Política de Privacidad

El Responsable del tratamiento, que decide los fines y los medios del tratamiento de tus datos, es:

• Denominación: Lulla App
• Correo de contacto: contact@getlulla.app
• Sitio web: www.getlulla.app
• Jurisdicción: Rumania

Para cualquier solicitud o consulta relacionada con el tratamiento de tus datos, puedes contactarnos en contact@getlulla.app. Respondemos en un plazo máximo de 30 días naturales desde la recepción de la solicitud, conforme al Art. 12(3) RGPD.

En la medida en que, en el futuro, designemos a un Delegado de Protección de Datos (DPO), sus datos de contacto se publicarán aquí y en el sitio web oficial.

La presente Política se aplica:

• a la aplicación móvil Lulla (actualmente Android);
• al sitio web www.getlulla.app;
• a los servicios de backend relacionados;
• a las comunicaciones por correo electrónico con el equipo de Lulla.

La Política no cubre:

• los sitios externos enlazados desde Lulla (por ejemplo, supabase.com, google.com) — estos tienen sus propias políticas de privacidad;
• los servicios de Google Play, que son operados por Google y tienen su propia política.

Todos los tratamientos respetan los principios fundamentales del Art. 5 RGPD:

• Licitud, lealtad y transparencia — tratamos los datos únicamente sobre la base de una base jurídica clara y te informamos a través de este documento.
• Limitación de la finalidad — utilizamos los datos exclusivamente para los fines descritos a continuación.
• Minimización de datos — recopilamos únicamente lo estrictamente necesario.
• Exactitud — te animamos a mantener tus datos actualizados a través de Ajustes → Perfil.
• Limitación del plazo de conservación — conservamos los datos sólo durante el tiempo necesario; se eliminan a tu solicitud.
• Integridad y confidencialidad — los datos se cifran en tránsito (TLS 1.3) y en reposo (AES-256).
• Responsabilidad proactiva — podemos demostrar el cumplimiento a petición.

4.1 Datos de cuenta (obligatorios para utilizar el Servicio)

• Dirección de correo electrónico — utilizada como identificador único y para la recuperación de la cuenta;
• Nombre / apellidos / alias — mostrado en la interfaz (por ejemplo, "Hola, Alex");
• Rol en la familia — Madre / Padre / Tutor / Cuidador / Otro (utilizado para personalizar los textos);
• Token de autenticación — generado en el inicio de sesión, conservado de forma cifrada en el dispositivo y en Supabase Auth.

Si decides iniciar sesión con Google Sign-In, sólo recibimos de Google la dirección de correo electrónico y el ID de Google asociado, sobre la base de tu consentimiento expresado en el cuadro de diálogo de Google. No recibimos la contraseña de tu cuenta de Google.

4.2 Datos sobre el bebé (introducidos voluntariamente por ti)

• Nombre del bebé (o apodo);
• Fecha de nacimiento — utilizada para el cálculo de la edad en meses y para recomendaciones específicas por edad;
• Sexo — utilizado para la selección de la iconografía (niña / niño / prefieres no decirlo);
• Foto de avatar — opcional; almacenada localmente en tu dispositivo (filesDir/baby_photos/), no se sube a nuestros servidores por defecto.

Tú, en calidad de padre/madre o tutor legal, eres responsable de la introducción de estos datos y de la obtención de cualquier consentimiento legal necesario (por ejemplo, el acuerdo del otro progenitor).

4.3 Datos de sueño (introducidos por ti a través del uso de la app)

• Horas de inicio y fin de las sesiones de sueño — capturadas por el cronómetro integrado;
• Duración de la sesión — calculada automáticamente;
• Tipo de sueño — sueño nocturno / sueño diurno (siesta);
• Calidad — valoración subjetiva en una escala (opcional);
• Notas / etiquetas — texto libre añadido por ti (opcional);
• Sesiones de alimentación — horas y tipo (lactancia materna / biberón / sólidos), opcional.

