Esta política de privacidad Le informa sobre la naturaleza, alcance y propósito del procesamiento de Sus datos personales. Esto se aplica a la aplicación ‘Why?!’ y al sitio web asociado ‘ask-why.app’ de Looking4Cache UG (responsabilidad limitada) (en adelante “nosotros” o “nuestro”).

La recopilación y procesamiento de Sus datos personales se lleva a cabo en cumplimiento de las regulaciones aplicables de protección de datos, en particular del Reglamento General de Protección de Datos (en adelante “GDPR”).

El propósito de recopilar y procesar Sus datos personales es proporcionar servicios funcionales y comunicarse con Usted.

Nombre y Dirección del Responsable del Tratamiento

El responsable del tratamiento en el sentido del GDPR y otras leyes nacionales de protección de datos de los estados miembros, así como otras disposiciones de protección de datos es:

Looking4Cache UG (haftungsbeschränkt) Oberer Wasen 12 74626 Bretzfeld Alemania E-mail: info@ask-why.app

Base Legal para el Procesamiento de Datos Personales

Basándose en el Art. 13 GDPR, Le informamos de la base legal de nuestro procesamiento de datos. Salvo que se indique lo contrario, el procesamiento de Sus datos personales se basa en Su consentimiento de acuerdo con el Art. 6 párr. 1 lit. a GDPR. La obtención de Su consentimiento se realiza de acuerdo con el Art. 7 GDPR.

Derecho de Confirmación e Información

Usted tiene el derecho en cualquier momento de recibir confirmación de nuestra parte sobre si se están procesando datos personales que Le conciernen. Si este es el caso, Usted tiene el derecho de recibir información gratuita de nuestra parte sobre los datos personales almacenados sobre Usted junto con una copia de estos datos. Además, Usted tiene derecho a la siguiente información:

los propósitos del procesamiento;
las categorías de datos personales que se procesan;
los destinatarios o categorías de destinatarios a quienes se han comunicado o se comunicarán los datos personales, particularmente destinatarios en terceros países u organizaciones internacionales;
cuando sea posible, el período previsto durante el cual se almacenarán los datos personales o, si no es posible, los criterios utilizados para determinar ese período;
la existencia de un derecho a rectificación o supresión de datos personales que Le conciernen o restricción del procesamiento por parte del responsable del tratamiento o un derecho a oponerse a dicho procesamiento;
la existencia de un derecho a presentar una queja ante una autoridad supervisora;
cuando los datos personales no se recopilen de Usted, toda la información disponible sobre el origen de los datos;
la existencia de toma de decisiones automatizada incluyendo elaboración de perfiles de acuerdo con el Art. 22 párr. 1 y 4 GDPR y, al menos en estos casos, información significativa sobre la lógica involucrada, así como la importancia y las consecuencias previstas de dicho procesamiento para Usted.

Cuando los datos personales se transfieran a un tercer país o una organización internacional, Usted tiene el derecho a ser informado sobre las garantías apropiadas de acuerdo con el Art. 46 GDPR en relación con la transferencia.

Derecho de Rectificación

Usted tiene el derecho de acuerdo con el Art. 16 GDPR de exigir la rectificación inmediata de datos personales inexactos que Le conciernen. Teniendo en cuenta los propósitos del procesamiento, Usted tiene el derecho de obtener la completación de datos personales incompletos.

Derecho de Restricción del Procesamiento

Usted tiene el derecho de acuerdo con el Art. 18 GDPR de exigir de nosotros la restricción del procesamiento cuando se cumple una de las siguientes hipótesis:

La exactitud de los datos personales es contestada por Usted
El procesamiento es ilícito y Usted se opone a la supresión
Los datos personales ya no nos son necesarios, pero Usted los necesita para hacer valer derechos legales
Usted se ha opuesto de acuerdo con el Art. 21 GDPR

Derecho a la Portabilidad de los Datos

Usted tiene el derecho de acuerdo con el Art. 20 GDPR de recibir los datos personales que Le conciernen y que nos ha proporcionado en un formato estructurado, de uso común y legible por máquina. Usted también tiene el derecho de transmitir estos datos a otro responsable del tratamiento sin impedimentos de nuestra parte, siempre que el procesamiento se base en el consentimiento o un contrato y se lleve a cabo utilizando medios automatizados.

