POLÍTICA DE PRIVACIDAD MUYA
Versión 1.0 | Vigente desde el 15.05.2026
1. Introducción e información general
La presente Política de Privacidad establece las normas de tratamiento de los datos personales de las personas que utilizan el sitio web www.muya.app (en adelante: «Sitio Web»), la aplicación móvil MUYA (en adelante: «Aplicación») y el servicio de boletín informativo gestionado por el Responsable del Tratamiento.
Este documento ha sido elaborado de conformidad con los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante: «RGPD»), teniendo en cuenta las disposiciones locales aplicables en las jurisdicciones en las que la Aplicación está disponible (detalles en la sección 16).
Le rogamos que lea atentamente la presente Política. El uso del Sitio Web, de la Aplicación o la suscripción al boletín informativo implican la aceptación de las normas descritas en el presente documento. Para cuestiones relacionadas con la protección de datos personales, le rogamos que se ponga en contacto con nosotros en: hi@muya.app.
2. Responsable del Tratamiento
El responsable del tratamiento en el sentido del artículo 4, apartado 7, del RGPD es Sopraya Sp. z o.o. con domicilio social en Chodzież (64-800), ul. Krasińskiego 20, inscrita en el registro mercantil del KRS llevado por el Juzgado de Primera Instancia Poznań – Nowe Miasto i Wilda en Poznań, IX Sección Mercantil, bajo el número KRS 0001165422, NIP 6070098148, REGON 541318039.
Datos de contacto del Responsable del Tratamiento:
- dirección de correo electrónico (cuestiones de RGPD y protección de datos): hi@muya.app
- dirección de correo electrónico (reclamaciones): contact@sopraya.com
- teléfono: +48 660 927 243
- dirección postal: ul. Krasińskiego 20, 64-800 Chodzież, Polonia
El Responsable del Tratamiento no ha designado un Delegado de Protección de Datos (DPD), ya que la escala y la naturaleza de los datos tratados no requieren dicha designación con arreglo al artículo 37 del RGPD. Para todas las cuestiones relativas al tratamiento de datos personales, le rogamos que se ponga en contacto con nosotros en hi@muya.app.
3. Definiciones
A los efectos de la presente Política, los siguientes términos tienen los significados que se indican a continuación:
- Responsable del Tratamiento – Sopraya Sp. z o.o. tal y como se describe en la sección 2.
- Sitio Web – el sitio web disponible en www.muya.app, incluido el blog y el formulario de suscripción al boletín informativo.
- Aplicación – la aplicación móvil MUYA disponible para dispositivos iOS (App Store) y Android (Google Play).
- Usuario – persona física de al menos 16 años de edad que utilice el Sitio Web, la Aplicación o el boletín informativo.
- Usuario B2C – Usuario individual que haya adquirido una suscripción directamente a través de App Store o Google Play.
- Usuario B2B – Usuario que haya obtenido acceso a la Aplicación a través de una suscripción corporativa concedida por su empleador (Organización).
- Organización – entidad (empresa) que ha celebrado un contrato B2B con el Responsable del Tratamiento para el acceso a la Aplicación por parte de sus empleados o colaboradores.
- Datos personales – cualquier información relativa a una persona física identificada o identificable, en el sentido del artículo 4, apartado 1, del RGPD.
- Tratamiento – cualquier operación realizada sobre datos personales, en el sentido del artículo 4, apartado 2, del RGPD.
- Encargado del tratamiento – tercero que presta servicios técnicos, analíticos o de marketing al Responsable del Tratamiento, al que este encarga el tratamiento de datos personales sobre la base de un contrato correspondiente.
- Boletín informativo – servicio de envío gratuito y periódico de mensajes electrónicos con información comercial y de marketing sobre las actividades del Responsable del Tratamiento.
4. Ámbito de aplicación de la presente Política
La presente Política regula el tratamiento de datos en los siguientes ámbitos:
- Sitio Web www.muya.app – sitio web informativo con blog y formulario de suscripción al boletín informativo. El Sitio Web tiene carácter de presentación y marketing.
- Boletín informativo – servicio de envío de mensajes de marketing, gestionado a través del formulario de suscripción en el Sitio Web y (opcionalmente) en la Aplicación.
- Aplicación móvil MUYA – modelo B2C – uso de la Aplicación por parte de Usuarios individuales que han adquirido ellos mismos una suscripción.
- Aplicación móvil MUYA – modelo B2B – uso de la Aplicación por parte de Usuarios a los que el empleador (Organización) ha concedido acceso en el marco de un contrato B2B.
La presente Política se aplica a nivel mundial. La Aplicación está disponible en 6 versiones lingüísticas (polaco, inglés, alemán, italiano, español, francés) y puede ser utilizada por Usuarios de cualquier país, con sujeción a las disposiciones locales descritas en la sección 16. Otras versiones lingüísticas (incluida la japonesa) se pondrán a disposición en el marco de las siguientes fases de desarrollo del producto, junto con las versiones correspondientes de la presente Política de Privacidad.
5. Roles jurídicos del Responsable del Tratamiento
En función del modelo de uso de la Aplicación, Sopraya Sp. z o.o. actúa en diferentes roles jurídicos:
5.1. Modelo B2C – Responsable del Tratamiento
Con respecto a los Usuarios individuales (B2C), los usuarios del Sitio Web y los suscriptores al boletín informativo, Sopraya Sp. z o.o. actúa como responsable del tratamiento en el sentido del artículo 4, apartado 7, del RGPD, determinando de forma autónoma los fines y los medios del tratamiento.
5.2. Modelo B2B – Encargado del tratamiento
Con respecto a los Usuarios B2B cuyos datos (en particular, las direcciones de correo electrónico) han sido transmitidos al Responsable del Tratamiento por la Organización con el fin de conceder acceso a la Aplicación, Sopraya Sp. z o.o. actúa como encargado del tratamiento (artículo 28 del RGPD) por cuenta de la Organización. En este ámbito, el Responsable del Tratamiento trata los datos personales exclusivamente de conformidad con las instrucciones establecidas en el Contrato de Encargo del Tratamiento (DPA) celebrado con la Organización.
