Política de Privacidad
Información detallada sobre el tratamiento de sus datos personales conforme al Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPD-GDD).
Esta página conserva la versión española como texto legal vinculante. Las traducciones completas no se publican hasta revisión jurídica; si navegas en otro idioma, el contenido legal principal seguirá en español.
Última actualización: junio de 2026
Razón social / titular: Joel Guerra Language Academy, Sociedad Limitada, operadora de EPSO Arena · CIF: B23930241
Domicilio social: C/ Carreras, 16, 35422 Moya, Las Palmas, España
Contacto privacidad/RGPD: privacy@epsoarena.com
Contacto general: info@epsoarena.com
DPO: no designado; las consultas y derechos RGPD se atienden en privacy@epsoarena.com
Web: www.epsoarena.com
Índice
1. Datos que recabamos
En función de la forma en que el Usuario interactúe con la Plataforma, EPSO Arena podrá tratar las siguientes categorías de datos personales:
1.1 Datos de registro y cuenta
- Nombre y apellidos (o nombre de usuario).
- Dirección de correo electrónico.
- Contraseña (almacenada de forma cifrada mediante algoritmos de hash seguros; nunca en texto plano).
- País y idioma de preferencia.
- Fecha y hora de creación de la cuenta.
1.2 Datos de uso y rendimiento
- Resultados de los tests y simulacros realizados, tiempos de respuesta y estadísticas de progreso.
- Módulos y contenidos accedidos, frecuencia de uso y sesiones completadas.
- Preferencias de configuración seleccionadas por el Usuario.
1.3 Datos de pago
Las transacciones económicas son procesadas íntegramente por pasarelas de pago externas certificadas PCI-DSS. EPSO Arena no almacena datos de tarjetas bancarias. Únicamente se conservan el identificador de transacción, el importe, la fecha y el plan contratado.
1.4 Datos técnicos y de navegación
- Dirección IP (anonimizada cuando sea posible).
- Tipo de dispositivo, sistema operativo y navegador web.
- Páginas visitadas, tiempo de permanencia y acciones realizadas en la Plataforma.
- Datos de cookies y tecnologías similares, conforme a la Política de Cookies.
1.5 Comunicaciones
- Contenido de los mensajes enviados al equipo de soporte, privacidad, seguridad o facturación.
- Respuestas a encuestas de satisfacción o formularios de feedback, si el Usuario decide participar voluntariamente.
2. Finalidades y bases jurídicas del tratamiento
2.1 Ejecución del contrato (art. 6.1.b RGPD)
- Gestión del registro, autenticación y mantenimiento de la cuenta de usuario.
- Prestación de los servicios contratados según el plan activo del Usuario (Free, Plus o Pro): acceso a simulaciones cronometradas, banco de tests, sesiones live con ranking, modos de entrenamiento y seguimiento de progreso.
- Procesamiento de pagos y gestión de suscripciones.
- Atención de solicitudes de soporte técnico y gestión de cancelaciones o reembolsos.
2.2 Interés legítimo (art. 6.1.f RGPD)
- Análisis estadístico agregado del rendimiento de la Plataforma para su mejora continua.
- Detección y prevención de usos fraudulentos, accesos no autorizados y otras conductas ilícitas.
- Personalización de la experiencia de usuario (recomendación de módulos en función del historial de uso).
- Envío de comunicaciones transaccionales relacionadas con la cuenta (confirmaciones, alertas de seguridad, avisos de renovación).
2.3 Consentimiento (art. 6.1.a RGPD)
- Envío de comunicaciones comerciales y promocionales, boletín informativo y novedades del producto. El Usuario podrá retirar su consentimiento en cualquier momento mediante el enlace de baja incluido en cada comunicación o contactando con privacy@epsoarena.com.
- Instalación de cookies analíticas o publicitarias no esenciales, conforme a la Política de Cookies.
