Ir al contenido principal

Política de privacidad

En vigor el 4 de mayo de 2026 — Conforme al RGPD (Reglamento UE 2016/679) y a la LOPDGDD (Ley Orgánica 3/2018)

La presente Política de privacidad describe cómo NUNC SASU recopila, utiliza, comparte y protege los datos personales de los usuarios del servicio Referys (referys.com y app.referys.com). Se complementa con las declaraciones específicas publicadas en la App Store (Apple Privacy Labels, sección 4bis) y la Google Play Store (Data Safety, sección 4ter), y con el procedimiento de eliminación de cuenta descrito en la sección 10.

1. Responsable del tratamiento

NUNC SASU — contact@referys.com

Nota importante : cuando utiliza Referys para gestionar los contactos de su red, usted es responsable del tratamiento de los datos de sus contactos. Referys actúa en calidad de encargado del tratamiento para dichos datos.

2. Datos recopilados

Datos de la cuenta de usuario : nombre, apellidos, dirección de email, número de teléfono, zona geográfica, estado e historial de suscripción.

Datos de los contactos (introducidos por el usuario): nombre, apellidos, teléfono, email, fecha de nacimiento, dirección, segmento, aficiones, notas personales, historial de intercambios. Estos datos pertenecen al usuario y nunca se comparten con otras cuentas.

Datos de uso : registros de conexión, acciones realizadas en la aplicación, contadores de uso de las funciones de IA.

Datos técnicos : dirección IP (rate limiting, seguridad), informes de errores anonimizados.

3. Finalidades y bases legales

  • Ejecución del contrato (art. 6.1.b RGPD): prestación del servicio Referys, gestión de la suscripción, envío de emails transaccionales.
  • Interés legítimo (art. 6.1.f RGPD): seguridad de la plataforma, prevención de abusos, mejora del producto, seguimiento de errores técnicos.
  • Consentimiento (art. 6.1.a RGPD): comunicaciones de marketing, notificaciones push (revocable en cualquier momento).

4. Encargados del tratamiento y transferencias

Los datos son tratados por los siguientes encargados, todos ellos vinculados a Referys mediante un acuerdo de tratamiento (DPA) conforme al artículo 28 del RGPD. Para los encargados establecidos fuera del Espacio Económico Europeo (EEE), las transferencias internacionales se rigen por el EU-US Data Privacy Framework (DPF, decisión de adecuación de la Comisión Europea de 10/07/2023) cuando el destinatario está certificado, y se completan en todo caso por las Cláusulas Contractuales Tipo (CCT) aprobadas por la Decisión (UE) 2021/914 como salvaguarda contractual adicional. Se ha realizado un análisis de impacto de transferencia (TIA) por cada encargado situado fuera del EEE.

SupabaseBase de datos PostgreSQL — región eu-west-1 (Irlanda) o eu-central-1 (Fráncfort), UE. Encargado de tratamiento sin transferencia internacional.
VercelAlojamiento aplicativo y entrega del front-end — región de despliegue cdg1 (París, UE). Entidad contractual : Vercel Inc. (Estados Unidos), certificada EU-US DPF; CCT firmadas como salvaguarda adicional.
CloudflareProxy, CDN y protección frente a ataques — Cloudflare, Inc. (Estados Unidos), certificada EU-US DPF; CCT firmadas. Únicamente metadatos de petición (IP, encabezados, ruta) tratados en tránsito.
StripePago — datos de facturación únicamente. Entidad : Stripe Payments Europe Ltd (Irlanda, UE) con transferencia técnica a Stripe, Inc. (Estados Unidos), certificada EU-US DPF; CCT firmadas.
ResendEmails transaccionales (Magic Link, confirmaciones) — Resend (Estados Unidos), certificada EU-US DPF; CCT firmadas.
MailerLiteEmails de marketing (opcionales, baja en cualquier momento). Alojado en la UE (MailerLite Limited, Irlanda).
AnthropicFunciones de IA (asistente, sugerencias) — Anthropic, PBC (Estados Unidos), certificada EU-US DPF; CCT firmadas. Datos tratados en tránsito, sin almacenamiento por Anthropic ni uso para entrenamiento de modelos en el marco del API.
Google PlacesAutocompletado de direcciones (Google Places API) — Google Ireland Ltd con transferencia a Google LLC (Estados Unidos), certificada EU-US DPF; CCT firmadas. Únicamente se transmiten las solicitudes de geocodificación.
SentrySeguimiento de errores técnicos (datos anonimizados, ningún dato de contacto). Entidad : Functional Software, Inc. d/b/a Sentry (Estados Unidos), certificada EU-US DPF; CCT firmadas.