Con independencia de lo anterior, a partir del momento en que el Usuario crea una Cuenta y acepta los Términos de Servicio, Sopraya Sp. z o.o. actúa también como responsable del tratamiento autónomo con respecto a los datos tratados para sus propios fines (p. ej., garantía de la seguridad de la Aplicación, ejercicio de acciones legales).
En caso de que en el futuro se implemente el modelo B2B alternativo basado en Códigos de Activación B2B, Sopraya Sp. z o.o. actuará exclusivamente como responsable del tratamiento autónomo con respecto a los datos proporcionados directamente por el Usuario al crear la Cuenta, ya que en dicho modelo la Organización no transmitirá datos personales al Responsable del Tratamiento.
6. Categorías de datos personales tratados
6.1. Datos recopilados en el Sitio Web (www.muya.app)
- dirección IP del dispositivo del Usuario
- identificadores de cookies e identificadores de tecnologías similares
- información sobre el dispositivo y el navegador (User-Agent, sistema operativo, resolución de pantalla, idioma)
- la página desde la que el Usuario accedió al Sitio Web (referrer)
- datos sobre el comportamiento del Usuario en el Sitio Web (páginas visitadas, duración de la sesión, interacciones) – recopilados a través de Google Analytics 4 (previa obtención del consentimiento)
- datos sobre interacciones con anuncios y eventos de conversión (clics en anuncios de Google y Meta) – recopilados a través de Google Ads y Meta Pixel (previa obtención del consentimiento)
- identificadores publicitarios utilizados para el remarketing (Google Ads Remarketing, Meta Pixel) – tratados exclusivamente previa obtención del consentimiento del Usuario
6.2. Datos recopilados al suscribirse al boletín informativo
- dirección de correo electrónico
- nombre (opcional, si el formulario incluye dicho campo)
- fecha y hora de la suscripción en el formulario, dirección IP e identificador de sesión (a efectos probatorios)
- fecha y hora de la confirmación del consentimiento mediante clic en el enlace de activación enviado a la dirección de correo electrónico (mecanismo de doble opt-in)
- datos analíticos sobre interacciones con el boletín informativo (aperturas de correos electrónicos, clics en enlaces) – tratados por MailerLite
6.3. Datos recopilados en la Aplicación – identificación y Cuenta
- dirección de correo electrónico (identificador principal de la Cuenta)
- nombre (opcional; puede provenir del inicio de sesión a través de Apple Sign-In o Google Sign-In o ser introducido por el Usuario)
- identificador de usuario en el sistema Clerk (servicio de gestión de identidades, principal proveedor de autenticación)
- identificador de Apple ID o de cuenta de Google en forma de hash (en caso de inicio de sesión a través de Apple Sign-In o Google Sign-In)
- tokens de sesión JWT (almacenados localmente en el dispositivo)
6.4. Datos técnicos de la Aplicación
- identificador de dispositivo (en iOS: IDFV – Identifier for Vendor; en Android: Firebase Installation ID)
- sistema operativo, versión del sistema, versión de la Aplicación
- idioma de la Aplicación y zona horaria
- dirección IP (registrada en los registros de Cloudflare y en los registros de la aplicación)
- registros de la aplicación de Cloudflare Workers – eventos técnicos registrados (excepciones, errores del servidor, tiempos de respuesta de la API) – almacenados durante un máximo de 12 meses
- datos de fallos y errores de la Aplicación (trazas de pila, estado de la Aplicación y del dispositivo en el momento del error) – recopilados en la versión de producción por Firebase Crashlytics previa obtención del consentimiento
6.5. Datos de uso (conductuales) en la Aplicación
- historial de sesiones de audio reproducidas (grabaciones, fecha, duración de la reproducción)
- sesiones favoritas
- horas de inicio y fin de sesión
- eventos analíticos (aperturas de pantallas, clics en elementos CTA), identificador de usuario y propiedades del usuario (tipo de cuenta, nivel de suscripción, idioma y tema de la Aplicación, proveedor de acceso) – tratados por Firebase Analytics previa obtención del consentimiento en la Aplicación
6.6. Datos de suscripción y transacción
- estado de la suscripción (gratuita / activa / expirada)
- tipo de plan (mensual / anual)
- fecha de compra y fecha de expiración de la suscripción
- identificador de transacción (App Store / Google Play / suscripción promocional / código de activación)
- origen de la suscripción (B2C – App Store o Google Play; B2B – asignación por parte de la Organización; código promocional)
- datos relativos al uso de Códigos Promocionales (identificador del código, fecha de activación, tipo de código)
El Responsable del Tratamiento no almacena números de tarjetas de pago ni otros datos de pago; las transacciones son procesadas directamente por App Store o Google Play.
6.7. Datos adicionales en el modelo B2B
- nombre de la Organización (empleador)
- número de factura
- período de vigencia de la suscripción corporativa
- asociación de la dirección de correo electrónico del Usuario a la Organización
- identificador del lote de códigos de activación (en el modelo de códigos)
- datos de la Persona de Contacto de la Organización (nombre, apellidos, correo electrónico, cargo) – en la medida necesaria para la ejecución del contrato
- datos de facturación de la Organización (NIF/CIF, domicilio, datos de factura)
6.8. Datos que NO recopilamos
El Responsable del Tratamiento declara que, en el marco del Sitio Web y la Aplicación:
- no recopila datos médicos ni datos relativos al estado de salud de los Usuarios
- no recopila categorías especiales de datos en el sentido del artículo 9 del RGPD (incluidos datos biométricos, genéticos, de salud o que revelen el origen racial o étnico)
- no recopila datos de menores de 16 años (detalles en la sección 15)
- no almacena contraseñas; la autenticación es gestionada por Clerk, con soporte para Apple Sign-In y Google Sign-In
- no utiliza el mecanismo App Tracking Transparency (ATT); no realiza seguimiento de los Usuarios a través de aplicaciones y sitios web de otras empresas
6.9. Datos de Creadores y Socios Promocionales
En el marco de los programas de afiliación y colaboraciones con Creadores (influencers), el Responsable del Tratamiento trata los siguientes datos de los Creadores:
- datos de identificación y contacto (nombre y apellidos o razón social, dirección de correo electrónico, número de teléfono)
- datos de facturación (NIF/CIF, domicilio de la empresa, número de cuenta bancaria, datos de factura)
- datos de colaboración (identificador del Creador, Códigos Promocionales asignados, identificador de campaña, estadísticas de conversión)
- datos de liquidación (importe de las comisiones adeudadas, número de conversiones exitosas, fechas de liquidación)
- información de redes sociales del Creador (nombre de usuario, enlace al perfil) – exclusivamente en la medida necesaria para la gestión de la campaña
7. Finalidades y bases jurídicas del tratamiento
Los datos personales se tratan para las siguientes finalidades, sobre las siguientes bases jurídicas:
7.1. Prestación de los Servicios (gestión de la Cuenta, suministro de contenidos de audio, gestión de la suscripción)
Base jurídica: artículo 6, apartado 1, letra b), del RGPD – tratamiento necesario para la ejecución de un contrato en el que el Usuario es parte (Términos de Servicio), o para la aplicación a petición de este de medidas precontractuales.
