essentia

Política de Privacidad

Última actualización: 1 de marzo de 2026

1. Responsable del Tratamiento

Makoto Studio es el responsable del tratamiento de tus datos personales en relación con essentia. Datos de contacto:

Dado que Makoto Studio es un desarrollador individual que no realiza tratamiento a gran escala de operaciones de alto riesgo ni de categorías especiales de datos, no es obligatorio designar un Delegado de Protección de Datos (DPD) en virtud del artículo 37 del RGPD. Para cualquier consulta relacionada con la privacidad, contáctanos directamente en la dirección de correo indicada anteriormente.

2. Ámbito de Aplicación

Esta Política de Privacidad se aplica a:

  • La aplicación essentia para iPhone, iPad y Mac;
  • Nuestro sitio web en essentia.makotostudio.dev;
  • Cualquier servicio relacionado, API o sistema backend operado por Makoto Studio en relación con essentia.

No se aplica a servicios de terceros a los que puedas acceder a través de o en relación con essentia (p. ej., servicios de Apple), que se rigen por sus propias políticas de privacidad.

3. Datos que Recopilamos

Las siguientes tablas describen los datos personales que essentia recopila, en consonancia con la etiqueta de privacidad de Apple.

3.1 Datos de cuenta (vinculados a ti)

Dato Detalles Finalidad Base jurídica Conservación
Correo electrónico Proporcionado en el registro Autenticación, recuperación de cuenta Ejecución de contrato Hasta la eliminación de la cuenta
Contraseña Con hash (bcrypt) por Supabase; nunca se almacena en texto plano Autenticación Ejecución de contrato Hasta la eliminación de la cuenta

3.2 Contenido del usuario (vinculado a ti — solo essentia Pro)

Dato Detalles Finalidad Base jurídica Conservación
Tareas y notas Títulos, cuerpo de notas, fechas de vencimiento, prioridades, estado de completado, reglas de recurrencia Funcionalidad principal, sincronización entre dispositivos Ejecución de contrato Hasta la eliminación de la cuenta
Colecciones Nombres de colecciones y pertenencia de tareas Funcionalidad principal, sincronización entre dispositivos Ejecución de contrato Hasta la eliminación de la cuenta
Checklists Elementos de checklist asociados a tareas Funcionalidad principal, sincronización entre dispositivos Ejecución de contrato Hasta la eliminación de la cuenta
Ubicaciones Nombre de la ubicación (etiqueta de texto) y coordenadas geográficas (latitud y longitud) de los lugares asociados a tareas Recordatorios por ubicación, funcionalidad principal, sincronización entre dispositivos Ejecución de contrato Hasta la eliminación de la cuenta

Usuarios de la versión gratuita: todo el contenido permanece únicamente en el dispositivo en una base de datos SQLite local y nunca se sube a nuestros servidores.

3.3 Datos de dispositivo (vinculados a ti)

Dato Detalles Finalidad Base jurídica Conservación
Token push (APNs) Token emitido por Apple para este dispositivo Entrega de notificaciones push Ejecución de contrato Hasta la eliminación de la cuenta o invalidación del token
Nombre del dispositivo Ej. "iPhone de Javier" Identificación multidispositivo (Pro) Ejecución de contrato Hasta la eliminación de la cuenta
Plataforma iOS, iPadOS o macOS Sincronización multidispositivo (Pro) Ejecución de contrato Hasta la eliminación de la cuenta
ID de dispositivo Identificador con ámbito de vendedor (UIDevice.identifierForVendor) — no compartido con terceros Identificación multidispositivo (Pro) Ejecución de contrato Hasta la eliminación de la cuenta

3.4 Datos de analítica (no vinculados a ti)

Dato Detalles Finalidad Base jurídica Conservación
Eventos de uso Vistas de pantalla, interacciones con funciones — sin contenido del usuario, sin identificadores personales, sin IDs de usuario Mejora de la App, comprensión del uso de funciones Interés legítimo 14 meses (retención predeterminada de Firebase)
Nivel de suscripción Gratuito o Pro (anónimo, no vinculado a la cuenta) Analítica de uso Interés legítimo 14 meses (retención predeterminada de Firebase)

