Política de Privacidad

Última actualización: 6 de abril de 2026

Esta Política de Privacidad describe cómo ArcaFight (en adelante, "el Servicio") recoge, utiliza y protege los datos personales de sus usuarios, en cumplimiento del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

1. Responsable del tratamiento

El responsable del tratamiento es la persona física titular del proyecto ArcaFight. Para cualquier consulta relacionada con tus datos puedes contactar en: [email protected] (sustituir por el email real del titular).

2. Datos que recogemos

• Datos de cuenta: nombre de usuario, dirección de correo electrónico, contraseña (almacenada cifrada con bcrypt).
• Datos técnicos: dirección IP, fecha y hora de conexión, identificador de sesión, latencia (RTT) durante el matchmaking.
• Datos de juego: estadísticas, ELO, victorias/derrotas, habilidades, historial de combates, amigos.
• Datos de pago: NO almacenamos números de tarjeta. Los pagos los procesa Stripe Payments Europe, Ltd. Nosotros únicamente conservamos el identificador de transacción de Stripe, el importe, la fecha y el estado del pago.

3. Finalidad del tratamiento

• Permitir el acceso al juego y gestionar tu cuenta.
• Facilitar el emparejamiento PvP y la persistencia de combates.
• Procesar las compras de monedas virtuales.
• Comunicarnos contigo en relación con tu cuenta o tus compras.
• Prevenir fraude y abusos del Servicio.

4. Base legal

• Ejecución de un contrato (art. 6.1.b RGPD): para prestar el Servicio y procesar tus compras.
• Obligación legal (art. 6.1.c RGPD): conservación de registros fiscales y de transacciones.
• Interés legítimo (art. 6.1.f RGPD): prevención de fraude, seguridad del servicio, mejora del matchmaking.
• Consentimiento (art. 6.1.a RGPD): cuando sea aplicable (cookies no esenciales, comunicaciones promocionales).

5. Procesadores y terceros

Para prestar el Servicio compartimos datos estrictamente necesarios con los siguientes encargados del tratamiento:

• Stripe Payments Europe, Ltd. (Irlanda) — procesador de pagos. Recibe tu email y los datos de la transacción. Política: stripe.com/es/privacy.
• MongoDB Atlas (operado por MongoDB, Inc., con clusters alojados en AWS Europa, región eu-west-1, Irlanda) — base de datos gestionada en la nube donde se almacenan los datos de cuenta, estadísticas de juego, historial de combates y registros de transacciones. Política: mongodb.com/legal/privacy-policy.
• Cloudflare, Inc. — proveedor de la red CDN/Tunnel a través de la cual se sirve el Servicio. Procesa metadatos de conexión (IP, user-agent, fecha/hora) con la finalidad de enrutar el tráfico y mitigar abusos. Política: cloudflare.com/privacypolicy.

Los datos personales se almacenan dentro del Espacio Económico Europeo (Irlanda). MongoDB, Inc. y Cloudflare, Inc. son entidades estadounidenses; las eventuales transferencias internacionales fuera del EEE quedan amparadas por las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914) y, en el caso de Estados Unidos, por la adhesión de los proveedores al EU–US Data Privacy Framework.

6. Plazo de conservación

• Datos de cuenta: mientras la cuenta esté activa. Si solicitas su eliminación, se borrarán salvo aquellos que debamos conservar por obligación legal.
• Datos de transacciones: 6 años (art. 30 del Código de Comercio).
• Logs técnicos: máximo 12 meses.

7. Derechos del usuario

Tienes derecho a acceder, rectificar, suprimir, oponerte al tratamiento, limitar el tratamiento, solicitar la portabilidad de tus datos y retirar el consentimiento en cualquier momento. Para ejercerlos escribe a [email protected].

Si consideras que el tratamiento de tus datos no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

8. Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos frente a accesos no autorizados, pérdida o alteración:

• Contraseñas almacenadas con función de hash bcrypt (nunca en texto plano).
• Autenticación de sesión mediante JWT firmado.
• Conexiones siempre HTTPS (TLS gestionado por Cloudflare).
• Conexión a la base de datos cifrada de extremo a extremo (TLS) y autenticada con usuario+contraseña; cifrado en reposo proporcionado por MongoDB Atlas.
• Validación criptográfica (firma HMAC) de los webhooks de Stripe para impedir entregas falsificadas.
• Restricción de acceso a la base de datos mediante lista blanca de IPs (IP allowlist) en MongoDB Atlas.

9. Menores de edad

El Servicio está dirigido a personas mayores de 14 años. No recogemos conscientemente datos de menores de esa edad. Si eres padre, madre o tutor y crees que tu hijo/a nos ha facilitado datos personales, contacta con nosotros y procederemos a su eliminación.

10. Cambios en esta política

Nos reservamos el derecho a actualizar esta política. La versión vigente siempre estará disponible en esta URL con la fecha de última actualización.

← Volver a ArcaFight