Documento legal
Política de Privacidad de Good News
Esta Política de Privacidad explica cómo tratamos tus datos personales cuando usas la aplicación móvil Good News (en adelante, "la App"), disponible en Apple App Store y Google Play.
La versión corta: recogemos lo mínimo imprescindible para enviarte un resumen diario de noticias positivas en tu país, y nada más. No mostramos publicidad, no te perfilamos y no vendemos tus datos.
1. Quiénes somos
El responsable del tratamiento de tus datos es:
- Razón social: TYP NETWORK PTE. LTD.
- UEN (Unique Entity Number, identificador societario de Singapur): 202209033N
- D-U-N-S® (identificador empresarial internacional de Dun & Bradstreet): 659993981
- Domicilio social: 20 Collyer Quay #09-01, Singapur 049319
- Jurisdicción: Singapur
- Contacto de privacidad: privacy@goodnewsapp.app
A efectos del Reglamento (UE) 2016/679 ("RGPD") y de la Ley Orgánica 3/2018 ("LOPDGDD"), TYP NETWORK PTE. LTD. actúa como responsable del tratamiento.
En cumplimiento del artículo 10 de la Ley 34/2002 (LSSI-CE), publicamos estos datos identificativos también en https://goodnewsapp.app.
2. Representante en la Unión Europea
El artículo 27 del RGPD exige un representante en la UE para empresas establecidas fuera del EEE que ofrecen servicios a usuarios europeos.
PENDIENTE DE DESIGNACIÓN (TBD). Designaremos al representante antes de la disponibilidad de la App en la UE y publicaremos aquí su nombre, dirección postal en la UE y email de contacto. Hasta entonces, puedes contactar directamente con el responsable en privacy@goodnewsapp.app.
3. Qué datos tratamos
Good News funciona sin cuentas de usuario. No te pedimos nombre, correo electrónico, contraseña, teléfono ni datos de pago. Los únicos datos personales o identificadores que tratamos son:
3.1. Token de notificaciones push (Expo Push Token)
- Qué es: un identificador técnico vinculado a tu dispositivo, emitido por Expo / Apple (APNs) / Google (FCM) para entregar una notificación diaria.
- Cuándo lo obtenemos: solo si activas las notificaciones mediante una pantalla de consentimiento dentro de la App (previa al prompt del sistema operativo).
- Dónde se guarda: en nuestro backend en AWS (región
us-east-1), asociado a tu país y tu hora preferida. - Cómo revocarlo: desde "Borrar mis datos" en Ajustes de la App, o desactivando las notificaciones en el SO.
- Taxonomía Google Play: "Device or other IDs", compartido con Expo, Apple (APNs) y Google (FCM) solo para la funcionalidad de la App.
3.2. Código de país
- Qué es: un código de dos letras (
ES,FR, etc.). - Cómo lo obtenemos: lo detectamos automáticamente desde el idioma/región del dispositivo. Puedes cambiarlo manualmente. No realizamos geolocalización por IP.
- Por qué: para servirte el digest correspondiente a tu país.
- Dónde se guarda: localmente en
AsyncStoragey en el backend asociado a tu token push solo si has activado las notificaciones.
3.3. Hora preferida para la notificación diaria
- Qué es: la hora del día (zona horaria local) a la que quieres recibir el digest.
- Cómo se almacena: en el backend, como hora local más identificador IANA de zona horaria (por ejemplo,
Europe/Madrid). La zona horaria revela solo tu región amplia, no tu ubicación precisa.
3.4. Eventos de retroalimentación
- Qué son: eventos sobre qué noticias descartas o marcas como favorita (POST
/v1/feedback). - Identidad: no llevan token, ni identificador de cuenta o sesión. La IP de la petición se descarta antes del almacenamiento.
- Por qué: para mejorar la selección editorial a nivel agregado (por país), no individualizada.
- Taxonomía Google Play: "App interactions" / "Product interaction".
3.5. Dirección IP
Cualquier petición HTTP al backend deja la IP transitoriamente en logs de CloudFront / EC2. Conservamos los logs un máximo de 30 días para seguridad, detección de abuso y diagnóstico técnico. Base jurídica: interés legítimo (art. 6.1.f RGPD).
3.6. Informes de fallos (Expo Crash Reporter)
- Qué contienen: modelo del dispositivo, versión de SO, versión de la App, stack trace e identificador de instalación no persistente.
- Qué NO contienen: tu token push, país, ni contenido introducido.