3.5 Datos de fallos (no vinculados a ti)

Dato Detalles Finalidad Base jurídica Conservación
Informes de fallos Trazas de pila, modelo de dispositivo, versión del SO — sin contenido del usuario, sin identificadores personales Diagnóstico de fallos y corrección de errores Interés legítimo 90 días (predeterminado de Firebase Crashlytics)

3.6 Datos de compra (vinculados a ti)

Dato Detalles Finalidad Base jurídica Conservación
Historial de suscripción Historial de compras y renovaciones de essentia Pro vía Apple / RevenueCat — los datos de tarjeta de pago nunca son accesibles para nosotros Gestión de la suscripción, verificación de derechos Ejecución de contrato; obligación legal (6 años — Código de Comercio español) 6 años desde la fecha de la transacción

4. Datos que NO Recopilamos

  • Identificadores publicitarios (IDFA) — no usamos ni solicitamos seguimiento publicitario
  • Datos de seguimiento entre apps o sitios web
  • Ubicación GPS en tiempo real (no solicitamos permiso de localización en tiempo de ejecución)
  • El contenido de tus tareas o notas en los eventos de analítica
  • Listas de contactos, fotos, cámara, micrófono o archivos multimedia
  • Historial de navegación o actividad web
  • Datos de salud o biométricos
  • Ningún dato vendido, licenciado o compartido con anunciantes o intermediarios de datos
  • Perfiles de usuario con fines publicitarios o de elaboración de perfiles

El Privacy Manifest de essentia declara NSPrivacyTracking: false y no incluye ningún dominio de seguimiento.

5. Base Jurídica del Tratamiento

De conformidad con el artículo 6 del RGPD, tratamos tus datos personales con las siguientes bases jurídicas:

Base jurídica Cuándo la aplicamos
Ejecución de contrato (Art. 6.1.b) Creación de cuenta, autenticación, sincronización del contenido del usuario, gestión de dispositivos, notificaciones push, gestión de la suscripción
Interés legítimo (Art. 6.1.f) Analítica anónima e informes de fallos para mejorar la App. Nuestro interés en comprender el uso y corregir errores se pondera frente al mínimo impacto en tu privacidad (no se involucran datos personales identificables)
Obligación legal (Art. 6.1.c) Conservación de datos de compra/transacción durante 6 años en virtud del Código de Comercio español

Cuando nos basamos en el interés legítimo, tienes derecho a oponerte a ese tratamiento en cualquier momento. Consulta la Sección 12 para conocer tus derechos.

6. Cómo Usamos tus Datos

  • Autenticación: Para crear y proteger tu cuenta y verificar tu identidad.
  • Funcionalidad principal: Para almacenar, organizar y mostrar tus tareas, notas y colecciones.
  • Sincronización en la nube (Pro): Para sincronizar tus datos entre tus dispositivos Apple.
  • Notificaciones push: Para enviarte los recordatorios que configures, incluidos los títulos de las tareas enviados mediante APNs.
  • Analítica: Para comprender cómo se usan las funciones y guiar las mejoras del producto (anónima, sin datos personales identificables).
  • Informes de fallos: Para identificar, diagnosticar y corregir errores y fallos (anónimos).
  • Gestión de la suscripción: Para verificar y mantener tu derecho de acceso a essentia Pro.
  • Seguridad: Para detectar, investigar y prevenir abusos, fraudes e incidentes de seguridad.
  • Cumplimiento legal: Para cumplir con las leyes, reglamentos y procedimientos legales aplicables.

7. Encargados del Tratamiento (Terceros)

Compartimos tus datos únicamente con encargados del tratamiento de confianza que nos ayudan a operar el Servicio. Tenemos acuerdos de encargo del tratamiento con cada uno donde el RGPD lo exige.