4.4 Preferencias y configuraciones

• Ajustes de notificaciones — hora de dormir, on/off para recordatorios, consejos diarios y resúmenes semanales;
• Idioma de la app — tu elección entre los 8 idiomas soportados;
• Tema visual — preferencia personal;
• Bloqueo biométrico — preferencia para proteger el acceso a la app con huella / Face ID;
• Hora objetivo de acostarse — utilizada para el cálculo de la puntuación de sueño.

4.5 Datos sobre compras (si te suscribes a Premium)

• ID del producto comprado (lulla_premium_monthly o lulla_premium_annual);
• Token de compra de Google Play — utilizado para verificar la autenticidad de la compra;
• Fecha y estado de la suscripción — activa, cancelada, expirada, en período de prueba;
• Fecha de inicio del período de prueba — utilizada para programar los recordatorios del Día 5 / Día 6.

Importante: Lulla NUNCA recibe los datos de tu tarjeta de crédito/débito, tu IBAN ni otros datos financieros. La transacción se realiza exclusivamente a través de Google Play Billing; nosotros sólo recibimos un token que confirma la compra.

4.6 Datos sobre el dispositivo (automáticos)

• Versión de la app Lulla — para depuración y diagnóstico;
• Versión de Android — para verificar la compatibilidad;
• Identificador único generado en la instalación — utilizado únicamente en local, no se comparte;
• Código de error / stack trace — en caso de fallo, se conserva únicamente en local en filesDir/last_crash.txt y se muestra en el siguiente arranque. No se envía automáticamente a nosotros.

No recopilamos: IMEI, dirección MAC, tu dirección IP completa, número de teléfono, ubicación GPS, tus contactos, el calendario, el micrófono ni la cámara sin tu permiso explícito. El ID de publicidad de Android (AAID/GAID) se recopila únicamente si activas la atribución de marketing mediante AppsFlyer con tu consentimiento explícito (consulta la sección 4.10).

4.7 Datos sobre el uso (analítica)

Para entender cómo se utiliza la aplicación y para mejorarla, registramos determinados eventos anonimizados en la tabla analytics_events de nuestra base de datos Supabase:

• eventos relacionados con el paywall (paywall_shown, paywall_cta_clicked, purchase_completed, trial_started);
• la categoría de funcionalidad que ha desencadenado el evento (stats, stories, sounds, etc.);
• el ID del producto comprado, si lo hay;
• el motivo de la cancelación o del fallo de un pago.

Estos eventos NO contienen: nombre del bebé, horas de sueño, fotos, contenido de las notas u otros datos personales identificables. Contienen únicamente identificadores categóricos estables y están protegidos mediante Row Level Security, de modo que sólo tú puedes ver tus propios eventos.

4.8 Datos derivados del uso compartido con la familia (Sharing v2 — opcional)

Si decides utilizar la función de compartir con una pareja:

• generamos un código de invitación de 6 caracteres asociado a tu cuenta;
• al aceptar el código el otro progenitor, su cuenta queda vinculada a tu hogar;
• ambos progenitores ven los mismos datos sobre el niño (sueño, fotos, estadísticas).

El código de invitación expira automáticamente tras ser utilizado una sola vez. Puedes revocar el acceso de una pareja desde Ajustes → Compartir → Revocar acceso.

4.9 Boletín (opcional, con consentimiento explícito)

Si te suscribes al boletín de Lulla desde el sitio web, recopilamos:

• tu dirección de correo electrónico;
• la fecha de suscripción y la fuente (página de inicio / footer / popup);
• las preferencias de frecuencia, si las hay.

Puedes darte de baja en cualquier momento mediante el enlace presente en cada correo.

4.10 Datos de atribución de marketing (AppsFlyer — solo con tu consentimiento)

Para entender qué campañas y canales traen nuevos padres a Lulla y para medir la eficacia de nuestros anuncios, utilizamos AppsFlyer — una plataforma de atribución móvil. AppsFlyer se activa solo después de que des tu consentimiento explícito en el cuadro de diálogo que se muestra la primera vez que abres la app; puedes retirarlo en cualquier momento desde Ajustes → Análisis de marketing.

