Alcanza
Privacidad

Política de privacidad

Conforme al Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Responsable del tratamiento

Alcanza, contacto en alcanzacontacto@gmail.com.

Datos que recogemos

  • Email — para identificarte (autenticación con Supabase Auth, magic link u OAuth con Google).
  • Datos de perfil académico y económico — los que tú introduces voluntariamente para activar el matching de becas (universidad, nivel, GPA, renta familiar, número de miembros, comunidad autónoma, edad, ciudadanía, discapacidad declarada).
  • Documentos justificativos que tú subes o autorizas: IRPF, DNI/NIE, expediente académico, certificado de matrícula, certificado de empadronamiento, certificado de discapacidad y cartas (motivación, recomendación). El detalle de qué hacemos con cada uno está en Cómo cuidamos tus datos.
  • CV (PDF) opcional — almacenado en Supabase Storage en una carpeta privada bajo tu identificador. Solo tú puedes leerlo. Procesamiento puntual con un modelo de lenguaje para extraer campos de tu perfil; el contenido no se usa para entrenar modelos de terceros (zero data retention).
  • Eventos de uso anónimos — vía PostHog (servidores en Frankfurt, UE), bajo opt-in explícito, con propiedades categóricas en bandas (sin email, sin renta exacta, sin nota exacta, sin certificados sensibles). Ver el bloque Analítica más abajo.
  • Identificadores de pago — id de la transacción de Stripe e importe, para emitir factura y registrar la compra del acceso completo (8 €) o de cada tramitación automática (3 €). Nunca recibimos ni almacenamos tu número de tarjeta — Stripe lo gestiona como proveedor de pagos certificado PCI-DSS.

Tratamiento por tipo de documento

Cada documento entra en el sistema por una vía específica y se trata con la finalidad concreta para la que lo necesitamos. La página de cuidado de datos desglosa los ocho tipos uno a uno (qué hacemos, cuánto tiempo, qué nunca hacemos). Resumen jurídico:

  • Base legitimadora: art. 6.1.b RGPD (ejecución de contrato — preparar y, si procede, tramitar tu solicitud de beca) y art. 6.1.a (consentimiento explícito) para usos opcionales como la representación voluntaria ante AEAT o la tramitación automática.
  • Datos de salud (certificado de discapacidad): categoría especial conforme al art. 9 RGPD. Se trata únicamente con tu consentimiento explícito y queda excluido de cualquier tratamiento analítico, incluso anónimo.
  • Cifrado en reposo: AES-256 en Supabase Storage, datacenter de París (eu-west-3).
  • Cifrado en tránsito: TLS 1.3 sobre HTTPS, SSL en las conexiones a la base de datos.
  • Plazos de conservación: mientras tu cuenta esté activa o hasta que tú borres el documento. Si cierras la cuenta, todos los datos personales se eliminan en un plazo máximo de 30 días, conservando solo los registros mínimos exigidos por la legislación fiscal y contable (factura del pago, durante 4-6 años).

Representación voluntaria ante la AEAT

Si en el futuro nos autorizas a consultar tus datos fiscales mediante la representación voluntaria que ofrece la Agencia Tributaria, te pediremos un consentimiento separado y específico para esa finalidad. La autorización es revocable en cualquier momento desde tu cuenta o por escrito a la AEAT. Mientras esté activa, consultamos solo los datos necesarios para calcular tu elegibilidad, solo para el ejercicio fiscal en curso, y nunca trasladamos esa información a terceros.

Tramitación automática (Cl@ve PIN de un solo uso)

Si activas la tramitación automática (servicio opcional de 3 € por solicitud enviada), te pediremos un PIN Cl@ve de un solo uso en el momento exacto del envío. El PIN se utiliza una sola vez para autenticarte ante el organismo competente y se descarta inmediatamente; no se almacena, no se reutiliza, no se comparte. La sesión autenticada se cierra al completar el envío. Conservamos únicamente el resguardo oficial devuelto por el organismo, que también puedes descargar tú.

Finalidades

Tratamos tus datos exclusivamente para (a) cruzar tu perfil con las convocatorias disponibles, (b) preparar las solicitudes que tú inicias, y (c) mejorar el servicio de forma agregada. No usamos tus datos para perfilado publicitario ni los compartimos con terceros con fines comerciales.

Encargados de tratamiento

Para prestar el servicio recurrimos a proveedores que actúan como encargados:

  • Vercel (alojamiento, analítica web). Datacenter en Europa.
  • Supabase (base de datos PostgreSQL, autenticación, almacenamiento de CVs). Datacenter en eu-west-3 (París).
  • Vercel AI Gateway / Anthropic (procesamiento del CV con un modelo de lenguaje para extraer campos de tu perfil). Procesamiento puntual; el contenido del CV no se usa para entrenar modelos.

Tus derechos

Puedes ejercer en cualquier momento los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad escribiendo a alcanzacontacto@gmail.com. También puedes presentar reclamación ante la Agencia Española de Protección de Datos (aepd.es).

Cookies y consentimiento

Conforme al artículo 22.2 de la Ley 34/2002 (LSSI-CE) y a la guía sobre cookies de la AEPD, recogemos tu consentimiento explícito antes de activar cualquier categoría que no sea estrictamente necesaria. Tu elección queda guardada en tu navegador y se renueva automáticamente al cabo de un año.

  • Necesarias — sesión autenticada (Supabase Auth), protección CSRF y memoria del propio consentimiento. Siempre activas; sin ellas la aplicación no funciona.
  • Análisis — Vercel Analytics, Speed Insights y PostHog (eu.posthog.com, servidores en Frankfurt). Mediciones agregadas y pseudónimas con identificadores internos no asociados a tu email; sin cookies de seguimiento de terceros, sin perfilado publicitario, sin venta de datos. Solo se activan si aceptas.

Puedes revisar o retirar tu consentimiento en cualquier momento desde el enlace Configurar cookies en el pie de página, o borrando el almacenamiento local de tu navegador.

Analítica anónima — el detalle

Solo emitimos eventos de PostHog si has aceptado la categoría analítica. La configuración técnica está construida para que ningún dato personal identificable salga de nuestro servidor:

  • El distinct id que usa PostHog es nuestro identificador interno (cuid), no tu email.
  • Las propiedades transmitidas son categóricas y en bandas: nivel de estudios, comunidad, banda de renta (no la cifra exacta), banda de edad, banda de GPA, modalidad, ámbito de estudio. La renta y la nota exactas nunca salen del servidor.
  • El certificado de discapacidad está marcado como dato sensible (art. 9 RGPD) y queda totalmente fuera del sistema analítico, ni siquiera anonimizado en bandas.
  • La opción de captura está desactivada por defecto (opt_out_capturing_by_default: true) y solo se activa si das consentimiento. La retirada del consentimiento detiene la captura inmediatamente.
  • Los reportes que publicamos (informes B2B, prensa) cumplen la regla k ≥ 10: ninguna cifra se publica si proviene de menos de diez personas. No es posible re-identificar a un usuario individual a partir de un reporte.
  • Conservamos los eventos en nuestra propia base de datos sin email ni nombre en la fila — el modelo está diseñado para sobrevivir tu eliminación de cuenta como un evento puramente anónimo.