Política de privacidad

En Wordluxx nos tomamos muy en serio tu privacidad. Esta política explica qué datos personales recogemos, para qué los usamos, con quién los compartimos y qué derechos tienes sobre ellos. Está redactada de acuerdo con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

1. Responsable del tratamiento

• Responsable: Andoni Moreno (persona física)
• Contacto: legal@wordluxx.com
• Sitio web: wordluxx.com

2. Datos que recogemos

Recogemos únicamente los datos estrictamente necesarios para prestar el servicio:

2.1 Datos de cuenta

• Correo electrónico
• Nombre (opcional, si decides indicarlo al registrarte)
• Contraseña cifrada mediante PBKDF2 (nunca almacenamos la contraseña en claro)
• Identificador de Google (solo si te registras con Google OAuth)
• Estado de verificación del correo

2.2 Datos de uso

• Fecha de creación de tu cuenta
• Palabras que has visto y la fecha en que las consultaste (para mostrarte tu progreso)
• Mensajes que intercambias con el chat de inteligencia artificial y la fecha en que los enviaste

2.3 Datos técnicos

• Cookies estrictamente necesarias de sesión (ver Política de cookies)
• Estadísticas de uso agregadas y anónimas mediante Cloudflare Web Analytics (sin cookies ni fingerprinting)
• Datos de conexión procesados por Cloudflare como proveedor de infraestructura (dirección IP y cabeceras del navegador) con fines exclusivos de seguridad, entrega del contenido y protección frente a ataques. Wordluxx no almacena estos datos en su base de datos.

3. Finalidades y base legal

Tratamos tus datos para las siguientes finalidades:

• Crear y mantener tu cuenta, autenticarte y recordar tu sesión (hasta 30 días) — base legal: ejecución del contrato (art. 6.1.b RGPD).
• Guardar tu progreso y personalizar tu experiencia de aprendizaje — base legal: ejecución del contrato.
• Permitirte chatear con la inteligencia artificial sobre la palabra del día — base legal: ejecución del contrato.
• Enviarte correos transaccionales (verificación de cuenta, recuperación de contraseña) — base legal: ejecución del contrato.
• Proteger la plataforma frente a abusos y bots mediante Cloudflare Turnstile y limitación de peticiones — base legal: interés legítimo (art. 6.1.f RGPD).
• Analizar el uso agregado del sitio para mejorar el servicio — base legal: interés legítimo. Usamos Cloudflare Web Analytics, que no emplea cookies ni identifica a usuarios individuales.

4. Plazos de conservación

• Datos de cuenta: mientras tu cuenta esté activa. Si solicitas su eliminación, se borrarán en un plazo máximo de 30 días, salvo obligación legal de conservación.
• Historial de progreso y mensajes de chat: mientras tu cuenta esté activa. Se eliminan junto con la cuenta.
• Registros técnicos (logs): hasta 90 días por motivos de seguridad y diagnóstico.

5. Destinatarios y encargados del tratamiento

No vendemos ni cedemos tus datos a terceros con fines comerciales. Para prestar el servicio nos apoyamos en los siguientes proveedores (encargados del tratamiento), que acceden a los datos estrictamente necesarios y los tratan conforme a nuestras instrucciones y al RGPD:

Importante sobre el chat con IA: cuando usas el chat, el contenido de tus mensajes se envía a OpenAI para generar la respuesta. Te recomendamos no incluir datos personales sensibles en esas conversaciones.

6. Transferencias internacionales

Algunos de nuestros proveedores (Cloudflare, OpenAI, Google, Resend) pueden tratar datos en Estados Unidos. Estas transferencias se amparan en las cláusulas contractuales tipo aprobadas por la Comisión Europea y, cuando procede, en el marco EU-U.S. Data Privacy Framework, conforme al artículo 46 del RGPD.

7. Tus derechos

Puedes ejercer en cualquier momento los siguientes derechos:

• Acceso: solicitar una copia de los datos que tenemos sobre ti.
• Rectificación: corregir datos inexactos o incompletos.
• Supresión: pedir que borremos tus datos (derecho al olvido).
• Oposición: oponerte a un tratamiento basado en interés legítimo.
• Limitación: pedir que restrinjamos el tratamiento.
• Portabilidad: recibir tus datos en un formato estructurado y legible por máquina.
• Retirar el consentimiento cuando el tratamiento se base en él, sin efectos retroactivos.

Para ejercerlos, escríbenos a legal@wordluxx.com indicando el derecho que quieres ejercer. Responderemos en un plazo máximo de un mes.

Si consideras que no hemos atendido correctamente tu solicitud, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

8. Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos: conexiones cifradas mediante HTTPS/TLS, cifrado PBKDF2 de contraseñas, protección anti-bot en formularios públicos, copias de seguridad periódicas y acceso restringido a los sistemas de producción. Ningún sistema es absolutamente seguro, pero hacemos todo lo razonablemente posible para minimizar los riesgos.

9. Menores de edad

Wordluxx no está dirigido a menores de 14 años. Si tienes menos de esa edad, no debes registrarte ni facilitar datos personales sin el consentimiento de tus padres o tutores legales. Si detectamos que se han recogido datos de un menor sin el consentimiento adecuado, los eliminaremos lo antes posible.

10. Eliminación de tu cuenta

Puedes solicitar la eliminación completa de tu cuenta y de todos tus datos asociados escribiendo a legal@wordluxx.com desde el correo asociado a tu cuenta. La eliminación se completará en un plazo máximo de 30 días.

11. Cambios en esta política

Podemos actualizar esta política cuando sea necesario para reflejar cambios en el servicio o en la normativa aplicable. Publicaremos la nueva versión en esta misma página indicando la fecha de última actualización. Si los cambios son sustanciales, te avisaremos por correo electrónico.