7.2. Envío del boletín informativo y comunicaciones de marketing
Base jurídica: artículo 6, apartado 1, letra a), del RGPD – consentimiento voluntario del Usuario, así como el artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información – para el envío de comunicaciones comerciales por vía electrónica.
Mecanismo de doble opt-in: la suscripción al boletín informativo se realiza a través de un modelo de confirmación en dos etapas: (1) el Usuario introduce su dirección de correo electrónico en el formulario; (2) se envía un correo electrónico de confirmación y la suscripción se activa únicamente después de que el Usuario haga clic en el enlace de activación.
Revocación del consentimiento: el consentimiento puede revocarse en cualquier momento haciendo clic en el enlace «Darse de baja» en cualquier correo electrónico del boletín informativo, o poniéndose en contacto con el Responsable del Tratamiento en hi@muya.app. La revocación del consentimiento no afecta a la licitud del tratamiento basado en el consentimiento anterior a su revocación.
7.3. Análisis, diagnóstico y desarrollo del producto (GA4 en el Sitio Web, Firebase en la Aplicación)
Base jurídica: artículo 6, apartado 1, letra a), del RGPD – consentimiento expresado en el banner de consentimiento de cookies (para el Sitio Web) o en el mensaje de consentimiento al primer inicio de la Aplicación o en la configuración de la Aplicación (para la Aplicación), con la posibilidad de revocarlo en cualquier momento. Hasta que se otorgue el consentimiento, el análisis y el diagnóstico en la Aplicación permanecen desactivados.
7.4. Marketing, publicidad y remarketing (Meta Pixel, Google Ads)
Base jurídica: artículo 6, apartado 1, letra a), del RGPD – consentimiento del Usuario expresado en el banner de consentimiento de cookies.
Ámbito de las actividades de marketing: el Responsable del Tratamiento lleva a cabo campañas publicitarias en el ecosistema de Meta (Facebook, Instagram) y en el ecosistema de Google (Búsqueda de Google, Red de Display, YouTube) utilizando herramientas como Meta Pixel y Google Ads. Estas campañas se dirigen a potenciales nuevos Usuarios y, cuando se haya obtenido el consentimiento, a Usuarios existentes (remarketing).
Boletín informativo: el Responsable del Tratamiento no transmite a Meta, Google ni otras plataformas publicitarias las direcciones de correo electrónico de los suscriptores al boletín informativo con el fin de crear audiencias personalizadas o llevar a cabo campañas dirigidas a suscriptores.
Revocación del consentimiento: el consentimiento a las cookies de marketing puede revocarse en cualquier momento a través de la configuración de cookies disponible en el pie de página del Sitio Web. La revocación del consentimiento no afecta a la licitud del tratamiento basado en el consentimiento anterior a su revocación.
7.5. Procesamiento de pagos y liquidaciones
Base jurídica: artículo 6, apartado 1, letra b), del RGPD (ejecución del contrato) y artículo 6, apartado 1, letra c), del RGPD (obligación legal) – en el ámbito de la emisión de facturas y el cumplimiento de los requisitos de la normativa fiscal.
7.6. Gestión de solicitudes de contacto y reclamaciones
Base jurídica: artículo 6, apartado 1, letra b), del RGPD (medidas precontractuales a petición del interesado o ejecución del contrato) y artículo 6, apartado 1, letra f), del RGPD (interés legítimo del Responsable del Tratamiento en la gestión de la correspondencia y la resolución de reclamaciones).
7.7. Garantía de la seguridad del Sitio Web y la Aplicación; prevención del fraude
Base jurídica: artículo 6, apartado 1, letra f), del RGPD – interés legítimo del Responsable del Tratamiento consistente en garantizar la seguridad de los sistemas informáticos, detectar y prevenir abusos, y mantener la integridad de los sistemas.
7.8. Ejercicio y defensa de acciones legales
Base jurídica: artículo 6, apartado 1, letra f), del RGPD – interés legítimo del Responsable del Tratamiento consistente en la posibilidad de establecer, ejercer o defender acciones legales.
7.9. Liquidaciones B2B (datos de la Organización y de la Persona de Contacto)
Base jurídica: artículo 6, apartado 1, letra b), del RGPD (ejecución del Contrato B2B), artículo 6, apartado 1, letra c), del RGPD (obligación legal – emisión de facturas, obligaciones fiscales), artículo 6, apartado 1, letra f), del RGPD (interés legítimo en las liquidaciones B2B).
7.10. Tratamiento de datos de los empleados de la Organización por cuenta de la Organización (B2B)
Base jurídica: artículo 28 del RGPD – encargo del tratamiento sobre la base de un DPA independiente celebrado entre el Responsable del Tratamiento y la Organización. En este ámbito, Sopraya Sp. z o.o. actúa como encargado del tratamiento y trata los datos exclusivamente de conformidad con las instrucciones de la Organización.