2.4 Cumplimiento de obligaciones legales (art. 6.1.c RGPD)
- Conservación de facturas y registros contables conforme a la Ley General Tributaria y normativa fiscal aplicable.
- Atención de requerimientos de autoridades judiciales o administrativas competentes.
2.5 Mapa operativo de tratamientos
| Finalidad | Datos principales | Base legal | Conservación |
|---|---|---|---|
| Cuenta y autenticación | Email, identificador interno, credenciales cifradas, idioma | Ejecución del contrato | Mientras la cuenta esté activa y bloqueo posterior por responsabilidades |
| Progreso y práctica | Resultados, tiempos, módulos, sesiones live y classroom | Ejecución del contrato | Cuenta activa; hasta 90 días tras cancelación si no hay solicitud de supresión |
| Pagos, facturación y renovaciones | Stripe customer/subscription/session IDs, plan, importes, estado de pago | Contrato y obligación legal | 6 años para registros fiscales/contables |
| Soporte, billing, privacidad y seguridad | Mensajes, adjuntos enviados, cuenta afectada, trazas de incidencia | Contrato, obligación legal e interés legítimo | 3 años salvo obligación o reclamación abierta |
| Seguridad y prevención de abuso | IP, user-agent, sesión, auditoría de acceso, eventos antifraude | Interés legítimo | 12 meses, ampliable si hay investigación o reclamación |
| Analítica y publicidad | Eventos de navegación, conversiones y preferencias de consentimiento | Consentimiento | Según la tabla de cookies y hasta retirada del consentimiento |
3. Plazo de conservación
Los datos personales se conservarán durante el tiempo estrictamente necesario para cumplir las finalidades para las que fueron recabados y, en todo caso, durante los plazos legalmente exigidos:
- Datos de cuenta: mientras el Usuario mantenga su cuenta activa. Tras la cancelación, los datos se bloquearán durante un período máximo de cinco (5) años para atender posibles responsabilidades legales, tras lo cual serán suprimidos de forma definitiva.
- Datos de facturación: seis (6) años, conforme al artículo 30 del Código de Comercio y la normativa tributaria.
- Datos de progreso, sesiones live/classroom y simulaciones: mientras la cuenta esté activa; tras cancelación podrán conservarse hasta noventa (90) días para permitir reactivación, salvo solicitud de supresión aplicable.
- Datos de comunicaciones con soporte: tres (3) años desde la última comunicación.
- Datos de navegación, seguridad y logs: doce (12) meses, salvo que sean necesarios para atender una reclamación, incidente de seguridad o requerimiento legal.
- Eventos analíticos y publicitarios: según la duración publicada en la Política de Cookies y hasta la retirada del consentimiento cuando proceda.
- Datos de comunicaciones comerciales: hasta que el Usuario retire su consentimiento.
4. Destinatarios y transferencias internacionales
EPSO Arena podrá compartir datos personales con los siguientes encargados, subencargados o proveedores tecnológicos estrictamente necesarios para prestar, medir, asegurar y facturar la Plataforma. Cada proveedor debe contar con condiciones de tratamiento de datos, acuerdo DPA, términos de corresponsabilidad o cláusulas contractuales aplicables según su rol real.
