Política de Privacidad
Si esta traducción difiere de la versión inglesa, prevalece la versión inglesa en la medida permitida por las normas imperativas de protección de consumidores y de datos.
1. Quiénes somos
Play by Mail ("nosotros") es operado por Alien Spaces, negocio australiano de empresario individual (ABN 13 996 366 428), establecido en Coburg North VIC 3058, Australia, con dirección postal PO Box 4003, Gilberton VIC 3072, Australia. Alien Spaces es el responsable del tratamiento de los datos personales procesados a través del Servicio. Consulte el Aviso Legal para los datos completos del operador.
Contacto de privacidad: privacy@playbymail.games.
2. Qué datos tratamos y por qué
Tratamos solo lo necesario para operar un servicio play-by-mail:
- Datos de cuenta — correo electrónico, nombre visible opcional, idioma, tokens de autenticación. Cuando inicias sesión con Google, solo recibimos tu dirección de correo electrónico de Google para identificar tu cuenta; no solicitamos ni almacenamos tu nombre de perfil, foto ni ningún otro dato de Google. Base jurídica: ejecución del contrato (RGPD art. 6(1)(b)).
- Artefactos de juego — hojas de turno, personajes, facciones, imágenes subidas y comentarios. Base jurídica: contrato.
- Metadatos de suscripción y facturación — cuando existan suscripciones de pago: tipo, juegos activos, renovación. No almacenamos tarjetas; el procesador de pagos se indicará en Subencargados. Base jurídica: contrato.
- Correo transaccional — correos de verificación, notificaciones de entrega de hojas de turno, mensajes de seguridad de la cuenta y confirmaciones de preferencias de correo. Base jurídica: ejecución del contrato (art. 6(1)(b)) para los mensajes que su cuenta requiere y nuestro interés legítimo (art. 6(1)(f)) para confirmar las decisiones de consentimiento que usted toma. El correo transaccional no es opt-in / opt-out: forma parte del Servicio.
- Correo de marketing — anuncios de partidas abiertas y novedades del producto. Solo se envían cuando usted ha dado su consentimiento explícito (en el primer inicio de sesión, en Cuenta → Notificaciones, o desde la pestaña Privacidad). Base jurídica: consentimiento (art. 6(1)(a)). Cada opt-in se registra junto con la versión de la política de privacidad que vio en el momento de consentir. Enviamos un correo de confirmación cada vez que usted opta por suscribirse; ese correo y todos los mensajes de marketing posteriores incluyen un enlace de baja de un solo clic (RFC 8058) para que pueda retirar su consentimiento sin iniciar sesión. También puede retirar el consentimiento en cualquier momento desde Cuenta → Notificaciones o Cuenta → Privacidad.
- Registros de servidor y aplicación — en entornos no de desarrollo se eliminan correos completos y tokens; se conservan hashes/truncados para correlación. Base jurídica: interés legítimo en operar y proteger el Servicio (art. 6(1)(f)).
- Registros de consentimiento y aceptación — qué versión aceptó y cuándo. Base jurídica: art. 7(1).
No usamos su contenido de juego para publicidad y no vendemos datos personales.
3. Escaneo asistido por IA
Usamos modelos de visión y texto para extraer órdenes manuscritas de hojas de turno escaneadas y convertirlas en acciones estructuradas.
- Las imágenes y el texto extraído se envían a nuestro subencargado de IA (actualmente OpenAI; vea Subencargados) con el contexto mínimo necesario.
- Su contenido no se usa para entrenar modelos de terceros; las condiciones de API lo prohíben.
- Una evaluación de impacto (DPIA) para esta actividad está en preparación.
4. Transferencias internacionales
Alien Spaces está establecido en Australia. Sus datos se transfieren a Australia para almacenamiento y tratamiento. Australia no cuenta actualmente con decisión de adecuación de la UE. Para residentes de la UE, EEE o Reino Unido nos basamos en el consentimiento explícito del art. 49(1)(a) RGPD / UK GDPR: al crear una cuenta con un operador australiano claramente identificado, consiente la transferencia a Australia para los fines descritos. Puede retirarlo eliminando su cuenta.
