Política de Privacidad — IBI
1. Responsable del Tratamiento
Gianni Campana
Domiciliado en Milán (MI),
Italia
Correo electrónico:
privacy@ibimeet.com
No se ha designado un Delegado de Protección de Datos (DPD) dado que no concurren las condiciones de obligatoriedad del Art. 37 RGPD.
Para cualquier solicitud escribe a privacy@ibimeet.com. Responderemos en un plazo de 30 días (Art. 12.3 RGPD).
2. Categorías de datos tratados
2.1 Datos identificativos y de contacto
- Nombre (o apodo)
- Número de teléfono — autenticación mediante OTP por SMS
- Dirección de correo electrónico — opcional
- Fecha de nacimiento — verificación de edad mínima (18 años)
2.2 Datos de perfil
- Altura (opcional), ciudad y barrio, profesión (opcional), planes familiares (opcional)
- Tipo de relación buscada (opcional), fotos de perfil (1–6), intereses
- Rasgos distintivos (opcionales), preferencias de acercamiento (opcional), rango de edad preferido
2.3 Datos de categorías especiales (Art. 9 RGPD)
Identidad de género y orientación sexual
- Identidad de género: hombre, mujer, no binario, genderfluid, otro
- Orientación sexual (implícita): deducida del campo "interesado/a en"
Hábitos y estilo de vida
- Relación con el tabaco, el alcohol, el cannabis, las sustancias recreativas
Esta información no es obligatoria. Seleccionando "prefiero no decirlo" para todos los campos, no se transmite ni almacena ningún dato de esta categoría.
Base jurídica: Consentimiento explícito conforme al Art. 9.2.a RGPD.
2.4 Datos de geolocalización
- Posición GPS en tiempo real, barrio de residencia, nivel de visibilidad (ver sección 4.2), metadatos de precisión, marca de tiempo de última posición
Localización en segundo plano: posible con autorización explícita del SO. Revocable en cualquier momento en los ajustes del dispositivo.
El desplazamiento de privacidad siempre se aplica. Ningún usuario ve tus coordenadas exactas. Posición almacenada como documento único.
Base jurídica: Consentimiento (Art. 6.1.a) + Interés legítimo (Art. 6.1.f).
2.5 Datos de mensajería
Mensajes de texto y marcas de tiempo. Conservados 6 horas en el servidor, luego eliminados automáticamente. Sin cifrado de extremo a extremo.
2.6 Datos técnicos y de sistema
- JWT access token, refresh token, OS y versión, versión de la app, direcciones IP, registros de acceso, códigos OTP (5 min), tokens push, tokens OAuth
3. Finalidades y bases jurídicas
| Finalidad | Datos | Base jurídica |
|---|---|---|
| Autenticación | Teléfono, email, OTP, JWT | Ejecución del contrato — Art. 6.1.b |
| Gestión de perfil | Nombre, edad, altura, ciudad, fotos | Ejecución del contrato — Art. 6.1.b |
| Emparejamiento por proximidad | GPS, barrio, nivel de visibilidad | Consentimiento — Art. 6.1.a + Interés legítimo — Art. 6.1.f |
| Búsqueda por compatibilidad | Orientación, género, rango de edad, intereses | Contrato — Art. 6.1.b + Consentimiento explícito — Art. 9.2.a |
| Mensajería | Texto de mensajes, marcas de tiempo | Ejecución del contrato — Art. 6.1.b |
| Notificaciones push | Token de dispositivo | Consentimiento — Art. 6.1.a |
| Seguridad y prevención de fraude | IP, device ID, registros | Interés legítimo — Art. 6.1.f + Obligación legal — Art. 6.1.c |
| Mejora del servicio | Preferencias, datos agregados anónimos | Interés legítimo — Art. 6.1.f |
| Comunicaciones de servicio | Email (si se proporciona) | Ejecución del contrato — Art. 6.1.b |
| Marketing (solo con consentimiento) | Consentimiento — Art. 6.1.a |
4. Cómo funciona el sistema de proximidad
4.1 El principio
IBI muestra perfiles de personas realmente cerca de ti ahora mismo comparando posiciones GPS dentro de la misma zona de barrio.
4.2 Los tres niveles de visibilidad
| Nivel | Nombre | Quién te ve | Distancia máxima |
|---|---|---|---|
| 1 | QUARTIERE | Solo usuarios en el mismo barrio | Sin filtro de distancia |
| 2 | ZONA | Usuarios en el mismo barrio en un radio de 2 km | ≤ 2 km |
| 3 | LOCALE | Usuarios en el mismo barrio en un radio de 500 m | ≤ 500 m |
4.3 El desplazamiento de privacidad
Tu dirección exacta nunca se comparte. Desplazamiento aleatorio antes de cualquier comparación: ±150 m (QUARTIERE), ±75 m (ZONA), ±20 m (LOCALE).
4.4 Función "I Saw You"
Cuando dos usuarios están en el mismo lugar, el sistema puede enviar una notificación "Te vi". Solo funciona si ambos tienen la ubicación activa y no revela la posición exacta de nadie.