| Proveedor | Rol y finalidad | Datos tratados | Región / garantías DPA-SCC |
|---|---|---|---|
| Supabase | Encargado/subencargado para base de datos, autenticación de aplicación, almacenamiento operativo y auditoría de consentimiento. | Cuenta, progreso, consentimientos, permisos, registros operativos y datos de soporte vinculados al servicio. | Región de proyecto configurada en Supabase; DPA de Supabase y SCCs 2021/914 cuando exista acceso o transferencia internacional. |
| Stripe | Proveedor de pago para Checkout, suscripciones, facturación, portal de cliente, conciliación y prevención de fraude de pago. Stripe puede actuar como encargado o responsable independiente en determinados tratamientos de pago y cumplimiento. | Email de compra, identificadores de cliente/sesión/suscripción, plan, importes, estado de pago, facturación y señales antifraude. EPSO Arena no almacena el número completo de tarjeta. | Stripe Services Agreement, DPA/Data Transfers Addendum, DPF cuando aplique, SCCs 2021 y UK/Swiss addenda para transferencias internacionales. |
| Vercel | Encargado para hosting, CDN, funciones serverless, despliegue, protección perimetral y logs técnicos. | IP, user-agent, rutas solicitadas, errores HTTP, cabeceras técnicas y datos mínimos de ejecución. | DPA de Vercel para planes aplicables, subprocesadores documentados y SCCs/UK IDTA para transferencias desde EEE, Reino Unido o Suiza. |
| AWS / Amazon Cognito / Amazon SES | Encargado para autenticación Cognito, posible provisión de usuarios y correo transaccional SES cuando esté habilitado. | Email, identificador de usuario, eventos de autenticación, verificaciones, invitaciones y mensajes transaccionales. | Región técnica preferente UE cuando esté configurada; AWS DPA incorporado a AWS Service Terms y SCCs automáticas para transferencias a terceros países. |
| Sentry | Encargado para observabilidad, errores técnicos y diagnóstico de incidencias. Session replay permanece desactivado salvo aprobación legal/privacy expresa. | Rutas, stack traces minimizados, navegador, sistema, entorno, release y contexto técnico sin parámetros sensibles. | DPA de Sentry aceptable desde la organización y SCCs/medidas contractuales si aplica transferencia internacional. |
| Microsoft Clarity | Proveedor de analítica de experiencia, solo tras consentimiento analítico. | Eventos agregados de navegación, interacción y rendimiento de interfaz, con minimización y sin registrar campos sensibles. | Microsoft Products and Services DPA/condiciones aplicables; transferencias sujetas a garantías contractuales de Microsoft. |
| Google Analytics / Google Ads / Google Tag Manager / Google Sign-In | Analítica, conversión publicitaria, gestión de etiquetas y autenticación opcional con Google, siempre respetando Consent Mode v2 en denied por defecto para analítica y publicidad. | Eventos de navegación/conversión, identificadores de consentimiento, click IDs cuando haya consentimiento publicitario, y datos de cuenta Google si el usuario usa ese inicio de sesión. | Google Ads Data Processing Terms, Controller-Controller Terms cuando proceda, SCCs de Google y controles de consentimiento previos a carga. |
| Meta Ads / Meta Pixel / Conversions API / WhatsApp | Publicidad y medición si se activa campaña, solo tras consentimiento publicitario. WhatsApp se usa como canal de contacto iniciado por el Usuario o soporte cuando el Usuario lo elige. | Eventos publicitarios consentidos, identificadores de campaña/click, número o perfil de WhatsApp si el Usuario contacta por ese canal y contenido enviado por el Usuario. | Términos de Meta Business Tools, Meta Global Processor/Data Processing Terms cuando procedan, condiciones de corresponsabilidad o responsable independiente según producto y garantías de transferencia aplicables. |
| Email operativo | Soporte, privacidad/RGPD, seguridad, billing y comunicaciones transaccionales. | Email, asunto, contenido del mensaje, adjuntos enviados por el Usuario y trazas de entrega. | Canal corporativo o SES según configuración; tratamiento limitado a la gestión de la solicitud y conservación indicada en esta política. |
EPSO Arena no vende, alquila ni cede datos personales a terceros con fines comerciales propios.
Cuando se realicen transferencias internacionales de datos a países fuera del Espacio Económico Europeo, se aplicarán las garantías adecuadas previstas en el capítulo V del RGPD: decisión de adecuación, Marco de Privacidad de Datos UE-EE. UU. cuando sea válido y aplicable, cláusulas contractuales tipo 2021/914, UK IDTA/addendum, medidas complementarias u otras garantías equivalentes.
