Política de Privacidad de la Aplicación
Estado: Marzo de 2026
Aviso Importante – Traducción
Este texto es una traducción automática proporcionada para tu comodidad. No es legalmente vinculante.
Las versiones legalmente vinculantes de esta Política de Privacidad están disponibles en:
Alemán – para usuarios cuyo idioma de la aplicación es el alemán: alma-app.eu/datenschutz
Inglés – para todos los demás usuarios: alma-app.eu/privacy
Si algo en esta traducción difiere de la versión en alemán o inglés, prevalecerá la versión vinculante aplicable. Si no estás seguro de qué versión se aplica a ti, se aplicará la versión en inglés.
Datos Clave de un Vistazo
Quién soy: Bastian Matzen / Alma Softwareentwicklung (Empresa Individual), Kienitzer Str. 113, 12049 Berlín, Alemania. Contacto: privacy@alma-app.eu | www.alma-app.eu
Tus datos conmigo:
✅ Seguros: Almacenamiento cifrado exclusivamente dentro de la UE (Frankfurt am Main).
✅ Privados: No hay transferencia de datos a terceros (excepto a tus contactos de emergencia en caso de una emergencia).
✅ Voluntarios: Los datos de salud y muchos otros detalles son completamente opcionales.
✅ Controlados: Puedes ver, modificar o eliminar todo en cualquier momento.
✅ Transparentes: Sin uso de datos ocultos, sin venta de tus datos.
Tus Derechos: Acceso, rectificación, supresión, portabilidad de datos, oposición, retirada del consentimiento – todo es posible en cualquier momento.
Se pueden presentar reclamaciones ante: Comisionado de Berlín para la Protección de Datos y la Libertad de Información (datenschutz-berlin.de). Los usuarios del EEE también pueden ponerse en contacto con la autoridad de control de su país de residencia habitual. Los usuarios del Reino Unido pueden ponerse en contacto con la Information Commissioner’s Office (ico.org.uk). Los usuarios de Suiza pueden ponerse en contacto con el Comisionado Federal de Protección de Datos e Información (FDPIC).
1. Responsable y Contacto
Soy el responsable del procesamiento de datos en el contexto de la aplicación Alma, en el sentido del Reglamento General de Protección de Datos (RGPD), el Reglamento General de Protección de Datos del Reino Unido (UK GDPR), la Ley Federal Suiza de Protección de Datos (FADP/DSG) y otras leyes de protección de datos aplicables:
Bastian Matzen Alma Softwareentwicklung (Empresa Individual) Kienitzer Str. 113 12049 Berlín Alemania
Opciones de contacto Para cuestiones de privacidad (preferido): privacy@alma-app.eu
Para soporte técnico: support@alma-app.eu
Sitio web: www.alma-app.eu
1a. Representante en el Reino Unido
De acuerdo con el Artículo 27 del UK GDPR, hemos designado al siguiente representante en el Reino Unido para asuntos de protección de datos:
Aron Harris Flat 7 324 Lewisham High Street SE13 6JZ Londres Reino Unido
Correo electrónico: privacy@alma-app.eu
2. Descripción General de la Aplicación y sus Funciones
Alma es una aplicación de seguridad personal y comunicación con dos funciones principales:
2.1 Alma Safety Net (Solo con suscripción Connect+)
Check-ins de seguridad automáticos en ventanas de tiempo definidas.
Notificación automática a tus contactos de emergencia si se pierde un check-in.
Transmisión opcional de ubicación e información de salud en una emergencia.
2.2 Alma Moments (Gratis)
Red social para compartir momentos con hasta 30 conexiones.
Publicación automática en el feed social si se pierde un check-in (si está activado).
Se requiere confirmación mutua de amistad.
2.3 Edad Mínima
El uso de la aplicación Alma está permitido para personas de 16 años o más. Las personas menores de 16 años no pueden utilizar la aplicación. Al registrarte, confirmas que tienes al menos 16 años.
3. ¿Qué Datos se Procesan?
3.1 Datos Obligatorios al Registrarse
Para utilizar la aplicación, requiero los siguientes datos (Base legal: Art. 6(1)(b) RGPD – Ejecución de un contrato):
Dirección de correo electrónico – para la creación de la cuenta, comunicación y restablecimiento de contraseña.
Contraseña – se almacena de forma cifrada y se utiliza para la seguridad de la cuenta.
Nombre – para la personalización y visualización a tus contactos.