Derecho de Oposición

Usted tiene el derecho de acuerdo con el Art. 21 GDPR de oponerse en cualquier momento, por razones relacionadas con Su situación particular, al procesamiento de datos personales que Le conciernen que se lleva a cabo sobre la base del Art. 6 párr. 1 lit. e o f GDPR.

Derecho de Supresión (Derecho al Olvido)

Usted tiene el derecho de acuerdo con el Art. 17 párr. 1 GDPR de exigir de nosotros que los datos personales que Le conciernen sean suprimidos inmediatamente, y nosotros estamos obligados a suprimir los datos personales inmediatamente si se aplica una de las siguientes razones:

Los datos personales ya no son necesarios para los propósitos para los cuales fueron recopilados o procesados de otra manera.
Usted retira Su consentimiento en el que se basaba el procesamiento de acuerdo con el Art. 6 párr. 1 lit. a GDPR o Art. 9 párr. 2 lit. a GDPR, y no existe otra base legal para el procesamiento.
Usted se opone al procesamiento de acuerdo con el Art. 21 párr. 1 GDPR y no existen motivos legítimos prevalecientes para el procesamiento, o Usted se opone al procesamiento de acuerdo con el Art. 21 párr. 2 GDPR.
Los datos personales han sido procesados ilícitamente.
La supresión de los datos personales es necesaria para cumplir con una obligación legal bajo la ley de la Unión o del estado miembro al que estamos sujetos.
Los datos personales fueron recopilados en relación con la oferta de servicios de la sociedad de la información de acuerdo con el Art. 8 párr. 1 GDPR.

Si hemos hecho públicos los datos personales y estamos obligados a suprimirlos de acuerdo con el Art. 17 párr. 1 GDPR, tomamos medidas razonables, incluyendo medidas técnicas, teniendo en cuenta la tecnología disponible y los costos de implementación, para informar a los responsables del tratamiento que procesan los datos personales que Usted ha solicitado la supresión de todos los enlaces a dichos datos personales o copias o reproducciones de dichos datos personales.

Decisiones Automatizadas Incluyendo Elaboración de Perfiles

Usted tiene el derecho a no estar sujeto a una decisión basada únicamente en procesamiento automatizado – incluyendo elaboración de perfiles – que produzca efectos legales que Le conciernen o que Le afecten significativamente de manera similar.

La toma de decisiones automatizada basada en los datos personales recopilados no tiene lugar.

Derecho de Retirada del Consentimiento de Protección de Datos

Usted tiene el derecho de retirar el consentimiento para el procesamiento de datos personales en cualquier momento.

Derecho a Presentar una Queja ante una Autoridad Supervisora

Usted tiene el derecho de presentar una queja ante una autoridad supervisora, particularmente en el estado miembro de Su residencia, lugar de trabajo o el lugar de la presunta infracción, si cree que el procesamiento de datos personales que Le conciernen viola la ley.

Duración del Almacenamiento

De acuerdo con los requisitos legales, eliminamos Sus datos. Si esto no es posible, el procesamiento será restringido.

Salvo que se especifique lo contrario en las secciones individuales de esta política de privacidad, eliminamos los datos tan pronto como ya no sean necesarios para el propósito declarado y la eliminación no esté impedida por obligaciones legales de retención.

Si una obligación legal de retención (p. ej., razones de derecho comercial y fiscal, registro del consentimiento) impide la eliminación, el procesamiento de los datos será restringido. Esto significa que los datos se bloquean y no se utilizan para otros propósitos.

Cookies

No utilizamos cookies. Si es necesario, puede establecerse una cookie técnicamente necesaria por el proveedor de servicios CDN (ver abajo).