El inventario operativo de proveedores, regiones, rol, DPA/SCC y evidencia contractual se mantiene en el registro interno de proveedores. Cualquier proveedor nuevo de pagos, hosting, analítica, publicidad, soporte, autenticación o email debe aprobarse antes de activarse en producción y reflejarse en esta política si trata datos personales de usuarios.
5. Derechos del interesado
De conformidad con el RGPD y la LOPD-GDD, el Usuario puede ejercitar en cualquier momento los siguientes derechos:
El Usuario también puede retirar consentimientos previamente prestados, sin que ello afecte a la licitud del tratamiento anterior a la retirada.
Para ejercitar cualquiera de estos derechos, el Usuario deberá remitir una solicitud escrita a privacy@epsoarena.com, identificándose debidamente con su nombre completo y correo electrónico de registro, e indicando el derecho que desea ejercitar. EPSO Arena responderá en el plazo máximo de un (1) mes desde la recepción de la solicitud, prorrogable por otros dos (2) meses adicionales en casos de especial complejidad.
Flujo operativo: el Usuario puede solicitar exportación o eliminación desde su perfil cuando esté autenticado; el equipo de soporte verificará la identidad, exportará datos en formato interoperable cuando proceda y bloqueará o suprimirá datos conforme a los plazos anteriores.
6. Menores de edad
La Plataforma no está dirigida a menores de catorce (14) años. De conformidad con el artículo 8 del RGPD y el artículo 7 de la LOPD-GDD, el tratamiento de datos de menores de catorce años requiere el consentimiento de sus padres o tutores legales. EPSO Arena no recaba ni trata conscientemente datos personales de menores de dicha edad sin el consentimiento parental correspondiente.
7. Cookies y tecnologías similares
EPSO Arena utiliza cookies propias y de terceros para el correcto funcionamiento de la Plataforma, el análisis de su uso y la personalización de la experiencia. Las herramientas de analítica, como Google Tag Manager, Google Analytics 4 y Microsoft Clarity cuando estén configuradas, solo se cargan tras el consentimiento analítico del usuario. Para una información detallada sobre las cookies utilizadas, sus finalidades y cómo gestionarlas, consulte nuestra Política de Cookies.
8. Medidas de seguridad
EPSO Arena ha adoptado las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales y prevenir su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos y los riesgos a los que están expuestos. Entre otras medidas:
- Cifrado de las comunicaciones mediante protocolo TLS/HTTPS.
- Almacenamiento de contraseñas mediante funciones de hash con salt.
- Control de acceso por roles y principio de mínimo privilegio.
- Auditorías y revisiones periódicas de seguridad.
- Procedimientos de notificación de brechas de seguridad conforme al art. 33 RGPD.
En caso de producirse una violación de la seguridad que entrañe un alto riesgo para los derechos y libertades de los interesados, EPSO Arena les comunicará dicha violación sin dilación indebida, conforme a lo previsto en el artículo 34 RGPD.
9. Cambios en la política
EPSO Arena se reserva el derecho de actualizar la presente Política de Privacidad para adaptarla a novedades legislativas, jurisprudenciales o de negocio. Los cambios sustanciales serán notificados al Usuario por correo electrónico o mediante aviso destacado en la Plataforma con una antelación mínima de quince (15) días antes de su entrada en vigor. El uso continuado de la Plataforma tras dicha fecha implica la aceptación de los cambios.
10. Reclamaciones ante la AEPD
Sin perjuicio de cualquier otro recurso administrativo o judicial, el Usuario tiene derecho a presentar una reclamación ante la autoridad de control competente si considera que el tratamiento de sus datos personales vulnera la normativa aplicable. En España, dicha autoridad es la Agencia Española de Protección de Datos (AEPD), con sede en C/ Jorge Juan, 6, 28001 Madrid, y accesible a través de www.aepd.es.