Apellido – para la identificación completa.
3.2 Datos de Perfil Opcionales
Puedes proporcionar voluntariamente los siguientes datos (Base legal: Art. 6(1)(a) RGPD – Consentimiento):
Foto de perfil – para funciones sociales y de personalización.
Fecha de nacimiento – para verificación de edad.
Número de teléfono – como método de contacto alternativo.
Dirección – para información de emergencia.
Biografía – para funciones sociales.
Ciudad – para funciones sociales y búsqueda.
3.3 Datos de Salud (solo Connect+, totalmente opcional)
Estas categorías especiales de datos de conformidad con el Art. 9 del RGPD se procesan solo con tu consentimiento explícito.
Datos recopilados: Grupo sanguíneo, alergias, medicamentos, condiciones médicas, mascotas, información sobre las llaves de casa, otra información de emergencia.
Base legal: Art. 9(2)(a) RGPD (Consentimiento explícito).
Seguridad: Estos datos se almacenan mediante cifrado AES-256 y solo se transmiten a tus contactos de emergencia confirmados en caso de emergencia.
3.4 Datos de Ubicación (Opcional)
El rastreo de ubicación es totalmente opcional y puede operarse en tres modos (Base legal: Art. 6(1)(a) RGPD – Consentimiento):
Guardar al hacer Check-In – La ubicación se captura manualmente solo al realizar el check-in.
Enviar Siempre – La ubicación se actualiza en segundo plano. Técnicamente, solo se guarda la última ubicación conocida; la anterior se sobrescribe.
Desactivado – No se captura ni se comparte ninguna ubicación.
Nota: Los datos de ubicación se eliminan automáticamente después de 30 días de inactividad.
3.5 Datos de Check-In
Durante los check-ins, se capturan los siguientes datos:
Hora de check-in – para el monitoreo de seguridad (Retención: 90 días para Connect+).
Información del dispositivo – para el análisis de errores (Retención: 90 días).
Última ubicación conocida – para notificaciones de emergencia (Retención: máx. 30 días, sobrescrita).
3.6 Datos Sociales (Alma Moments)
Al utilizar funciones sociales, se procesan los siguientes datos: publicaciones (texto, imágenes, videos), comentarios, likes, conexiones y emojis de estado de ánimo.
Base legal: Art. 6(1)(b) RGPD (Ejecución de un contrato para proporcionar funciones sociales) y Art. 6(1)(a) RGPD (para contenido voluntario).
3.7 Datos Técnicos
Los siguientes datos técnicos se procesan para el funcionamiento de la aplicación:
Tipo de dispositivo y SO – para la optimización de la aplicación y el análisis de errores (Base legal: Art. 6(1)(f) RGPD).
Versión de la aplicación – para soporte y actualizaciones (Base legal: Art. 6(1)(f) RGPD).
Token FCM – para notificaciones push (Base legal: Art. 6(1)(b) RGPD).
Zona horaria – para las horas correctas de check-in (Base legal: Art. 6(1)(b) RGPD).
Archivos de registro del servidor – para la seguridad de la infraestructura y la defensa contra ataques (Base legal: Art. 6(1)(f) RGPD).
3.8 Comunicación de Marketing (Opcional)
Solo si has dado tu consentimiento durante el registro o más tarde en los ajustes marcando la casilla, procesaré tu dirección de correo electrónico y tu nombre para enviarte consejos, noticias de la aplicación y actualizaciones (Newsletter).
Base legal: Art. 6(1)(a) RGPD (Consentimiento).
Darse de baja: Puedes darte de baja en cualquier momento a través del enlace de baja en cada correo electrónico o en los ajustes de notificación de la aplicación. La retirada del consentimiento no afecta a la licitud del tratamiento basado en el consentimiento previo a su retirada.
4. Finalidades del Tratamiento de Datos
Proceso tus datos para las siguientes finalidades:
Ejecución del Contrato (Art. 6(1)(b) RGPD): Provisión de la aplicación, check-ins, alertas, gestión de suscripciones.
Consentimiento (Art. 6(1)(a) RGPD): Datos de salud, uso compartido de la ubicación, información de perfil opcional, marketing.
Intereses Legítimos (Art. 6(1)(f) RGPD): Prevención de fraude, seguridad técnica, resolución de problemas.
Obligaciones Legales (Art. 6(1)(c) RGPD): Obligaciones de retención, solicitudes de autoridades.
