LEGAL · PRIVACIDAD
Politica de Privacidad
Ultima actualizacion: 29 de mayo de 2026 · Vigente desde: 29 de mayo de 2026 · [email protected]
Version corta: NeverHodl solo recopila lo necesario para prestar el servicio. Nunca vendemos tus datos. Nunca los compartimos con terceros con fines comerciales. Puedes exportar o eliminar todos tus datos en cualquier momento desde tu perfil. Cumplimos con GDPR (UE 2016/679), LOPDGDD (Espana) y LGPD (Brasil).
1. Quienes somos
NeverHodl ("NeverHodl™", "nosotros") es una plataforma de inteligencia de ciclos de mercado crypto bajo marca registrada OEPM M4370276 (Clases 36 y 42). Web: neverhodl.com. Contacto: [email protected]
2. Datos que recopilamos
2.1 Datos de cuenta
- Email — necesario para crear tu cuenta
- Nombre visible — opcional
- Contrasena — hasheada con bcrypt, nunca almacenada en texto plano
- Idioma y zona horaria
- Metodo de autenticacion — email/contrasena o X (Twitter) OAuth
2.2 Datos de perfil opcionales
- Usuario de Telegram — para alertas de comunidad
- Handle de X/Twitter — para verificacion de publicaciones
- Avatar emoji — elegido de un conjunto predefinido
2.3 Datos de pago
- ID de cliente Stripe — vincula tu cuenta a tu suscripcion. NO almacenamos numeros de tarjeta, CVV ni datos de pago completos. Todo el procesamiento de pagos lo gestiona Stripe (certificado PCI DSS Nivel 1).
- Estado de suscripcion — tier, periodo de facturacion, estado de cancelacion
2.4 Datos de uso (recopilados automaticamente)
- Logs de API — endpoint, tiempo de respuesta, IP (hasheada para analytics). Retencion: 90 dias.
- Actividad de login — timestamps, racha de login. Nunca se registran contrasenas.
- Log de auditoria — eventos de seguridad. Retencion: 2 anos (anonimizado al eliminar cuenta).
- Analytics — si consientes, Google Analytics 4 con anonimizacion de IP.
2.5 Datos de comunidad
- Mensajes de chat — contenido publicado en canales comunitarios. Mensajes eliminados se purgan tras 90 dias.
- Tokens de push — tokens de dispositivo para alertas de fase (si activado).
2.6 Lo que NO recopilamos
- Numeros de tarjeta o datos de pago (Stripe lo gestiona)
- Documentos de identidad gubernamentales
- Geolocalizacion precisa
- Numeros de telefono o direcciones fisicas
- Direcciones de wallet o datos on-chain
3. Como usamos tus datos
- Prestar el servicio: dashboard, NHCI scores, historial de ciclos, analisis AI
- Gestion de cuenta: autenticacion, suscripciones, ajustes
- Notificaciones: alertas de fase, briefings, alertas de pago (segun tus preferencias)
- Emails de marketing: actualizaciones NHCI, contenido educativo (solo con tu consentimiento)
- Seguridad: rate limiting, prevencion de fraude, auditoria
- Analytics: estadisticas anonimizadas y pseudonimizadas para mejorar el producto
4. Base legal (GDPR Art. 6)
- Contrato (Art. 6.1.b) — procesamiento necesario para el servicio
- Consentimiento (Art. 6.1.a) — emails de marketing, cookies de analytics, notificaciones push
- Interes legitimo (Art. 6.1.f) — seguridad, prevencion de fraude
- Obligacion legal (Art. 6.1.c) — logs de auditoria, registros fiscales
5. Preferencias de notificacion
Tienes control granular sobre cada canal. Gestiona tus preferencias en tu perfil:
| Canal | Por defecto | Tipo |
|---|
| Emails de marketing (actualizaciones NHCI) | Desactivado | Requiere opt-in |
| Emails de producto (bienvenida, pagos) | Activado | Transaccional |
| Notificaciones push (cambios de fase) | Activado | Consentimiento via permiso del dispositivo |
| Alertas Telegram (briefing diario) | Desactivado | Requiere opt-in |
Puedes cancelar la suscripcion a emails de marketing al instante via el enlace de un clic en cada email (compatible con RFC 8058).
