Política de Privacidad — IBI
1. Responsable del Tratamiento
Gianni Campana
Domiciliado en Milán (MI),
Italia
Correo electrónico:
privacy@ibimeet.com
No se ha designado un Delegado de Protección de Datos (DPD) dado que no concurren las condiciones de obligatoriedad del Art. 37 RGPD.
Para cualquier solicitud escribe a privacy@ibimeet.com. Responderemos en un plazo de 30 días (Art. 12.3 RGPD).
2. Categorías de datos tratados
2.1 Datos identificativos y de contacto
- Nombre (o apodo)
- Número de teléfono — autenticación mediante OTP por SMS
- Dirección de correo electrónico — opcional
- Fecha de nacimiento — verificación de edad mínima (18 años)
2.2 Datos de perfil
- Altura (opcional), ciudad y barrio, profesión (opcional), planes familiares (opcional)
- Tipo de relación buscada (opcional), fotos de perfil (1–6), intereses
- Rasgos distintivos (opcionales), preferencias de acercamiento (opcional), rango de edad preferido
2.3 Datos de categorías especiales (Art. 9 RGPD)
Identidad de género y orientación sexual
- Identidad de género: hombre, mujer, no binario, genderfluid, otro
- Orientación sexual (implícita): deducida del campo "interesado/a en"
Hábitos y estilo de vida
- Relación con el tabaco, el alcohol, el cannabis, las sustancias recreativas
Esta información no es obligatoria. Seleccionando "prefiero no decirlo" para todos los campos, no se transmite ni almacena ningún dato de esta categoría.
Base jurídica: Consentimiento explícito conforme al Art. 9.2.a RGPD.
2.4 Datos de geolocalización
- Posición GPS en tiempo real, barrio de residencia, modo LOCAL fijo (mismo barrio y mismo local/POI, en un radio aproximado de 50 m desde el POI o mediante check-in explícito; ver sección 4.2), metadatos de precisión, marca de tiempo de última posición
Localización en segundo plano: posible con autorización explícita del SO. Revocable en cualquier momento en los ajustes del dispositivo.
El desplazamiento de privacidad siempre se aplica. Ningún usuario ve tus coordenadas exactas. Posición almacenada como documento único.
Base jurídica: Consentimiento (Art. 6.1.a) + Interés legítimo (Art. 6.1.f).
2.5 Datos de mensajería
Mensajes de texto y marcas de tiempo. Conservados 6 horas en el servidor, luego eliminados automáticamente. Sin cifrado de extremo a extremo.
2.6 Datos técnicos y de sistema
- JWT access token, refresh token, OS y versión, versión de la app, direcciones IP, registros de acceso, códigos OTP (5 min), tokens push, tokens OAuth
3. Finalidades y bases jurídicas
| Finalidad | Datos | Base jurídica |
|---|---|---|
| Autenticación | Teléfono, email, OTP, JWT | Ejecución del contrato — Art. 6.1.b |
| Gestión de perfil | Nombre, edad, altura, ciudad, fotos | Ejecución del contrato — Art. 6.1.b |
| Emparejamiento por proximidad | GPS, barrio, modo LOCAL fijo | Consentimiento — Art. 6.1.a + Interés legítimo — Art. 6.1.f |
| Búsqueda por compatibilidad | Orientación, género, rango de edad, intereses | Contrato — Art. 6.1.b + Consentimiento explícito — Art. 9.2.a |
| Mensajería | Texto de mensajes, marcas de tiempo | Ejecución del contrato — Art. 6.1.b |
| Notificaciones push | Token de dispositivo | Consentimiento — Art. 6.1.a |
| Seguridad y prevención de fraude | IP, device ID, registros | Interés legítimo — Art. 6.1.f + Obligación legal — Art. 6.1.c |
| Mejora del servicio | Preferencias, datos agregados anónimos | Interés legítimo — Art. 6.1.f |
| Comunicaciones de servicio | Email (si se proporciona) | Ejecución del contrato — Art. 6.1.b |
| Marketing (solo con consentimiento) | Consentimiento — Art. 6.1.a |
4. Cómo funciona el sistema de proximidad
4.1 El principio
IBI muestra perfiles de personas realmente cerca de ti ahora mismo comparando posiciones GPS dentro de la misma zona de barrio.
4.2 Modo de proximidad LOCAL
En el matching local por local o punto de interés (POI), IBI muestra perfiles de personas físicamente cerca de ti en este momento, en el mismo barrio y vinculadas al mismo POI, dentro de un radio técnico aproximado de 50 metros desde el POI o mediante check-in explícito en ese mismo POI. Todos los usuarios operan con este único modo de proximidad (LOCAL); no existen niveles de visibilidad seleccionables por el usuario.
