Política de Privacidad

Legal

Última actualización: 02 de junio de 2026 · Cumple con el RGPD · Ley aplicable: República Federal de Alemania · La versión en alemán de esta Política de Privacidad es la versión autorizada. En caso de discrepancia entre las versiones lingüísticas, prevalecerá la versión en alemán.

        Resumen en lenguaje sencillo: Recopilamos los datos
        necesarios para operar este servicio y garantizar su seguridad. No
        vendemos sus datos. No mostramos publicidad. Mientras que la
        verificación de identidad es procesada por Didit, almacenamos ciertos
        detalles de identificación en nuestros registros de servidor seguros por
        razones de seguridad. También puede optar por almacenar sus datos
        verificados para su uso en un perfil público. Puede solicitar la
        eliminación de sus datos en cualquier momento.
      

1. Responsable del tratamiento

Sebastian Fleckenstein
Erthalstr. 6.
97816 Lohr am Main, Alemania
Correo electrónico: contact@idroot.org

Este servicio es operado por una persona física. No se requiere ni se ha nombrado un Delegado de Protección de Datos (DPD). Para cualquier consulta sobre protección de datos, utilice el contacto anterior.

2. Ley aplicable

El procesamiento se rige por el Reglamento (UE) 2016/679 (RGPD), la Bundesdatenschutzgesetz (BDSG) y la Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).

3. Datos que recopilamos y por qué

3.1 Registro de handle y creación de cuenta

Cuando registra un handle, se crea una cuenta de usuario en la plataforma idroot.org. Se recopilan y almacenan los siguientes datos:

Datos	Propósito	Base legal (RGPD)	Retención
DID del Protocolo AT	Vincular el handle a su identidad verificada; proveer el registro DNS TXT	Art. 6(1)(b) — contrato	Duración de la cuenta + 30 días
Nombre de usuario / handle elegido	Reservar y proveer su handle	Art. 6(1)(b) — contrato	Duración de la cuenta + 30 días
Estado y marca de tiempo de verificación de Didit	Confirmar que una persona real y única es dueña del handle; evitar registros duplicados	Art. 6(1)(b) — contrato; Art. 6(1)(f) — interés legítimo	Duración de la cuenta + 30 días
Fecha y registro de aceptación de los Términos de Servicio	Cumplimiento legal; documentación del consentimiento contractual	Art. 6(1)(c) — obligación legal; Art. 6(1)(b) — contrato	Duración de la cuenta + 30 días
Dirección de correo electrónico	Notificaciones sobre cambios en los Términos de Servicio y la Política de Privacidad; boletín mensual (solo con consentimiento explícito)	Art. 6(1)(b) — contrato (notificaciones de cuenta); Art. 6(1)(a) — consentimiento (boletín)	Duración de la cuenta + 30 días
Nombre Real y Dirección Verificados (Opt-in)	Mostrar en perfil público; permitir que otros proveedores verifiquen su identidad sin necesidad de una nueva verificación	Art. 6(1)(a) — consentimiento	Hasta que se retire el consentimiento

3.1.1 Autenticación y sesión del Protocolo AT

Para vincular su cuenta del Protocolo AT con idroot.org, se establece una sesión autenticada con su PDS (Servidor de Datos Personales) del Protocolo AT. Esto se puede hacer a través de uno de los siguientes métodos:

Contraseña / App Password: Se utiliza exclusivamente para crear la sesión del Protocolo AT y no se almacena después.
OAuth: El acceso se realiza a través del alcance `atproto` siempre que sea posible, el cual se limita a la autenticación y la lectura de datos básicos del perfil. Si esta función no está implementada por su proveedor, solicitamos acceso total.

Los siguientes datos se procesan como parte de la autenticación:

Datos	Propósito	Base legal (RGPD)	Retención
Contraseña / App Password	Creación de la sesión del Protocolo AT	Art. 6(1)(b) — contrato	No se almacena después de la creación de la sesión
Access Token / Refresh Token	Mantenimiento de la sesión autenticada	Art. 6(1)(b) — contrato	Duración de la sesión activa
Dirección de correo electrónico (vía Protocolo AT `getSession`)	Transmitida por el PDS del Protocolo AT durante el proceso de autenticación y almacenada para notificaciones de la cuenta (ver 3.1)	Art. 6(1)(b) — contrato	Duración de la cuenta + 30 días

Solo solicitamos los datos necesarios para la autenticación y la creación de la cuenta. No realizamos ninguna acción (por ejemplo, publicaciones, seguimientos) en su nombre sin que usted las active explícitamente en la aplicación.