Medidas de Seguridad

De acuerdo con el Art. 32 GDPR, implementamos medidas de seguridad como el acortamiento de Su dirección IP y cifrado SSL.

Dirección IP

Su dirección IP se almacena en forma abreviada cuando es posible. Esto previene o complica significativamente la identificación de Su persona. El acortamiento de la dirección IP no ocurre para procesos relevantes para la seguridad. Estos incluyen intentos de acceso erróneos, restablecimientos de contraseña y confirmación de dirección de correo electrónico (consentimiento).

Cifrado SSL

Nuestros servicios transmiten Sus datos solo con cifrado SSL activo. Puede reconocer esto por el protocolo ‘https://’ en la barra de direcciones. Le redirigimos automáticamente a ‘https://’ si intenta abrir una conexión no cifrada.

Protección de Menores y Gateway Parental

Why?! es una aplicación desarrollada específicamente para niños. La protección de los datos de menores es nuestra máxima prioridad. Hemos implementado un sistema integral “Gateway Parental” que garantiza el consentimiento parental ANTES de cualquier recopilación de datos de niños.

Nuestro sistema cumple con los requisitos tanto del Children’s Online Privacy Protection Act (COPPA) para EE.UU. como del GDPR Art. 8 para la UE:

Consentimiento parental verificado: La aplicación solo puede ser registrada por adultos que deben confirmar su identidad a través de verificación por correo electrónico y verificación de pago de la tienda de aplicaciones.
Sin recopilación directa de datos de niños: Los niños no pueden registrarse de forma independiente. Todos los perfiles de niños son creados exclusivamente por adultos verificados.
Minimización de datos: Solo se recopilan datos mínimos de los niños (apodo, edad). Los historiales de chat no se almacenan en nuestros servidores.

Proceso de Protección de Dos Etapas

Etapa 1 - Verificación del Adulto:

Verificación por correo electrónico con código de una sola vez (doble opt-in)
Confirmación explícita del adulto
Verificación de pago a través de la tienda de aplicaciones (suscripción in-app)

Etapa 2 - Creación del Perfil del Niño:

Creación solo por adultos verificados
Consentimiento explícito para el uso de IA
Configuraciones de seguridad individuales por niño

Control Parental

Los adultos mantienen control completo en todo momento:

Acceso a resúmenes de temas de chats de niños
Configuración de ajustes de seguridad
Capacidad de eliminar perfiles en cualquier momento

Datos que Recopilamos

Cuenta de Adulto y Direcciones de Correo Electrónico

El registro con Why?! siempre tiene lugar a través de una cuenta de adulto que asume el papel del llamado ‘Gateway Parental’. La autenticación para una cuenta de adulto se realiza a través de una dirección de correo electrónico y un código de una sola vez. Debe proporcionarse al menos una dirección de correo electrónico para el registro. No compartimos los datos de la cuenta de adulto con terceros.

Opcionalmente puede concedernos el derecho de contactarle a través de newsletter.

Perfil del Niño

Puede agregar uno o más perfiles de niños a una cuenta de adulto. El nombre ingresado se usa únicamente para claridad en la selección de perfiles. La fecha de nacimiento se usa únicamente para calcular la edad en años. La zona horaria del dispositivo usado así como el país resultante también se almacena. La zona horaria es necesaria para restablecer recursos. El país se usa cuando se realizan búsquedas web durante los mensajes de chat.

Cuando elimina un perfil de niño, los datos asociados con el niño se eliminan. Los datos estadísticos técnicos (uso del chat) se conservan pero se anonimizan completamente.

No compartimos los datos almacenados en el perfil del niño con terceros, excepto por los datos descritos en ‘Procesamiento de Mensajes de Chat’.

Transcripción de Grabaciones de Voz

Las grabaciones de voz se cargan y procesan en nuestros servidores. El archivo de audio se almacena brevemente, se convierte y se transmite a nuestro proveedor de servicios speech-to-text OpenAI. Después de la transcripción, el archivo se elimina nuevamente y se devuelve el texto transcrito.

