Política de privacidad
EN RESUMEN
- Solo recopilamos lo que la app necesita para funcionar: teléfono, ubicación mientras la usas, tu nombre visible, fotos, mensajes con las personas con las que haces match y check-ins.
- No recopilamos correo, contactos, calendario, micrófono ni identificador publicitario. No te rastreamos en otras apps.
- No vendemos tus datos. No los compartimos con anunciantes.
- Tus datos están en la UE (Neon, región de Frankfurt) salvo que un subprocesador de EE. UU. los maneje temporalmente (SMS de Twilio, notificaciones de Expo, verificación de fotos de OpenAI).
- Tienes todos los derechos GDPR/CCPA — acceso, corrección, eliminación, exportación, oposición. Escribe a hello@irl.tech y respondemos dentro de 30 días.
Esta política explica cómo IRL (la app móvil) maneja tus datos personales. El servicio es operado por soultosoul LLC, una sociedad de responsabilidad limitada de Wyoming con domicilio registrado en 1021 E Lincolnway, Suite 5644, Cheyenne, WY 82001, EE. UU. ("soultosoul", "nosotros", "nos", "nuestro").
Escribimos esto en lenguaje sencillo porque preferimos que de verdad lo leas. Cuando veas una palabra como "datos personales", significa lo que dice el GDPR. Si algo aquí entra en conflicto con un derecho obligatorio que te otorgue la ley local, prevalece la ley local.
1. Qué recopilamos
Esta es la lista completa. Si no está aquí, no lo recopilamos.
Lo que nos das
- Número de teléfono. Se usa para crear tu cuenta y enviar un código de verificación SMS de un solo uso. No lo usamos para marketing.
- Nombre visible (nombre o apodo) y, opcionalmente, una foto de avatar.
- Publicaciones que creas (texto + foto) para compartir con personas que has conocido a través de IRL.
- Mensajes de chat que envías a personas con las que has hecho match.
- Reportes y bloqueos que envías contra otros usuarios.
Lo que leemos de tu dispositivo (con tu permiso)
- Ubicación precisa (GPS). Solo se usa mientras la app está abierta. La usamos para (a) mostrarte lugares cercanos en el mapa, (b) hacer match con personas en el mismo lugar y (c) verificar un radio de 50 metros cuando escaneas el QR en un encuentro. No no rastreamos tu ubicación en segundo plano.
- Token de notificaciones push (identificador de Apple/Google/Expo). Se usa para enviar notificaciones de matches y mensajes. No se usa para nada más.
- Cámara — solo cuando tomas o subes una foto.
Lo que generamos automáticamente
- Historial de check-ins — en qué lugar, con qué vibra/propósito, cuándo.
- Registros de matches y conexiones — quién conoció a quién, dónde, cuándo.
- Diagnósticos — modelo del dispositivo, versión del sistema operativo, versión de la app, registros de fallos. No se vinculan a un identificador usado para rastrearte entre apps.
2. Qué no recopilamos
- Ningún correo electrónico (a menos que lo proporciones voluntariamente como dueño de un lugar para verificación de negocio).
- Ningún nombre legal completo.
- Ni contactos, ni calendario, ni micrófono, ni identificador publicitario (IDFA/AAID).
- Ningún rastreo entre apps. Nuestra etiqueta de privacidad de la App de Apple es "Datos no usados para rastrearte" y eso es exacto.
- Ninguna señal de publicidad conductual. No hay anuncios en IRL.
3. Cómo lo usamos
Cada tipo de dato se usa para un propósito específico y limitado.
- Número de teléfono → autenticarte; enviar el código SMS de un solo uso mediante Twilio; evitar cuentas duplicadas.
- Ubicación → mostrar lugares en el mapa; hacer match con personas en el mismo lugar; verificación por QR de 50 metros cuando de verdad se encuentran.
- Nombre visible, avatar, publicaciones, chat → mostrarse a los usuarios específicos con los que has hecho match o te has conectado mediante encuentros en el mundo real.
