Política de Privacitat

Randa (d'ara en endavant, "Randa", "nosaltres" o "la plataforma") és un servei de seguiment d'hàbits accessible a randa.day. El responsable del tractament de les teves dades personals és Roger Martínez Torrecilla (titular individual del servei). Correu de contacte: privacy@randa.day

Recollim les dades mínimes necessàries per prestar el servei: • Dades de compte: nom, adreça de correu electrònic i contrasenya (xifrada amb bcrypt). • Dades d'ús: hàbits creats, dates de completació, rachas i estadístiques. • Dades de pagament: gestionades íntegrament per Stripe. No emmagatzemem dades de targeta de crèdit. • Dades tècniques: adreça IP (per a la limitació de peticions), agent d'usuari i dates d'accés. • Cookies: una cookie de sessió HttpOnly per mantenir-te autenticat.

Tractem les teves dades per les raons següents: • Execució del contracte: per crear i gestionar el teu compte, prestar el servei i processar pagaments. • Interès legítim: per millorar la plataforma, prevenir fraus i garantir la seguretat. • Consentiment: per enviar comunicacions de màrqueting, si has donat el teu consentiment exprés (pots retirar-lo en qualsevol moment). • Obligació legal: per complir les obligacions fiscals i legals aplicables.

• Dades de compte: mentre el compte estigui actiu i fins a 30 dies després de la sol·licitud d'eliminació. • Subscripcions cancel·lades: les dades d'hàbits es conserven 90 dies (període de gràcia) perquè puguis recuperar-les si et resubscrius. • Dades de pagament: el temps mínim exigit per la normativa fiscal (generalment 5 anys). • Logs tècnics: màxim 90 dies. Pots sol·licitar l'eliminació del teu compte en qualsevol moment des de la configuració del perfil.

No venem ni llogem les teves dades personals. Compartim dades únicament amb: • Stripe: per processar pagaments (política de privacitat: stripe.com/privacy). • Resend: per enviar correus transaccionals (verificació de compte, restabliment de contrasenya). • Neon / Vercel: infraestructura d'allotjament i base de dades, ubicada a la UE i/o als EUA sota garanties adequades (SCCs). • Upstash: per a la limitació de velocitat de peticions (Redis en memòria, sense dades personals identificables). • Anthropic (Claude API): si actives les recomanacions amb IA (funció Premium), s'envien de manera puntual els noms dels teus hàbits i estadístiques de constància per generar consells personalitzats. No s'hi envien ni el teu nom ni el teu correu. • Google: només si connectes voluntàriament el teu Google Calendar (OAuth). Pots desconnectar-lo quan vulguis des del perfil. • cron-job.org: servei de tasques programades; només crida les nostres URLs, sense accés a dades personals. Tots els proveïdors han signat els Acords de Processament de Dades corresponents. El fòrum públic de feedback (Frill) és un servei extern amb la seva pròpia política de privacitat.

Tens dret a: • Accés: sol·licitar una còpia de les teves dades. • Rectificació: corregir dades inexactes. • Supressió ("dret a l'oblit"): eliminar les teves dades. • Portabilitat: rebre les teves dades en format estructurat. • Oposició: oposar-te al tractament basat en interès legítim. • Limitació: restringir el tractament en determinades circumstàncies. Per exercir els teus drets, escriu a privacy@randa.day. Respondrem en un termini màxim de 30 dies. Si creus que el tractament vulnera els teus drets, pots presentar una reclamació davant l'Agència Espanyola de Protecció de Dades (aepd.es).

Fem servir únicament les cookies estrictament necessàries per al funcionament del servei: • access_token: cookie HttpOnly que conté el token JWT d'accés (caducitat: 15 minuts). • refresh_token: cookie HttpOnly per renovar la sessió (caducitat: 30 dies). No fem servir cookies de seguiment, publicitat ni analítica de tercers.

Apliquem mesures tècniques i organitzatives adequades per protegir les teves dades: • Contrasenyes xifrades amb bcrypt (salt 12). • Comunicacions xifrades mitjançant TLS/HTTPS. • Tokens JWT amb caducitat curta. • Limitació de peticions (rate limiting) per prevenir atacs de força bruta. • Accés restringit a les dades per part de l'equip intern.

Podem actualitzar aquesta política periòdicament. T'informarem per correu electrònic i/o mitjançant un avís destacat a la plataforma amb almenys 15 dies d'antelació si els canvis són significatius.

Per a qualsevol consulta sobre privacitat: privacy@randa.day Randa · randa.day