Política · v2.2

Política de Privacidad

Cómo recopilamos, usamos y protegemos tu información en la web, en el newsletter y en las apps de iOS y Android. Sin letra pequeña: lo que ves es lo que hacemos.

Última actualización · 24 mayo 2026

Datos que recopilamos

Modismos Hispanos recopila únicamente lo necesario para que la app funcione, mejore con el tiempo y cumpla con sus obligaciones legales:

Cuenta: nombre, email y avatar cuando inicias sesión con Google o email. Almacenado en Supabase Auth.
Newsletter (lead magnet): si te suscribís desde /suscribirse, guardamos tu email, el país detectado (ISO 3166-1, ej. mx) y el timestamp en que confirmaste el opt-in. Almacenado en la misma tabla perfiles con el flag is_newsletter_subscriber.
Preferencias: favoritos, idioma, modo claro/oscuro, racha de uso.
Búsquedas: los términos buscados se registran de forma agregada para mostrar tendencias. No se asocian a tu identidad personal salvo en tu propio historial.
Contenido propuesto:si envías una propuesta a través de “Proponer”, guardamos tu texto, ejemplos y país asociado.
Token de notificaciones (FCM): identificador anónimo del dispositivo para enviar notificaciones push opcionales.
Identificador publicitario (IDFA / GAID): únicamente si das consentimiento explícito a través del prompt de App Tracking Transparency (iOS) o de la pantalla de consentimiento (Android/EEA-UK).
Datos de diagnóstico: métricas técnicas anónimas vía Firebase Analytics (móvil) y Google Analytics 4 (web). Solo se activan tras consentimiento.
Medición de campañas: Google Ads conversion tracking en la web para medir clics que llevan a instalar la app. Cookie publicitaria sólo si das consentimiento explícito en el banner de cookies.
Eventos de auditoría: registramos hashes salados (sin PII) de tu identificador para defensa legal según GDPR Art 17(3)(e).

Para qué usamos tus datos

Operar la app: mostrar tu perfil, sincronizar favoritos entre dispositivos.
Mejorar el contenido: identificar modismos populares y huecos en el corpus.
Detectar abuso: bloquear scraping masivo, spam en propuestas.
Anuncios contextuales (no personalizados por defecto): solo se personalizan si das consentimiento explícito.
Cumplir obligaciones legales (fiscales, antifraude, requerimientos judiciales).

Almacenamiento y seguridad

Los datos viven en Supabase (PostgreSQL hospedado en la UE/US según región), con encriptación en tránsito (HTTPS/TLS 1.3) y en reposo (AES-256). Las contraseñas usan el hashing nativo de Supabase Auth (basado en bcrypt). No vendemos tus datos a terceros. Los accesos a la base de datos se auditan vía Row Level Security.

Terceros que procesan tus datos

Compartimos lo mínimo indispensable con encargados del tratamiento (GDPR Art 28):

