1. Responsable del tratamiento

• Titular: SOCIALVIDEOHUB SL (en constitución).
  Responsable: Sergio Gimeno Roser.
  NIF: [PENDIENTE].
  Datos registrales: [PENDIENTE · Registro Mercantil de Valencia].
  Web: socialvideohub.es.
  LinkedIn del responsable: linkedin.com/in/sergiogimeno.
• Domicilio fiscal: Valencia, España.
  Dirección postal completa: [PENDIENTE].
• Email de contacto en materia de protección de datos: privacidad@socialvideohub.es
  Email legal: legal@socialvideohub.es
  Email general: info@socialvideohub.es
• Delegado de Protección de Datos (DPO): no obligatorio en este momento conforme al art. 37 RGPD; el titular asume directamente las funciones de cumplimiento RGPD/LOPDGDD.

2. Datos personales que tratamos

Tratamos las siguientes categorías de datos, siempre limitadas al mínimo necesario para las finalidades declaradas (principio de minimización, art. 5.1.c RGPD):

• Identificativos: nombre, apellidos, alias o nombre artístico, email, contraseña cifrada (hash bcrypt).
• Perfil público (creadores/marcas/agencias): biografía, avatar, redes sociales conectadas (handles), contenidos publicados, catálogo o tienda asociada.
• Transaccionales: historial de suscripciones y pagos (gestionados íntegramente por Stripe Payments Europe Ltd.). SVH NO almacena datos de tarjeta.
• Técnicos y de seguridad: dirección IP, User-Agent, tipo de dispositivo y modelo aproximado, país/región/ciudad/CP obtenidos por geolocalización IP, indicios de VPN/proxy, URL visitada, tiempo de permanencia, URL de salto, códigos de evento de seguridad (intentos de login fallidos, sondeo de rutas, bot UA detectado, etc.).
• Cookies y trazas: según el detalle de la Política de Cookies.
• Datos opcionales aportados por el usuario: teléfono, dirección física, archivos adjuntos en mensajes de soporte, importe de interés de inversión.

3. Finalidades del tratamiento

1. Prestación del servicio (creación de cuenta, gestión de creadores, importación de contenidos, métricas, conexión OAuth con redes sociales).
2. Gestión de la relación contractual (suscripciones premium 19 €/mes y 182,40 €/año, cuenta extra 9 €/mes, facturación y atención al cliente).
3. Comunicaciones operativas (notificaciones de eventos en tu cuenta, avisos de seguridad, respuesta a consultas).
4. Seguridad de la red y prevención del fraude (rate-limit, detección de scraping, 2FA, alertas de seguridad y vigilancia super localizada de las zonas geográficas indicadas más abajo).
5. Cumplimiento de obligaciones legales (fiscalidad, contabilidad, conservación de evidencias durante el plazo legal aplicable).
6. Marketing propio (envío de novedades del servicio SOLO con tu consentimiento expreso y revocable).

4. Base jurídica de cada tratamiento

• Ejecución del contrato (art. 6.1.b RGPD) para la prestación del servicio y la gestión de suscripciones.
• Cumplimiento de obligación legal (art. 6.1.c RGPD) para fiscalidad, facturación y, en su caso, atender requerimientos de autoridades.
• Interés legítimo (art. 6.1.f RGPD) para la seguridad informática, la prevención del fraude, la lucha contra el scraping no autorizado, la mejora de la plataforma y el envío de comunicaciones administrativas. Hemos realizado el correspondiente test de ponderación y consideramos prevalente el interés en la protección frente a los riesgos identificados.
• Consentimiento (art. 6.1.a RGPD) para cookies no esenciales y comunicaciones promocionales. Es libremente revocable en cualquier momento.

5. Plazos de conservación

• Cuenta de usuario: mientras el usuario mantenga la cuenta activa más el plazo necesario para atender posibles responsabilidades (hasta 5 años, art. 1964 Cc).
• Datos contables y fiscales: 6 años (art. 30 Código de Comercio) y plazos tributarios aplicables.
• Registros técnicos de seguridad (tabla wp_svh_security_log): 90 días máximo, con purga automática diaria.
• Mensajes de soporte y formularios de inversores: hasta 24 meses tras el último contacto.
• Cookies: según vida útil indicada en la Política de Cookies.

6. Vigilancia super localizada (interés legítimo reforzado)

Por la naturaleza del proyecto (plataforma agregadora de creadores de contenido), prestamos especial atención a accesos automatizados desde zonas geográficas concretas. Esta vigilancia más detallada NO implica trato peor para los usuarios legítimos que residen en estas zonas: simplemente registramos los eventos de seguridad con mayor granularidad. La medida tiene como única finalidad proteger a los creadores frente a intentos de scraping, robo de contenidos o ataques dirigidos al portal.