7.11. Colaboración con Creadores y Socios Promocionales (programas de afiliación)
Base jurídica: artículo 6, apartado 1, letra b), del RGPD (ejecución del contrato celebrado con el Creador), artículo 6, apartado 1, letra f), del RGPD (interés legítimo en la gestión de los programas de afiliación y la liquidación de comisiones).
La aportación de datos personales es voluntaria, pero necesaria para crear una Cuenta, adquirir una suscripción, suscribirse al boletín informativo o celebrar una colaboración como Creador. Sin los datos requeridos, no será posible utilizar el servicio correspondiente.
8. Encargados del tratamiento y destinatarios de los datos
El Responsable del Tratamiento utiliza proveedores de servicios externos de confianza que pueden tratar datos personales por su cuenta. La lista actualizada de los encargados del tratamiento es la siguiente:
8.1. Cloudflare, Inc. (EE. UU.)
- Ámbito de los servicios: alojamiento de la API de la Aplicación (Cloudflare Workers), almacenamiento de archivos de audio (Cloudflare R2), CDN, protección DDoS, WAF (Web Application Firewall).
- Datos tratados: dirección de correo electrónico, identificador de usuario, tokens de sesión, registros de acceso, direcciones IP, registros de eventos técnicos.
- Ubicación: infraestructura edge global. Transferencia a EE. UU. garantizada mediante Cláusulas Contractuales Tipo (CCT) y el Marco de Privacidad de Datos UE-EE. UU. (DPF).
8.2. DigitalOcean, LLC (Fráncfort, UE)
- Ámbito de los servicios: base de datos PostgreSQL gestionada.
- Datos tratados: conjunto completo de datos de la Cuenta de Usuario, suscripciones, historial de sesiones de audio, datos organizativos B2B.
- Ubicación: Fráncfort, Alemania (EEE).
8.3. Apple Inc. (EE. UU. / UE)
- Ámbito de los servicios: inicio de sesión a través de Apple Sign-In (SSO), procesamiento de pagos B2C a través de App Store.
- Datos tratados: dirección de correo electrónico, nombre, identificador de Apple ID en forma de hash, datos de transacciones.
- Ubicación: EE. UU. y UE. Transferencia a EE. UU. garantizada mediante CCT y DPF.
8.4. Google LLC (EE. UU. / UE)
- Ámbito de los servicios: procesamiento de pagos B2C a través de Google Play (Android), inicio de sesión a través de Google Sign-In, Firebase Analytics, Google Analytics 4, Google Ads.
- Datos tratados: identificador de dispositivo, datos de telemetría, datos de transacciones, dirección de correo electrónico, eventos de uso y datos de fallos de la Aplicación (Firebase Crashlytics). El identificador publicitario se refiere exclusivamente al Sitio Web (Google Ads) – la Aplicación no recopila identificadores publicitarios.
- Ubicación: EE. UU. y UE. Transferencia a EE. UU. garantizada mediante CCT y DPF.
8.5. RevenueCat, Inc. (EE. UU.)
- Ámbito de los servicios: gestión de suscripciones y derechos de los Usuarios, sincronización del estado de la suscripción entre plataformas (App Store, Google Play, B2B).
- Datos tratados: dirección de correo electrónico, identificador de Usuario (appUserId), historial de pagos, estado de la suscripción.
- Ubicación: EE. UU. Transferencia garantizada mediante CCT y DPF.
8.6. Clerk, Inc. (EE. UU.)
- Ámbito de los servicios: servicio de gestión de la identidad del usuario (autenticación y gestión de usuarios), gestión del inicio de sesión por correo electrónico, Apple Sign-In, Google Sign-In.
- Datos tratados: dirección de correo electrónico, nombre, identificador de Usuario, metadatos de sesión (dirección IP, User-Agent, identificador de dispositivo).
- Ubicación: EE. UU. Transferencia garantizada mediante CCT y DPF.
8.7. Firebase (Google Ireland Limited / Google LLC)
- Ámbito de los servicios: análisis y estadísticas del uso de la Aplicación móvil (Firebase Analytics), supervisión de la estabilidad e informes de fallos (Firebase Crashlytics) y asignación del identificador de instalación (Firebase Installations). En el futuro – notificaciones push (la funcionalidad se activará en una versión futura de la Aplicación).
- Firebase Analytics y Crashlytics están desactivados de forma predeterminada y se activan únicamente cuando el Usuario otorga su consentimiento voluntario en la Aplicación (mensaje de consentimiento al primer inicio) o en la configuración de la Aplicación. El consentimiento puede revocarse en cualquier momento en la configuración de la Aplicación; la revocación detiene la recopilación adicional de datos y elimina el identificador de instalación del dispositivo, pero no afecta a los datos ya transmitidos a Google antes de la revocación (almacenados hasta la expiración del período de conservación). Firebase Analytics funciona en dispositivos Android; en dispositivos iOS permanece desactivado en la configuración de la Aplicación.
- Datos tratados: eventos de uso (entre otros, aperturas de pantallas, reproducción de sesiones de audio, eventos de suscripción y códigos de regalo) con parámetros; propiedades del usuario (tipo de cuenta, nivel de suscripción, idioma y tema de la Aplicación, proveedor de acceso); identificador de usuario y Firebase Installation ID (dispositivos Android); datos automáticos del SDK en Android (modelo y sistema del dispositivo, versión de la Aplicación, datos de sesiones); para Crashlytics – datos de fallos y errores de la Aplicación (trazas de pila, estado de la Aplicación y del dispositivo en el momento del error) vinculados al identificador de usuario.
- La Aplicación no utiliza el módulo publicitario (AdMob) ni recopila identificadores publicitarios del dispositivo (IDFA / GAID); los datos de Firebase no se utilizan para publicidad ni para remarketing.
- Base jurídica: artículo 6, apartado 1, letra a), del RGPD – consentimiento del Usuario expresado en la Aplicación.
- Ubicación: EE. UU. y UE. Transferencia a EE. UU. garantizada mediante Cláusulas Contractuales Tipo (CCT) y en el marco del EU-US Data Privacy Framework (DPF) – Google LLC es una entidad certificada en el DPF.
