Esta Política de Privacidad explica cómo CoinKirin (el «Servicio», «nosotros» o «nuestro») recopila, utiliza, comparte y protege los datos personales de visitantes y usuarios registrados («tú»). Está redactada para cumplir con el Reglamento General de Protección de Datos de la UE (GDPR), la California Consumer Privacy Act (CCPA/CPRA) y la Ley de Protección de la Información Personal de la República Popular China (PIPL). Al utilizar CoinKirin reconoces que has leído y comprendido esta Política.
1. Responsable del tratamiento
La entidad responsable del tratamiento de tus datos personales (el «responsable del tratamiento» según el GDPR, o el «gestor de la información personal» según la PIPL) es:
- Entidad: CoinKirin.com
- Contacto general de privacidad: privacidad@coinkirin.com
- Delegado de Protección de Datos (DPD): dpo@coinkirin.com
- Representante en la UE (art. 27 del GDPR): Estamos en proceso de designar un representante en la UE. Hasta que se designe uno, contáctanos en privacy@coinkirin.com.
- Representante PIPL en China: Aún no designado. Los usuarios chinos pueden contactar con privacy@coinkirin.com con el asunto «PIPL Request».
2. Categorías de datos personales que recopilamos
Recopilamos los datos mínimos necesarios para operar el servicio. Concretamente, tratamos las siguientes categorías de datos personales:
Datos de la cuenta
Dirección de correo electrónico, contraseña (almacenada solo como hash bcrypt con factor de coste 12 — nunca vemos ni almacenamos el texto en claro), secreto TOTP para autenticación de dos factores (cifrado en reposo con AES-GCM), nombre visible, marca de tiempo de creación de la cuenta.
Preferencias del usuario
Idioma, tema, región, preferencias de notificación, preferencia de divisa.
Datos financieros (introducidos por el usuario)
Tenencias de cartera, entradas de watchlist, reglas de alertas de precio. Estos datos los introduces voluntariamente tú y nunca se transmiten a brokers o exchanges externos — se usan únicamente para habilitar las funciones que solicitas.
Datos del dispositivo y técnicos
Dirección IP (truncada a /24 antes de usarse en analítica), cadena User-Agent, huella del dispositivo / ID de dispositivo del token de refresco, resolución de pantalla e idioma (opcional, solo en el cliente).
Datos de uso
Páginas vistas, funciones usadas, consultas de búsqueda, eventos de clic, Core Web Vitals (LCP, CLS, INP) e informes de error anonimizados.
Cookies y tecnologías similares
Cookies estrictamente necesarias (sesión, CSRF, idioma), cookies de preferencia (tema) y — solo con tu consentimiento explícito — cookies de analítica. Consulta nuestra política de cookies para la lista completa.
No recopilamos intencionalmente datos de categorías especiales (raza, religión, salud, orientación sexual, opiniones políticas, datos biométricos o genéticos). Por favor no nos envíes este tipo de datos.
3. Cómo recopilamos sus datos
Obtenemos datos personales por las siguientes vías:
Directamente de ti
Cuando registras una cuenta, editas tu perfil, introduces tenencias de cartera, envías una solicitud de soporte o interactúas de otro modo con el servicio.
De forma automática
A través de cookies, logs del servidor y análisis de uso cuando visitas el servicio.
De terceros
Cloudflare nos proporciona información aproximada del país derivada de tu dirección IP para fines de seguridad y localización. No adquirimos datos personales de intermediarios de datos.
