Política de privacidad
Última actualización: 22 de abril de 2026
La presente política describe cómo Innoflow SAS trata los datos personales de los usuarios del sitio horeb.app y de la aplicación Horeb (iOS, Android, web), de conformidad con el Reglamento (UE) 2016/679 (« RGPD ») y la legislación francesa sobre datos personales (« ley informática y libertades »).
1. Responsable del tratamiento
Innoflow SAS, capital 1.000 €, 75 allée du Talus, 13540 Aix‑en‑Provence, Francia — RCS Aix‑en‑Provence 913 632 808.
Contacto: mediante el formulario de contacto del sitio, indicando « RGPD » en el asunto, o desde la aplicación mediante el menú « Perfil → Ayuda y soporte ».
2. Datos tratados
Tratamos los siguientes datos:
- Cuenta: correo electrónico, contraseña (almacenada como hash), idioma, fecha de registro.
- Contenidos introducidos en la app: objetivos, hábitos, prioridades y gracias del día, reflexiones, sesiones (oración, respiración, frío, estiramientos, deporte), favoritos, rutinas y posturas personalizadas.
- Formulario de contacto del sitio: nombre, correo, asunto y mensaje; utilizados únicamente para tramitar su solicitud.
- Suscripción Premium: identificadores de cliente Stripe (web) o RevenueCat (iOS/Android), estado y fechas de suscripción. No se almacenan datos bancarios — los pagos se procesan únicamente por Stripe, Apple o Google.
- Técnicos: dirección IP, tipo de dispositivo, registros de eventos, token de notificación push (si está activado).
El sitio y la aplicación no recogen geolocalización, contactos ni fotos (salvo las que añada voluntariamente a una postura), ni datos de salud en sentido médico. No se permiten cuentas para menores de 15 años.
Los contenidos que introduzca pueden reflejar sus convicciones religiosas (artículo 9 del RGPD). El tratamiento se basa en su consentimiento explícito, manifestado mediante su introducción voluntaria, y puede retirarse en cualquier momento suprimiendo los datos o la cuenta.
3. Finalidades y bases legales
| Finalidad | Base legal |
|---|---|
| Creación y gestión de la cuenta, prestación de las funciones | Ejecución del contrato (art. 6.1.b RGPD) |
| Tratamiento de las convicciones religiosas reflejadas en sus contenidos | Consentimiento explícito (art. 9.2.a RGPD) |
| Respuesta a las solicitudes recibidas por el formulario de contacto | Interés legítimo / consentimiento |
| Suscripción Premium, pago y facturación | Ejecución del contrato + obligación legal (contabilidad) |
| Correos transaccionales (bienvenida, restablecimiento de contraseña, recibos) | Ejecución del contrato |
| Medición de audiencia del sitio (Matomo, con consentimiento) | Consentimiento (art. 6.1.a RGPD) |
| Seguridad, prevención del fraude | Interés legítimo (art. 6.1.f RGPD) |
| Obligaciones contables y legales | Obligación legal (art. 6.1.c RGPD) |
4. Encargados del tratamiento y transferencias
Sus datos no se venden ni se alquilan. Se comunican únicamente a los encargados necesarios para prestar el servicio, mediante contratos conformes al artículo 28 del RGPD:
| Encargado | Función | Ubicación |
|---|---|---|
| Supabase Inc. | Alojamiento, base de datos, autenticación | UE (Fráncfort) |
| Vercel Inc. | Alojamiento del sitio y de la aplicación web | UE / EE. UU. |
| Matomo Cloud | Medición de audiencia del sitio (con consentimiento) | UE |
| Stripe Payments Europe Ltd | Pago web | Irlanda / UE |
| RevenueCat Inc. | Suscripciones móviles | EE. UU. |
| Apple / Google | Distribución y pagos móviles | UE / Mundo |
| Sendinblue SA (Brevo) | Correos transaccionales y formulario de contacto | Francia |
Las transferencias eventuales fuera de la Unión Europea se rigen por las Cláusulas Contractuales Tipo de la Comisión Europea (decisión 2021/914) y, en su caso, por el Marco de privacidad de datos UE-EE.UU..