8.8. MailerLite Limited (Irlanda, UE)
- Ámbito de los servicios: envío del boletín informativo, gestión de la lista de suscriptores, análisis de aperturas y clics.
- Datos tratados: dirección de correo electrónico, nombre (si se ha proporcionado), fecha de suscripción, dirección IP, datos de interacción (aperturas, clics).
- Ubicación: Irlanda (EEE). MailerLite puede utilizar subcontratistas fuera del EEE; detalles disponibles en: https://www.mailerlite.com/legal/data-processing-agreement.
8.9. Google Analytics 4 (Google LLC)
- Ámbito de los servicios: análisis del tráfico en el Sitio Web www.muya.app.
- Datos tratados: dirección IP anonimizada, identificadores de cookies, datos del dispositivo y del navegador, datos de comportamiento en el Sitio Web.
- Ubicación: EE. UU. y UE. Transferencia garantizada mediante CCT y DPF. Activado únicamente previa obtención del consentimiento del Usuario a través del banner de consentimiento de cookies.
8.10. Meta Platforms Ireland Limited (Meta Pixel, Meta Ads)
- Ámbito de los servicios: medición de la eficacia de las campañas publicitarias en las plataformas de Meta (Facebook, Instagram), gestión de campañas de remarketing.
- Datos tratados: identificadores de cookies, dirección IP, datos sobre eventos en el Sitio Web, identificadores publicitarios.
- Ubicación: Irlanda y EE. UU. Transferencia a EE. UU. garantizada mediante CCT y DPF. Meta Pixel se activa únicamente previa obtención del consentimiento del Usuario.
- Datos del boletín informativo: el Responsable del Tratamiento no transmite a Meta ninguna dirección de correo electrónico ni otros datos personales de los suscriptores al boletín informativo con el fin de crear audiencias personalizadas.
8.11. Google Ads (Google Ireland Limited / Google LLC)
- Ámbito de los servicios: gestión de campañas de Google Ads en el motor de búsqueda de Google, la Red de Display y YouTube; remarketing.
- Datos tratados: identificadores de cookies, identificadores publicitarios, dirección IP, datos sobre eventos en el Sitio Web.
- Ubicación: Irlanda y EE. UU. Transferencia a EE. UU. garantizada mediante CCT y DPF. Google Ads se activa únicamente previa obtención del consentimiento del Usuario.
La lista actualizada de los encargados del tratamiento está disponible en la presente Política. El Responsable del Tratamiento informa a los Usuarios de los cambios planificados en la lista de encargados del tratamiento y ofrece a la Organización (en el modelo B2B) la posibilidad de oponerse a dichos cambios de conformidad con las condiciones del DPA.
Los datos personales también pueden comunicarse a:
- entidades que prestan al Responsable del Tratamiento servicios de contabilidad, jurídicos y de asesoramiento (sobre la base de contratos de encargo del tratamiento)
- autoridades públicas u otras entidades autorizadas – exclusivamente sobre la base de las disposiciones normativas aplicables
- en el modelo B2B – a la Organización, exclusivamente en el ámbito de los datos de facturación y estadísticos especificados en el DPA
9. Transferencias de datos fuera del Espacio Económico Europeo
Algunos encargados del tratamiento del Responsable del Tratamiento tienen su sede fuera del Espacio Económico Europeo (EEE), en particular en los EE. UU. Las transferencias de datos a terceros países están garantizadas mediante los siguientes mecanismos:
- Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea con arreglo al artículo 46, apartado 2, letra c), del RGPD
- Marco de Privacidad de Datos UE-EE. UU. (DPF) – para las entidades certificadas en el marco de este programa (Cloudflare, Google, Meta, RevenueCat, Clerk, Apple)
- medidas técnicas y organizativas adicionales (cifrado en tránsito y en reposo, restricción del acceso al mínimo necesario)
El Usuario tiene derecho a obtener una copia de las medidas de seguridad aplicadas poniéndose en contacto con el Responsable del Tratamiento en hi@muya.app.
Al utilizar el Sitio Web o la Aplicación, el Usuario reconoce que sus datos pueden transferirse a países fuera del EEE, que se consideran que garantizan un nivel adecuado de protección de datos mediante los mecanismos descritos anteriormente.
10. Plazos de conservación de los datos
Los datos personales se conservan durante el período necesario para alcanzar los fines para los que fueron recopilados, y posteriormente durante el período exigido por la normativa aplicable o justificado por los intereses legítimos del Responsable del Tratamiento.
10.1. Datos de la Cuenta de Usuario (B2C)
Los datos de la Cuenta se conservan durante todo el período de uso de la Aplicación. Tras iniciar el proceso de eliminación de la Cuenta:
- inmediatamente tras la solicitud de eliminación – la Cuenta se desactiva y queda inaccesible para el Usuario
- después de 30 días desde el inicio de la eliminación – una tarea programada (cron) realiza la eliminación permanente (hard-delete) de todos los datos de la Cuenta de la base de datos de producción
Tras el hard-delete, los datos pueden permanecer exclusivamente en las copias de seguridad de la infraestructura, por razones técnicas, durante un período máximo de 90 días, transcurrido el cual se eliminan de forma permanente.
10.2. Datos de Usuarios B2B
Los datos de asociación Usuario-Organización se conservan durante la vigencia de la suscripción corporativa. Tras su expiración o la eliminación de la Cuenta del Usuario del pool de la Organización, los datos se eliminan de conformidad con el procedimiento descrito en la sección 10.1, salvo que el DPA disponga otra cosa.
10.3. Datos de facturación y facturas
Los datos necesarios para la emisión de facturas y las liquidaciones fiscales (incluidos los datos de la Organización B2B y los datos de transacciones B2C) se conservan durante 5 años desde el final del año natural en que nació la obligación tributaria, de conformidad con los requisitos de la normativa fiscal.
