Política de Privacidad

Esta Política de Privacidad explica cómo Tomasz Zylka, empresario individual bajo la denominación Tomasz Zylka Veinito.com ("nosotros", "nos", "nuestro"), el operador de ClassKasa, recopila, utiliza y protege tus datos personales cuando usas nuestro servicio. Nos comprometemos a proteger tu privacidad de acuerdo con el Reglamento General de Protección de Datos (RGPD) y las leyes de protección de datos aplicables.

El responsable del tratamiento de tus datos personales es: Tomasz Zylka, empresario individual bajo la denominación Tomasz Zylka Veinito.com, Bierzycka 8, 51-179 Wroclaw, Polonia. NIP: PL6452337008, REGON: 521704806. Para cualquier consulta relacionada con la privacidad, contáctanos en tomek@classkasa.com.

No hemos designado un Delegado de Protección de Datos (DPD) ya que no estamos obligados a ello conforme al Art. 37 del RGPD. Para todas las cuestiones relativas a la protección de datos, contacta con: tomek@classkasa.com.

Recopilamos los siguientes datos personales para proporcionar y mejorar nuestro servicio:

• Dirección de email (para autenticación mediante enlaces mágicos)
• Tu nombre (mostrado a los miembros de la clase)
• Apellido familiar (utilizado dentro de los grupos de clase)
• Direcciones de email de los padres (agregadas por los tesoreros para la gestión de la clase)
• Datos de la cuenta bancaria (IBAN, ingresados por los tesoreros para la recaudación de pagos)
• Estado de pago (si una familia ha pagado una colecta)
• Mensajes del chat (si usas el chatbot de IA, tus mensajes y las respuestas del chatbot — almacenados durante 2 días, luego eliminados permanentemente)
• Cookies (estrictamente necesarias y funcionales, ver sección de Cookies más abajo)

If you use the Bank Statement Reconciliation feature (available to Treasurer Premium subscribers), you may upload bank statement files (PDF or images) for automated transaction extraction. The following describes how we process this data:

• Documentos subidos: archivos de extractos bancarios (en formato PDF o imagen) con detalles de transacciones, nombres de titulares, IBAN, números de cuenta, descripciones de transacciones e importes.
• Datos extraídos de transacciones: descripciones, importes, fechas y nombres de remitentes/destinatarios analizados por la IA a partir del documento subido.
• Los extractos bancarios pueden contener datos personales (PII) incluidos nombres de remitentes, IBAN, números de cuenta y descripciones de transacciones que referencien a personas.

Base juridica: Art. 6(1)(b) del RGPD — el tratamiento es necesario para la ejecución del contrato (tu suscripción Treasurer Premium). Tú inicias cada escaneo subiendo un documento y aprobando explícitamente los resultados extraídos antes de que se actualice ningún registro de pago.

Subencargado de IA: Los documentos subidos se envían a Anthropic, PBC (San Francisco, EE. UU.) a través de su API para la extracción de transacciones con el modelo de lenguaje Claude. Anthropic procesa los datos únicamente para devolver resultados a ClassKasa y no utiliza las entradas de la API para entrenar sus modelos. Base de transferencia: Cláusulas Contractuales Tipo (SCC). Ver la sección Subencargados para más detalles.

Almacenamiento temporal de archivos: Los archivos subidos se almacenan temporalmente en Netlify Blobs (región UE) durante el procesamiento. Los archivos originales se eliminan inmediatamente al completar el análisis con IA. ClassKasa no conserva copias de tus extractos bancarios.

Retencion de datos: Los archivos originales subidos se eliminan inmediatamente tras el procesamiento. Los metadatos de transacciones extraídos (descripciones, importes, fechas, pagos conciliados) se conservan como parte del historial de auditoría de tu clase durante toda la vida de la colecta. Puedes solicitar la eliminación de los datos extraídos escribiendo a tomek@classkasa.com.

Sus derechos: Tienes derecho a acceder, rectificar o solicitar la supresión de los datos de transacción extraídos por la IA según los artículos 15-17 del RGPD. También puedes oponerte al tratamiento por IA según el Art. 21 del RGPD. Dado que el tesorero debe aprobar explícitamente todas las coincidencias sugeridas por la IA antes de actualizar los registros, no se produce toma de decisiones automatizada en el sentido del Art. 22 del RGPD.