- Token de notificaciones → entregar notificaciones de matches y nuevos mensajes.
- Registros de check-ins y matches → alimentar el mapa, ejecutar el algoritmo de matching y mover el sistema de puntos/invitaciones.
- Datos de reportes/bloqueos, registros de moderación → investigar abusos, hacer cumplir las normas de la comunidad, cumplir con la ley.
- Diagnósticos → corregir fallos, mejorar la estabilidad. No se usa para personalización.
Base legal bajo el GDPR: nos apoyamos en (a) la ejecución del contrato para todo lo que hace funcional la app (cuentas, matching, chat); (b) los intereses legítimos para prevención de fraude, seguridad y diagnósticos; y (c) tu consentimiento para permisos opcionales del dispositivo (cámara, ubicación). Puedes retirar cualquier permiso en la configuración de tu teléfono en cualquier momento.
4. Con quién lo compartimos
Solo compartimos datos con proveedores de servicios ("subprocesadores") que necesitamos para operar la app. Cada uno está obligado por contrato a procesar tus datos únicamente según nuestras instrucciones.
- Neon (Neon Inc., EE. UU.) — PostgreSQL administrado; aquí viven los datos de tu cuenta, publicaciones, chat, check-ins y matches. Región de la base de datos: UE (Frankfurt).
- Upstash (Upstash Inc., EE. UU.) — Redis administrado; solo datos de corta duración (códigos OTP de SMS con un TTL de 5 minutos, bus de eventos).
- Vercel (Vercel Inc., EE. UU.) — alojamiento de nuestra API y sitio web; las funciones serverless pueden procesar temporalmente solicitudes desde ubicaciones edge en Alemania y EE. UU.
- Vercel Blob (Vercel Inc., EE. UU.) — almacenamiento de imágenes para avatares y fotos de publicaciones.
- Expo (650 Industries Inc., EE. UU.) — entrega notificaciones push a tu dispositivo.
- Twilio (Twilio Inc., EE. UU.) — entrega el código de verificación SMS.
- OpenAI (OpenAI, L.L.C., EE. UU.) — se usa únicamente para la verificación de fotos cuando un usuario afirma ser la primera persona en un lugar recién enviado (función "pionero"). Enviamos a OpenAI la foto enviada más un código de lugar — ningún otro identificador del usuario.
No vendemos datos personales. No los compartimos con anunciantes. No los entregamos a corredores de datos. Si alguna vez se nos exige divulgar datos mediante un proceso legal válido (citación, orden judicial o solicitud de autoridades reconocida por el GDPR), revisaremos la solicitud y te notificaremos cuando la ley lo permita.
5. Retención de datos
- Códigos de verificación SMS: 5 minutos (TTL de Redis), luego se purgan automáticamente.
- Matches caducados y check-ins antiguos: 90 días después de caducar, luego se eliminan.
- Mensajes de chat: se conservan mientras la conexión (match) está activa; 90 días después de la desconexión, luego se eliminan.
- Datos de la cuenta (teléfono, nombre visible, avatar, publicaciones, historial): hasta que elimines tu cuenta (ver §7).
- Registros de moderación (reportes que presentas o reportes presentados contra ti, registros de bloqueo): 2 años después de la eliminación de la cuenta, por seguridad y cooperación con las autoridades.
- Registros de diagnóstico: 30 días.
6. Tus derechos (GDPR y CCPA)
Sin importar dónde vivas, tienes estos derechos sobre tus datos personales:
- Acceso — solicitar una copia de lo que tenemos sobre ti.
- Rectificación — corregir cualquier cosa inexacta.
- Eliminación ("derecho al olvido") — que tus datos sean eliminados.
- Restricción — pausar el procesamiento en ciertas circunstancias.
- Portabilidad — obtener tus datos en un formato legible por máquina.
- Oposición — oponerte al procesamiento basado en intereses legítimos.
