Política de privacidad

Matvei Dobrovolskii trading as Matio, con domicilio profesional en 221 Derby Road, Nottingham, NG7 1QJ, United Kingdom, es el responsable del tratamiento de los datos personales recogidos a través de matio.tv. Puedes contactarnos en hello@matio.tv. Nuestro contacto en materia de protección de datos es esa misma dirección. No hemos designado un Delegado de Protección de Datos y no estamos obligados a hacerlo conforme al artículo 37 del RGPD del Reino Unido.

Tratamos las siguientes categorías de datos personales:

• Datos de cuenta: dirección de correo electrónico, nombre (si lo facilitas) y tokens de autenticación. Los recoge y almacena Clerk por cuenta nuestra. También guardamos un registro mínimo (id Clerk, email, rol) en nuestra base de datos para gestionar la autorización.
• Datos de suscripción y pago: nombre y dirección de facturación (necesarios para el cálculo del IVA), método de pago, historial de facturas, estado de la suscripción y fecha de vencimiento del periodo. Los recoge y almacena Stripe por cuenta nuestra. Nunca vemos el número completo de tu tarjeta; recibimos sólo una referencia de cliente de Stripe y los últimos cuatro dígitos enmascarados.
• Datos de uso: qué episodios has visto y la posición de reproducción, registrados por (usuario, episodio) para reanudar. Para las vistas previas anónimas registramos un token de sesión, el id de la serie, una fecha de expiración y un hash HMAC de tu dirección IP (la IP en claro no se almacena).
• Datos de atribución: si llegas desde una URL de campaña, guardamos la fuente, el medio y el nombre de campaña en dos cookies y podemos vincular la instantánea a tu cuenta al pagar para atribución de ingresos. Si aceptas las cookies de marketing, además usamos el Meta Pixel y la API de Conversiones de Meta para medición publicitaria (compartiendo un correo electrónico cifrado, dirección IP y eventos de conversión con Meta) y PostHog para analítica de producto (eventos de embudo y de uso, grabaciones de sesión enmascaradas, procesados en la UE). Consulta la Política de cookies.
• Comunicaciones: los correos que nos envías, conversaciones de soporte y correos transaccionales (recibos, avisos de seguridad) cuando estén activados.
• Datos técnicos: dirección IP, agente del navegador y registros de petición necesarios para operar, asegurar y depurar el servicio. Se conservan hasta 30 días.

• Para prestarte el servicio (cuenta, reproducción, facturación). Base jurídica: ejecución del contrato que celebras al suscribirte.
• Para cumplir obligaciones legales (registros fiscales/IVA, derechos del consumidor, prevención del fraude, respuesta a requerimientos de autoridades). Base jurídica: obligación legal.
• Para mantener el servicio seguro (limitar abusos, detectar fraude, depurar). Base jurídica: interés legítimo de operar un servicio estable y seguro.
• Para mejorar el servicio (analítica agregada, monitorización de calidad de reproducción con Mux Data). Base jurídica: interés legítimo.
• Marketing y medición publicitaria mediante las cookies attribution_first y attribution_last y, cuando está activado, el Meta Pixel, la API de Conversiones de Meta y PostHog (analítica de embudo de producto). Base jurídica: consentimiento: solo se ejecutan tras aceptar las cookies de marketing en el banner y se detienen si retiras el consentimiento.

Nos apoyamos en encargados del tratamiento que procesan datos siguiendo nuestras instrucciones:

• Clerk Inc. (EE. UU.) — autenticación. Transferencias UE/UK amparadas por las Cláusulas Contractuales Tipo (CCT).
• Stripe Payments Europe Ltd (Irlanda) — pagos y facturación. Puede transferir datos a sus filiales en EE. UU. bajo CCT.
• Mux Inc. (EE. UU.) — transcodificación, almacenamiento y reproducción firmada de vídeo. CCT.
• Vercel Inc. (EE. UU., regiones europeas para cómputo) — hosting. Las funciones de la aplicación se ejecutan en Fráncfort (eu-central-1); la CDN es global. CCT.
• Neon Inc. (EE. UU., región europea para nuestra base de datos) — Postgres alojado en AWS Fráncfort (eu-central-1). CCT.
• Meta Platforms Ireland Ltd (Irlanda, con transferencias a Meta Platforms Inc. en EE. UU.) — medición publicitaria mediante el Meta Pixel y la API de Conversiones. Solo se utiliza tras aceptar las cookies de marketing. Compartimos un correo electrónico cifrado (hash SHA-256), la dirección IP y eventos de conversión para que Meta pueda atribuir y optimizar nuestras campañas. Transferencias a EE. UU. amparadas por CCT.
• PostHog Inc. (EE. UU., región EU Cloud para nuestro proyecto) — analítica de producto. Nuestro proyecto de PostHog está alojado en PostHog Cloud EU (servidores en la Unión Europea), por lo que los datos de comportamiento y uso permanecen en la UE. Solo se utiliza tras aceptar las cookies de marketing. Enviamos eventos de embudo (visitas de página, interacciones, pasos del registro) y grabaciones de sesión enmascaradas. Las CCT cubren cualquier transferencia posterior a la infraestructura de EE. UU. de PostHog.

No vendemos tus datos personales. Podemos divulgarlos cuando la ley lo exija, para hacer cumplir estos términos o para proteger derechos, seguridad o bienes.

Algunos encargados están establecidos en EE. UU. Cuando los datos salen del EEE / Reino Unido, nos apoyamos en las Cláusulas Contractuales Tipo de la Comisión Europea y, cuando proceda, en el Adenda Internacional de Transferencia de Datos del Reino Unido. Stripe está establecido en Irlanda y procesa la mayor parte de los datos de facturación en la UE.

• Cuenta: mientras tu cuenta exista, más un breve periodo de gracia tras su eliminación.
• Registros de pago y fiscales: durante el tiempo que exija la normativa fiscal y contable (habitualmente 6–10 años según la jurisdicción).
• Progreso de reproducción: mientras la cuenta exista.
• Sesiones de prueba: 30 días para analítica de abuso, luego se eliminan o anonimizan por completo.
• Registros de petición y seguridad: 30 días.

Tienes derecho de acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento de tus datos personales, así como a retirar el consentimiento que hubieras prestado (por ejemplo rechazando las cookies de marketing en el banner). Para ejercerlos, escríbenos a hello@matio.tv. Responderemos en un plazo de 30 días.

Si consideras que no hemos tratado tus datos correctamente, puedes presentar una reclamación ante tu autoridad de control. En España es la Agencia Española de Protección de Datos (AEPD, aepd.es). En Reino Unido es la Information Commissioner’s Office (ICO, ico.org.uk). En el resto del EEE, tu autoridad local es igualmente competente.

El servicio está destinado a usuarios de 16 años o más. No recogemos conscientemente datos personales de menores. Si tenemos conocimiento de ello, los eliminaremos.

Aplicamos medidas técnicas y organizativas apropiadas: TLS en todas las conexiones, cifrado en reposo, credenciales acotadas, tokens de reproducción firmados, verificación de firma en los webhooks y control de acceso de mínimo privilegio. Ningún sistema es totalmente seguro; si una violación de datos personales pudiera afectarte, te lo notificaremos junto con la autoridad competente, conforme exige la ley.

Podemos actualizar esta Política de privacidad. Si un cambio es sustancial te avisaremos con un plazo razonable (normalmente por correo electrónico y mediante un aviso en el servicio).

Consultas de privacidad: hello@matio.tv. Consulta también nuestros Términos del servicio y la Política de cookies.