- Cifrado: TLS en tránsito.
- Retención: 30 días según el DPA con Expo.
- Opt-out: a nivel SO (iOS: Ajustes > Privacidad > Análisis y mejoras; Android: Ajustes > Google > Uso y diagnóstico).
3.7. Estadísticas agregadas de las tiendas
Apple App Store Connect y Google Play Console nos dan estadísticas agregadas y no identificativas: instalaciones, desinstalaciones, distribución de versiones, tasa de sesiones sin fallos. Sin identificadores a nivel de usuario.
3.8. APIs de "razón obligatoria" de Apple (Privacy Manifest)
La App usa UserDefaults (vía AsyncStorage) solo para guardar tus preferencias (país, hora). Declarado en PrivacyInfo.xcprivacy con código CA92.1.
3.9. Lo que NO recopilamos
- No hay cuentas, contraseñas ni datos de registro.
- No hay datos de pago (la App es gratuita y sin compras integradas).
- No usamos GPS ni geolocalización precisa.
- No accedemos a contactos, fotos, micrófono ni calendario.
- No operamos Firebase Analytics, Google Analytics for Firebase, Mixpanel, Amplitude, Sentry, Segment ni SDK publicitarios.
- No hacemos perfilado conductual ni tracking entre apps o sitios.
- No tenemos grafo social.
4. Para qué tratamos tus datos
- Entregarte el digest diario como notificación push a tu hora.
- Servirte noticias relevantes para tu país.
- Mejorar la calidad editorial (eventos agregados).
- Diagnosticar fallos y errores técnicos.
- Detectar y prevenir abusos sobre el backend.
No usamos tus datos para publicidad, perfilado comercial individualizado, ni los vendemos a terceros.
5. Base jurídica
| Dato | Base jurídica |
|---|---|
| Token push + hora preferida | Consentimiento (art. 6.1.a RGPD). |
| Código de país en dispositivo | Necesidad para prestar el servicio (art. 6.1.b RGPD). |
| Código de país en backend (notificaciones activas) | Consentimiento, junto con la opt-in de notificaciones. |
| Eventos de feedback (agregados) | Interés legítimo (art. 6.1.f RGPD). LIA disponible bajo petición. |
| IP en logs / detección de abuso | Interés legítimo (art. 6.1.f RGPD). |
| Crash reports | Interés legítimo (art. 6.1.f RGPD). |
Puedes retirar el consentimiento en cualquier momento. La retirada no afecta a la licitud del tratamiento previo (art. 7.3 RGPD).
6. Plazos de conservación
- Token push + país + hora: mientras el token sea válido; se borran al revocar o tras 90 días de entregas fallidas.
- Código de país en el dispositivo: hasta desinstalación o borrado.
- Eventos de feedback: hasta 24 meses en forma agregada.
- Informes de fallos: 30 días.
- Logs del servidor (IP incluida): 30 días máximo.
7. Encargados, receptores y subencargados
No vendemos ni cedemos tus datos. Para operar la App usamos los siguientes proveedores. Cada uno trata solo los datos necesarios.
7.1. Encargados del tratamiento (art. 28 RGPD)
| Proveedor | Ubicación | Función | Datos compartidos |
|---|---|---|---|
| Amazon Web Services, Inc. | EE. UU. (us-east-1) | Hosting backend (EC2, S3, CloudFront, SSM) | Token push, país, hora, feedback agregado |
| Anthropic, PBC | EE. UU. | Clasificación/reescritura vía Claude API. Modo de retención cero activado. | Solo contenido público del artículo. Ningún dato de usuario. |
| OpenAI, L.L.C. | EE. UU. | Generación de imágenes ilustrativas. Acuerdo de retención cero. | Ningún dato de usuario. |
| Expo, Inc. | EE. UU. | Envío de push + actualizaciones OTA. | Token push, timestamp, payload, estado de entrega. |
Además, usamos Apify Technologies s.r.o. (República Checa, UE) para rastrear medios públicos. Apify no procesa datos personales de usuarios.
7.2. Responsables independientes / receptores
| Receptor | Ubicación | Función |
|---|---|---|
| Apple Inc. | EE. UU. / global | Distribución en App Store y entrega push vía APNs. |
| Google LLC | EE. UU. / global | Distribución en Google Play y entrega push vía FCM. |
7.3. Garantías contractuales
DPA firmado con cada encargado o aceptación de sus términos publicados: AWS GDPR DPA, Anthropic Trust Center, OpenAI DPA, Expo Terms, Apple DPLA Schedule 2, Google Play DDA. SCCs para transferencias fuera de la UE.