Las transferencias posteriores a subencargados fuera de Australia (por ejemplo OpenAI o Heroku en Estados Unidos) se protegen mediante Cláusulas Contractuales Tipo y, cuando proceda, certificaciones EU-US Data Privacy Framework.
5. Conservación
Los plazos se aplican a sistemas en vivo. Las copias de seguridad rotan dentro del periodo indicado; las solicitudes de supresión se completan en datos vivos y las copias restantes desaparecen por rotación.
| Categoría de datos | Conservación |
|---|---|
| Datos de cuenta activa | Mientras la cuenta esté activa. |
| Supresión de cuenta — periodo de gracia | 30 días desde la solicitud; durante ese periodo puede cancelar la supresión, después se borra de sistemas vivos. |
| Cuentas no verificadas | Se eliminan automáticamente 30 días tras su creación si no se verifica el correo. |
| Artefactos de juegos completados | 24 meses tras finalizar el juego; después se archivan sin vínculo a cuentas identificables. |
| Metadatos de suscripción/facturación | 7 años por obligaciones fiscales australianas; sin datos de tarjeta. |
| Registros de aplicación/servidor | Ventana móvil de 14 días, con correos completos y tokens redactados en entornos no de desarrollo. |
| Registros de consentimiento/aceptación | Vida de la cuenta + 6 años tras cierre. |
| Copias de seguridad de base de datos | Ventana de hasta 35 días; no se editan manualmente. |
6. Sus derechos
Bajo RGPD y UK GDPR puede solicitar acceso, rectificación, supresión, portabilidad, oponerse a determinados tratamientos y reclamar ante su autoridad local (vea Aviso Legal).
Puede ejercer los derechos de acceso (Art. 15), portabilidad (Art. 20) y supresión (Art. 17) directamente desde Cuenta → Privacidad dentro de la aplicación. Allí puede:
- Descargar mis datos — recibe un paquete JSON legible por máquina con todas las categorías de datos personales que tenemos sobre usted, incluido el contenido completo de cada documento legal que haya aceptado.
- Eliminar mi cuenta — borra su cuenta de forma permanente, libera todas las plazas de juego que ocupa y elimina sus datos personales de nuestra base de datos activa.
Si no puede usar los controles dentro de la aplicación —por ejemplo, porque ha perdido el acceso a la dirección de correo registrada— escriba a privacy@playbymail.games. Respondemos en el plazo de un mes natural, ampliable a tres meses para solicitudes complejas previa notificación por escrito. Tras eliminar su cuenta, sus datos pueden permanecer en copias de seguridad cifradas hasta 30 días antes de ser sobrescritos en la rotación habitual; pasado ese plazo sus datos ya no estarán presentes en ningún sistema que operemos.
Si abandona un juego o elimina su cuenta, no editamos hojas de turno de otros jugadores aunque mencionen incidentalmente el nombre de su personaje; tras la supresión no son atribuibles a usted como persona natural. Para revisar una referencia concreta, contacte con privacy@playbymail.games.
7. Seguridad
- Los tokens de sesión se almacenan con hash HMAC y caducidad deslizante de 15 minutos.
- No usamos contraseñas; la autenticación es mediante códigos de verificación por correo electrónico de corta duración, u opcionalmente mediante Inicio de sesión con Google (OAuth 2.0). Cuando usas Inicio de sesión con Google, la autenticación se delega a Google; verificamos el token de identidad en el servidor usando las claves públicas de Google y nunca almacenamos tus credenciales de Google.
- Los registros de producción redactan correos completos y tokens.
- El acceso de managers/diseñadores a datos identificables se limita a lo necesario y se audita.
8. Menores
El Servicio está destinado a adultos. No recopilamos conscientemente datos de menores de 16 años. Si cree que un menor creó una cuenta, escriba a privacy@playbymail.games y la eliminaremos.
9. Cambios
Los cambios materiales activan un nuevo flujo de consentimiento al siguiente inicio de sesión. Registramos la versión aceptada y la fecha; las versiones históricas siguen disponibles por sus IDs de documento.
10. Gobernanza y transparencia
Esta política se redacta como Markdown en el repositorio de código fuente del proyecto. Cada cambio se rastrea en control de versiones. GitHub y GitLab se listan como subencargados del flujo documental, aunque no tratan datos personales de usuarios finales.