Tratamos tus datos para las siguientes finalidades: (a) prestar el servicio ClassKasa, incluyendo la gestión de cuentas, la membresía de clase y el seguimiento de colectas — base jurídica: Art. 6(1)(b) RGPD (ejecución del contrato); (b) envío de emails transaccionales (enlaces mágicos, notificaciones, recordatorios) — base jurídica: Art. 6(1)(b) RGPD; (c) procesamiento de consultas del chatbot de IA — base jurídica: Art. 6(1)(b) RGPD (parte del servicio Premium); (d) mejora del servicio, seguridad y prevención de fraude — base jurídica: Art. 6(1)(f) RGPD (interés legítimo); (e) cumplimiento de obligaciones legales (registros fiscales, facturas) — base jurídica: Art. 6(1)(c) RGPD.

Si un tesorero ha añadido tu dirección de email a una clase de ClassKasa, tus datos (email, nombre, estado de pago) son tratados de forma conjunta por el tesorero y ClassKasa. No se te consultó directamente — el tesorero proporcionó tus datos. Tienes los mismos derechos que cualquier usuario (acceso, rectificación, supresión, etc.). Para ejercerlos, contacta al tesorero o a ClassKasa en tomek@classkasa.com. Tus datos se utilizan exclusivamente para la gestión de fondos de clase y se eliminarán en un plazo de 30 días tras la eliminación de la cuenta o la clase.

Cuando un tesorero crea una clase e introduce datos de los padres, ClassKasa y el tesorero actúan como corresponsables del tratamiento. El tesorero decide qué padres añadir y con qué finalidad de clase. ClassKasa proporciona la infraestructura técnica y trata los datos en consecuencia. Los padres pueden ejercer sus derechos conforme al RGPD contactando a cualquiera de las partes. ClassKasa es el punto de contacto para los interesados: tomek@classkasa.com.

Conservamos tus datos personales durante la vigencia de tu cuenta. Si eliminas tu cuenta, borraremos tus datos personales en un plazo de 30 días a partir de la eliminación, salvo que la ley nos obligue a conservar ciertos registros.

• Las facturas y registros fiscales se conservan durante 5 años tras el final del ejercicio fiscal en que se realizó la transacción, conforme a la legislación tributaria polaca y la Ley de Contabilidad.
• Los registros de seguridad (direcciones IP anonimizadas, marcas temporales de inicio de sesión) se conservan hasta 90 días con fines de prevención de fraude y seguridad.
• Los mensajes del chatbot de IA se eliminan automáticamente después de 2 días.

Utilizamos los siguientes servicios de terceros para operar ClassKasa:

• Neon (alojamiento de base de datos, Frankfurt, Alemania) — almacena los datos de tu cuenta y clase dentro de la UE.
• Netlify (alojamiento de aplicación, UE) — sirve la aplicación web ClassKasa desde centros de datos de la UE.
• Resend (entrega de email, EE.UU. con procesamiento en la UE) — envía emails de enlaces mágicos y notificaciones en nuestro nombre. Base de transferencia: Marco de Privacidad de Datos UE-EE.UU. (DPF) o Cláusulas Contractuales Tipo (CCT).
• Stripe, Inc. (procesamiento de pagos, EE.UU./UE) — procesa los pagos de suscripción a ClassKasa Premium. Stripe está certificado bajo el Marco de Privacidad de Datos UE-EE.UU. ClassKasa comparte tu dirección de email y el identificador de clase con Stripe para crear una sesión de pago. Política de privacidad de Stripe: https://stripe.com/privacy.
• Anthropic, PBC (chatbot de IA, San Francisco, EE.UU.) — procesa los mensajes del chatbot de IA utilizando el modelo de lenguaje Claude. Cuando usas el chatbot, tus mensajes y el contexto relevante de la clase se envían a la API de Anthropic. Anthropic no utiliza tus datos para entrenar sus modelos. Base de transferencia: Cláusulas Contractuales Tipo (CCT).

