Cardio Critters
← Volver al inicio

Política de Privacidad y Tratamiento de Datos

Última actualización: 25 de junio de 2026 Vigente desde: 25 de junio de 2026 Versión: 1.0

Parte I — Política de Privacidad

1. Quiénes somos (Responsable del Tratamiento)

Cardio Critters («la App», «nosotros») es una aplicación móvil de running con mascota virtual desarrollada y operada por Santiago Moreno Benavides, persona natural, desarrollador independiente, con residencia en Colombia, en calidad de Responsable del Tratamiento de los datos personales.

  • Correo de privacidad / Habeas Data: cardiocritters@gmail.com
  • Persona de contacto para asuntos de datos: Santiago Moreno Benavides (el desarrollador). Dado que el servicio lo opera una persona natural, no se designa un DPO formal: el Responsable es directamente el punto de contacto.
  • Sitio web: https://cardiocritters.com
  • Canal oficial de atención de privacidad y derechos de Habeas Data: el correo electrónico indicado arriba.

Esta política explica qué datos personales recogemos, con qué finalidad, con quién los compartimos, cuánto los conservamos y qué derechos tienes sobre ellos. Aplica a la app iOS (y futuras versiones Android), a la landing pública y al backoffice administrativo.

2. Principio rector

Diseñamos Cardio Critters bajo el principio de minimización de datos: recogemos lo estrictamente necesario para que el juego funcione y para que tu mascota virtual responda a tu actividad física. En particular:

  • Tu recorrido GPS no sale de tu teléfono. Usamos la ubicación únicamente, y en tiempo real en el dispositivo, para calcular la distancia y el ritmo de tu corrida. No enviamos ni almacenamos las coordenadas, la ruta ni el mapa de tu recorrido en nuestros servidores — solo guardamos métricas agregadas (distancia total, duración, ritmo, calorías estimadas).
  • No usamos SDKs de publicidad ni de analítica de terceros (no hay rastreadores, ni identificadores publicitarios, ni perfilado con fines de marketing).
  • No vendemos tus datos personales a nadie.
  • No procesamos pagos dentro de la app: la economía del juego («energía») es virtual y se obtiene corriendo; no hay compras con dinero real ni datos de tarjetas.

3. Datos que recogemos

3.1. Datos de cuenta e identidad

Gestionados a través de nuestro proveedor de autenticación Clerk (ver §6):

  • Correo electrónico (obligatorio para crear la cuenta).
  • Contraseña — la gestiona y almacena Clerk de forma cifrada; nosotros nunca vemos ni guardamos tu contraseña.
  • Nombre para mostrar (display name).
  • Número de teléfonosolo si activas verificación en dos pasos (2FA) por SMS.
  • Metadatos de autenticación (estado de sesión, verificación de email, factores MFA).

Internamente, nuestro backend solo guarda un identificador interno (usr_…) y la referencia de Clerk; el resto de la identidad vive en Clerk.

3.2. Datos de perfil y preferencias

  • Avatar seleccionado, biografía corta (opcional).
  • Idioma (locale) y zona horaria (timezone) — esta última es necesaria para calcular correctamente rachas y degradación diaria de la mascota.
  • Ajustes de la app: notificaciones activadas/desactivadas, hora de recordatorio, unidades (métrico/imperial).

3.3. Datos de actividad física (datos sensibles)

Tratamos como datos sensibles de salud/fitness:

  • Por cada corrida: distancia, duración, ritmo (pace), calorías estimadas, fecha y hora.
  • Datos derivados/acumulados: kilómetros totales, número de corridas, energía generada, rachas, mejor distancia.
  • Ubicación precisa (GPS): se solicita el permiso de ubicación (incluido en segundo plano para no interrumpir el seguimiento mientras corres) y se procesa exclusivamente en tu dispositivo para medir la corrida. No transmitimos ni conservamos la traza ni las coordenadas.

3.4. Datos de juego y progreso

  • Mascota(s), sus estados (hambre, ánimo, salud), nivel y XP.
  • Inventario, buffs, misiones, logros, billetera de energía.

3.5. Datos técnicos y de notificaciones

  • Token de notificaciones push (token de registro de Firebase Cloud Messaging) y la plataforma del dispositivo (iOS/Android, solo con fines de entrega/observabilidad).
  • Marca de «última actividad» (last_active_at).
  • Registros de servidor mínimos: por política, nuestros logs y nuestro registro de eventos no contienen datos personales identificables — solo el identificador interno usr_…, la acción y la latencia. La dirección IP es procesada de forma transitoria por la infraestructura de borde (Cloudflare) para entregar el servicio y protegerlo de abuso; no la almacenamos en nuestra base de datos de juego.

3.6. Datos que NO recogemos

  • Coordenadas GPS / rutas / mapas de tus corridas (no salen del dispositivo).
  • Datos de tarjetas o pagos (no hay compras con dinero real).
  • Frecuencia cardíaca u otros datos de HealthKit/wearables (no implementado en esta versión).
  • Identificadores publicitarios (IDFA, AAID) ni datos para publicidad o perfilado.