Si aceptas, AppsFlyer puede tratar:

• el ID de publicidad de Android (AAID/GAID) del dispositivo;
• identificadores técnicos del dispositivo (modelo, versión de Android, idioma, operador);
• los datos de Play Install Referrer (de qué fuente / campaña proviene la instalación);
• eventos de instalación y apertura de la app.

Estos datos se transmiten a AppsFlyer Ltd., que actúa como encargado del tratamiento / socio de atribución y puede tratar los datos fuera del Espacio Económico Europeo, sobre la base de garantías adecuadas (cláusulas contractuales tipo). AppsFlyer no recibe el nombre de tu bebé, los horarios de sueño, las fotos ni tus notas. Si rechazas o retiras tu consentimiento, AppsFlyer no se inicia y no se recopila ningún identificador publicitario.

Los datos se recopilan a través de tres fuentes:

5.1 Directamente de ti

Cuando:

• creas una cuenta,
• completas tu perfil o el del bebé,
• inicias el cronómetro de sueño,
• introduces una sesión manualmente,
• editas los ajustes,
• contactas con el soporte.

5.2 Automáticamente, mediante el uso de la app

Cuando:

• inicias o detienes el cronómetro (timestamps generados por la app),
• la app se sincroniza con la nube (operaciones de escritura/lectura en Supabase),
• se registran los eventos de analítica.

5.3 De terceros (con tu consentimiento)

Cuando:

• inicias sesión con Google Sign-In — recibimos de Google tu correo e ID;
• te suscribes a Premium — Google Play nos envía el token de compra para su verificación.

Utilizamos tus datos estrictamente para las siguientes finalidades:

No utilizamos tus datos para: publicidad, elaboración de perfiles comerciales, decisiones automatizadas con efectos significativos, entrenamiento de modelos de IA, venta a terceros, marketing de afiliación.

Cada tratamiento se basa en una o varias bases jurídicas:

7.1 Ejecución del contrato — Art. 6(1)(b)

Para prestarte el Servicio conforme a los Términos y Condiciones que has aceptado:

• datos de cuenta,
• datos sobre el bebé y el sueño (necesarios para el funcionamiento de la app),
• preferencias,
• procesamiento de los pagos de la suscripción.

7.2 Tu consentimiento — Art. 6(1)(a)

Para tratamientos opcionales, que puedes activar o desactivar en cualquier momento:

• notificaciones push,
• boletín,
• fotos opcionales,
• función de compartir con una pareja.

Puedes retirar el consentimiento en cualquier momento sin que ello afecte a la licitud de los tratamientos previos a la retirada.

7.3 Nuestro interés legítimo — Art. 6(1)(f)

Cuidadosamente equilibrado frente a tus derechos:

• analítica anonimizada para la mejora del Servicio;
• prevención del fraude (por ejemplo, intentos múltiples de obtener períodos de prueba gratuitos);
• registros de seguridad para la detección de accesos no autorizados;
• depuración a partir de códigos de error.

Puedes oponerte en cualquier momento a estos tratamientos (véase la sección 11).

7.4 Obligación legal — Art. 6(1)(c)

Cuando estamos obligados por ley:

• conservación de los registros fiscales de las transacciones (Código fiscal rumano — al menos 10 años);
• respuesta a solicitudes legítimas de las autoridades.

8.1 Edad mínima de los usuarios

Lulla está destinada exclusivamente a adultos (18+). No recopilamos a sabiendas datos directamente de menores de 16 años.

8.2 Datos sobre tu bebé

Los datos sobre tu hijo (nombre, fecha de nacimiento, fotos, etc.) son introducidos por ti, en calidad de padre/madre o tutor legal, sobre la base de tu consentimiento, y están protegidos por los mismos estándares que todos los datos en Lulla.