4. Finalidades del tratamiento y bases legales
Conforme al artículo 6 del GDPR, solo tratamos tus datos personales cuando se aplica al menos una base jurídica. La siguiente tabla enumera nuestras finalidades y la base jurídica correspondiente:
| Finalidad | Base jurídica |
|---|---|
| Prestación del servicio (creación de cuenta, autenticación, servicio de datos de mercado, cartera y watchlist) | Ejecución de un contrato (art. 6.1.b del GDPR) |
| Seguridad, prevención de abusos y detección de fraude (limitación de tasa, CAPTCHA, detección de anomalías, registro de auditoría) | Intereses legítimos (art. 6.1.f del GDPR) |
| Correos electrónicos transaccionales (verificación de correo, restablecimiento de contraseña, alertas de seguridad, correos de bienvenida) | Ejecución de un contrato / intereses legítimos |
| Analítica de producto y mejora del servicio | Intereses legítimos, con opt-out mediante la configuración de cookies |
| Correos electrónicos de marketing y contenido promocional (función futura) | Consentimiento (art. 6.1.a del GDPR); puedes retirarlo en cualquier momento |
| Cumplimiento de obligaciones legales (registros fiscales, respuesta a solicitudes legítimas) | Obligación legal (art. 6.1.c del GDPR) |
5. Conservación de datos
Conservamos los datos personales solo durante el tiempo necesario para cumplir los fines descritos arriba, o según exija la ley. Concretamente:
- Datos de cuenta: durante la vida útil de tu cuenta activa. Tras solicitar la eliminación, tu cuenta entra en un periodo de borrado suave de 30 días durante los cuales puedes restaurarla; después se elimina de forma permanente.
- Logs de auditoría (generales): 1 año.
- Logs de auditoría que cubren eventos críticos (acciones de administrador, eliminaciones de cuenta, incidentes de seguridad): hasta 7 años, donde sea necesario para cumplimiento regulatorio.
- Informes de error del cliente: 90 días (TTL automático).
- Datos de analítica: 90 días (TTL automático), tras los cuales se eliminan o se agregan/anonimizan por completo.
- Tokens de refresco: máximo 30 días; los tokens expirados se purgan automáticamente.
- Copias de seguridad: hasta 35 días, cifradas en reposo, y luego rotadas fuera.
6. Cómo compartimos sus datos
No vendemos tus datos personales. No compartimos tus datos personales para publicidad conductual en contextos cruzados tal como la define la CCPA/CPRA.
Dependemos de un número limitado de encargados subordinados de confianza que actúan según nuestras instrucciones bajo acuerdos escritos de tratamiento de datos (DPA) con Cláusulas Contractuales Tipo (SCC) donde corresponda:
Subencargados activos
| Proveedor | Servicio | Datos tratados | Ubicación | DPA/CCS |
|---|---|---|---|---|
| Cloudflare, Inc. | DNS, CDN, protección DDoS, WAF, Turnstile (protección anti-bots), Access (túnel zero-trust) | Direcciones IP, user-agent, metadatos TLS, rutas de petición, tokens de desafío de Turnstile | EE. UU. (edge global; PoPs de la UE disponibles) | DPA + SCC (Módulo 2) |
Anunciamos nuevos subprocesadores al menos 30 días antes de su activación mediante una entrada de blog y en esta página. Conforme al art. 28(2) del GDPR, tienes derecho a oponerte a un nuevo subprocesador.
Subencargados previstos / condicionales
Los siguientes no están contratados actualmente, pero están en nuestra hoja de ruta. Anunciaremos su activación con 30 días de antelación.
- Grafana Labs, Inc. (Nube de Grafana) — Si migramos la observabilidad desde auto-alojado
- Anthropic, PBC — Cuando se lancen funciones de IA / MCP
No son subencargados
Los siguientes proveedores no tratan datos personales de usuarios y, por tanto, no figuran como subencargados: GitHub (solo alojamiento de código), npm / Go module proxy (dependencias), Let's Encrypt (certificados TLS), Docker Hub (distribución de imágenes).
Su derecho de oposición
Puede oponerse en cualquier momento a un nuevo subencargado escribiendo a dpo@coinkirin.com. Si no podemos atender razonablemente su oposición, conserva el derecho a eliminar su cuenta y exportar sus datos previamente.
Divulgaciones legales
Podemos divulgar datos personales cuando lo exija la ley aplicable, una orden judicial o un proceso legal válido — por ejemplo, en respuesta a una citación o a una solicitud regulatoria. Cuando esté legalmente permitido, notificaremos a los usuarios afectados antes de la divulgación.
Transferencias de negocio
Si CoinKirin se ve involucrado en una fusión, adquisición o venta de activos, tus datos personales podrán transferirse como parte de dicha transacción. Notificaremos a los usuarios y ofreceremos una opción significativa cuando lo exija la ley.