Procesamiento de Mensajes de Chat

Los textos ingresados manualmente o determinados a través de transcripción se transmiten a nuestros servidores. Estos se transmiten junto con datos del perfil del niño (edad en años, temas excluidos y formulación) así como instrucciones no personalizadas a un Large Language Model (LLM).

En nuestros servidores se almacenan el tiempo, tema de la pregunta, un resumen de la respuesta y datos estadísticos técnicos (consumo de tokens, segundos STT y TTS) asociados con el respectivo perfil del niño. Estos sirven para estadísticas de aprendizaje y cálculo de recursos.

El almacenamiento de la pregunta y respuesta no tiene lugar en nuestros servidores. En los servidores de nuestro proveedor de servicios de IA OpenAI, la conversación se almacena por hasta 30 días para permitir preguntas de seguimiento. El ID necesario para acceder a estos datos se almacena solo localmente dentro de la aplicación, no en nuestros servidores. Esto significa que no podemos asociar el contenido del chat entre la aplicación y el proveedor de servicios de IA con ningún perfil de niño o cuenta de adulto.

La respuesta se pronuncia en un archivo de audio por un servicio text-to-speech si se desea, transmitiendo solo el texto de la respuesta. La respuesta del LLM y un enlace al archivo de audio generado se devuelven.

Almacenamiento Local de Datos en la Aplicación

Los historiales de chat se almacenan localmente en el dispositivo en la aplicación. Este almacenamiento local ocurre durante 30 días y permite recordar conversaciones anteriores en modo de chat completo. El acceso a estos chats almacenados solo es posible a través del respectivo perfil del niño dentro de la aplicación. Después de 30 días, los datos del chat local se eliminan automáticamente. Estos datos no se sincronizan con nuestros servidores.

Generación de Avatares

Al crear avatares, la descripción ingresada junto con la edad del niño (en años) se transmite a nuestro proveedor de servicios de generación de imágenes OpenAI (DALL-E 3). El avatar generado se agrega a nuestro grupo global de avatares y puede ser seleccionado por otros usuarios. La descripción ingresada se almacena en nuestros servidores para permitir la búsqueda de avatares. Sin embargo, esta descripción no se muestra a otros usuarios y sirve exclusivamente para propósitos de búsqueda internos.

Compras In-App y Datos de Pago

Why?! es una aplicación de pago con un modelo de suscripción. El procesamiento de pagos se maneja exclusivamente a través de sistemas de pago oficiales de tiendas de aplicaciones:

Proveedores de Pago:

iOS: Apple Pay / App Store (Apple Inc.)
Android: Google Pay / Play Store (Google LLC)

Datos de Pago Almacenados: Almacenamos exclusivamente los IDs de transacción proporcionados por Apple o Google para la verificación de Su suscripción. No recibimos ni almacenamos información de métodos de pago como números de tarjetas de crédito o datos bancarios. Estos son procesados exclusivamente por Apple o Google.

Gestión de Suscripción:

La gestión de Su suscripción se realiza directamente a través de Su cuenta de la tienda de aplicaciones
Almacenamos el estado de la suscripción y la fecha de vencimiento
Las cancelaciones se manejan automáticamente a través de las tiendas de aplicaciones
Las renovaciones ocurren automáticamente según Su configuración de la tienda de aplicaciones

El procesamiento de IDs de pago se basa en el cumplimiento del contrato de acuerdo con el Art. 6 párr. 1 lit. b GDPR.

Archivos de Registro del Servidor Web

Cada acceso a nuestro servidor se registra en archivos de registro. Esto sucede cada vez que utiliza nuestros servicios.

Se almacena la siguiente información:

URL llamada
Fecha y hora
Dirección IP anonimizada
Datos anonimizados de la llamada HTTPS y respuestas HTTPS

El propósito del registro es rastrear errores y analizar la estabilidad del servidor. No ocurre ninguna asignación a Su persona.

Base Legal Desviada La base legal para el registro es nuestro interés legítimo, de acuerdo con el Art. 6 párr. 1 lit. f GDPR.