5. Con quién compartimos tus datos
5.1 Subencargados del tratamiento
| Proveedor | Servicio | Datos | Ubicación | Garantías |
|---|---|---|---|---|
| Twilio Inc. | SMS OTP | Teléfono, código OTP | EE. UU. (Virginia) | DPA en ToS + CCT (Decisión 2021/914) |
| Twilio SendGrid | Email OTP | Email, código OTP | EE. UU. | DPA en ToS + CCT |
| Expo Inc. | Notificaciones push | Token dispositivo, contenido notificación | EE. UU. (California) | ToS + CCT |
| MongoDB, Inc. | Base de datos + fotos (GridFS) | Todos los datos de perfil, mensajes, ubicación, fotos | UE — AWS Frankfurt (eu-central-1) | DPA MongoDB (oct. 2024) en ToS. Sin transferencia fuera de la UE. |
| Apple Inc. | Sign in with Apple | Token OAuth, email (opcional) | EE. UU./Irlanda | EU-US DPF — Decisión de adecuación 2023 |
| Google LLC | Sign in with Google | Token OAuth, email, nombre | EE. UU. | EU-US DPF — Decisión de adecuación 2023 |
| Mapbox Inc. | Renderización de mapas | Solicitudes anónimas únicamente | EE. UU. | CCT + anonimización |
5.2 Otros usuarios de la app
Solo ven tu perfil público si cumples sus filtros y tienes la visibilidad activa. Nadie ve tus coordenadas GPS exactas.
5.3 Autoridades públicas
Solo cuando sea requerido por ley (Art. 6.1.c RGPD).
5.4 Transferencias fuera de la UE
Reguladas por CCT (Twilio, Expo), EU-US DPF (Apple, Google) y anonimización técnica (Mapbox). Todo vía HTTPS/TLS 1.3.
6. Plazos de conservación
| Categoría | Período | Trigger de eliminación |
|---|---|---|
| Cuenta activa y perfil | Hasta eliminación, o 2 años de inactividad | Solicitud del usuario / tarea automatizada |
| Datos sensibles (Art. 9) | Simultáneamente a la cuenta | Eliminación de cuenta o manual |
| Posición GPS actual | Mientras la cuenta está activa (doc. único) | Eliminación de cuenta / desactivación |
| Fotos de perfil | Hasta eliminación manual o de cuenta | Acción del usuario / eliminación de cuenta |
| Mensajes de chat | 6 horas desde el envío | Tarea programada automática |
| Códigos OTP | 5 minutos | TTL automático MongoDB |
| Refresh tokens | 30 días | Cierre de sesión / rotación / caducidad |
| Registros de acceso | 12 meses | Tarea programada automática |
| Tokens push | Mientras la cuenta está activa | Eliminación de cuenta / revocación |
| Cuenta eliminada (soft-delete) | 30 días | Eliminación definitiva automática |
| Copias de seguridad | 90 días | Sobreescritura automática |
7. Medidas de seguridad
- HTTPS/TLS 1.3 para todas las comunicaciones
- JWT con rotación automática (access: 15 min, refresh: 30 días)
- Tokens en iOS Keychain / Android Keystore
- Validación con Joi (backend) y Zod (frontend)
- Rate limiting: 30 req / 5 min por IP en endpoints de autenticación
- Desplazamiento GPS siempre aplicado antes de cualquier comparación geográfica
- Redacción automática de datos personales en todos los registros del servidor
- Notificación de violación de datos al Garante en 72 horas (Art. 33)
8. Tus derechos (Arts. 15–22 RGPD)
| Derecho | Contenido | Cómo ejercerlo |
|---|---|---|
| Acceso (Art. 15) | Copia de todos los datos que conservamos sobre ti | Email: "Solicitud de acceso a datos RGPD" |
| Rectificación (Art. 16) | Corrección de datos inexactos | Edición de perfil en la app o email |
| Supresión (Art. 17) | Eliminación de cuenta y todos los datos | Ajustes → Eliminar cuenta, o email |
| Portabilidad (Art. 20) | Exportación de datos en formato JSON | Email: "Solicitud de portabilidad de datos RGPD" |
| Oposición (Art. 21) | Detención del tratamiento por interés legítimo | Email especificando el tratamiento impugnado |
| Limitación (Art. 18) | "Congelación" temporal del tratamiento | Email a privacy@ibimeet.com |
| Retirada del consentimiento | Para geolocalización, datos sensibles, marketing | En la app (Ajustes) o email |
| Reclamación (Art. 77) | Denuncia ante la autoridad de control | Ver abajo |
Reclamación ante la autoridad supervisora
Garante per la Protezione dei Dati Personali (Autoridad
Italiana de Protección de Datos)
Piazza Venezia, 11 — 00187 Roma, Italia
Email:
garante@gpdp.it · Sitio
web:
www.garanteprivacy.it
También puedes presentar una reclamación ante la autoridad de control de tu país de residencia dentro de la UE.
9. Elaboración de perfiles y decisiones automatizadas
IBI usa lógica automatizada para sugerir perfiles basándose en barrio, rango de edad, género y preferencias e intereses compartidos. No constituye una decisión automatizada con efectos jurídicos significativos (Art. 22 RGPD). Sin publicidad dirigida. Sin IDFA ni GAID.
10. Edad mínima
IBI está reservado exclusivamente a personas mayores de 18 años. El acceso se deniega a menores en el momento del registro. Reporta cuentas de menores a privacy@ibimeet.com.
11. Funcionalidades en desarrollo
Discovery Feed, funcionalidades premium y notificaciones push avanzadas no están disponibles aún y serán objeto de aviso actualizado en el momento de su lanzamiento.
12. Cambios en esta política
Cambios sustanciales: aviso con al menos 15 días de antelación. El uso continuado constituye aceptación.
13. Transferencia a otra entidad jurídica
Nos reservamos el derecho de transferir el tratamiento a una futura sociedad (p. ej. IBI S.r.l.) de propiedad o control de Gianni Campana, con 30 días de preavviso a los usuarios. La adquisición por terceros no relacionados requiere tu consentimiento explícito.
14. Contacto
Privacidad / RGPD:
privacy@ibimeet.com
Soporte general:
support@ibimeet.com
Política conforme al Reglamento UE 2016/679 (RGPD), al Decreto Legislativo italiano 196/2003 modificado por el D.Lgs. 101/2018, y a las Directrices del Garante per la Protezione dei Dati Personali.