8.3 Categorías especiales de datos

No tratamos datos de salud de tu hijo (Art. 9 RGPD). Los datos de sueño son observaciones conductuales, no diagnósticos médicos. Véase el aviso médico de los Términos y Condiciones, sección 7.

Para el funcionamiento del Servicio, trabajamos con los siguientes sub-encargados, cada uno con un Contrato de Encargado del Tratamiento (DPA) celebrado conforme al Art. 28 RGPD:

9.1 Supabase — backend principal

Sobre Row Level Security: Supabase aplica políticas estrictas a nivel de base de datos que garantizan que sólo puedes acceder a los datos de tu propia cuenta. Ningún otro usuario puede leer ni modificar tus datos, incluso si tuviera acceso a la base de datos. Estas políticas forman parte de las migraciones open-source de la aplicación, auditables.

9.2 Google Ireland Limited — Google Play Billing y Sign-In

9.3 Hetzner Online GmbH — alojamiento del sitio web

9.4 Proveedor de correo (opcional, si te suscribes al boletín)

Si te suscribes al boletín de Lulla, tu dirección de correo se almacena en un servicio de email marketing alojado en la UE (Mailerlite / Brevo / Resend — actualizaremos aquí el proveedor concreto utilizado en el momento del lanzamiento). Puedes darte de baja en cualquier momento.

9.5 AppsFlyer — atribución de marketing (opcional, solo con tu consentimiento)

AppsFlyer se activa solo con tu consentimiento explícito (consulta la sección 4.10) y puede desactivarse en cualquier momento desde Ajustes → Análisis de marketing. Si no das tu consentimiento, AppsFlyer no se inicia.

9.6 Lista actualizada

La lista actualizada de sub-encargados está disponible en www.getlulla.app/subprocessors y se actualiza al menos 30 días antes del cambio de cualquier sub-encargado significativo.

10.1 Principio básico

Todos tus datos son tratados principalmente en la Unión Europea (Alemania, a través de Hetzner para el sitio web, y a través de AWS EU para Supabase).

10.2 Excepciones puntuales

En determinados casos técnicos excepcionales, ciertos datos pueden transferirse fuera del EEE:

• Google Play (Irlanda) — para los pagos; Google opera a través de su entidad europea (Google Ireland Limited);
• Supabase Inc. está registrada en Singapur, pero la infraestructura utilizada se encuentra en la UE;
• Cuentas de servicio de Google Play para la verificación de las compras — comunicación API cifrada con Google.
• AppsFlyer Ltd. (Israel / EE. UU.) — solo si activas la atribución de marketing con consentimiento; Israel se beneficia de una decisión de adecuación de la Comisión Europea, y las transferencias a EE. UU. están cubiertas por cláusulas contractuales tipo (consulta 4.10).

10.3 Garantías

Cualquier transferencia fuera del EEE está protegida mediante:

• Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea (Decisión 2021/914);
• Decisiones de adecuación de la Comisión (por ejemplo, el Marco UE-EE. UU. de Privacidad de Datos para los Estados Unidos);
• medidas contractuales y técnicas adicionales (cifrado, control de acceso).

Puedes solicitar en cualquier momento a contact@getlulla.app copias de las cláusulas y garantías aplicables.

Conforme al RGPD (Art. 15-22) y a la Ley 190/2018 (Ley 190/2018 de aplicación del RGPD en Rumania), tienes los siguientes derechos:

11.1 Derecho de acceso (Art. 15)

Puedes solicitar una copia de todos los datos que tenemos sobre ti. Esta copia es gratuita y te la enviamos en un plazo máximo de 30 días.

11.2 Derecho de rectificación (Art. 16)

Puedes modificar los datos inexactos directamente desde Ajustes → Perfil o por correo electrónico a contact@getlulla.app.

11.3 Derecho de supresión ("derecho al olvido", Art. 17)

Puedes eliminar tu cuenta y todos los datos asociados a través de:

• Ajustes → Cuenta → Eliminar cuenta;
• o correo electrónico a contact@getlulla.app con el asunto "Solicitud de supresión de datos".

