Política de Privacidad

Cómo recopilamos, usamos y protegemos tus datos personales

Última actualización: 2026-04-19

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es:

Black Wall S.L. en constitución Madrid, España Email: [email protected]

Al no alcanzar los supuestos del artículo 37 del Reglamento General de Protección de Datos (RGPD), no se ha designado un Delegado de Protección de Datos. Para cualquier consulta sobre el tratamiento de tus datos, contacta directamente al email indicado arriba.

2. Introducción

Esta Política de Privacidad explica qué datos personales recopilamos cuando usas Black Wall (https://blackwall.games), por qué los recopilamos, cómo los usamos y qué derechos tienes conforme al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y demás normativa aplicable.

Al usar Black Wall, reconoces que has leído y comprendido esta política. Si no estás de acuerdo, por favor no uses el servicio.

3. Datos que recopilamos

Recopilamos las siguientes categorías de datos personales:

Datos de cuenta: dirección de correo electrónico, nombre de usuario y los datos de perfil opcionales que tú elijas aportar (nombre público, biografía, ubicación, sitio web, URL de avatar).

Contenido generado por el usuario: mazos que creas y guardas, comentarios en blog/mazos/partidas, registros de partidas, datos de colección, y cualquier otro contenido que publiques en la plataforma.

Interacciones con el asistente IA (Fixer): los mensajes que envías al chat de Fixer se transmiten a Google para generar la respuesta. El historial del chat (tus preguntas y las respuestas del asistente) se almacena en nuestra base de datos vinculado a tu cuenta para que puedas retomar conversaciones entre sesiones. Puedes eliminar conversaciones individuales, o todas, desde la interfaz del chat en cualquier momento, y el flujo de eliminación de cuenta borra todo el historial del chat.

Datos técnicos y de conexión: dirección IP, agente de usuario del navegador, identificadores de sesión y marcas de tiempo de acceso, recopilados automáticamente como parte del funcionamiento normal del servidor y de los mecanismos de seguridad.

Datos de autenticación con terceros: si inicias sesión con Google OAuth, recibimos de Google tu dirección de correo, nombre e imagen de perfil pública. No accedemos a tu cuenta de Google para ningún otro fin.

4. Finalidades y bases jurídicas del tratamiento

Tratamos tus datos personales con las siguientes finalidades y sobre las siguientes bases jurídicas:

Ejecución de un contrato [Art. 6.1.b RGPD]: autenticar tu cuenta, mostrar tu perfil, guardar y compartir tus mazos, registrar tus partidas, inscribirte en eventos y prestar el resto de funciones principales del servicio.

Interés legítimo [Art. 6.1.f RGPD]: tratamiento de datos técnicos (IP, agente de usuario, logs) para mantener la seguridad del servicio, prevenir el fraude y el abuso, y asegurar la fiabilidad operativa. Hemos ponderado este interés frente a tus derechos y libertades.

Consentimiento [Art. 6.1.a RGPD]: instalación de cookies no esenciales (funcionales, analíticas) y cualquier otro tratamiento para el que solicitemos tu consentimiento expreso. Puedes retirar tu consentimiento en cualquier momento con la misma facilidad con la que lo diste, sin que ello afecte a la licitud del tratamiento previo a la retirada.

Obligación legal [Art. 6.1.c RGPD]: conservación de determinados registros cuando la normativa aplicable lo exija (por ejemplo, logs de auditoría para cumplir con los requisitos de seguridad y de cooperación con autoridades).

5. Destinatarios y encargados del tratamiento

Para prestar el servicio utilizamos los siguientes encargados del tratamiento (proveedores que tratan datos por cuenta del responsable), con los que hay firmados los correspondientes contratos conforme al art. 28 RGPD:

Supabase Inc. — base de datos y autenticación. Los datos se almacenan en la región eu-west-1 (Dublín, Irlanda), dentro del Espacio Económico Europeo.

Vercel Inc. — alojamiento y CDN. Procesamiento en las regiones edge de la UE cuando la petición se origina en Europa.

Cloudflare, Inc. — copias de seguridad cifradas de la base de datos (R2 Storage). Región EU.

Google Ireland Limited — autenticación opcional con Google OAuth. Solo se recibe email, nombre e imagen de perfil.

Google LLC — API de Google Gemini para el asistente de IA "Fixer". Los prompts que envías al chat se procesan en infraestructura de Google. Esta transferencia se detalla en la sección siguiente.

No vendemos ni alquilamos tus datos personales a terceros. No compartimos tus datos con terceros con fines de marketing.

6. Transferencias internacionales de datos

El tratamiento realizado por Google LLC (Gemini API) puede implicar una transferencia internacional de datos a los Estados Unidos. Esta transferencia cuenta con las siguientes garantías:

Decisión de adecuación: la Comisión Europea adoptó el 10 de julio de 2023 una decisión de adecuación para el Marco de Privacidad de Datos UE-EE.UU. (EU-US Data Privacy Framework). Google LLC está certificada bajo este marco.

Cláusulas Contractuales Tipo (CCT): adicionalmente, las transferencias están cubiertas por las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914).

Para todos los demás encargados (Supabase, Vercel, Cloudflare), el procesamiento ocurre en servidores dentro del EEE y por tanto no implica transferencia internacional en el sentido del Capítulo V del RGPD.