Los datos de la cuenta de usuario se almacenan en el backend de idroot.org, alojado en la infraestructura de IONOS SE en Alemania (ver § 6.3). La gestión de la cuenta está disponible en dashboard.idroot.org.

No almacenamos imágenes de documentos de identidad, datos de escaneo facial ni ningún otro dato biométrico. Estos son procesados exclusivamente por Didit.

3.2 Registros del servidor

Nuestro servidor backend alojado en Alemania registra automáticamente la dirección IP, la marca de tiempo, el método HTTP, la URL, el código de respuesta y el agente de usuario para cada solicitud.

Además, por razones de seguridad, registramos los detalles de identificación proporcionados durante el proceso de verificación, incluyendo el Nombre Completo, Dirección y Número de Documento de Identidad.

Base legal: Art. 6(1)(f) RGPD — interés legítimo en la seguridad del sistema y el cumplimiento legal (§ 100 TKG). Se conservan durante 90 días, luego se eliminan automáticamente.

3.3 Análisis web

Utilizamos Cloudflare Web Analytics: sin cookies, sin identificadores personales, sin rastreo entre sitios. Solo datos agregados anonimizados (vistas de página, nivel de país, referentes). Base legal: Art. 6(1)(f) RGPD — interés legítimo. No se requiere banner de consentimiento.

4. Lo que no recopilamos

No recopilamos ni almacenamos imágenes de documentos de identidad o datos biométricos; no rastreamos a los usuarios a través de sitios web; no utilizamos cookies publicitarias ni rastreadores de marketing de terceros; no vendemos, alquilamos ni compartimos datos personales con fines comerciales; ni perfilamos a los usuarios ni tomamos decisiones automatizadas con efectos legales.

5. Cookies

idroot.org no establece cookies de rastreo o análisis. Cloudflare puede establecer cookies técnicas estrictamente necesarias como parte de su infraestructura de CDN/seguridad; estas no requieren consentimiento según la ley aplicable.

6. Encargados del tratamiento y terceros

6.1 Didit (verificación de identidad)

Didit
C/ Nàpols 227, Barcelona, España
Contacto: hello@didit.me
Política de privacidad: didit.me/en/terms/privacy-policy/

Didit actúa como un encargado del tratamiento bajo un Acuerdo de Procesamiento de Datos (Art. 28 RGPD). Cuando verifica su identidad, Didit procesa su documento de identidad y sus datos biométricos (escaneo facial). Recibimos solo un resultado de apto/no apto y una marca de tiempo. Didit almacena los datos de verificación por defecto en la UE (infraestructura de AWS). Didit cuenta con la certificación ISO 27001 y cumple con el RGPD.

Los datos procesados por Didit pueden transferirse fuera del EEE. Dichas transferencias se rigen por las Cláusulas Contractuales Tipo (Art. 46(2)(c) RGPD) y/o las decisiones de adecuación aplicables.

6.2 Cloudflare (DNS, CDN, seguridad, análisis)

Cloudflare, Inc.
101 Townsend St, San Francisco, CA 94107, EE. UU.

Representante de la UE y punto de contacto en Alemania:
Cloudflare Germany GmbH
Rosental 7, c/o Mindspace, 80331 Múnich, Alemania
Política de privacidad: cloudflare.com/privacypolicy/

Todo el tráfico web pasa por la red de Cloudflare. Cloudflare proporciona DNS, CDN, protección contra DDoS y análisis web sin cookies. Cloudflare está certificado bajo el Marco de Privacidad de Datos UE-EE. UU. (DPF) y procesa datos personales (incluidas las direcciones IP y los datos de acceso técnico) como encargado del tratamiento bajo un Anexo de Procesamiento de Datos (DPA). Las transferencias a los EE. UU. se realizan bajo el DPF UE-EE. UU. y las Cláusulas Contractuales Tipo según el Art. 46(2)(c) RGPD.