4bis. Apple Privacy Labels (App Store)

Resumen normalizado de los datos recopilados por la aplicación iOS Referys, en el formato exigido por Apple en la ficha de la App Store:

TypeDonnéesFinalitéLien identité
IdentificadoresIdentificador de cuenta, emailAutenticación, funcionamiento de la appVinculado a la identidad
Datos de contactoEmail, teléfono (opcional)Comunicación transaccional, soporteVinculado a la identidad
Contenido del usuarioContactos registrados, notas, historial de intercambiosFuncionamiento principal del servicioVinculado a la identidad
Datos de usoRegistros de acciones, contadores de IAAnalíticas de producto, facturación de los créditosVinculado a la identidad
DiagnósticosInformes de errores, registros de fallosEstabilidad de la aplicaciónNo vinculado a la identidad

Ningún dato se utiliza con fines de seguimiento publicitario. No se solicita ninguna autorización App Tracking Transparency (ATT). Ningún dato se comparte con corredores de datos ni con redes publicitarias.

4ter. Google Play Data Safety

Declaración equivalente para la ficha de Play Store de la aplicación Android Referys:

Datos recopilados:

  • Información personal (nombre, email, teléfono) — para la autenticación y la comunicación.
  • Actividad en la aplicación (interacciones, ajustes) — para el funcionamiento.
  • Identificadores de dispositivo (vía Sentry) — únicamente para la estabilidad.

Datos compartidos con terceros:

  • Ningún dato vendido ni transferido con fines publicitarios.
  • Datos técnicos anonimizados compartidos con Sentry para el seguimiento de errores.
  • Datos de facturación compartidos con Stripe (pago web) o Google (pago Play Store).

Todos los datos están cifrados en tránsito (TLS 1.2+) y en reposo (AES-256).

El usuario puede solicitar la eliminación de sus datos desde la aplicación (Ajustes > Cuenta > Eliminar mi cuenta) o a través de la URL pública app.referys.com/auth/delete-account.

5. Plazo de conservación

  • Datos de cuenta : duración de la suscripción + 3 años (obligaciones contables legales).
  • Datos de contactos : duración de la suscripción activa.
  • Datos técnicos : 90 días como máximo.

En caso de eliminación de la cuenta, todos los datos se borran en un plazo de 30 días.

6. Sus derechos RGPD

Usted dispone de los siguientes derechos, ejercitables en : contact@referys.com :

  • Derecho de acceso a sus datos
  • Derecho de rectificación
  • Derecho de supresión ("derecho al olvido")
  • Derecho a la portabilidad (exportación CSV disponible directamente desde los ajustes de la aplicación)
  • Derecho de oposición al tratamiento
  • Derecho de limitación del tratamiento
  • Derecho a retirar su consentimiento en cualquier momento (notificaciones push, emails de marketing)

Sin perjuicio de los recursos administrativos o judiciales que le correspondan, usted puede presentar una reclamación ante la autoridad de control líder del responsable, la CNIL (Commission Nationale de l'Informatique et des Libertés, Francia), o ante la Agencia Española de Protección de Datos (AEPD, www.aepd.es), autoridad de control interesada para los usuarios residentes en España.

7. Cookies

Sitio de marketing (referys.com) : Se utiliza Google Analytics para medir la audiencia (páginas vistas, fuente de tráfico). Ninguna cookie publicitaria ni rastreador de redes sociales. Usted puede rechazarlas a través del banner de consentimiento o utilizando el modo de navegación privada.

Aplicación (app.referys.com) : ninguna herramienta de medición de audiencia de terceros. Se utiliza una cookie de sesión para mantener su autenticación.

8. Seguridad

  • Cifrado en tránsito (TLS)
  • Cifrado en reposo (AES-256, nivel infraestructura Supabase)
  • Row Level Security (RLS) — aislamiento estricto de los datos por cuenta, configurado a nivel de la base de datos
  • Acceso administrador restringido a la clave service_role (soporte técnico únicamente)
  • Rate limiting por IP y por usuario
  • Autenticación mediante Magic Link u OAuth Google

9. Permisos nativos (aplicaciones iOS y Android)

Las aplicaciones móviles nativas Referys pueden solicitar las siguientes autorizaciones del sistema. Cada permiso es objeto de una solicitud explícita al usuario en el primer uso de la función correspondiente. Todos los permisos son revocables en cualquier momento desde los ajustes del teléfono.