Nota sobre la toma de decisiones automatizada: No se lleva a cabo ninguna toma de decisiones automatizada ni elaboración de perfiles en el sentido del Art. 22 del RGPD que produzca efectos jurídicos que te afecten. La activación de alarmas se basa exclusivamente en las ventanas de tiempo y las reglas (lógica If-Then) definidas por ti personalmente.
5. Destinatarios de los Datos y Procesadores
5.1 Proveedores de Servicios
Trabajo con los siguientes proveedores de servicios para operar la aplicación:
Google Firebase (Google Ireland Ltd.) – para alojamiento, base de datos y autenticación. Ubicación: Frankfurt am Main (europe-west3). Garantía de protección de datos: EU-US Data Privacy Framework (DPF), Google Cloud DPA.
RevenueCat – para la gestión de suscripciones (datos procesados: estado de la suscripción, hora de compra, ID de usuario seudónimo de la aplicación, metadatos de la transacción). Ubicación: EE. UU. (AWS). Garantía de protección de datos: Cláusulas Contractuales Estándar (SCC) de la UE, DPA. Para transferencias desde el Reino Unido: UK International Data Transfer Agreement (IDTA) o Adenda del Reino Unido a las SCC de la UE. Para transferencias desde Suiza: cumplimiento de los requisitos de la FADP/DSG.
Mailgun (Sinch) – para la entrega de correos electrónicos. Ubicación: UE. Garantía de protección de datos: DPA, cumple con el RGPD.
Algolia – para la búsqueda de usuarios. Ubicación: UE. Garantía de protección de datos: DPA, cumple con el RGPD.
5.2 Transferencia de Datos Condicional (Canales de Notificación)
La transferencia a estos servicios solo ocurre si tu contacto de emergencia elige explícitamente estos canales:
Meta (WhatsApp Cloud API) – solo si el contacto selecciona WhatsApp. Meta está certificada bajo el EU-US Data Privacy Framework. Para transferencias desde el Reino Unido, se aplica adicionalmente la extensión del Reino Unido al DPF UE-EE. UU.
Telegram – El uso de Telegram solo ocurre si tu contacto de emergencia selecciona activamente este canal por sí mismo. En este caso, tu contacto consiente directamente el procesamiento de datos por parte de Telegram (potencialmente en servidores fuera de la UE).
5.3 No se Transfieren Datos a Terceros
Tus datos no se venden.
No hay transferencia para fines publicitarios de terceros.
No hay transferencia a corredores de datos (data brokers).
Excepción: Tus contactos de emergencia reciben la información que has liberado en una emergencia.
6. Almacenamiento y Eliminación de Datos
6.1 Lugar de Almacenamiento
Todos los datos se almacenan principalmente en la Unión Europea (Frankfurt am Main, región de Google Cloud europe-west3).
6.2 Duración del Almacenamiento y Eliminación Automática
Historial de Check-In: Se elimina automáticamente después de 90 días.
Datos de Ubicación: Se eliminan automáticamente después de 30 días de inactividad (o se sobrescriben continuamente).
Archivos de registro del servidor: Se eliminan automáticamente después de 90 días (para análisis de errores/defensa contra ataques).
Enlaces de Invitación: Se eliminan automáticamente después de 7 días.
Datos de Salud: Eliminación después de 12 meses de inactividad.
Datos de la Cuenta: Eliminación después de 24 meses de inactividad.
Recordatorios antes de la eliminación por inactividad:
Después de 12 meses sin iniciar sesión: Eliminación automática de los datos de salud; se envía un correo electrónico de recordatorio.
Después de 13 meses sin respuesta: Nuevo recordatorio.
Después de 23 meses de inactividad: Correo electrónico de advertencia final.
Después de 24 meses sin respuesta: Eliminación completa de la cuenta.
Excepción para Suscripciones Activas: Mientras esté activa una suscripción Connect+ de pago, no se producirá la eliminación automática por inactividad.
Datos de Facturación: Los datos de facturación (nombre, dirección, información de la transacción) se almacenan durante 10 años de acuerdo con las obligaciones de retención fiscal (§ 147 AO). Estos datos se mantienen separados de los datos de uso.
Las cuentas eliminadas se retiran de forma permanente e irrevocable después de un período de gracia de 30 días.
Importante: Tras la solicitud de eliminación de la cuenta, el uso finaliza inmediatamente. A partir de este momento, no se activarán recordatorios de check-in, alarmas ni otras notificaciones, ni para ti ni para tus contactos de emergencia. Además, tu perfil en Alma Moments dejará de ser visible. La eliminación física final de todos los datos ocurre después del período de gracia de 30 días.