5. Plazos de conservación
- Cuenta activa y contenidos: durante toda la vida de la cuenta.
- Cuenta inactiva: supresión o anonimización tras 3 años y 6 meses sin conexión.
- Cuenta eliminada: supresión inmediata de los datos identificativos; archivo técnico (copias de seguridad) hasta 30 días como máximo.
- Mensajes enviados por el formulario de contacto del sitio: 3 años desde el último intercambio.
- Facturas y documentos contables: 10 años (artículo L.123-22 del Código de comercio francés).
- Registros técnicos: 12 meses como máximo.
- Mensajes de soporte: 3 años tras el último contacto.
6. Sus derechos
Conforme a los artículos 15 a 22 del RGPD, dispone de los siguientes derechos: acceso, rectificación, supresión, portabilidad, limitación, oposición, retirada del consentimiento, e instrucciones tras el fallecimiento.
Ejercer sus derechos directamente en la aplicación
- Modificar su perfil y contraseña: pantalla « Perfil ».
- Exportar sus datos en formato JSON: « Perfil → Exportar mis datos ».
- Eliminar su cuenta y todos sus datos: « Perfil → Eliminar mi cuenta ».
Contactarnos
Cualquier otra solicitud puede dirigirse mediante el formulario de contacto del sitio (asunto: « RGPD ») o, desde la aplicación, mediante el menú « Perfil → Ayuda y soporte ». Recibirá respuesta en un plazo máximo de un (1) mes.
Reclamación ante la CNIL
Si considera que el tratamiento no respeta la normativa, puede plantear una reclamación ante la CNIL (autoridad francesa) — 3 Place de Fontenoy, TSA 80715, 75334 París Cedex 07 — cnil.fr.
7. Seguridad
Aplicamos medidas técnicas y organizativas adecuadas: cifrado en tránsito (HTTPS/TLS), cifrado en reposo, contraseñas con hash, Row Level Security estricta en cada tabla (auth.uid() = user_id), gestión de accesos por roles, copias de seguridad periódicas.
En caso de violación de datos que represente un riesgo elevado para sus derechos y libertades, será informado sin dilación indebida, conforme al artículo 34 del RGPD.
8. Cookies y almacenamiento local
La aplicación móvil no utiliza cookies: almacena localmente un token de sesión seguro para mantenerle conectado.
El sitio de marketing (horeb.app) y la aplicación web (app.horeb.app) utilizan:
- cookies estrictamente necesarias (sesión, preferencias de idioma y tema, protección CSRF), exentas de consentimiento con arreglo al artículo 82 de la ley francesa « informática y libertades »;
- una herramienta de medición de audiencia respetuosa con la privacidad (Matomo Analytics, alojada en Europa), cargada únicamente tras su consentimiento explícito mediante nuestro banner. Los datos recogidos (páginas vistas, duración de la visita, origen del tráfico, dispositivo, país) se limitan estrictamente a la medición de audiencia. No se comparten datos con fines publicitarios ni se depositan cookies de marketing de terceros.
Puede aceptar, rechazar o modificar su elección en cualquier momento desde el banner de consentimiento o desde las preferencias siguientes.
Gestionar preferencias
Modifica en cualquier momento tu elección sobre Matomo Analytics.
Estado actual
Sin elección guardada
9. Decisiones automatizadas
No adoptamos decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos a su respecto en el sentido del artículo 22 del RGPD.
10. Modificaciones
La presente política puede actualizarse para reflejar evoluciones legales, técnicas o funcionales. Toda modificación sustancial le será notificada al menos quince (15) días antes de su entrada en vigor, por correo electrónico o mediante una notificación en la aplicación.