8. Transferencias internacionales
- EE. UU.: Data Privacy Framework UE-EE. UU. cuando el proveedor está certificado, y/o SCCs (Decisión (UE) 2021/914). AWS, Anthropic, OpenAI, Apple y Google están certificados en DPF. Expo opera bajo SCCs.
- Singapur: sin decisión de adecuación; acceso desde Singapur bajo SCCs (módulo "responsable a responsable").
- República Checa (Apify): dentro de la UE; sin garantías adicionales.
Hemos realizado un Transfer Impact Assessment (TIA) conforme a Schrems II. Solicita copia en privacy@goodnewsapp.app.
9. Tus derechos
- Acceso: saber qué datos tenemos.
- Rectificación: corregir datos inexactos.
- Supresión ("derecho al olvido").
- Limitación del tratamiento.
- Portabilidad en formato estructurado.
- Oposición a tratamientos basados en interés legítimo.
- Retirada del consentimiento (art. 7.3 RGPD).
- No ser objeto de decisiones automatizadas individualizadas con efectos jurídicos o significativos.
- Reclamación ante la AEPD: www.aepd.es, C/ Jorge Juan 6, 28001 Madrid.
Para usuarios en California (CCPA/CPRA): derechos de saber, borrar, corregir y oponerte a la venta/compartición. No vendemos ni compartimos datos.
Para usuarios en Singapur (PDPA): derechos de acceso y corrección (arts. 21 y 22 PDPA).
10. Cómo ejercer tus derechos
- Abrir Ajustes > Borrar mis datos dentro de la App.
- Como alternativa, escribir a privacy@goodnewsapp.app; responderemos en un máximo de 7 días.
Para otros derechos, escríbenos al mismo email. Respondemos en el plazo máximo de un mes, prorrogable por dos meses adicionales en casos complejos.
11. Decisiones automatizadas y perfilado
Usamos IA (Anthropic Claude y OpenAI) para clasificar noticias y reescribir titulares y resúmenes.
- Los modelos operan sobre contenido público de medios, no sobre tus datos.
- Los eventos agregados de feedback influyen en la selección a nivel país, no personalizan el digest por usuario.
- No realizamos perfilado individual.
12. Notificaciones push y ATT
Las notificaciones son opt-in. Antes del prompt del SO, mostramos una pantalla con finalidad, encargados, transferencias y opción aceptar/rechazar.
- Generamos un Expo Push Token asociado a país y hora.
- Enviamos una notificación al día.
- Excepcionalmente, una notificación operativa si hay interrupción de más de 24 h.
- Nunca usamos push para publicidad ni cross-promotion (Apple Review 4.5.4; Google Play Disruptive Notifications).
- Puedes revocar en cualquier momento; el token se invalida y borra en segundos.
Marco ATT de Apple: no hacemos tracking. La App no muestra prompt de ATT.
13. Menores
La App está dirigida a personas a partir de 16 años (art. 8 RGPD; protección equivalente o mayor que el umbral nacional español de 14 años, art. 7 LOPDGDD).
- Rating App Store / Google Play: 12+ / Teen.
- No solicitamos la edad (no recogemos identificativos).
- Si se nos comunica que un menor de 16 usa la App, eliminamos el token y datos asociados.
- Padres, madres o tutores: privacy@goodnewsapp.app.
14. Seguridad
- HTTPS con TLS 1.2 o superior (1.3 cuando está disponible).
- Cifrado en reposo con AWS KMS.
- Claves de API en AWS SSM Parameter Store cifrado.
- En el dispositivo: AsyncStorage; pueden estar en iCloud / Google One Backup cifradas bajo tu cuenta.
- Acceso al dataset de tokens limitado a operadores designados.
15. Cambios en esta política
- Nueva versión en
https://goodnewsapp.app/privacy. - Fecha actualizada al inicio del documento.
- Aviso dentro de la App si el cambio es sustancial.
Si el cambio afecta a una finalidad nueva o base jurídica distinta, pediremos consentimiento expreso por separado (art. 6.4 RGPD).
16. Contacto
privacy@goodnewsapp.app
TYP NETWORK PTE. LTD.
20 Collyer Quay #09-01
Singapur 049319Documento redactado en español (es-ES). Versión 1.0 — primera publicación coincidiendo con el lanzamiento del MVP de España.
También disponible como markdown: privacy.es.md.