Explorar barrio (botón "Q" en Discover) muestra locales/POI y perfiles de usuarios activos en tu barrio; en algunas vistas los perfiles se agrupan por POI. Desde esta vista puedes enviar un "Me gusta". La función muestra quién está activo en tu barrio en ese momento y no modifica tu nivel de visibilidad.
Puedes desactivar completamente la compartición de ubicación en cualquier momento desde los ajustes de la app o del dispositivo. Mientras la ubicación esté desactivada, tu perfil no aparece ante otros usuarios en la navegación por proximidad.
4.3 El desplazamiento de privacidad
Tu dirección exacta nunca se comparte. Antes de cualquier comparación geográfica, tu posición GPS se modifica con un desplazamiento aleatorio de hasta ±20 m.
Esto significa que tu posición aparece ligeramente desplazada respecto a la real, protegiendo tu privacidad sin perder la funcionalidad de proximidad local.
4.4 Función "I Saw You"
Cuando dos usuarios se encuentran físicamente en el mismo local o punto de interés (POI) — detectado mediante GPS con proximidad cercana dentro del mismo barrio — el sistema puede enviar una notificación "Te vi". La mera presencia en el mismo barrio no es suficiente para activar esta función. Solo funciona si ambos tienen la ubicación activa y no revela la posición exacta de nadie.
4.5 Función de bloqueo y efectos en el tratamiento de datos
Si bloqueas a otro usuario mediante la función Bloquear disponible en su perfil:
- Visibilidad en Discover: el perfil del usuario bloqueado deja de mostrarse en Discover y en la exploración del barrio, de forma permanente e independientemente de cualquier actualización automática del feed.
- Interacciones (Me gusta, Te vi): cualquier acción de este tipo entre tú y el usuario bloqueado se bloquea en el servidor y no genera notificaciones, coincidencias ni conversaciones.
- Mensajería: el envío de mensajes queda deshabilitado en ambas direcciones. El usuario bloqueado no puede acceder ni leer el historial de chat contigo. Tú puedes consultar el historial del chat en modo solo lectura, pero no puedes enviar nuevos mensajes.
- Duración: el bloqueo permanece activo hasta que desbloquees explícitamente al usuario desde Ajustes → Usuarios bloqueados.
El bloqueo es distinto del reporte. Para reportar una infracción de los Términos, usa la función Reportar, disponible en el mismo perfil.
Base jurídica: Interés legítimo (Art. 6.1.f RGPD) — protección de los usuarios frente a interacciones no deseadas y seguridad de la plataforma.
5. Con quién compartimos tus datos
5.1 Subencargados del tratamiento
| Proveedor | Servicio | Datos | Ubicación | Garantías |
|---|---|---|---|---|
| Twilio Inc. | SMS OTP | Teléfono, código OTP | EE. UU. (Virginia) | DPA en ToS + CCT (Decisión 2021/914) |
| Twilio SendGrid | Email OTP | Email, código OTP | EE. UU. | DPA en ToS + CCT |
| Expo Inc. | Notificaciones push | Token dispositivo, contenido notificación | EE. UU. (California) | ToS + CCT |
| MongoDB, Inc. | Base de datos + fotos (GridFS) | Todos los datos de perfil, mensajes, ubicación, fotos | UE — AWS Frankfurt (eu-central-1) | DPA MongoDB (oct. 2024) en ToS. Sin transferencia fuera de la UE. |
| Apple Inc. | Sign in with Apple | Token OAuth, email (opcional) | EE. UU./Irlanda | EU-US DPF — Decisión de adecuación 2023 |
| Google LLC | Sign in with Google | Token OAuth, email, nombre | EE. UU. | EU-US DPF — Decisión de adecuación 2023 |
| Mapbox Inc. | Renderización de mapas | Solicitudes anónimas únicamente | EE. UU. | CCT + anonimización |
5.2 Otros usuarios de la app
Solo ven tu perfil público si cumples sus filtros y tienes la visibilidad activa. Nadie ve tus coordenadas GPS exactas.
5.3 Autoridades públicas
Solo cuando sea requerido por ley (Art. 6.1.c RGPD).
5.4 Transferencias fuera de la UE
Reguladas por CCT (Twilio, Expo), EU-US DPF (Apple, Google) y anonimización técnica (Mapbox). Todo vía HTTPS/TLS 1.3.