Puedes solicitar una copia de las garantías aplicables escribiendo a [email protected].

7. Plazos de conservación

Conservamos tus datos personales durante los siguientes plazos:

Datos de cuenta y contenido publicado: mientras la cuenta esté activa. Se eliminan en un plazo máximo de 30 días desde la solicitud de baja.

Historial del chat Fixer: se conserva en tu cuenta mientras la cuenta esté activa. Puedes eliminar conversaciones individuales desde la interfaz del chat en cualquier momento, y todo el historial se elimina al borrar la cuenta. Los prompts también se procesan en tiempo real por Google Gemini, que aplica sus propios plazos de conservación (véase "Destinatarios").

Logs de auditoría y seguridad: 24 meses desde el evento, para atender requerimientos legales y obligaciones de seguridad.

Copias de seguridad: rotación de 30 días. Las copias antiguas se destruyen automáticamente.

Datos analíticos anonimizados: hasta 26 meses.

Una vez transcurridos los plazos, los datos se eliminan o se anonimizan de forma irreversible, salvo obligación legal de conservación.

8. Derechos reconocidos por el RGPD

Como interesado tienes los siguientes derechos sobre tus datos personales:

Acceso [Art. 15 RGPD]: obtener confirmación de si estamos tratando tus datos y, en su caso, una copia de los mismos.

Rectificación [Art. 16 RGPD]: corregir datos inexactos o incompletos.

Supresión [Art. 17 RGPD] ("derecho al olvido"): solicitar la eliminación de tus datos personales, salvo obligación legal de conservación.

Limitación del tratamiento [Art. 18 RGPD]: pedir que restrinjamos temporalmente el tratamiento mientras se verifica tu solicitud.

Portabilidad [Art. 20 RGPD]: recibir tus datos en un formato estructurado y legible por máquina (por ejemplo, JSON). Puedes ejercer este derecho directamente desde la página "Exportar mis datos" en tu cuenta, o escribiéndonos.

Oposición [Art. 21 RGPD]: oponerte a tratamientos basados en interés legítimo.

Retirada del consentimiento [Art. 7.3 RGPD]: revocar en cualquier momento el consentimiento que hubieras prestado, con la misma facilidad con la que lo diste (por ejemplo, desde el panel de preferencias de cookies).

Cómo ejercerlos: envía un email a [email protected] indicando qué derecho quieres ejercer. Responderemos en un plazo máximo de un mes (ampliable a dos meses en casos complejos). Para verificar tu identidad podemos pedirte información adicional razonable.

Reclamación ante la autoridad de control: tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), calle Jorge Juan nº 6, 28001 Madrid, www.aepd.es, si consideras que el tratamiento no se ajusta a la normativa.

9. Menores de edad

Black Wall es un servicio dirigido a mayores de 18 años. Al crear una cuenta, declaras ser mayor de edad.

No solicitamos ni tratamos deliberadamente datos de menores. Si detectamos que un usuario es menor de edad, suspenderemos su cuenta y eliminaremos sus datos personales de forma inmediata.

Si eres madre, padre o tutor y sospechas que tu hijo/a menor de edad ha creado una cuenta, contacta con nosotros en [email protected] y procederemos a la eliminación.

10. Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos personales frente a acceso no autorizado, alteración, pérdida o destrucción: cifrado HTTPS en todas las comunicaciones, hashing de contraseñas por Supabase Auth, control de acceso basado en roles (RLS), backups cifrados diarios, autenticación de dos factores (2FA) disponible para tu cuenta, limitación de intentos de acceso y registros de auditoría de operaciones sensibles.

Ningún sistema es invulnerable. En caso de una brecha de seguridad que afecte a tus datos personales, te notificaremos y lo comunicaremos a la AEPD en los plazos previstos por el RGPD (72 horas cuando sea exigible).

11. Derechos de privacidad en California (CCPA/CPRA)

Si resides en California, la California Consumer Privacy Act (CCPA), modificada por la California Privacy Rights Act (CPRA), te reconoce derechos adicionales:

Conocer qué categorías de información personal recopilamos y con qué finalidad.

Solicitar el acceso a tu información personal concreta.

Solicitar la eliminación de tu información personal.

Optar por no participar en la "venta" o "compartición" de datos personales. No vendemos ni compartimos datos personales en el sentido de la CCPA/CPRA.

No ser discriminado por ejercer estos derechos.

Para ejercerlos, contacta a [email protected].

12. Cambios en esta política

Podemos actualizar esta Política de Privacidad para reflejar cambios legales, operativos o de funcionalidad. Publicaremos la versión actualizada en esta misma página con una nueva fecha de "Última actualización".

Cuando los cambios sean sustanciales (por ejemplo, nuevas finalidades de tratamiento o nuevos encargados), te notificaremos con antelación razonable por email o mediante aviso destacado en la plataforma.

13. Contacto

Para cualquier consulta, queja o ejercicio de derechos relacionados con esta Política de Privacidad, puedes contactar con:

Black Wall S.L. en constitución Email: [email protected] Dirección postal: Madrid, España

Responderemos en un plazo máximo de 30 días naturales.