- Retirar el consentimiento — para cualquier cosa a la que diste tu consentimiento (cámara, ubicación), en cualquier momento, desde la configuración de tu dispositivo.
- No ser discriminado (CCPA) por ejercer un derecho.
Para ejercer cualquier derecho, escribe a hello@irl.tech. Verificaremos tu identidad (normalmente confirmando un texto a tu teléfono registrado) y responderemos dentro de 30 días. No cobramos por esto.
Si crees que manejamos mal tus datos, puedes presentar una queja ante una autoridad de control. Si estás en Portugal, es la Comissão Nacional de Proteção de Dados (CNPD). En el resto de la UE, es la autoridad de protección de datos de tu país. Aun así, preferiríamos que nos lo digas a nosotros primero — respondemos en un día cuando estamos trabajando.
7. Eliminación de cuenta
Cuando eliminas tu cuenta:
- Tu perfil, publicaciones y mensajes de chat quedan inaccesibles de inmediato.
- Tu número de teléfono se cifra (hash) para que el mismo número no pueda volver a registrarse como cuenta nueva dentro de 30 días (prevención de abuso).
- Todos los datos personales se eliminan de forma permanente dentro de 30 días, excepto los registros de moderación (ver §5).
8. Seguridad
Nos tomamos la seguridad en serio sin prometer cosas que no podemos garantizar.
- Todos los datos en tránsito se cifran con TLS 1.2+.
- Los datos en reposo se cifran usando el cifrado en reposo de estándar de la industria de nuestro proveedor de base de datos (Neon).
- La autenticación usa tokens de acceso JWT de corta duración firmados con un secreto que rotamos.
- El acceso a la base de datos está restringido a nuestro servicio de backend y delimitado por entorno.
- Registramos y alertamos sobre patrones de acceso inusuales.
- Si descubrimos una brecha que afecta tus datos, notificaremos a los usuarios afectados y a la autoridad de control correspondiente dentro de 72 horas, como exige el GDPR.
Ningún servicio en línea es perfectamente seguro. Protegemos contra amenazas conocidas; tú ayudas no compartiendo tu código de verificación SMS y reportando cuentas sospechosas.
9. Menores
IRL tiene clasificación 17+ en la App Store y no está pensada para nadie menor de 17 años. No recopilamos a sabiendas datos de usuarios menores de 17. Si crees que un usuario es menor de 17, escribe a hello@irl.tech e investigaremos y eliminaremos la cuenta.
10. Transferencias internacionales
Nuestra región principal de base de datos es la Unión Europea (Neon, Frankfurt). Algunos de nuestros subprocesadores — Twilio, Expo, OpenAI, Vercel — están en EE. UU. y pueden procesar tus datos en EE. UU. para la tarea específica para la que los usamos (SMS, push, verificación de fotos, ejecución serverless).
Cuando se envían datos de la UE a EE. UU., nos apoyamos en (a) la certificación del subprocesador bajo el Marco de Privacidad de Datos UE-EE. UU. cuando está disponible, o (b) las Cláusulas Contractuales Estándar (SCC) aprobadas por la Comisión Europea.
11. Cambios a esta política
Actualizamos esta política cuando la app cambia. Para cualquier cambio material (nuevo tipo de dato, nuevo subprocesador, nuevo propósito), te notificaremos en la app y mediante notificación push al menos 14 días antes de que el cambio entre en vigor. Si no estás de acuerdo con el cambio, puedes eliminar tu cuenta antes de esa fecha.
12. Contacto
Responsable del tratamiento:
soultosoul LLC
1021 E Lincolnway, Suite 5644
Cheyenne, WY 82001
Estados Unidos
Correo: hello@irl.tech
Si estás en la UE/EEE y prefieres escribir a una dirección de la UE, escríbenos a la misma dirección y lo encaminaremos a nuestro representante en la UE. Buscamos nombrar un representante formal del Artículo 27 del GDPR en la UE antes de superar el umbral a partir del cual se exige uno.
Vigente desde: 21 April 2026. Última actualización: 21 April 2026.