Zonas con vigilancia ampliada (104 zonas configuradas):

• Comunidad de Madrid entera (Madrid capital y municipios del área metropolitana).
• Comunidad Autónoma de Andalucía entera (las 8 provincias y municipios principales: Sevilla, Málaga, Granada, Córdoba, Cádiz, Almería, Huelva, Jaén, Marbella, Torremolinos, Fuengirola, Estepona, Jerez, Algeciras, Dos Hermanas, Mijas).
• Comunidad Valenciana entera (Valencia, Castellón, Alicante y sus principales municipios).
• Cataluña, en especial Barcelona y su área metropolitana (L'Hospitalet, Badalona, Terrassa, Sabadell).
• Principado de Asturias entero (Oviedo, Gijón, Avilés, Mieres, Langreo, Siero).
• Principado de Andorra entero (Andorra la Vella, Escaldes-Engordany, Encamp, Sant Julià de Lòria, La Massana, Ordino, Canillo).

Esta medida está sujeta al mismo plazo de conservación (90 días) y a los mismos derechos del interesado.

7. Encargados del tratamiento y transferencias internacionales

Para prestar el servicio podemos compartir datos con los siguientes encargados, todos con garantías adecuadas (Cláusulas Contractuales Tipo de la Comisión Europea o certificación equivalente):

• Hostinger International, Ltd. (Chipre, UE) — alojamiento web y base de datos.
• Stripe Payments Europe, Ltd. (Irlanda, UE) — pasarela de pago. Stripe puede transferir datos a EE. UU. bajo Cláusulas Contractuales Tipo.
• Cloudflare, Inc. (EE. UU.) — CDN, mitigación DDoS y geolocalización por cabeceras. Transferencia internacional al amparo del Data Privacy Framework UE-EE. UU. y Cláusulas Contractuales Tipo.
• ipapi.co — servicio de geolocalización IP de respaldo. La IP del visitante se transmite únicamente cuando Cloudflare no devuelve el dato; el proveedor no recibe identificadores adicionales del usuario.
• Telegram FZ-LLC (Emiratos Árabes Unidos) — canal de notificaciones internas de seguridad únicamente entre el sistema y el titular (Sergio Gimeno). No se transmite contenido de comunicaciones de usuarios.
• Google Ireland Limited (Irlanda, UE) — Google Site Kit, fuentes Google Fonts y Google Authenticator para 2FA. Las fuentes se sirven con cabeceras de privacidad reforzada.
• Meta Platforms Ireland Ltd. (Irlanda, UE) — OAuth de Instagram, Facebook y Threads, exclusivamente cuando el usuario conecta voluntariamente su cuenta de red social.

No se realizan ventas ni cesiones de datos personales a terceros con finalidades comerciales.

8. Datos que NUNCA tratamos ni almacenamos

• Contraseñas en claro (siempre se almacenan con hash bcrypt + sal).
• Datos completos de tarjeta bancaria (los gestiona exclusivamente Stripe).
• Tokens de API de terceros en logs (sanitización automática).
• Datos de menores de 14 años (la plataforma está vetada a menores conforme al art. 7 LOPDGDD).

9. Derechos del interesado

Tienes derecho a:

• Acceso a tus datos personales.
• Rectificación de datos inexactos o incompletos.
• Supresión (derecho al olvido) cuando ya no sean necesarios para la finalidad para la que se recogieron.
• Oposición al tratamiento basado en interés legítimo o marketing directo.
• Limitación del tratamiento en los supuestos del art. 18 RGPD.
• Portabilidad de los datos en formato estructurado, de uso común y lectura mecánica.
• Retirar el consentimiento en cualquier momento, sin que afecte a la licitud del tratamiento previo.
• No ser objeto de decisiones individuales automatizadas con efectos jurídicos significativos.

Para ejercitarlos escribe a privacidad@socialvideohub.es identificándote (DNI, NIE o documento equivalente). Responderemos en el plazo de 30 días naturales (ampliable a 60 en casos complejos).

Si consideras que el tratamiento no se ajusta a la normativa puedes presentar reclamación ante la Agencia Española de Protección de Datos (C/ Jorge Juan, 6 · 28001 Madrid · www.aepd.es).

10. Seguridad técnica y organizativa

Aplicamos medidas de seguridad apropiadas al riesgo, incluyendo (entre otras): cifrado en tránsito (TLS 1.2+), cifrado AES-256-CBC de tokens sensibles en base de datos, 2FA opcional para el usuario, rate-limit por IP, sistema de monitorización en tiempo real con alertas a Telegram, copias de seguridad automatizadas, control de acceso por roles y registros de auditoría con purga a 90 días.

11. Cambios en esta política

Podremos actualizar esta política para adaptarla a cambios normativos o evolutivos del servicio. Cualquier cambio sustancial se notificará por email al usuario registrado y se publicará en esta misma página con al menos 15 días naturales de antelación.

12. Legislación aplicable y jurisdicción

Esta política se rige por la legislación española y de la Unión Europea. Para cualquier controversia, las partes se someten expresamente a los Juzgados y Tribunales de Valencia (España), con renuncia al fuero propio que pudiera corresponderles.