7. Seguridad de los Datos
Utilizo estándares de seguridad modernos:
Cifrado: TLS 1.2+ para la transmisión de datos (en tránsito) y almacenamiento en servidores cifrados con AES-256 (en reposo) para datos sensibles.
Control de Acceso: Reglas de seguridad de Firebase, autenticación estricta.
Seguridad de la Aplicación: Firebase App Check, protección biométrica opcional (Connect+), bloqueo de ajustes independiente.
8. Tus Derechos
Tienes los siguientes derechos en cualquier momento (de conformidad con los Art. 15-21 del RGPD):
Acceso y Exportación de Datos: En la aplicación bajo Ajustes → Privacidad.
Rectificación: Puedes editar todos los datos de perfil y salud tú mismo en la aplicación.
Supresión: Puedes eliminar datos individuales o toda tu cuenta directamente en la aplicación.
Limitación del Tratamiento (Art. 18 RGPD): Puedes solicitar la limitación del tratamiento, por ejemplo, si impugnas la exactitud de tus datos o si el tratamiento es ilícito.
Retirada del Consentimiento: Puedes retirar el consentimiento (por ejemplo, ubicación, datos de salud, marketing) en cualquier momento en los ajustes. La retirada no afecta a la licitud del tratamiento realizado con anterioridad a la misma.
Derecho de Oposición (Art. 21 RGPD): Si el tratamiento de datos se basa en intereses legítimos (Art. 6(1)(f) RGPD), tienes derecho a oponerte en cualquier momento por motivos derivados de tu situación particular.
Derecho a presentar una reclamación: Puedes ponerte en contacto con la autoridad de control de protección de datos competente. Para los usuarios en Alemania, se trata del Comisionado de Berlín para la Protección de Datos y la Libertad de Información (datenschutz-berlin.de). Los usuarios del Espacio Económico Europeo (EEE) pueden ponerse en contacto con la autoridad de control de su país de residencia habitual, lugar de trabajo o lugar de la supuesta infracción. Una lista de las autoridades de control está disponible en edpb.europa.eu. Los usuarios del Reino Unido pueden ponerse en contacto con la Information Commissioner’s Office (ICO): ico.org.uk. Los usuarios de Suiza pueden ponerse en contacto con el Comisionado Federal de Protección de Datos e Información (FDPIC): edoeb.admin.ch.
9. Situaciones Especiales de Procesamiento
9.1 Notificación de Emergencia (solo Connect+)
En caso de que se pierda un check-in, se notificará a tus contactos de emergencia. Solo se transmitirán los datos que hayas almacenado en tu perfil y autorizado para su liberación (por ejemplo, ubicación, información de salud). Base legal:
Art. 6(1)(b) RGPD (Ejecución de un contrato)
Art. 9(2)(a) RGPD (Consentimiento explícito para datos de salud)
Supletoriamente, Art. 9(2)(c) RGPD (Protección de intereses vitales), para garantizar la integridad física en una emergencia.
9.2 Invitar a Contactos de Emergencia
Para proteger la privacidad de terceros, no introduces los datos de contacto de otras personas directamente en la aplicación.
Creación de Enlace: Generas un enlace de invitación personal en la aplicación.
Envío: Envías este enlace a tu persona de confianza a través de un canal de tu elección (por ejemplo, WhatsApp, correo electrónico).
Registro: Tu persona de confianza abre el enlace e introduce de forma independiente sus datos de contacto y el canal de notificación deseado. Mientras no se utilice el enlace, no se almacenan datos de tus contactos. Los enlaces no utilizados caducan a los 7 días.
9.3 Tú como Contacto de Emergencia
Si aceptas una invitación, consientes que tus datos de contacto proporcionados (Nombre, Correo electrónico/Teléfono/Identificador) se almacenen con fines de notificación de emergencia. Puedes darte de baja en cualquier momento a través de un enlace de exclusión (opt-out) en los mensajes.
9.4 Configuración Remota (Connect+)
Puedes conceder temporalmente acceso a una persona de confianza (mediante un código generado) para que configure la aplicación por ti y gestione los ajustes. Una vez conectada con éxito, este acceso permanece hasta que lo revoques en la aplicación. Para tu seguridad, todos los cambios realizados por la persona de confianza se registran (Registro de Auditoría).