Agenda de contactos (Contacts iOS / READ_CONTACTS Android) : Permite al usuario importar sus contactos desde la agenda del teléfono hacia Referys, mediante acción explícita a través de la página Importación. Los contactos sólo se leen en el momento en que el usuario activa la importación. Ninguna lectura en segundo plano, ninguna sincronización continua, ninguna transmisión a terceros. Los contactos importados se convierten en contactos Referys sometidos a las mismas reglas que los contactos introducidos manualmente (sección 2).

Galería de fotos (Photos iOS / READ_MEDIA_IMAGES Android) : Permite seleccionar una foto de perfil para un contacto o para la cuenta de usuario. Lectura limitada a la imagen seleccionada. Ningún análisis, ninguna carga sin acción explícita, ninguna lectura de las demás imágenes de la galería.

Cámara (Camera iOS / CAMERA Android) : Permite tomar una foto de perfil como alternativa a la galería. Ninguna captura en segundo plano, ningún uso fuera de contexto explícito.

Notificaciones (POST_NOTIFICATIONS) : Permite el envío de recordatorios diarios (contactos por recontactar, vencimientos). Desactivable en cualquier momento en los ajustes del teléfono o en Referys (Ajustes > Notificaciones).

App Tracking Transparency (iOS) : Ningún permiso de tracking solicitado. Referys no utiliza ningún identificador publicitario (IDFA) y no efectúa ningún seguimiento cross-app.

Ningún permiso se utiliza para recopilar datos con fines publicitarios. Ningún dato procedente de los permisos nativos se comparte con terceros.

10. Eliminación de la cuenta

El usuario puede eliminar su cuenta en cualquier momento, sin justificación, a través de uno de los siguientes canales:

  • Desde la aplicación : Ajustes > Cuenta > Eliminar mi cuenta. La solicitud se confirma por email.
  • Desde la web (URL pública) : app.referys.com/auth/delete-account accesible sin autenticación previa, conforme a las exigencias de la App Store y la Play Store.
  • Por email : contact@referys.com — respuesta en un plazo de 5 días laborables.

La eliminación conlleva el borrado definitivo de los datos de cuenta y de los datos de contactos asociados en un plazo de 30 días. Las copias de seguridad se purgan en un plazo de 90 días. Los datos contables (facturas) se conservan durante 10 años conforme a las obligaciones legales francesas aplicables al responsable (artículo L123-22 del Código de Comercio francés). Para los usuarios residentes en España, esta conservación es compatible con el plazo de prescripción contable de 6 años previsto por el artículo 30 del Código de Comercio español.

11. Venta, alquiler y monetización de los datos

NUNC SASU no vende, no alquila ni monetiza nunca los datos personales de sus usuarios ni de sus contactos. Ningún dato se comparte con corredores de datos, redes publicitarias o terceros con fines comerciales.

Las únicas transmisiones de datos a terceros son las estrictamente necesarias para el funcionamiento del servicio, enumeradas en la sección 4, y reguladas por acuerdos de encargo del tratamiento conformes al artículo 28 del RGPD.

12. Protección de los menores

El servicio Referys se dirige exclusivamente a profesionales mayores de edad o en proceso de establecimiento profesional. La creación de una cuenta está reservada a personas con la edad mínima legal para contratar servicios de la sociedad de la información en su país de residencia (14 años en España conforme al artículo 7 de la LOPDGDD; 16 años por defecto en la Unión Europea conforme al artículo 8 del RGPD) y, en todo caso, a personas con la mayoría de edad para ejercer una actividad profesional o comercial en el país en el que residan.

Si tenemos conocimiento de una cuenta creada por un menor de edad fuera de estas condiciones, la cuenta queda suspendida y los datos asociados se eliminan sin demora.

13. Modificaciones de la presente política

La presente Política de privacidad puede ser actualizada para reflejar la evolución del servicio, de los encargados del tratamiento o de la normativa. Toda modificación sustancial se notifica por email con un preaviso de 30 días. La fecha de última actualización se indica al inicio del documento. El historial de las versiones anteriores está disponible previa solicitud en contact@referys.com.

Google API Services — Limited Use disclosure

Referys' use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

Referys ne connecte les services Google que pour les besoins strictement nécessaires au fonctionnement de l'application (Google Sign-In, et toute autre API Google explicitement autorisée par l'utilisateur). Les données reçues via les APIs Google ne sont jamais vendues, utilisées pour cibler de la publicité, ni transférées à des tiers à des fins non autorisées par cette politique. Aucune donnée utilisateur Google n'est utilisée pour entraîner de modèles de machine learning généralistes.

14. Contacto

Para cualquier pregunta relativa a la presente política o al ejercicio de sus derechos: contact@referys.com. Referente de privacidad: representante legal de NUNC SASU.

CGV · CGU · Mentions légales