Encargado Finalidad Datos compartidos Lugar de tratamiento Garantías Política de privacidad
Supabase Autenticación y base de datos en la nube (sincronización Pro) Correo electrónico, contraseña con hash, contenido del usuario, datos de dispositivo UE (Fráncfort, Alemania) Alojamiento en UE; DPA de Supabase supabase.com/privacy
Firebase Analytics (Google) Analítica anónima de uso Eventos de uso anónimos; sin datos personales identificables, sin IDs de usuario EE. UU. (y otras regiones de Google) Marco de Privacidad de Datos UE-EE. UU.; Cláusulas Contractuales Tipo (CCT) policies.google.com/privacy
Firebase Crashlytics (Google) Informes de fallos y diagnóstico Informes de fallos (trazas de pila, modelo de dispositivo, SO); sin contenido del usuario EE. UU. (y otras regiones de Google) Marco de Privacidad de Datos UE-EE. UU.; Cláusulas Contractuales Tipo (CCT) policies.google.com/privacy
RevenueCat Gestión de la suscripción y verificación de derechos Historial de suscripción, eventos de compra EE. UU. Cláusulas Contractuales Tipo (CCT) revenuecat.com/privacy
Apple (APNs) Entrega de notificaciones push Token push, carga de notificación (puede incluir el título de la tarea) Infraestructura global de Apple Condiciones estándar de Apple; DPA de Apple apple.com/legal/privacy
Apple (StoreKit) Procesamiento de compras dentro de la app Eventos de compra y suscripción (gestionados por Apple) Infraestructura global de Apple Condiciones estándar de Apple apple.com/legal/privacy
Apple (MapKit) Búsqueda de lugares para etiquetas de ubicación Texto de búsqueda que introduces al añadir una ubicación a una tarea Infraestructura global de Apple Condiciones estándar de Apple apple.com/legal/privacy
Apple (EventKit) Integración con el calendario (solo local) Los datos del calendario permanecen en el dispositivo; no se transmiten a nosotros Solo en el dispositivo Controles de acceso a nivel de sistema de Apple apple.com/legal/privacy
Apple (LinkPresentation) Generación de vistas previas de URLs en notas URLs que incluyes en notas (obtenidas por tu dispositivo) En dispositivo / CDN de Apple Condiciones estándar de Apple apple.com/legal/privacy

8. Transferencias Internacionales de Datos

Nuestro backend principal (Supabase) está alojado en la Unión Europea (Fráncfort, Alemania) y tus datos no salen de la UE en ese contexto.

Sin embargo, utilizamos los siguientes servicios de terceros que tratan datos fuera del EEE:

  • Firebase Analytics y Firebase Crashlytics (Google): Los datos pueden tratarse en los Estados Unidos y otros países donde Google opera. Las transferencias a EE. UU. se amparan en: (a) la adhesión de Google al Marco de Privacidad de Datos UE-EE. UU.; y (b) la suscripción de Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea.
  • RevenueCat: Los datos se tratan en los Estados Unidos. Las transferencias se amparan en Cláusulas Contractuales Tipo (CCT).

Tienes derecho a solicitar una copia de las CCT aplicables. Para ello, contáctanos en developer@makotostudio.dev.

9. Conservación de Datos

Categoría de datos Período de conservación
Datos de cuenta (correo electrónico, hash de contraseña) Hasta la eliminación de la cuenta
Contenido del usuario (tareas, notas, colecciones, ubicaciones) Hasta la eliminación de la cuenta (eliminación en cascada mediante la Edge Function delete-account)
Datos de dispositivo (tokens push, información de dispositivo) Hasta la eliminación de la cuenta o invalidación del token
Datos de analítica 14 meses (retención predeterminada de Firebase Analytics)
Informes de fallos 90 días (predeterminado de Firebase Crashlytics)
Historial de compra / suscripción 6 años desde la fecha de la transacción (Código de Comercio español, art. 30)

La eliminación de la cuenta es permanente e irreversible. Puedes eliminar tu cuenta en cualquier momento desde los Ajustes de essentia. Todos los datos remotos se eliminan de inmediato mediante eliminación en cascada en la base de datos.