7. Transferencias internacionales de datos
Las copias de seguridad y la infraestructura de los encargados subordinados también pueden estar en Estados Unidos.
Para los usuarios del Espacio Económico Europeo, el Reino Unido y Suiza, las transferencias de datos personales a Estados Unidos se basan en las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea como garantía adecuada conforme al artículo 46 del GDPR. Puedes solicitar una copia de las SCC en privacy@coinkirin.com.
Para los usuarios del Reino Unido, nos basamos en el UK International Data Transfer Addendum de las SCC.
Para los usuarios de la República Popular China, tu información personal se transferirá, almacenará y procesará fuera de la China continental, principalmente en Estados Unidos. Al crear una cuenta y usar CoinKirin, consientes expresamente esta transferencia transfronteriza de tu información personal según exigen los artículos 38-39 de la PIPL. Puedes retirar este consentimiento en cualquier momento eliminando tu cuenta; ten en cuenta que no podemos proporcionar el servicio sin dicha transferencia.
8. Sus derechos
Según dónde residas, dispones de los siguientes derechos sobre tus datos personales. Respetamos estos derechos para todos los usuarios en la mayor medida posible, independientemente de la jurisdicción.
Derecho de acceso / derecho a saber
Puedes solicitar una copia de los datos personales que conservamos sobre ti. Los usuarios registrados pueden exportar sus datos en cualquier momento a través de /api/v1/auth/me/export («Exportar mis datos» en la configuración del perfil). (Art. 15 del GDPR / derecho a saber de la CCPA / art. 45 de la PIPL.)
Derecho de rectificación
Puedes corregir datos personales inexactos o incompletos desde tu página de perfil. Para datos que no puedas editar directamente, contacta con privacy@coinkirin.com. (Art. 16 del GDPR.)
Derecho de supresión / derecho a borrar
Puedes eliminar tu cuenta desde la página de perfil. La eliminación activa un período de borrado lento de 30 días, tras el cual tu cuenta y los datos personales asociados se borran permanentemente de los sistemas de producción. Las copias de seguridad que contienen tus datos expiran en un plazo de 35 días. (Art. 17 del GDPR / derecho a suprimir de la CCPA / art. 47 de la PIPL.)
Derecho a la limitación del tratamiento
Puedes pedirnos que restrinjamos el tratamiento de tus datos personales en determinadas situaciones (p. ej., mientras impugnas su exactitud). Contacta con privacy@coinkirin.com. (Art. 18 del GDPR.)
Derecho a la portabilidad de datos
El endpoint de exportación de datos devuelve tus datos en un formato JSON estructurado, de uso común y legible por máquina. (Art. 20 del GDPR / art. 45 de la PIPL.)
Derecho de oposición
Puedes oponerte al tratamiento basado en intereses legítimos, incluida la mercadotecnia directa. Cada correo de marketing incluye un enlace de baja en un solo clic. (Art. 21 del GDPR.)
Derecho a retirar el consentimiento
Cuando el tratamiento se base en el consentimiento (p. ej. cookies de analítica, correos de marketing), puedes retirar el consentimiento en cualquier momento mediante nuestro banner de cookies («Rechazar todas») o dándote de baja.
Derecho relativo a decisiones automatizadas
No sometemos a los usuarios a decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos o significativos similares.
Derechos específicos de California (CCPA/CPRA)
Los residentes de California pueden solicitar además la divulgación de las categorías de información personal recopilada, las fuentes de dicha información, el propósito comercial de la recopilación y las categorías de terceros con quienes se comparte. No vendemos tu información personal y no lo hemos hecho en los últimos 12 meses.
Derechos específicos de la PIPL
Los usuarios en China disfrutan de derechos equivalentes a los anteriores, más el derecho a que se transfiera una copia de tu información personal a otro gestor, y el derecho a presentar reclamación ante la Administración del Ciberespacio de China (CAC).