Duración del Almacenamiento Los registros se eliminan automáticamente después de 30 días.

Transferencia Internacional de Datos

Al utilizar proveedores de servicios con sede en EE.UU. (OpenAI, Google), los datos personales se transfieren a EE.UU. Esta transferencia se basa en:

Cláusulas contractuales estándar de acuerdo con el Art. 46 GDPR
Decisión de adecuación de la Comisión de la UE (cuando esté disponible)
Su consentimiento explícito de acuerdo con el Art. 49 párr. 1 lit. a GDPR

Garantizamos que todos los proveedores de servicios ofrezcan garantías adecuadas para la protección de Sus datos.

Terceros

Google Firebase

Utilizamos Google Firebase para los siguientes servicios:

Crashlytics: Para capturar y analizar bloqueos de aplicaciones para mejorar continuamente la estabilidad y calidad de nuestra aplicación. Se captura información técnica sobre el bloqueo, el dispositivo utilizado y la versión de la aplicación.

Analytics: Para análisis anonimizado del uso de la aplicación para mejorar nuestros servicios. La recopilación ocurre sin asignación a un usuario específico o perfil de usuario.

El procesamiento se basa en nuestro interés legítimo en mejorar y optimizar nuestra aplicación de acuerdo con el Art. 6 párr. 1 lit. f GDPR.

La política de privacidad de Google Firebase puede verse aquí: https://firebase.google.com/support/privacy

OpenAI

Utilizamos los servicios de OpenAI para:

Large Language Model (LLM): Para procesar y responder a las preguntas de los niños. Las conversaciones se almacenan en servidores de OpenAI por hasta 30 días para permitir preguntas de seguimiento dentro de una sesión.

Generación de Imágenes / Avatares: Para generar nuevos avatares utilizamos servicios de OpenAI.

No se transmiten datos personales como nombres o direcciones de correo electrónico a OpenAI. El procesamiento se basa en nuestro interés legítimo en proporcionar funcionalidades de la aplicación de acuerdo con el Art. 6 párr. 1 lit. f GDPR.

La política de privacidad de OpenAI puede verse aquí: https://openai.com/policies/privacy-policy

Google Cloud

Utilizamos Google Cloud Text-to-Speech (TTS) para convertir respuestas de texto en habla. El texto a pronunciar se transmite a Google Cloud y se devuelve como archivo de audio. No se transmiten datos personales como nombres o direcciones de correo electrónico.

El procesamiento se basa en nuestro interés legítimo en proporcionar la función de lectura en voz alta de acuerdo con el Art. 6 párr. 1 lit. f GDPR.

La política de privacidad de Google Cloud puede verse aquí: https://cloud.google.com/security/privacy

Cloudflare

Utilizamos Cloudflare como Content Delivery Network (CDN) y para protección contra ataques como ataques DDoS y spam. Un CDN almacena contenido estático del sitio web en servidores distribuidos globalmente para que pueda entregarse más rápido y menos solicitudes lleguen a nuestro servidor.

El procesamiento se basa en nuestro interés legítimo en garantizar la seguridad y rendimiento de nuestros servicios de acuerdo con el Art. 6 párr. 1 lit. f GDPR.

La política de privacidad de Cloudflare puede verse aquí: https://www.cloudflare.com/privacypolicy/

Proveedores de Servicios de Hosting

Utilizamos los siguientes proveedores de hosting para operar nuestros servidores e infraestructura:

Hetzner Online GmbH

Nuestros servidores principales están alojados con Hetzner en Alemania. Esto garantiza que Sus datos se procesen en centros de datos alemanes y estén sujetos a la estricta ley alemana de protección de datos.

El procesamiento se basa en nuestro interés legítimo en la operación confiable y segura de nuestros servicios de acuerdo con el Art. 6 párr. 1 lit. f GDPR.

Política de privacidad de Hetzner: https://www.hetzner.com/de/legal/privacy-policy

Hostkey B.V.

Para componentes adicionales de infraestructura, utilizamos servidores de Hostkey.