6. Cookies
- Estrictamente necesarias: idioma, estado de consentimiento, tokens de autenticacion.
- Analytics (opcional): Google Analytics 4 con anonimizacion de IP. Solo con tu consentimiento.
- No se usan cookies de publicidad ni tracking.
7. Comparticion de datos
NeverHodl nunca vende, alquila ni intercambia tus datos personales.
Usamos los siguientes subencargados:
| Proveedor | Proposito | Datos procesados |
|---|
| Supabase | Base de datos, autenticacion | Datos de cuenta, cifrados en reposo |
| Stripe | Procesamiento de pagos | Metodo de pago, facturacion |
| Resend | Envio de emails | Email, contenido del email |
| Vercel | Hosting | Logs de servidor, IPs |
| Upstash | Rate limiting (Redis) | Hashes de IP (sin PII) |
| Firebase | Notificaciones push | Tokens de dispositivo |
| Google Analytics 4 | Analytics anonimizado | Visitas, sesiones (con consentimiento) |
8. Retencion de datos
| Tipo de dato | Retencion |
|---|
| Perfil de cuenta | Hasta que elimines tu cuenta |
| Logs de API | 90 dias |
| Logs de actividad | 1 ano |
| Logs de auditoria | 2 anos (anonimizado al borrar cuenta) |
| Registro de puntos | 2 anos |
| Mensajes eliminados | 90 dias tras eliminacion |
| Analytics (GA4) | 14 meses (por defecto Google) |
La limpieza automatizada de datos se ejecuta semanalmente.
9. Seguridad de datos (Art. 32)
- Cifrado en reposo: datos personales sensibles cifrados con AES-256 (pgcrypto + Supabase Vault)
- Pseudonimizacion: datos de analytics usan identificadores pseudonimos HMAC-SHA256. IPs hasheadas con rotacion mensual.
- Seguridad en transito: HTTPS con HSTS preload, TLS 1.3
- Control de acceso: Row Level Security (RLS) en todas las tablas. Admin requiere triple factor (contrasena + codigo email + TOTP).
- Proteccion anti-fuerza bruta: bloqueo de cuenta tras 5 intentos fallidos, rate limiting en todos los endpoints
- Integridad de subrecursos: hashes SHA-384 en todos los scripts CDN externos
- Sin PII en logs: los logs nunca contienen emails ni identificadores personales
En caso de brecha de datos, te notificaremos en 72 horas segun GDPR Art. 33/34.
10. Tus derechos
Bajo GDPR, LOPDGDD y LGPD tienes los siguientes derechos:
- Acceso (Art. 15): consulta todos tus datos en tu perfil
- Portabilidad (Art. 20): descarga todos tus datos como JSON desde Perfil → Cuenta → "Descargar mis datos"
- Rectificacion (Art. 16): actualiza tus datos en tu perfil
- Supresion (Art. 17): elimina permanentemente tu cuenta desde Perfil → Cuenta → "Eliminar cuenta"
- Limitacion (Art. 18): solicita que limitemos el procesamiento — contactanos
- Oposicion (Art. 21): cancela emails de marketing via el enlace en cada email o el toggle de tu perfil
- Retirar consentimiento: desactiva cualquier canal de notificacion en tu perfil
La mayoria de derechos se ejercen directamente desde tu perfil. Para solicitudes manuales: [email protected] — respondemos en 30 dias (GDPR Art. 12.3).
Tambien puedes presentar una reclamacion ante la AEPD en aepd.es.
11. Transferencias internacionales
Tus datos pueden procesarse en la UE y Estados Unidos. Las transferencias fuera del EEE estan cubiertas por Clausulas Contractuales Tipo (SCCs) y el EU-US Data Privacy Framework.
12. Menores
NeverHodl no esta dirigido a menores de 16 anos. No recopilamos datos de menores intencionadamente.
13. Cambios en esta politica
Podemos actualizar esta politica. Los cambios materiales se comunicaran en la web. La fecha "Ultima actualizacion" indica la revision mas reciente.
14. Aviso legal
NeverHodl es una plataforma de datos de mercado e inteligencia educativa. Nada en este sitio constituye asesoramiento financiero o recomendacion de compra/venta. Todas las decisiones de inversion son responsabilidad del usuario. Los criptoactivos son altamente volatiles.