Base legal: Art. 6(1)(b) RGPD (Ejecución de un contrato, función iniciada por el usuario).
10. Autenticación de Terceros
Google Sign-In: Los datos transmitidos incluyen correo electrónico, nombre y foto de perfil. (Privacidad: policies.google.com/privacy)
Apple Sign-In: Los datos transmitidos incluyen el correo electrónico (o dirección de retransmisión) y el nombre. (Privacidad: apple.com/legal/privacy)
11. Notificaciones Push
Utilizo notificaciones push para recordatorios de check-in, alarmas e interacciones sociales.
Base legal: Art. 6(1)(b) RGPD (para funciones contractuales como alarmas) y Art. 6(1)(f) RGPD (para avisos sociales).
Control: Puedes gestionar la mayoría de los tipos de notificaciones en los ajustes de la aplicación. Las notificaciones críticas de seguridad forman parte del servicio principal.
12. Análisis y Resolución de Problemas
12.1 Firebase Analytics
Utilizo Firebase Analytics en una configuración de minimización de datos para garantizar la estabilidad de la aplicación y corregir errores.
Medidas de Privacidad: No se recopilan IDs de publicidad (IDFA/AAID). La anonimización de IP está activada.
Finalidad: Estadísticas de uso y bloqueos anonimizadas para la optimización técnica.
Base legal: Art. 6(1)(f) RGPD (Interés legítimo en el funcionamiento sin errores y la seguridad de la aplicación).
12.2 Firebase Crashlytics
En caso de bloqueos de la aplicación, se envían detalles técnicos (rastreo de pila, información del dispositivo) para corregir el error. No se almacenan datos de identificación directa en el informe de errores.
12.3 ePrivacy y Comunicaciones Electrónicas
El acceso a ciertas funciones del dispositivo y el almacenamiento de información técnica en el mismo (por ejemplo, tokens FCM) pueden estar sujetos a las leyes nacionales que implementan la Directiva sobre la privacidad y las comunicaciones electrónicas (2002/58/CE). En el Reino Unido, se aplican las Privacy and Electronic Communications Regulations 2003 (PECR). En Suiza, se aplican las disposiciones de la Ley de Telecomunicaciones (TCA/FMG). Cuando se requiera el consentimiento según la legislación aplicable respectiva, este se obtendrá antes del acceso pertinente.
13. Cambios en esta Política de Privacidad
Me reservo el derecho de modificar esta Política de Privacidad. En caso de cambios significativos, se te informará a través de la aplicación o por correo electrónico. La versión actual siempre está disponible en la aplicación y en el sitio web.
14. Transferencias Internacionales de Datos
El almacenamiento principal de datos tiene lugar en la Unión Europea (Frankfurt am Main). Cuando los datos se transfieren a proveedores de servicios fuera del EEE (ver Sección 5), me baso en las siguientes salvaguardas:
EU-US Data Privacy Framework (DPF): Para transferencias a empresas con sede en EE. UU. certificadas bajo el DPF (por ejemplo, Google, Meta).
Cláusulas Contractuales Estándar (SCC) de la UE: Para transferencias a empresas no certificadas bajo el DPF (por ejemplo, RevenueCat).
Para transferencias desde el Reino Unido: Utilizo el UK International Data Transfer Agreement (IDTA) o la Adenda del Reino Unido a las SCC de la UE, así como la extensión del Reino Unido al DPF UE-EE. UU., cuando proceda.
Para transferencias que involucren a Suiza: Cumplo con los requisitos de la Ley Federal Suiza de Protección de Datos (FADP/DSG), incluido el reconocimiento de las decisiones de adecuación del Consejo Federal y el uso de cláusulas contractuales estándar cuando sea necesario.
Para más detalles sobre proveedores de servicios individuales, consulta la Sección 5.
15. Usuarios Fuera de la UE/EEE, Reino Unido y Suiza
Para los usuarios en países no cubiertos por el RGPD, el UK GDPR o la FADP suiza, el Proveedor aplica las mismas medidas técnicas y organizativas que para los usuarios dentro del alcance del RGPD. Las disposiciones obligatorias de protección de datos del país de residencia habitual del usuario no se verán afectadas.
16. Contacto
Bastian Matzen Alma Softwareentwicklung Kienitzer Str. 113 12049 Berlín
Correo electrónico: privacy@alma-app.eu
Sitio web: www.alma-app.eu