10.4. Datos de suscriptores al boletín informativo
La dirección de correo electrónico y los datos relacionados se conservan hasta la revocación del consentimiento (baja) o hasta la interrupción del servicio de boletín informativo.
En caso de falta de confirmación de la suscripción a través del mecanismo de doble opt-in (sin clic en el enlace de activación en el plazo de 7 días), los datos se eliminan automáticamente.
10.5. Datos analíticos y de marketing (Google Analytics 4, Google Ads, Meta Pixel, Firebase)
Los datos analíticos y de marketing se conservan durante un período coherente con la configuración de los servicios: Google Analytics 4 (Sitio Web) – período de conservación configurado de datos a nivel de usuario de hasta 14 meses; Firebase Analytics (Aplicación) – período de conservación configurado de datos de hasta 14 meses; Firebase Crashlytics (informes de fallos de la Aplicación) – datos de fallos (trazas de pila, datos de diagnóstico, identificadores de instalación) durante 90 días, tras los cuales se eliminan de los sistemas de producción y copias de seguridad; Google Ads (cookies de conversión y remarketing) – hasta 540 días de conformidad con la política de Google; Meta Pixel – de conformidad con la política de Meta, generalmente hasta 2 años. Los datos se eliminan antes si el Usuario revoca el consentimiento en el banner de cookies o en la configuración de la Aplicación.
10.6. Datos técnicos y registros del sistema
Los registros de Cloudflare y otros registros del sistema se conservan durante un período máximo de 12 meses, transcurrido el cual se eliminan automáticamente.
10.7. Códigos de Activación B2B
La información sobre los códigos de activación generados y utilizados se conserva durante 5 años desde la fecha de generación, a efectos probatorios y de liquidación.
10.8. Datos relativos a la gestión de reclamaciones y solicitudes
Los datos de la correspondencia de contacto se conservan durante el período necesario para responder a la solicitud y, en caso de reclamación o litigio, durante el período necesario para su resolución y hasta la expiración del plazo de prescripción de las acciones legales.
10.9. Datos tratados a efectos de acciones legales
En la medida en que el tratamiento sea necesario para establecer, ejercer o defender acciones legales, los datos personales se conservan durante un período igual al plazo de prescripción de dichas acciones de conformidad con la normativa aplicable.
11. Derechos de los interesados
Con arreglo al RGPD, el Usuario tiene los siguientes derechos:
- Derecho de acceso (artículo 15 del RGPD) – a obtener confirmación de si el Responsable del Tratamiento está tratando datos que le conciernen y, en su caso, a recibir una copia de dichos datos junto con información sobre el tratamiento.
- Derecho de rectificación (artículo 16 del RGPD) – a solicitar la rectificación de los datos inexactos o la completación de los datos incompletos.
- Derecho de supresión («derecho al olvido», artículo 17 del RGPD) – a solicitar la supresión de los datos cuando, por ejemplo, ya no sean necesarios para los fines para los que fueron recopilados, se haya revocado el consentimiento o los datos hayan sido tratados ilícitamente.
- Derecho a la limitación del tratamiento (artículo 18 del RGPD) – a solicitar la suspensión temporal del tratamiento de los datos, por ejemplo mientras se verifica la exactitud de los datos o se examina una objeción.
- Derecho a la portabilidad de los datos (artículo 20 del RGPD) – a recibir los datos en un formato estructurado, de uso común y lectura mecánica, y a transmitir dichos datos a otro responsable del tratamiento.
- Derecho de oposición (artículo 21 del RGPD) – a oponerse al tratamiento basado en los intereses legítimos del Responsable del Tratamiento (artículo 6, apartado 1, letra f), del RGPD), incluida la elaboración de perfiles. El Responsable del Tratamiento cesará en el tratamiento salvo que acredite motivos legítimos imperiosos que prevalezcan sobre los intereses, derechos y libertades del Usuario.
- Derecho a revocar el consentimiento – en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento anterior a su revocación. La revocación del consentimiento al boletín informativo implica la baja de la lista de distribución. La revocación del consentimiento a las cookies analíticas implica la desactivación de GA4/Firebase.
- Derecho a presentar una reclamación ante una autoridad de control – en España: la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6, 28001 Madrid, www.aepd.es. Los Usuarios de otros países pueden presentar una reclamación ante la autoridad competente en materia de protección de datos de su país de residencia.
Para ejercer los derechos anteriores, le rogamos que se ponga en contacto con nosotros en hi@muya.app. El Responsable del Tratamiento responderá a las solicitudes dentro de los plazos establecidos en el RGPD (en general, en el plazo de un mes, con posibilidad de prorrogarlo otros dos meses en casos complejos).
En el modelo B2B, si la solicitud se refiere a datos tratados por el Responsable del Tratamiento en su rol de encargado del tratamiento por cuenta de la Organización, el Responsable del Tratamiento remitirá dicha solicitud a la Organización como responsable del tratamiento y le prestará asistencia en su gestión de conformidad con el DPA.
12. Cookies y tecnologías similares en el Sitio Web
El sitio web www.muya.app utiliza cookies y tecnologías similares (almacenamiento web, píxeles). Las cookies son pequeños archivos de texto almacenados en el dispositivo del Usuario al visitar el Sitio Web.
12.1. Tipos de cookies utilizadas
- Cookies técnicas (necesarias) – permiten el correcto funcionamiento del Sitio Web (p. ej., gestión de formularios, mantenimiento de la sesión). Estas cookies no requieren el consentimiento del Usuario.
- Cookies analíticas – utilizadas para recopilar estadísticas sobre el uso del Sitio Web (Google Analytics 4). Se activan únicamente con el consentimiento del Usuario.
- Cookies de marketing – utilizadas para actividades de marketing, incluido el remarketing (Meta Pixel, Google Ads). Se activan únicamente con el consentimiento del Usuario.
12.2. Gestión del consentimiento de cookies
Al visitar el Sitio Web por primera vez, el Usuario visualiza un banner de consentimiento de cookies (Plataforma de Gestión del Consentimiento – CMP). El Usuario puede:
- aceptar todas las cookies
- rechazar todas las cookies opcionales (solo permanecen activas las cookies técnicas)
- realizar una selección individual de las categorías de cookies
El consentimiento puede modificarse o revocarse en cualquier momento a través de la configuración disponible en el pie de página del Sitio Web. La revocación del consentimiento no afecta a la licitud del tratamiento basado en el consentimiento anterior a su revocación.