Derecho a presentar reclamación
Puedes presentar una reclamación ante tu autoridad local de protección de datos. Los usuarios de la UE pueden localizar su autoridad en https://edpb.europa.eu/about-edpb/about-edpb/members_en. Agradeceremos la oportunidad de atender tus inquietudes directamente primero — escríbenos a privacy@coinkirin.com.
Cómo ejercer estos derechos
Cuando es posible hemos integrado herramientas de autoservicio en el Servicio (exportar, eliminar, darse de baja). Para cualquier otra solicitud, envía un correo a privacy@coinkirin.com. Responderemos en un plazo de 30 días (GDPR / PIPL) o 45 días (CCPA). Podemos pedirte que verifiques tu identidad antes de actuar sobre una solicitud.
9. Datos de menores
CoinKirin no está destinado a menores de 18 años, ni dirigimos el Servicio conscientemente a tales personas. En particular, no recopilamos conscientemente información personal de niños menores de 13 años (COPPA en Estados Unidos) o menores de 16 años (art. 8 del GDPR en la UE). Si descubrimos que hemos recopilado datos personales de un menor sin el consentimiento de los padres, los eliminaremos de inmediato y, cuando proceda, notificaremos al padre, la madre o el tutor. Si crees que hemos recopilado datos de un menor, contacta con privacy@coinkirin.com.
10. Medidas de seguridad
Implementamos medidas técnicas y organizativas apropiadas para proteger tus datos personales frente a destrucción accidental o ilícita, pérdida, alteración, divulgación o acceso no autorizados, incluidas:
- Cifrado TLS 1.2+ para todos los datos en tránsito.
- Cifrado AES-GCM en reposo para secretos TOTP y otros campos de alta sensibilidad.
- Contraseñas hasheadas con bcrypt a factor de coste 12 — nunca almacenadas ni transmitidas en texto claro.
- Solo HTTPS, HSTS precargado, Content Security Policy (CSP) estricta y cabeceras de seguridad modernas.
- Limitación de tasa, CAPTCHA Cloudflare Turnstile en endpoints sensibles y autenticación de dos factores TOTP opcional para cuentas de usuario.
- Registro de auditoría exhaustivo de todas las acciones administrativas.
- Principio de mínimo privilegio para el acceso de empleados, con revisiones de acceso y permisos basados en roles.
- Escaneo periódico de dependencias y parcheo de seguridad.
Aunque tomamos la seguridad muy en serio, ningún sistema es 100 % seguro. Eres responsable de mantener la confidencialidad de las credenciales de tu cuenta.
11. Notificación de violación de datos
En el improbable caso de una violación de datos personales, notificaremos a la autoridad de control competente sin demora indebida y, cuando sea posible, en un plazo de 72 horas desde que tengamos conocimiento de ella, conforme al artículo 33 del GDPR. Si es probable que la violación entrañe un alto riesgo para tus derechos y libertades, también te notificaremos directamente por correo electrónico y mediante notificación dentro de la aplicación sin demora indebida.
12. Cambios en esta Política de Privacidad
Podemos actualizar esta política de privacidad de vez en cuando para reflejar cambios en nuestras prácticas, tecnología, requisitos legales u otros factores. Los cambios sustanciales se notificarán a los usuarios registrados por correo electrónico (cuando dispongamos de una dirección) y mediante un aviso destacado en el servicio al menos 14 días antes de su entrada en vigor. La fecha de «última actualización» en la parte superior de esta página refleja siempre la versión vigente.
Las versiones anteriores de esta política están archivadas. Para solicitar una copia de una versión histórica, escribe a privacy@coinkirin.com.
13. Cómo contactarnos
Para cualquier consulta relacionada con la privacidad o para ejercer tus derechos, utiliza el canal adecuado a continuación:
- Consultas generales de privacidad: privacidad@coinkirin.com
- Delegado de Protección de Datos: dpo@coinkirin.com
- Solicitudes CCPA de California: privacy@coinkirin.com — asunto: «CCPA Request»
- Solicitudes PIPL de China: privacy@coinkirin.com — asunto: «PIPL Request»
- Correo postal: Contáctanos primero por correo electrónico; se facilitará una dirección postal bajo solicitud.