4. Finalidades del tratamiento

Usamos tus datos para:

  1. Prestar el servicio principal: crear y mantener tu cuenta, calcular la energía/XP de tus corridas, mantener viva a tu mascota virtual y sincronizar tu progreso entre sesiones y dispositivos.
  2. Funcionalidad de juego: rachas, misiones, logros, tienda virtual, inventario y notificaciones del juego.
  3. Notificaciones: recordatorios de corrida, alertas de estado de tu mascota, misiones listas y recompensas (puedes desactivarlas).
  4. Seguridad y prevención de abuso: autenticación, control de fraude/idempotencia, integridad de la economía del juego.
  5. Soporte y comunicación operativa contigo.
  6. Cumplimiento de obligaciones legales y atención de solicitudes de derechos.
  7. Mejora del producto a partir de datos agregados y no identificables (no usamos analítica individual con rastreadores).

No tratamos tus datos con fines de publicidad dirigida ni los cedemos a terceros con fines comerciales.

5. Base legal del tratamiento (GDPR / leyes equivalentes)

FinalidadBase legal (GDPR art. 6 / datos sensibles art. 9)
Crear y operar tu cuenta y el juegoEjecución del contrato (art. 6.1.b)
Tratamiento de datos de actividad física/saludConsentimiento explícito (art. 9.2.a) otorgado al registrarte
Notificaciones pushConsentimiento (revocable en ajustes del SO/app)
Seguridad, prevención de fraudeInterés legítimo (art. 6.1.f)
Cumplimiento legal y atención de derechosObligación legal (art. 6.1.c)

6. Con quién compartimos datos (Encargados / terceros)

Compartimos datos únicamente con proveedores que actúan como Encargados del Tratamiento bajo contrato, y solo lo necesario para operar:

ProveedorFunciónDatos que trataUbicación
Clerk, Inc.Autenticación e identidadEmail, contraseña (cifrada), teléfono (si 2FA), nombre, metadatos de sesiónEE. UU.
Cloudflare, Inc.Hosting, base de datos (D1), almacenamiento (KV/R2), CDN, seguridad de bordeTodos los datos de la cuenta y del juego; IP transitoriaRed global de borde (EE. UU. y otros)
Google (Firebase Cloud Messaging)Entrega de notificaciones pushToken de dispositivo; contenido de la notificación (sin PII)EE. UU.
Apple, Inc. (APNs)Entrega de push a dispositivos iOSToken de dispositivo; contenido de la notificación (sin PII)EE. UU.

También podremos divulgar datos cuando lo exija la ley, una orden judicial o autoridad competente, o para proteger derechos, seguridad e integridad del servicio.

7. Transferencias internacionales

Tus datos pueden ser procesados fuera de tu país (principalmente en EE. UU. y en la red de borde global de nuestros proveedores). Cuando esto ocurre, nos apoyamos en mecanismos de transferencia válidos, como las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea, decisiones de adecuación y/o tu consentimiento informado. Para usuarios en Colombia, la transferencia se realiza conforme a la Ley 1581 de 2012 y sus decretos reglamentarios.

8. Conservación de los datos

  • Conservamos tus datos mientras tu cuenta esté activa.
  • Al solicitar la eliminación, aplicamos primero un borrado lógico (la cuenta queda marcada como deleted y deja de ser accesible) y luego una purga definitiva de los datos que no debamos conservar por obligación legal o de seguridad.
  • Los registros de eventos del sistema (sin PII) y datos agregados pueden conservarse por tiempo limitado para auditoría, seguridad y estadística.

9. Seguridad

Aplicamos medidas técnicas y organizativas razonables: cifrado en tránsito (HTTPS/TLS), autenticación delegada con tokens (JWT), almacenamiento gestionado en infraestructura de borde, principio de mínimo privilegio para el acceso administrativo (rol super_admin) y política estricta de cero PII en registros y notificaciones. Ningún sistema es 100 % infalible; en caso de una violación de seguridad que afecte tus datos, notificaremos a la autoridad competente y a los usuarios afectados según los plazos legales aplicables.

10. Tus derechos

Según tu jurisdicción, tienes derecho a:

  • Acceder a tus datos y obtener una copia.
  • Rectificar / actualizar datos inexactos.
  • Suprimir / eliminar tus datos («derecho al olvido»).
  • Limitar u oponerte a ciertos tratamientos.
  • Portabilidad de tus datos.
  • Revocar el consentimiento en cualquier momento (sin afectar la licitud del tratamiento previo).
  • Presentar un reclamo ante la autoridad de control competente.

Cómo ejercerlos: escríbenos a cardiocritters@gmail.com indicando tu solicitud y un medio para verificar tu identidad. Responderemos dentro de los plazos legales (ver Parte II para los plazos de Colombia; en general, hasta 30 días bajo GDPR/equivalentes).