13. Tecnologías locales en la Aplicación móvil
La aplicación móvil MUYA no utiliza cookies en el sentido tradicional. En el marco de su funcionamiento, utiliza las siguientes tecnologías de almacenamiento local:
- tokens de sesión (JWT) – que permiten mantener la sesión iniciada del Usuario
- caché (almacenamiento temporal) – utilizada para el almacenamiento temporal de contenidos de audio y datos de la interfaz con el fin de mejorar el rendimiento de la Aplicación
- SDK de Firebase Analytics – para la recopilación de eventos analíticos; SDK de Firebase Crashlytics – para el registro de fallos y errores de la Aplicación. Ambos desactivados de forma predeterminada, se activan únicamente tras otorgar el consentimiento en la Aplicación y se desactivan tras su revocación.
- SDK de proveedores de pago (App Store / Google Play) – componentes nativos del sistema operativo que gestionan la verificación de la suscripción; no almacenan datos de tarjetas de pago en la Aplicación
La Aplicación no utiliza el mecanismo App Tracking Transparency (ATT) en el sentido de la política de Apple; no realiza seguimiento de los Usuarios a través de aplicaciones o sitios web de otras empresas.
14. Seguridad de los datos
El Responsable del Tratamiento aplica medidas técnicas y organizativas que garantizan la seguridad de los datos apropiada al nivel de riesgo, entre las que se incluyen en particular:
- cifrado de las comunicaciones (TLS) en toda la infraestructura de red (Cloudflare)
- cifrado de los datos en reposo en la base de datos PostgreSQL gestionada por DigitalOcean
- la autenticación es gestionada por Clerk como principal proveedor de identidad, con soporte para la autenticación multifactor (MFA) para los usuarios administrativos
- tokens de sesión JWT con versiones – que permiten la revocación remota de la sesión
- restricción del acceso al panel de administración exclusivamente a los empleados autorizados del Responsable del Tratamiento
- actualizaciones periódicas del software y auditorías de seguridad
- procedimientos de respuesta a incidentes de seguridad y obligación de notificar las violaciones de datos a la autoridad de control en el plazo de 72 horas desde que se tenga conocimiento de ellas (artículo 33 del RGPD)
15. Protección de los datos de menores
El Sitio Web y la Aplicación no están destinados a personas menores de 16 años. El Responsable del Tratamiento no recopila conscientemente datos personales de personas menores de 16 años.
El Responsable del Tratamiento aplica a nivel mundial un umbral de edad uniforme y elevado de 16 años, con independencia de las disposiciones locales vigentes en las distintas jurisdicciones (p. ej., Reino Unido – 13 años, Irlanda – 13 años, algunos Estados miembros de la UE – 13 o 14 años). Esta decisión se debe a la naturaleza wellness de la Aplicación y al objetivo de mantener una política coherente y transparente de protección de menores.
Al crear la Cuenta, el Usuario declara que tiene al menos 16 años de edad. En caso de que el Responsable del Tratamiento tenga conocimiento de que se han recopilado datos personales de una persona menor de 16 años, dichos datos se eliminarán de inmediato y la Cuenta será bloqueada.
Los padres o tutores legales que sospechen que un menor de 16 años ha proporcionado sus datos personales al Responsable del Tratamiento les rogamos que se pongan en contacto con nosotros en hi@muya.app. El Responsable del Tratamiento procederá a eliminar dichos datos de forma diligente.
16. Disposiciones locales en jurisdicciones seleccionadas
La Aplicación está disponible a nivel mundial. Además de los derechos reconocidos a los Usuarios con arreglo al RGPD, pueden aplicarse los siguientes derechos u obligaciones adicionales en función del país de residencia del Usuario:
16.1. Reino Unido (UK RGPD y Data Protection Act 2018)
El UK RGPD y el Data Protection Act 2018 se aplican a los Usuarios en el Reino Unido. Los derechos de los Usuarios del Reino Unido son equivalentes a los descritos en la sección 11 de la presente Política. Los Usuarios del Reino Unido pueden presentar una reclamación ante la Information Commissioner’s Office (ICO): https://ico.org.uk.
Las transferencias de datos a los EE. UU. se realizan sobre la base del UK-US Data Bridge (UK Extension to the EU-US Data Privacy Framework), así como sobre la base de las Cláusulas Contractuales Tipo adaptadas para el derecho del Reino Unido (UK IDTA – International Data Transfer Agreement).
16.2. Suiza (Ley Federal de Protección de Datos – nLPD)
Las disposiciones de la nueva Ley Federal suiza de Protección de Datos (nLPD, en vigor desde el 1 de septiembre de 2023) se aplican a los Usuarios en Suiza. Los Usuarios suizos pueden presentar una reclamación ante el Comisionado Federal de Protección de Datos e Información (FDPIC): https://www.edoeb.admin.ch.
Las transferencias de datos a los EE. UU. se realizan sobre la base del Swiss-US Data Privacy Framework (Swiss-US DPF), reconocido por el FDPIC.
16.3. Estados Unidos – California (CCPA / CPRA)
Los residentes del Estado de California tienen derechos adicionales con arreglo a la California Consumer Privacy Act (CCPA), modificada por la California Privacy Rights Act (CPRA), entre los que se incluyen:
- el derecho a saber (right to know) qué datos personales se recopilan, utilizan, divulgan o venden
- el derecho de supresión de los datos personales
- el derecho de rectificación de los datos inexactos
- el derecho a limitar el tratamiento de los datos personales sensibles (Sensitive Personal Information – SPI)
- el derecho a optar por no participar en la «venta» o la «cesión» de datos personales («Do Not Sell or Share My Personal Information»)
- el derecho a no ser objeto de discriminación en relación con el ejercicio de los derechos anteriores
El Responsable del Tratamiento declara que no vende datos personales en el sentido de la CCPA. Algunas formas de cesión de datos a socios publicitarios (Meta Pixel, Google Ads) pueden calificarse como «cesión» en el sentido de la CCPA. Los Usuarios que no deseen que sus datos sean compartidos con fines publicitarios deben revocar el consentimiento a las cookies de marketing en la configuración del Sitio Web.