6. Plazos de conservación
| Categoría | Período | Trigger de eliminación |
|---|---|---|
| Cuenta activa y perfil | Hasta eliminación, o 2 años de inactividad | Solicitud del usuario / tarea automatizada |
| Datos sensibles (Art. 9) | Simultáneamente a la cuenta | Eliminación de cuenta o manual |
| Posición GPS actual | Mientras la cuenta está activa (doc. único) | Eliminación de cuenta / desactivación |
| Fotos de perfil | Hasta eliminación manual o de cuenta | Acción del usuario / eliminación de cuenta |
| Mensajes de chat | 6 horas desde el envío | Tarea programada automática |
| Códigos OTP | 5 minutos | TTL automático MongoDB |
| Refresh tokens | 30 días | Cierre de sesión / rotación / caducidad |
| Registros de acceso | 12 meses | Tarea programada automática |
| Tokens push | Mientras la cuenta está activa | Eliminación de cuenta / revocación |
| Cuenta eliminada (soft-delete) | 30 días | Eliminación definitiva automática |
| Copias de seguridad | 90 días | Sobreescritura automática |
7. Medidas de seguridad
- HTTPS/TLS 1.3 para todas las comunicaciones
- JWT con rotación automática (access: 15 min, refresh: 30 días)
- Tokens en iOS Keychain / Android Keystore
- Validación con Joi (backend) y Zod (frontend)
- Rate limiting: 30 req / 5 min por IP en endpoints de autenticación
- Desplazamiento GPS siempre aplicado antes de cualquier comparación geográfica
- Proximidad local fija y bloqueo del lado servidor diseñados para limitar visibilidad e interacciones no deseadas
- Redacción automática de datos personales en todos los registros del servidor
- Notificación de violación de datos al Garante en 72 horas (Art. 33)
8. Tus derechos (Arts. 15–22 RGPD)
| Derecho | Contenido | Cómo ejercerlo |
|---|---|---|
| Acceso (Art. 15) | Copia de todos los datos que conservamos sobre ti | Email: "Solicitud de acceso a datos RGPD" |
| Rectificación (Art. 16) | Corrección de datos inexactos | Edición de perfil en la app o email |
| Supresión (Art. 17) | Eliminación de cuenta y todos los datos | Ajustes → Eliminar cuenta, o email |
| Portabilidad (Art. 20) | Exportación de datos en formato JSON | Email: "Solicitud de portabilidad de datos RGPD" |
| Oposición (Art. 21) | Detención del tratamiento por interés legítimo | Email especificando el tratamiento impugnado |
| Limitación (Art. 18) | "Congelación" temporal del tratamiento | Email a privacy@ibimeet.com |
| Retirada del consentimiento | Para geolocalización, datos sensibles, marketing | En la app (Ajustes) o email |
| Reclamación (Art. 77) | Denuncia ante la autoridad de control | Ver abajo |
Reclamación ante la autoridad supervisora
Garante per la Protezione dei Dati Personali (Autoridad
Italiana de Protección de Datos)
Piazza Venezia, 11 — 00187 Roma, Italia
Email:
garante@gpdp.it · Sitio
web:
www.garanteprivacy.it
También puedes presentar una reclamación ante la autoridad de control de tu país de residencia dentro de la UE.
9. Elaboración de perfiles y decisiones automatizadas
IBI usa lógica automatizada para sugerir perfiles basándose en barrio, proximidad local, rango de edad, género y preferencias e intereses compartidos. No constituye una decisión automatizada con efectos jurídicos significativos (Art. 22 RGPD). Sin publicidad dirigida. Sin IDFA ni GAID.
10. Edad mínima
IBI está reservado exclusivamente a personas mayores de 18 años. El acceso se deniega a menores en el momento del registro. Reporta cuentas de menores a privacy@ibimeet.com.
11. Funcionalidades en desarrollo
Las funcionalidades premium y las notificaciones push avanzadas no están disponibles aún y serán objeto de aviso actualizado en el momento de su lanzamiento.
12. Cambios en esta política
Cambios sustanciales: aviso con al menos 15 días de antelación. El uso continuado constituye aceptación.
13. Transferencia a otra entidad jurídica
Nos reservamos el derecho de transferir el tratamiento a una futura sociedad (p. ej. IBI S.r.l.) de propiedad o control de Gianni Campana, con 30 días de preavviso a los usuarios. La adquisición por terceros no relacionados requiere tu consentimiento explícito.
14. Contacto
Privacidad / RGPD:
privacy@ibimeet.com
Soporte general:
support@ibimeet.com
Política conforme al Reglamento UE 2016/679 (RGPD), al Decreto Legislativo italiano 196/2003 modificado por el D.Lgs. 101/2018, y a las Directrices del Garante per la Protezione dei Dati Personali.