10. Seguridad de los Datos

Aplicamos las siguientes medidas de seguridad para proteger tus datos:

  • Hash de contraseñas: Las contraseñas se hashean con bcrypt mediante Supabase Auth y nunca se almacenan en texto plano.
  • Cifrado en tránsito: Todos los datos en tránsito entre la App y nuestros servidores están protegidos mediante HTTPS/TLS.
  • Cifrado en reposo: Los datos remotos en Supabase se cifran en reposo con AES-256.
  • Seguridad por Filas (RLS): Las políticas de acceso a la base de datos garantizan que los usuarios solo pueden acceder a sus propios datos.
  • Tokens de autenticación: Usamos PKCE (Proof Key for Code Exchange) para el intercambio seguro de tokens de autenticación.
  • Almacenamiento local: Los datos se almacenan en el contenedor aislado (sandbox) de la app en el dispositivo, accesible únicamente por essentia. Los tokens de autenticación sensibles se almacenan en el Llavero (Keychain) del sistema.
  • Control de acceso: El acceso directo a la base de datos está restringido; todo el acceso pasa por capas de API autorizadas.

Si bien aplicamos medidas de seguridad estándar del sector, ningún sistema puede garantizar una seguridad absoluta. Te recomendamos usar una contraseña fuerte y única para tu cuenta.

11. Notificación de Brechas de Datos

En caso de brecha de seguridad que afecte a datos personales y que sea probable que suponga un riesgo para tus derechos y libertades:

  • Notificaremos a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde que tengamos conocimiento de la brecha, cuando sea posible, de conformidad con el artículo 33 del RGPD;
  • Notificaremos a los usuarios afectados sin dilación indebida cuando sea probable que la brecha suponga un riesgo elevado para sus derechos y libertades, de conformidad con el artículo 34 del RGPD.

Las notificaciones de brecha a usuarios se enviarán al correo electrónico asociado a tu cuenta e incluirán: una descripción de la naturaleza de la brecha, las categorías y el número aproximado de registros afectados, las consecuencias probables y las medidas adoptadas o propuestas para hacer frente a la brecha.

Si sospechas que tu cuenta ha sido comprometida, contáctanos de inmediato en developer@makotostudio.dev.

12. Tus Derechos (RGPD)

Si resides en el Espacio Económico Europeo (o en el Reino Unido), tienes los siguientes derechos sobre tus datos personales en virtud del RGPD:

  • Acceso (Art. 15): Solicitar una copia de los datos personales que conservamos sobre ti.
  • Rectificación (Art. 16): Solicitar la corrección de datos inexactos o incompletos.
  • Supresión (Art. 17): Solicitar la eliminación de tus datos (derecho al olvido), con sujeción a las obligaciones legales de conservación.
  • Portabilidad de los datos (Art. 20): Recibir tus datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable del tratamiento.
  • Limitación del tratamiento (Art. 18): Solicitar que limitemos el tratamiento de tus datos en determinadas circunstancias.
  • Oposición (Art. 21): Oponerte al tratamiento basado en interés legítimo (Sección 5). Cesaremos el tratamiento salvo que podamos demostrar motivos legítimos imperiosos que prevalezcan sobre tus intereses.
  • Retirar el consentimiento: Cuando el tratamiento se base en el consentimiento, puedes retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento anterior.
  • Sin decisiones automatizadas: No utilizamos tus datos para decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o te afecten significativamente de modo similar.
  • Reclamación ante la autoridad de control: Tienes derecho a presentar una reclamación ante la autoridad de control de tu Estado miembro (véase la Sección 18 para los datos de contacto de la AEPD).

Para ejercer cualquiera de estos derechos, contáctanos en developer@makotostudio.dev. Responderemos en el plazo de un mes desde la recepción de tu solicitud. El ejercicio de tus derechos es gratuito. Es posible que te pidamos que verifiques tu identidad antes de atender tu solicitud.

13. Privacidad de Menores

essentia no está dirigida a menores de 16 años. No recopilamos conscientemente datos personales de menores de 16 años. Si eres padre, madre o tutor legal y crees que tu hijo o hija nos ha proporcionado datos personales, contáctanos en developer@makotostudio.dev y eliminaremos esa información de inmediato.

Si tenemos conocimiento de que hemos recopilado inadvertidamente datos personales de un menor de 16 años, tomaremos medidas inmediatas para eliminar dichos datos de nuestros registros.

14. Política de Cookies

Nuestro sitio web en essentia.makotostudio.dev no utiliza cookies, píxeles de seguimiento ni ninguna otra tecnología de seguimiento persistente. No se despliegan herramientas de analítica ni publicidad en el sitio web.