Conforme al RGPD, tienes los siguientes derechos respecto a tus datos personales:

• Derecho de acceso — solicitar una copia de tus datos personales.
• Derecho de rectificación — corregir datos inexactos o incompletos.
• Derecho de supresión — solicitar la eliminación de tus datos personales.
• Derecho a la portabilidad — recibir tus datos en un formato legible por máquina.
• Derecho a la limitación del tratamiento — solicitar la limitación del tratamiento de tus datos.
• Derecho de oposición — oponerse al tratamiento basado en interés legítimo.
• Derecho a retirar el consentimiento — retirar el consentimiento en cualquier momento cuando el tratamiento se base en el consentimiento.
• Derecho a presentar una reclamación — presentar una reclamación ante tu autoridad de protección de datos (ver sección Autoridad de control).

Para ejercer cualquiera de tus derechos, envía un email a tomek@classkasa.com con el asunto "Solicitud RGPD". Incluye tu dirección de email registrada para que podamos verificar tu identidad. Responderemos en el plazo de un mes desde la recepción de tu solicitud, conforme al Art. 12(3) del RGPD. Si la solicitud es compleja, podremos ampliar este plazo en dos meses adicionales y te informaremos de la ampliación.

La autoridad de control principal de ClassKasa es el Presidente de la Oficina de Protección de Datos Personales (PUODO), ul. Stawki 2, 00-193 Varsovia, Polonia (https://uodo.gov.pl). Independientemente de tu ubicación, tienes derecho a presentar una reclamación ante la autoridad de control del Estado miembro de la UE/EEE de tu residencia habitual, lugar de trabajo o lugar de la supuesta infracción (Art. 77 RGPD).

En caso de una violación de datos personales que suponga un riesgo para tus derechos, notificaremos a la autoridad de control competente en un plazo de 72 horas (Art. 33 RGPD). Si la violación es susceptible de entrañar un alto riesgo para ti, también te notificaremos directamente sin dilación indebida (Art. 34 RGPD).

ClassKasa está diseñado para usuarios adultos (mayores de 18 años). Si un tesorero introduce el nombre de un menor como parte de una lista de clase (por ejemplo, "Clase 3B — Leo K."), estos datos se tratan bajo la corresponsabilidad descrita anteriormente. ClassKasa no recopila deliberadamente datos personales de menores de 16 años. Si crees que los datos de un menor se han tratado sin el consentimiento adecuado, contáctanos en tomek@classkasa.com.

ClassKasa utiliza un conjunto mínimo de cookies, todas esenciales para el funcionamiento del servicio:

• ck_token — Estrictamente necesaria. Contiene tu sesión de autenticación cifrada. Expira cuando cierras sesión.
• ck_logged_in — Funcional. Un indicador no sensible de si has iniciado sesión, utilizado para la visualización de la interfaz.
• ck_locale — Funcional. Almacena tu idioma preferido para una experiencia consistente entre visitas.

Tus datos se almacenan y procesan principalmente dentro de la Unión Europea (base de datos Neon en Frankfurt, alojamiento Netlify en la UE). Ciertos subencargados del tratamiento (Resend, Stripe, Anthropic) pueden tratar datos en Estados Unidos. Estas transferencias están protegidas por el Marco de Privacidad de Datos UE-EE.UU. (DPF) cuando el proveedor está certificado, o por Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea. Para más detalles, consulta la sección de Subencargados del tratamiento anterior.

Para preguntas relacionadas con la privacidad o para ejercer tus derechos, contáctanos en tomek@classkasa.com.

Si pulsas «Aceptar todo» en el aviso de cookies, ClassKasa comparte unas pocas señales con Meta (Facebook + Instagram) para que dejen de mostrarte anuncios de cosas que nunca querrás y empiecen a mostrar nuestra app a padres como tú.

Qué compartimos

Email cifrado e IP, tipo de navegador, la página a la que llegaste, y los nombres de eventos en la app (registro, clase creada, pago). Tu email sin cifrar nunca sale del navegador — lo ciframos antes con SHA-256.

Puedes cambiar de opinión cuando quieras en nuestra .