11. Menores de edad

El contenido de Cardio Critters es apto para todo público (no contiene material inapropiado). No obstante, la App no está diseñada ni dirigida a niños: como requiere crear una cuenta y trata datos de actividad física (sensibles), aplican las siguientes reglas:

  • No recogemos a sabiendas datos personales de menores de 13 años (conforme a COPPA). La App no está orientada a ese grupo.
  • Los menores de edad (13 a 17 años) solo deben usar la App y crear una cuenta con la participación y autorización de su padre, madre o representante legal, en especial para el consentimiento del tratamiento de los datos de actividad física.
  • Si detectamos una cuenta de un menor de 13 años, o de un adolescente sin autorización válida de su representante legal, la eliminaremos. Si eres padre/madre o tutor y crees que un menor nos proporcionó datos, escríbenos al correo indicado y procederemos a su supresión.

12. Cambios a esta política

Podemos actualizar esta política. Publicaremos la versión vigente en https://cardiocritters.com/legal/privacy con su fecha de «Última actualización». Si los cambios son sustanciales, te avisaremos por medios razonables (notificación in-app o email) y, cuando la ley lo exija, solicitaremos nuevamente tu consentimiento.

13. Contacto

Santiago Moreno Benavides — desarrollador independiente y Responsable del Tratamiento · cardiocritters@gmail.com · https://cardiocritters.com

Parte II — Política de Tratamiento de Datos Personales

(Régimen colombiano — Ley 1581 de 2012, Decreto 1377 de 2013 y concordantes)

Esta Parte II es la Política de Tratamiento de Información exigida a todo Responsable por el régimen de Habeas Data colombiano. Si el Responsable no está domiciliado en Colombia pero ofrece el servicio allí, aplica igualmente.

1. Responsable del Tratamiento

  • Responsable: Santiago Moreno Benavides (persona natural — desarrollador independiente)
  • País: Colombia
  • Correo electrónico (dirección electrónica de contacto y canal oficial de Habeas Data): cardiocritters@gmail.com
  • Sitio web: https://cardiocritters.com
  • Atención de peticiones, consultas y reclamos: directamente por el Responsable, a través del correo electrónico indicado.

Nota: por tratarse de una persona natural, se señala una dirección electrónica (correo) como medio de contacto, conforme lo admite el régimen de Habeas Data; no se publica una dirección física.

2. Definiciones (art. 3, Ley 1581)

Titular: persona natural cuyos datos personales son objeto de tratamiento (el usuario). Dato sensible: aquel que afecta la intimidad o cuyo uso indebido puede generar discriminación (aquí, los datos de actividad física y salud). Tratamiento: cualquier operación sobre datos personales (recolección, almacenamiento, uso, circulación, supresión). Encargado: quien trata datos por cuenta del Responsable (ver Parte I §6).

3. Datos que se tratan

Los descritos en la Parte I §3: datos de identificación y contacto (email, nombre, teléfono opcional), datos de perfil y preferencias, datos sensibles de actividad física, datos de juego/progreso y datos técnicos de dispositivo. Se reitera que la geolocalización GPS no se almacena en servidores, solo se procesa en el dispositivo.

4. Finalidades

Las descritas en la Parte I §4. El tratamiento de datos sensibles (actividad física/salud) se realiza con la autorización previa, expresa e informada del Titular y es facultativo: el Titular no está obligado a autorizar el tratamiento de datos sensibles, aunque sin ellos la función central del juego (medir corridas y mantener la mascota) no puede operar.

5. Derechos del Titular (art. 8, Ley 1581)

  1. Conocer, actualizar y rectificar sus datos.
  2. Solicitar prueba de la autorización otorgada.
  3. Ser informado sobre el uso dado a sus datos.
  4. Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones.
  5. Revocar la autorización y/o solicitar la supresión del dato cuando proceda.
  6. Acceder de forma gratuita a sus datos personales.

6. Procedimiento para consultas y reclamos

  • Canal: cardiocritters@gmail.com (correo oficial de atención de Habeas Data).
  • Consultas: se atienden en un término máximo de diez (10) días hábiles; si no es posible, se informa al Titular y se atiende dentro de los cinco (5) días hábiles siguientes.
  • Reclamos: plazo máximo de quince (15) días hábiles desde el día siguiente a su recepción; si no es posible, se informa y se resuelve dentro de los ocho (8) días hábiles siguientes. Los reclamos incompletos se podrán requerir para subsanación dentro de los cinco (5) días siguientes a su recepción.

7. Autorización

El Responsable obtiene la autorización del Titular al momento del registro mediante aceptación expresa. La autorización queda registrada con fecha/hora y versión del documento aceptado, como prueba de su otorgamiento.

8. Medidas de seguridad y Encargados

Ver Parte I §6 y §9. Los Encargados tratan datos bajo contrato y conforme a esta política.

9. Vigencia de la política y de las bases de datos

Esta política rige desde el 25 de junio de 2026. Los datos se conservan mientras la cuenta esté activa y durante los plazos legales aplicables (ver Parte I §8). Cualquier cambio sustancial se comunicará por los canales informados.