Los datos se eliminan en un plazo máximo de 30 días. Excepciones: los datos conservados para el cumplimiento de una obligación legal (por ejemplo, los registros fiscales de las transacciones — mínimo 10 años conforme al Código fiscal).

11.4 Derecho a la limitación del tratamiento (Art. 18)

Puedes solicitar que suspendamos el tratamiento de determinados datos en las condiciones previstas en el Art. 18 (por ejemplo, durante la verificación de una rectificación).

11.5 Derecho a la portabilidad de los datos (Art. 20)

Puedes recibir tus datos en un formato estructurado, de uso común y lectura automática (por ejemplo, JSON o CSV). Puedes exportar en cualquier momento informes PDF / CSV de los datos de sueño desde la pantalla Estadísticas de la app. Para una exportación completa de todos los datos en formato machine-readable, escribe a contact@getlulla.app.

11.6 Derecho de oposición (Art. 21)

Puedes oponerte a los tratamientos basados en nuestro interés legítimo (analítica, comunicaciones de marketing). Estamos obligados a cumplir, salvo que existan motivos legítimos imperiosos que prevalezcan sobre tus intereses.

11.7 Derecho a no ser objeto de decisiones automatizadas (Art. 22)

Lulla NO toma decisiones automatizadas que produzcan efectos jurídicos o te afecten de forma similar significativa. Todas las funcionalidades principales de la app (estadísticas, puntuaciones, resúmenes) son orientativas.

11.8 Derecho a retirar el consentimiento

Cuando el tratamiento se basa en tu consentimiento, puedes retirarlo en cualquier momento:

• Notificaciones — Ajustes → Notificaciones → Off;
• Boletín — enlace de baja en cada correo;
• Compartir — Ajustes → Compartir → Revocar;
• Cuenta completa — Ajustes → Cuenta → Eliminar cuenta.

La retirada del consentimiento no afecta a la licitud de los tratamientos anteriores.

11.9 Derecho a presentar una reclamación

Si consideras que el tratamiento de tus datos infringe el RGPD, puedes presentar una reclamación ante:

• Agencia Española de Protección de Datos (AEPD) — autoridad de control competente si resides en España
  C/ Jorge Juan, 6, 28001 Madrid
  Tel: +34 901 100 099 / +34 912 663 517
  Web: www.aepd.es
• Autoridad Nacional de Supervisión del Tratamiento de Datos Personales (ANSPDCP) — autoridad rumana, competente por la jurisdicción del responsable
  B-dul G-ral Gheorghe Magheru 28-30, sector 1, Bucarest
  Tel: +40.318.059.211 / +40.318.059.212
  Correo: anspdcp@dataprotection.ro
  Web: www.dataprotection.ro
• o ante la autoridad de control del país de tu residencia habitual (si resides en la UE).

No obstante, te animamos a contactarnos primero en contact@getlulla.app — podemos resolver la mayoría de problemas directamente y con rapidez.

11.10 Cómo ejerces estos derechos

Envía una solicitud a contact@getlulla.app desde la dirección de correo asociada a la cuenta. Nos reservamos el derecho a solicitarte documentos adicionales de identificación en caso de dudas razonables sobre tu identidad (Art. 12(6) RGPD). Respondemos en un plazo máximo de 30 días, con posibilidad de ampliación de otros 60 días para solicitudes complejas (te avisaremos si es el caso).

Tras la eliminación de la cuenta, todos los datos activos se eliminan en un plazo máximo de 30 días. Las copias de seguridad se sobrescriben en un plazo máximo de 7 días tras la eliminación de las cuentas activas. Los datos con obligación legal de conservación se mantienen aislados y se utilizan estrictamente para el cumplimiento de dicha obligación.