Supabase Inc. — base de datos, autenticación y storage de avatares.
Google Firebase — Analytics, Remote Config y Cloud Messaging (FCM) para notificaciones push.
Google Analytics 4 (web) — métricas de uso del sitio agregadas. Carga tras consentimiento (Consent Mode v2) con anonimización de IP.
Google Ads (web) — medición de conversiones para campañas de instalación y del newsletter (evento sign_up via gtag.js). Cookie publicitaria sólo con consentimiento. Incluye Customer Match y Enhanced Conversions: cuando un usuario completa el opt-in del newsletter, su email se hashea con SHA-256 antes de salir del navegador y ese hash se comparte con Google Ads exclusivamente para (a) atribuir la conversión a la campaña original y (b) crear listas de audiencia similar (lookalike) que ayudan a optimizar el bidding. Google actúa como encargado del tratamiento (GDPR Art 28) bajo los Google Ads Data Processing Terms. Podés solicitar exclusión total enviando un email a hola@modismoshispanos.com.
Google AdMob — anuncios. Sólo se entregan IDFA/GAID con tu consentimiento.
Google AdSense (web) — anuncios display en las páginas de ficha, búsqueda, país y portada. Carga el script adsbygoogle.js depagead2.googlesyndication.com tras consentimiento (Consent Mode v2). En tráfico EEA/UK/Suiza el consentimiento granular se recoge vía Google Funding Choices (CMP certificado IAB TCF v2.2). Sin consentimiento, los anuncios se sirven en modo no personalizado o no se sirven en absoluto. Por política editorial, NO servimos anuncios en fichas de modismos con registro vulgar.
Google Identity — login con Google (OAuth 2.0).
Apple ID / Sign in with Apple — login en iOS y Android. Si eligesHide My Email, recibimos un correo de relay anónimo (@privaterelay.appleid.com) que Apple traduce al tuyo real. No vemos tu email personal hasta que lo decidas tú.
Vercel Inc. — hosting de la web.
Upstash — rate limiting (IP hasheada, sin PII).
Resend — SMTP transactional para enviar emails de confirmación de magic link y del newsletter. Sólo recibe el email del destinatario y el contenido del mensaje; no comparte con terceros. Política de Resend.
Cloudflare Turnstile — verificación humana en /suscribirse. Privacy-friendly, no usa cookies de tracking. Política de Cloudflare.

Cada uno opera bajo sus propias políticas y firma DPA cuando aplica. No transferimos datos a países sin garantías equivalentes a las del RGPD.

Cookies y consentimiento publicitario

En la web usamos cookies esenciales para Supabase Auth (sesión). Tras tu consentimiento en el banner, también cargamos Google Analytics 4 (medición), Google Ads (conversión de campañas) y Google AdSense (display ads) usando Google Consent Mode v2. Sin consentimiento, ninguna cookie publicitaria ni de analítica se establece. Para usuarios en EEA/UK/Suiza, el consentimiento granular adicional para AdSense se gestiona vía Google Funding Choices, certificado bajo IAB TCF v2.2. En la app, los anuncios funcionan vía SDK de AdMob con el flujo de Google UMP / IAB TCF v2.2.

iOS: mostramos el prompt de App Tracking Transparency antes de cualquier seguimiento entre apps.
Android (EEA/UK): CMP de Google que pide consentimiento granular.
Revocar consentimiento: Perfil → Preferencias de privacidad relanza el formulario en cualquier momento.

Newsletter y lead magnet

Si te suscribís desde /suscribirse recibís nuestro newsletter semanal y un PDF gratuito con los principales modismos de tu país. La suscripción es por doble opt-in: te enviamos un correo de confirmación con un enlace mágico, y sólo activamos tu suscripción cuando hacés click. Ese click es tu consentimiento explícito bajo GDPR Art 7, LFPDPPP, Ley Argentina 25.326 y LGPD brasileña.

Datos guardados: tu email, el código ISO 3166-1 alpha-2 del país detectado (vía cabecera x-vercel-ip-country o tu Accept-Language) y el timestamp en que confirmaste el opt-in. Todo persiste en la columna perfiles.newsletter_consent_at como evidencia de consentimiento.
Finalidad: enviarte el newsletter semanal con un modismo nuevo y el PDF gratuito de bienvenida. Nada más.
Retención: mientras estés suscrito. Si te das de baja, marcamosis_newsletter_subscriber = false y dejamos de enviarte. Si pedís eliminación total, removemos el email del registro (ver Eliminación de cuenta y datos).
Darse de baja: cada email del newsletter incluye un link de unsubscribe en 1 click. Sin formularios, sin trampas. Cumple con CAN-SPAM y RGPD.
Atribución publicitaria (Customer Match): si llegaste vía un anuncio de Google Ads (utm_source=google), tu email — hasheado con SHA-256 antes de salir del navegador — se comparte con Google Ads exclusivamente para atribuir la conversión a la campaña original y mejorar el bidding por audiencias similares. Nunca compartimos el email en claro. Detalles + opt-out en la sección Terceros que procesan tus datos más abajo.
Transferencia internacional: los emails se envían vía Resend (data center US/EU). Resend opera bajo SCCs (Standard Contractual Clauses) de la Comisión Europea para garantizar nivel adecuado de protección.
Verificación humana: el formulario está protegido por Cloudflare Turnstile, que evita spam de bots sin instalar cookies de tracking ni recopilar huella digital identificativa.