Utilizamos Cloudflare Web Analytics, que no utiliza cookies y recopila solo datos agregados anonimizados (vistas de página, nivel de país, referentes). No se recopilan identificadores personales a través de los análisis. No se requiere un banner de consentimiento para este uso. Base legal: Art. 6(1)(f) RGPD — interés legítimo en el funcionamiento seguro y eficiente del sitio web.

Cloudflare puede establecer cookies técnicas estrictamente necesarias como parte de su infraestructura de CDN y seguridad. Estas no requieren consentimiento según la ley aplicable (§ 25(2) TDDDG).

6.3 Alojamiento backend (IONOS SE)

IONOS SE
Elgendorfer Straße 57, 56410 Montabaur, Alemania
HRB 24498, Amtsgericht Montabaur
Delegado de Protección de Datos: datenschutz@ionos.de

El backend de idroot.org —que incluye todos los datos de las cuentas de usuario (DID, handle, estado de verificación, registro de aceptación de términos, correo electrónico opcional)— se aloja en servidores operados por IONOS SE en Alemania. IONOS SE actúa como un encargado del tratamiento en virtud de un acuerdo de procesamiento de pedidos (Art. 28 RGPD). No se transfieren datos personales del backend fuera del EEE en el curso del alojamiento.

Base legal: Art. 6(1)(b) RGPD — procesamiento necesario para la ejecución del contrato (provisión de handles y administración de cuentas); Art. 6(1)(f) RGPD — interés legítimo en la operación segura y confiable de la infraestructura.

6.4 Red del Protocolo AT

Cuando activa su handle, se crea un registro DNS TXT público que asocia su nombre de usuario con su DID. Esto es público por diseño: es así como funciona la resolución de handles del Protocolo AT y no constituye una divulgación de datos personales por parte de idroot.org más allá de lo inherente al protocolo.

7. Transferencias internacionales de datos

Cuando los datos se transfieren fuera del EEE (infraestructura de Cloudflare en los EE. UU.), las transferencias se realizan bajo el Marco de Privacidad de Datos UE-EE. UU. y las Cláusulas Contractuales Tipo según el Art. 46(2)(c) RGPD.

8. Sus derechos según el RGPD

Contacte con contact@idroot.org para ejercer cualquiera de los siguientes derechos. Respondemos en un mes (Art. 12(3) RGPD).

Acceso (Art. 15): Solicitar confirmación del tratamiento y una copia de sus datos.
Rectificación (Art. 16): Solicitar la corrección de datos inexactos.
Supresión (Art. 17): Solicitar la eliminación de sus datos. Esto también eliminará su handle y el registro DNS.
Limitación (Art. 18): Solicitar el tratamiento limitado en determinadas circunstancias.
Portabilidad (Art. 20): Solicitar sus datos en un formato estructurado, de uso común y lectura mecánica cuando el tratamiento se base en el consentimiento o en un contrato.
Oposición (Art. 21): Oponerse al tratamiento basado en un interés legítimo.
Retirar el consentimiento (Art. 7(3)): Retirar el consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento previo.
Presentar una reclamación (Art. 77): Puede presentar una reclamación ante el BfDI (Comisionado Federal Alemán de Protección de Datos) o la autoridad de control de su estado miembro de la UE.

9. Seguridad de los datos

Implementamos cifrado TLS en tránsito, controles de acceso, cifrado en reposo y eliminación automática de registros. En caso de una violación de datos que pueda poner en riesgo sus derechos, notificaremos a la autoridad de control competente en un plazo de 72 horas y a las personas afectadas cuando sea necesario (Arts. 33–34 RGPD).

10. Menores

La verificación de identidad requiere un documento de identidad oficial con fotografía y los usuarios deben cumplir la edad mínima aplicable. No recopilamos a sabiendas datos de menores de este umbral y eliminaremos dichos datos si los descubrimos.

11. Cambios en esta Política de Privacidad

Podemos actualizar esta Política de Privacidad en cualquier momento. Los cambios se publicarán aquí con una fecha actualizada. Cuando los cambios sean sustanciales, realizaremos esfuerzos razonables para notificar a los usuarios que hayan proporcionado una dirección de correo electrónico.

12. Contacto

Sebastian Fleckenstein
Erthalstr. 6.
97816 Lohr am Main, Alemania
Correo electrónico: contact@idroot.org