Implementamos medidas técnicas y organizativas adecuadas para proteger tus datos (Art. 32 RGPD):

13.1 Medidas técnicas

• Cifrado en tránsito: TLS 1.3 para todas las comunicaciones;
• Cifrado en reposo: AES-256 para los datos almacenados en Supabase y en las copias de seguridad;
• Row Level Security (RLS): políticas a nivel de base de datos que garantizan el aislamiento de los datos entre usuarios;
• Tokens JWT de duración limitada que se renuevan automáticamente;
• Hashing de contraseñas: bcrypt con salt único por usuario (gestionado por Supabase Auth);
• Anon key + RLS — las claves API públicas de la app no pueden acceder directamente a datos sensibles, ya que RLS los filtra;
• Ninguna service_role key en la app móvil — las claves sensibles permanecen exclusivamente en el servidor.

13.2 Medidas organizativas

• El acceso a los datos de los usuarios está restringido a los miembros del equipo que tienen necesidad estricta;
• Contrato de Encargado del Tratamiento (DPA) firmado con cada sub-encargado;
• Política interna de gestión de incidentes;
• Auditoría periódica de las políticas RLS.

13.3 Notificación de brechas

En caso de brecha de seguridad que presente un riesgo para tus derechos, te notificaremos sin dilación indebida y, en cualquier caso, en un plazo de 72 horas desde el momento en que tuvimos conocimiento de la brecha (Art. 33 RGPD). También notificaremos a la AEPD y/o a la ANSPDCP, según corresponda.

14.1 Aplicación móvil

La app NO utiliza cookies. Las preferencias y los datos de autenticación se almacenan localmente mediante:

• DataStore Preferences (preferencias del usuario);
• Encrypted SharedPreferences (token de autenticación biométrica);
• Room Database (datos de sueño, perfiles del bebé — todos locales).

14.2 Sitio web getlulla.app

El sitio utiliza únicamente cookies técnicas estrictamente necesarias, sin seguimiento ni publicidad:

No utilizamos cookies analíticas (Google Analytics, etc.), de marketing (Facebook Pixel, etc.) ni de remarketing.

Las fuentes están alojadas localmente en nuestro servidor (no utilizamos Google Fonts externo).

Enviamos comunicaciones de marketing únicamente con tu consentimiento explícito. Si te suscribes al boletín:

• recibirás correos ocasionales (máx. 2 / mes) con novedades sobre Lulla, artículos sobre el sueño de los niños, ofertas;
• cada correo contiene un enlace de baja;
• también puedes darte de baja por correo directo a contact@getlulla.app;
• no vendemos ni compartimos tu dirección de correo con terceros.

Las comunicaciones transaccionales (confirmación de cuenta, verificación de correo, alerta de seguridad) no son opcionales — son necesarias para el funcionamiento del Servicio.

Podemos actualizar la presente Política para reflejar:

• cambios en nuestras prácticas de tratamiento de datos;
• la incorporación de nuevas funcionalidades;
• cambios en los sub-encargados;
• actualizaciones legislativas.

16.1 Notificación de las modificaciones

Las modificaciones significativas se notificarán mediante:

• correo electrónico enviado a la dirección de la cuenta;
• aviso destacado en la app;
• actualización de la fecha "Última actualización" al inicio de este documento.

16.2 Entrada en vigor

Las modificaciones significativas entran en vigor al menos 30 días después de la notificación. La continuación del uso del Servicio tras la entrada en vigor de las modificaciones constituye su aceptación. Si no estás de acuerdo con las modificaciones, puedes eliminar la cuenta.

16.3 Versiones anteriores

Las versiones anteriores de la presente Política están disponibles a petición por correo electrónico a contact@getlulla.app.

Para cualquier consulta, solicitud de ejercicio de derechos o reclamación relacionada con el tratamiento de tus datos personales:

• Correo: contact@getlulla.app
• Sitio web: www.getlulla.app
• Asunto recomendado: "RGPD — [tipo de solicitud]"
• Plazo de respuesta: máximo 30 días naturales
• Idiomas de comunicación: español, inglés, rumano