16.4. Canadá (PIPEDA)
La Personal Information Protection and Electronic Documents Act (PIPEDA) se aplica a los Usuarios en Canadá. Los Usuarios canadienses tienen derecho de acceso a sus datos y a la rectificación de inexactitudes. El Responsable del Tratamiento designa hi@muya.app como punto de contacto para el ejercicio de los derechos con arreglo a la PIPEDA.
Las reclamaciones pueden presentarse ante la Office of the Privacy Commissioner of Canada (OPC): https://www.priv.gc.ca.
16.5. Brasil (LGPD)
La Lei Geral de Proteção de Dados (LGPD, Ley n.º 13.709/2018) se aplica a los Usuarios en Brasil. Los Usuarios brasileños tienen derecho de acceso, rectificación, supresión, portabilidad de los datos, información sobre la cesión de datos y derecho a revocar el consentimiento. Estos derechos pueden ejercerse poniéndose en contacto con hi@muya.app.
El Responsable del Tratamiento ha designado la dirección hi@muya.app como punto de contacto para el ejercicio de los derechos con arreglo a la LGPD y como punto de contacto con la Autoridade Nacional de Proteção de Dados (ANPD).
16.6. Japón (APPI) – Información para futuros Usuarios
La Aplicación MUYA no está actualmente disponible en japonés ni se dirige activamente al mercado japonés. Los requisitos de la Act on the Protection of Personal Information (APPI) se implementarán antes de poner la Aplicación a disposición en la versión en lengua japonesa.
La Aplicación no se dirige actualmente a los residentes en Japón. Los residentes en Japón que utilicen la Aplicación en una versión lingüística actualmente disponible lo hacen de forma voluntaria y aceptan las normas aplicables con arreglo a la presente Política.
16.7. China (PIPL) – Información para futuros Usuarios
La Aplicación no está actualmente disponible de forma oficial en una versión en lengua china ni está dedicada al mercado chino. Antes de poner la Aplicación a disposición de los residentes en la República Popular China, el Responsable del Tratamiento implementará los requisitos de la Personal Information Protection Law (PIPL), en particular las disposiciones relativas a:
- los mecanismos para las transferencias de datos fuera del territorio de China (certificación CAC, Cláusulas Contractuales Tipo para China u otros mecanismos aprobados)
- los derechos de los Usuarios con arreglo a la PIPL (acceso, rectificación, supresión, revocación del consentimiento, portabilidad y otros)
- la designación de un representante local en China, si fuera necesario
La Aplicación no se dirige actualmente a los residentes en China. Los residentes en China que utilicen la Aplicación en una versión lingüística actualmente disponible lo hacen de forma voluntaria y aceptan las normas aplicables con arreglo a la presente Política.
17. Elaboración de perfiles y toma de decisiones automatizada
El Responsable del Tratamiento lleva a cabo elaboración de perfiles en el sentido del artículo 4, apartado 4, del RGPD de forma limitada. La elaboración de perfiles consiste en:
- análisis del historial de reproducción de audio y de los Contenidos favoritos con el fin de generar sugerencias personalizadas de sesiones de audio en la Aplicación
- segmentación de los suscriptores al boletín informativo con el fin de adaptar el contenido y la frecuencia del envío (p. ej., en función de las preferencias indicadas al suscribirse)
- análisis de eventos analíticos en el Sitio Web y en la Aplicación (GA4, Firebase) con el fin de optimizar las funcionalidades y la relevancia de las campañas de marketing – únicamente sobre la base del consentimiento expresado en el banner de cookies (Sitio Web) o en el mensaje de consentimiento / configuración de la Aplicación (Aplicación).
La elaboración de perfiles no da lugar a decisiones automatizadas con respecto al Usuario en el sentido del artículo 22 del RGPD, es decir, decisiones que produzcan efectos jurídicos o que le afecten significativamente de manera similar. Las sugerencias personalizadas tienen exclusivamente carácter auxiliar.
El Usuario tiene derecho a oponerse a la elaboración de perfiles realizada sobre la base de intereses legítimos (artículo 6, apartado 1, letra f), del RGPD) poniéndose en contacto con el Responsable del Tratamiento en hi@muya.app.
18. Cambios en la Política de Privacidad
El Responsable del Tratamiento se reserva el derecho de actualizar la presente Política en caso de:
- cambios en las disposiciones normativas relativas a la protección de datos personales
- introducción de nuevas funcionalidades en el Sitio Web o la Aplicación
- cambios en la lista de encargados del tratamiento o en el ámbito del tratamiento
- otros motivos importantes que requieran una actualización de la Política
Los Usuarios serán informados con antelación de los cambios materiales en la Política, mediante un aviso en la Aplicación y/o por correo electrónico a la dirección asociada a la Cuenta. Los cambios entrarán en vigor no antes de los 14 días desde la fecha de la notificación, salvo que deriven de una obligación legal y requieran una implementación inmediata.
La versión actualizada de la Política está siempre disponible en el Sitio Web www.muya.app y en la Aplicación en la sección «Información legal».
19. Contacto
Para todas las cuestiones relativas a la protección de datos personales, el ejercicio de los derechos de los Usuarios y las preguntas sobre la presente Política de Privacidad, le rogamos que se ponga en contacto con:
- correo electrónico: hi@muya.app
- dirección postal: Sopraya Sp. z o.o., ul. Krasińskiego 20, 64-800 Chodzież, Polonia
- teléfono: +48 660 927 243
Para las reclamaciones relativas al funcionamiento de la Aplicación y los Servicios prestados, le rogamos que se ponga en contacto con: contact@sopraya.com.
– fin del documento –
Versión 1.0 | Vigente desde el 15.05.2026
