en vigor desde el 9 de julio de 2026
Esta traducción se ofrece para tu comodidad. En caso de discrepancia, prevalece la versión en inglés.
§1. Responsable y contacto
Esta política de privacidad explica cómo se tratan los datos personales en el servicio Todrawn (el «Servicio»): pizarras interactivas en línea para dibujar, añadir formas e imágenes y colaborar con otros usuarios.
El responsable del tratamiento de tus datos personales es Jakub Kuźnicki (el «Proveedor»). Para cuestiones de protección de datos puedes contactar con el Proveedor por correo electrónico en support@todrawn.com.
Los términos escritos con mayúscula inicial y no definidos aquí tienen el significado que les otorgan las Condiciones del servicio.
§2. Qué datos tratamos
Según cómo uses el Servicio, tratamos:
- datos de la cuenta — tu dirección de correo y, en las cuentas creadas con contraseña, un hash de la contraseña (nunca guardamos la contraseña en sí); las cuentas creadas con Google Sign-In no tienen contraseña,
- datos de contenido — las pizarras que creas, incluidos dibujos, formas, texto e imágenes subidas,
- datos de suscripción — tu plan (FREE o PREMIUM), el estado de la suscripción y el identificador que te asigna nuestro operador de pagos,
- datos técnicos — la información necesaria para mantener el Servicio seguro y en funcionamiento, como la hora de determinadas acciones y los metadatos básicos de las peticiones registrados en los logs del servidor.
No tratamos categorías especiales de datos ni usamos tus datos para decisiones automatizadas o elaboración de perfiles.
§3. Para qué los tratamos y con qué base legal
Tratamos tus datos con los siguientes fines:
- prestar el Servicio y gestionar tu cuenta — ejecución del contrato (art. 6.1.b del RGPD),
- gestionar los pagos del plan PREMIUM y cumplir las obligaciones contables — cumplimiento de una obligación legal (art. 6.1.c del RGPD),
- verificar tu dirección de correo y gestionar el restablecimiento de contraseñas — ejecución del contrato (art. 6.1.b del RGPD),
- mantener la seguridad del Servicio y prevenir abusos — nuestro interés legítimo (art. 6.1.f del RGPD),
- atender reclamaciones y responder a tus solicitudes — nuestro interés legítimo (art. 6.1.f del RGPD).
§4. Cookies y almacenamiento del navegador
El Servicio no utiliza cookies publicitarias, analíticas ni de seguimiento. No elaboramos perfiles sobre ti ni cargamos scripts de seguimiento de terceros.
Para mantener tu sesión iniciada, el Servicio guarda dos tokens de autenticación en el almacenamiento de tu navegador. Si marcas «Recuérdame en este dispositivo» al iniciar sesión, los tokens se guardan en almacenamiento persistente (localStorage) para que la sesión sobreviva a un reinicio del navegador; de lo contrario se guardan en el almacenamiento de sesión y se borran al cerrar la pestaña o el navegador. Estos tokens son estrictamente necesarios para que el Servicio funcione y se eliminan al cerrar sesión.
Además de estos tokens, el Servicio guarda en tu navegador algunas preferencias menores — por ejemplo tu elección de tema claro u oscuro, la configuración de la barra de herramientas y la anotación de que has cerrado el aviso de cookies. Solo recuerdan tus elecciones en este dispositivo; no contienen identificadores de seguimiento y no se comparten con nadie.
Si eliges iniciar sesión con Google, Google Sign-In se carga desde los servidores de Google y puede establecer sus propias cookies en el dominio accounts.google.com, conforme a la política de privacidad de Google. Esto solo ocurre cuando usas activamente esa opción.
§5. Con quién compartimos datos
Compartimos datos únicamente con los proveedores que nos ayudan a operar el Servicio, y solo en la medida necesaria:
- Stripe — nuestro operador de pagos, que procesa los pagos de las suscripciones. El Proveedor no almacena datos de tarjetas: los procesa exclusivamente Stripe,
- Google — cuando eliges iniciar sesión con Google, el token de identidad de Google se verifica para confirmar tu identidad.
Los códigos de verificación y los mensajes de restablecimiento de contraseña se gestionan dentro del Servicio y no se comparten con ningún proveedor de correo externo. No vendemos tus datos personales ni los compartimos con fines de marketing.
§6. Cuánto tiempo conservamos los datos
Conservamos los datos de cuenta y de contenido mientras tengas una Cuenta. Puedes dejar de usar el Servicio en cualquier momento y solicitar la eliminación de la Cuenta contactando con el Proveedor; al eliminarla se borran tus pizarras e imágenes.
Los datos relacionados con pagos se conservan durante el periodo exigido por la normativa contable y fiscal. Los datos tratados sobre la base de nuestro interés legítimo se conservan hasta que ese fin se cumpla o tu oposición prospere, lo que ocurra primero.
En la práctica, esto supone los siguientes plazos de conservación:
- datos de la cuenta (tu correo y, en su caso, un hash de contraseña) — hasta que elimines tu Cuenta,
- pizarras e imágenes — hasta que las elimine su propietario o se elimine la Cuenta; las imágenes subidas se sirven mediante enlaces imposibles de adivinar y pueden quedar copias en cachés del navegador o de intermediarios hasta 7 días después de la eliminación,
- códigos de verificación de correo y de restablecimiento de contraseña — 15 minutos; después se descartan automáticamente,
- los registros de acciones administrativas sobre Cuentas (nuestro registro de auditoría) — 24 meses desde la acción,
- los registros de entrega de correos de marketing — el contenido del mensaje y los recuentos se conservan para informes, pero la dirección de correo del destinatario de cada registro se anonimiza 30 días después de que el mensaje se enviara, fallara u omitiera,
- los identificadores de eventos de pago procesados (para no procesar dos veces la misma notificación de pago) — 90 días,
- los logs del servidor — hasta 90 días, por motivos de seguridad y diagnóstico,
- los datos de pago en sí no los almacena el Proveedor: los conserva Stripe según su propia política de retención.
§7. Transferencias internacionales
Algunos de nuestros proveedores (en particular Stripe y Google) pueden tratar datos fuera del Espacio Económico Europeo. En esos casos la transferencia se realiza sobre la base de garantías adecuadas, en particular las cláusulas contractuales tipo de la Comisión Europea.
§8. Tus derechos
Tienes derecho a acceder a tus datos, rectificarlos, suprimirlos, limitar su tratamiento, portarlos y oponerte a su tratamiento. Cuando el tratamiento se base en el consentimiento, puedes retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento realizado con anterioridad.
Para ejercer tus derechos, contacta con el Proveedor en la dirección de correo indicada en el §1. También tienes derecho a presentar una reclamación ante la autoridad de control: el presidente de la Oficina Polaca de Protección de Datos Personales (UODO).
§9. Menores
El Servicio está destinado a personas de al menos 16 años. Los menores usan el Servicio con el consentimiento de un tutor legal. No tratamos a sabiendas datos de menores por debajo de esa edad.
§10. Cambios en esta política
Podemos actualizar esta política de privacidad, por ejemplo cuando cambie la ley o la forma de prestar el Servicio. La versión vigente está siempre disponible en el Servicio, con la fecha de entrada en vigor indicada abajo. Cuando el cambio lo requiera, avisaremos a los Usuarios por correo electrónico.
Esta política de privacidad está en vigor desde el 9 de julio de 2026.