La propia App essentia no utiliza cookies web. Si esto cambiara en el futuro, actualizaremos esta política y obtendremos tu consentimiento donde lo exija la ley aplicable antes de desplegar cualquier tecnología de seguimiento.

15. Arquitectura Local Primero

essentia está diseñada con una arquitectura local primero. Todas las tareas, notas, colecciones y demás contenido se almacenan en tu dispositivo en una base de datos SQLite local. La sincronización en la nube es una función opcional disponible exclusivamente para los suscriptores de essentia Pro.

La sincronización funciona mediante una estrategia de Última Escritura Gana (Last-Write-Wins / LWW) a nivel de campo: solo los campos modificados desde la última sincronización se transmiten a Supabase. La base de datos en la nube actúa como capa de copia de seguridad y sincronización suplementaria, no como almacén de datos principal.

Si usas la versión gratuita, ningún contenido personal se transmite nunca a nuestros servidores. La app funciona completamente sin conexión, sin degradación alguna en las funciones principales.

16. Permisos: Calendario, Ubicación y Otros

Calendario (EventKit)

Si concedes permiso de calendario, essentia puede mostrar los eventos de calendario existentes junto a tus tareas y crear nuevos eventos a partir de tareas. Estos datos permanecen íntegramente en el dispositivo y nunca se transmiten a nuestros servidores.

Ubicaciones y MapKit

essentia permite asociar ubicaciones con nombre a las tareas para los recordatorios por ubicación. Al usar esta función:

  • El nombre de la ubicación y las coordenadas geográficas (latitud y longitud) de los lugares que seleccionas se almacenan localmente en tu dispositivo y, para los usuarios Pro, se sincronizan con Supabase.
  • Cuando buscas un lugar usando el campo de búsqueda, el texto que introduces se envía a los servicios MapKit de Apple conforme a la política de privacidad de Apple.
  • essentia no solicita permiso de GPS / localización precisa en tiempo de ejecución (NSLocationWhenInUseUsageDescription / NSLocationAlwaysUsageDescription). Las coordenadas se obtienen de los lugares que seleccionas explícitamente en los resultados de búsqueda de MapKit, no de tu posición GPS en tiempo real.

Notificaciones push

Si concedes permiso de notificaciones push, essentia entrega recordatorios de tareas mediante el servicio de Notificaciones Push de Apple (APNs). La carga de la notificación puede incluir el título de la tarea que se está recordando. Los tokens push se almacenan en Supabase y se usan únicamente para la entrega de notificaciones.

Permisos que NO solicitamos

essentia nunca solicita: Cámara, Micrófono, Biblioteca de fotos, Contactos, Localización GPS precisa en tiempo de ejecución, Datos de salud ni Transparencia de Seguimiento de Apps (ATT). El procesamiento en segundo plano se usa únicamente para la actualización de la App y la programación de tareas en segundo plano.

17. Modificaciones de Esta Política

Podemos actualizar esta Política de Privacidad de vez en cuando. Para cambios materiales (p. ej., nuevas categorías de datos, nuevos encargados del tratamiento o cambios en tus derechos), proporcionaremos al menos 30 días de aviso previo enviando un correo electrónico a la dirección asociada a tu cuenta y/o mostrando una notificación destacada en la App.

Los cambios menores (correcciones, aclaraciones) pueden realizarse sin aviso previo. Siempre actualizaremos la fecha de "Última actualización" en la parte superior de esta página.

Tu uso continuado del Servicio tras la fecha de entrada en vigor de cualquier cambio implica la aceptación de la política actualizada.

18. Contacto y Reclamaciones

Para cualquier pregunta, solicitud o duda sobre esta Política de Privacidad o sobre cómo tratamos tus datos, contáctanos:

Makoto Studio
developer@makotostudio.dev

Si no estás satisfecho con nuestra respuesta, o consideras que tratamos tus datos de forma contraria al RGPD, tienes derecho a presentar una reclamación ante la autoridad de control competente:

Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6
28001 Madrid, España
Web: aepd.es
Teléfono: 901 100 099

Si resides en otro Estado miembro de la UE, también puedes contactar con la autoridad de control de tu país de residencia.