.
Nombre comercial:Kwizz Academia
Web:kwizzacademia.com
Email de contacto:info@kwizzacademia.com
Nota: Una vez constituida la SL, este apartado se actualizará con la razón social, CIF y domicilio fiscal definitivos.
2. Finalidades y Base Legal del Tratamiento
| Finalidad | Base Legal |
|---|
| Crear y gestionar tu cuenta de alumno | Ejecución del contrato (Art. 6.1.b RGPD) |
| Procesar el pago y emitir facturas | Ejecución del contrato + Obligación legal (Art. 6.1.b/c) |
| Personalizar el algoritmo de estudio (SRS/ELO) | Ejecución del contrato (Art. 6.1.b) |
| Comunicaciones de rendimiento y convocatorias | Interés legítimo (Art. 6.1.f) |
| Conservación de facturas (5 años) | Obligación legal (Art. 6.1.c) |
| Seguridad y detección de fraudes | Interés legítimo (Art. 6.1.f) |
3. Datos que Tratamos
- Identificativos: Nombre, email, alias de usuario.
- De acceso: Contraseña (hash Argon2id, nunca en texto plano), tokens de sesión.
- De rendimiento académico: Historial de test, factor SRS, nivel ELO, racha de estudio, fechas de sesión.
- De pago: Gestionados por Stripe (PCI DSS). Solo almacenamos el ID de cliente Stripe y el estado de suscripción.
- Técnicos: IP, user-agent, fingerprint del dispositivo (para detección de compartición de cuentas).
4. Plazos de Conservación
- Datos de cuenta activa: Mientras la cuenta permanezca activa.
- Datos de cuenta dada de baja: 5 años en estado "archivado" (obligación fiscal).
- Facturas e historial de pagos: 5 años (Art. 30 LGT).
- Logs de seguridad: 12 meses.
5. Proveedores con Acceso a tus Datos
Kwizz Academia no vende datos personales. Los subencargados del tratamiento son:
- Supabase (base de datos y auth) — UE (Frankfurt) — SCCs RGPD
- Vercel (alojamiento web y API) — UE (Frankfurt) — SCCs RGPD
- Stripe (procesamiento de pagos) — EE.UU./UE — SCCs RGPD, PCI DSS
- Resend (emails transaccionales) — EE.UU. — SCCs RGPD
- Google Gemini API (generación de contenido académico, sin datos de usuarios) — EE.UU. — SCCs RGPD
6. Seguridad de los Datos
- Cifrado en tránsito: TLS 1.3 en todas las comunicaciones.
- Contraseñas: Hash Argon2id con salt único. Nunca almacenamos contraseñas en texto plano.
- Sesiones: JWT de 15 min con refresh token en httpOnly cookie.
- Cierre por inactividad: 60 min (alumnos) / 30 min (administradores).
- Auditoría: Todas las acciones administrativas quedan registradas con timestamp de servidor.
7. Tus Derechos
Puedes ejercer los siguientes derechos enviando un email a info@kwizzacademia.com con asunto "Ejercicio de Derechos RGPD":
- Acceso: Obtener copia de todos tus datos.
- Rectificación: Corregir datos inexactos.
- Supresión: Eliminar tus datos (salvo obligaciones legales de conservación).
- Limitación: Restringir el tratamiento en ciertos supuestos.
- Portabilidad: Recibir tus datos en formato CSV/JSON.
- Oposición: Oponerte al tratamiento basado en interés legítimo.
Plazo de respuesta: 1 mes (prorrogable a 3 en casos complejos). También puedes reclamar ante la AEPD en www.aepd.es.
Documento: 025 — Política de Privacidad · Versión 1.0 · 3 de mayo de 2026. Para consultas: info@kwizzacademia.com