Política de Privacidad

Última actualización: 14 mayo 2026

Responsable del tratamiento: Carlos Rodríguez Puigarnau (Empresario Individual / Autónomo, NIF 47417254V), Calle Tetuán 76, 08203 Sabadell (Barcelona), España. Contacto: soporte@cardfolio.es.

Datos que recogemos

Para el funcionamiento del servicio recogemos los siguientes datos personales:

Identificación: nombre de usuario, email, nombre completo, fecha de nacimiento, avatar opcional.
Contacto: dirección postal de envío, teléfono opcional.
Datos fiscales (solo vendedores): NIF, IBAN, datos KYC. Los recoge directamente Stripe Payments Europe Ltd. como entidad de pago regulada.
Contenido: fotos de cartas y productos sellados que subes, mensajes con otros usuarios, valoraciones y comentarios.
Uso: historial de transacciones, watchlist, búsquedas guardadas, logros desbloqueados, suscripciones activas.
Técnicos: IP de registro (prevención de fraude), identificador interno de usuario, tokens de notificación push (APNs / FCM) cuando uses la app móvil.
Devoluciones: motivo, comentarios y fotos opcionales cuando solicitas una devolución.

Bases jurídicas y finalidades

Finalidad	Base jurídica RGPD	Plazo conservación
Gestión de cuenta y autenticación	Ejecución de contrato (art. 6.1.b)	Mientras la cuenta esté activa + 5 años
Procesamiento de pagos	Contrato + obligación legal (PSD2, AML)	10 años (art. 30 CCom)
Análisis IA de cartas	Consentimiento (art. 6.1.a)	Hasta retirada · máx. 24 meses tras baja
Emails transaccionales	Ejecución de contrato	Mientras la cuenta esté activa
Emails comerciales / newsletter	Consentimiento revocable	Hasta retirada
Prevención de fraude (IP de registro)	Interés legítimo (art. 6.1.f)	180 días
Reporting AEAT DAC7	Obligación legal (art. 6.1.c)	5 años (RD 117/2024)

Tratamiento por IA

Al usar el análisis de fotos o la estimación de grade Pro, las imágenes se envían a proveedores externos de IA generativa identificados más abajo. Estos proveedores no usan tus datos para entrenar modelos vía API. Transferencias internacionales bajo el EU-US Data Privacy Framework (decisión de adecuación UE de 10 julio 2023) y Cláusulas Contractuales Tipo (SCC) como salvaguarda adicional.

Encargados del tratamiento (RGPD art. 28)

Stripe Payments Europe Ltd. (Irlanda) — pagos, KYC, suscripciones.
Supabase (UE) — base de datos.
Railway — hosting.
SendCloud (Países Bajos) — envíos y etiquetas.
Resend (USA) — email transaccional y marketing.
Google LLC (USA) — análisis IA, Sign-In opcional, notificaciones push Android (FCM).
Anthropic PBC (USA) — estimación de grade por IA (Claude Haiku 4.5).
Apple Inc. (USA) — notificaciones push iOS (APNs).
Sentry Inc. (USA) — diagnóstico técnico, datos anónimos.
ScraperAPI — proxy para precios públicos, sin PII enviada.

Información a la AEAT (DAC7)

Conforme al RD 117/2024 que traspone la Directiva (UE) 2021/514 (DAC7), CardFolio reporta anualmente a la Agencia Tributaria los datos identificativos y volúmenes de venta de los usuarios que superen, en el año natural, 30 transacciones o 2.000 € facturados. Al alcanzar dicho umbral te solicitaremos NIF, fecha de nacimiento y país de residencia para completar el Modelo 238.

Tus derechos

Tienes derecho a acceso, rectificación, supresión, oposición, portabilidad, limitación y revocación del consentimiento. Puedes ejercitarlos:

Desde la propia app: Ajustes → Eliminar cuenta o Descargar mis datos.
Por email a soporte@cardfolio.es con asunto "Derechos RGPD".
Solicitud específica de eliminación: página de eliminación de cuenta.

Reclamaciones ante la Agencia Española de Protección de Datos: www.aepd.es.

No vendemos tus datos

No vendemos tus datos personales ni los compartimos con fines publicitarios. No usamos analítica conductual ni tracking de terceros. Sentry recoge únicamente datos técnicos anónimos de error bajo legítimo interés.

Cookies y almacenamiento técnico

Sólo usamos cookies y localStorage estrictamente necesarios (sesión, preferencias, carrito, cookies de Stripe para pagos). Exentos de consentimiento previo según art. 22.2 LSSI-CE y Guía AEPD (2023).