Política de privacidad

Versión v2 · Última actualización: mayo de 2026.

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de PermutaES es el titular del proyecto, David Vaquero, con contacto en la dirección indicada en el aviso legal.

PermutaES es un proyecto independiente, no asociado a ninguna administración pública.

2. Datos que recogemos

Solo recogemos los datos estrictamente necesarios para el funcionamiento del servicio:

• Al registrarse: email, contraseña (almacenada cifrada con bcrypt por Supabase Auth), alias público, año de nacimiento, fecha de aceptación de las condiciones.
• Al publicar un anuncio: sector profesional, cuerpo y especialidad, municipio actual, municipios deseados, fecha de toma de posesión definitiva, años totales de servicio, fecha de la permuta anterior (si la hubo), observaciones libres. Para anuncios sanitarios también el Servicio de Salud de adscripción.
• Al usar la mensajería: el contenido de los mensajes que envías a otros usuarios.
• Datos técnicos automáticos: IP de origen (usada únicamente para rate limiting durante el registro, sin almacenarse asociada a tu identidad), errores no capturados (vía Sentry, sin información personal identificable por defecto).

3. Finalidad y base jurídica

Los datos se utilizan exclusivamente para los siguientes fines, con consentimiento expreso del usuario al registrarse (art. 6.1.a RGPD) y para la ejecución del servicio solicitado (art. 6.1.b):

• Permitir el registro y la autenticación.
• Detectar automáticamente cadenas de permuta entre usuarios compatibles según las reglas profesionales y geográficas aplicables a cada sector.
• Notificar por email al usuario cuando aparece una cadena que le incluye, cuando alguien le envía un mensaje, o cuando su anuncio va a caducar.
• Aplicar medidas de seguridad (rate limiting, detección de spam).

No usamos los datos con fines publicitarios, ni los compartimos con terceros con esos fines, ni los vendemos.

4. Tus derechos

Como persona interesada, tienes los siguientes derechos sobre tus datos personales:

• Acceso y portabilidad (arts. 15 y 20 RGPD): puedes descargar todos los datos que guardamos sobre ti en formato JSON desde tu cuenta → sección "Privacidad y mis datos" → botón "Descargar mis datos".
• Supresión / derecho al olvido (art. 17): puedes eliminar tu cuenta y todos los datos asociados desde tu cuenta → sección "Privacidad y mis datos" → botón "Eliminar mi cuenta". La acción es irreversible.
• Rectificación (art. 16): puedes editar tu alias, año de nacimiento y datos de tus anuncios desde tu cuenta en cualquier momento.
• Limitación y oposición (arts. 18 y 21): para ejercerlos, escríbenos a la dirección que aparece en el aviso legal.

Si consideras que tus derechos no han sido atendidos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

5. Plazos de conservación

• Anuncios activos: hasta 6 meses desde la última renovación. Avisamos por email 30 días antes para que puedas renovar.
• Anuncios eliminados o cerrados como permuta conseguida: se conservan asociados a tu cuenta como histórico mientras la cuenta exista.
• Mensajes: 2 años desde el último mensaje del hilo, después se eliminan automáticamente.
• Cuentas eliminadas por el usuario: eliminación inmediata en cascada (perfil, anuncios, mensajes, conversaciones, reportes y notificaciones). Conservamos únicamente logs técnicos mínimos (acceso a la API) durante el tiempo estrictamente necesario para fines de seguridad.

6. Encargados del tratamiento (subprocesadores)

Para prestar el servicio utilizamos los siguientes proveedores, que actúan como encargados del tratamiento bajo contratos conformes al RGPD:

• Supabase (base de datos PostgreSQL, autenticación y almacenamiento). Servidores en la Unión Europea (Irlanda).
• Vercel (alojamiento del frontend y ejecución de funciones serverless). Servidores principales en Estados Unidos con cláusulas contractuales tipo aprobadas por la Comisión Europea para transferencias internacionales.
• Resend (envío de emails transaccionales como confirmación de cuenta, avisos de cadenas y mensajes). Servidores en la Unión Europea.
• Sentry (monitorización de errores en tiempo de ejecución). Configurado para no enviar información personal identificable por defecto.

7. Cookies

PermutaES utiliza únicamente cookies estrictamente necesarias para el funcionamiento (sesión de usuario y CSRF). No usamos cookies de terceros con fines publicitarios o de seguimiento. Más detalles en la política de cookies.

8. Seguridad

• Conexión cifrada (HTTPS) en toda la aplicación.
• Contraseñas cifradas con bcrypt; nunca las almacenamos en claro.
• Aislamiento por usuario en base de datos mediante Row Level Security (RLS).
• Rate limiting en acciones críticas para prevenir abuso.
• Backups automáticos diarios cifrados de la base de datos.

9. Modificaciones

Esta política puede actualizarse. Si los cambios son sustanciales, te lo notificaremos por email y al iniciar sesión, y te pediremos aceptar la nueva versión. Cambios menores (clarificaciones, nuevos subprocesadores) se publicarán aquí con la fecha actualizada.