Importante: nunca compartimos ni vendemos tu email a terceros. Punto. La lista del newsletter es 100% nuestra y se queda con nosotros — ni los anunciantes ni los partners B2B ven nada.

Notificaciones push

Las notificaciones son opcionales y pides permiso al usarlas por primera vez. Usan Firebase Cloud Messaging y un token anónimo por dispositivo. Puedes desactivarlas en Ajustes del sistema o en Perfil → Notificaciones.

Permisos en la app móvil

Internet: obligatorio para cargar contenido y autenticarte.
Notificaciones (Android 13+ / iOS): opt-in para Palabra del día y propuestas aprobadas.
Face ID / biometría (iOS): opt-in para entrar más rápido. La biometría nunca sale del dispositivo.
App Tracking Transparency (iOS): opt-in, sólo si quieres anuncios personalizados.
Almacenamiento (FileProvider Android): escribir temporalmente imágenes que compartes desde la app. Nunca leemos tu galería.

No usamos cámara, micrófono, ubicación, contactos, calendario ni HealthKit.

Tus derechos

Según GDPR (UE), CCPA/CPRA (California), LFPDPPP (México) y la Ley Federal Argentina 25.326, tienes derecho a:

Acceder a una copia de tus datos personales.
Rectificar datos incorrectos desde Perfil.
Eliminar tu cuenta y datos asociados (ver siguiente sección).
Portar tus datos en formato JSON estructurado desde Perfil → Descargar mis datos (GDPR Art 20).
Objetar el procesamiento de búsquedas y analítica.
Retirar consentimiento publicitario en cualquier momento.
Presentar reclamación ante tu autoridad de protección de datos.

Contacta a hola@modismoshispanos.com con asunto “Solicitud de derechos”. Respondemos en menos de 30 días.

Eliminación de cuenta y datos

Disponible desde:

Web: Perfil → Eliminar cuenta
App iOS / Android: Perfil → Zona peligrosa → Eliminar cuenta
Página directa pública: modismoshispanos.com/perfil/peligro

Cuando confirmas:

Tu perfil, avatar, favoritos y preferencias se borran.
Tus contribuciones públicas (propuestas, vídeos) se conservan anónimamente: el campo user_id se establece a NULL y no queda forma de re-identificarte.
Tus votos se eliminan completamente.
Tu token push y todas las sesiones activas se invalidan.
Hay una ventana de gracia de 14 días para cancelar; pasados, la eliminación es definitiva.

Cumple con App Store §5.1.1(v), Google Play Account Deletion, GDPR Art 17, CCPA y LFPDPPP. Las copias de seguridad rotan a 30 días máximo.

Menores de edad

La app está clasificada para mayores de 13 años (App Store: 4+; Google Play: Para todos). No recopilamos datos a sabiendas de menores de 13 años (COPPA) ni de menores de 14 (España, México). Si descubres que un menor ha creado cuenta, contáctanos y eliminaremos los datos en menos de 7 días.

Cambios a esta política

Podemos actualizar esta política cuando cambien nuestras prácticas o la regulación. Notificaremos cambios significativos por email a cuentas activas y mostraremos un aviso destacado en la app durante 30 días. La fecha de última actualización siempre aparece arriba de esta página.

Contacto y delegado de protección de datos

Para cualquier consulta sobre privacidad, ejercer tus derechos o reportar un incidente:

Email: hola@modismoshispanos.com
Asunto sugerido: “Privacidad — [tu solicitud]”