Política de Privacidad

1. Quiénes somos Let's Play Together ("LPT", "nosotros") es el responsable del tratamiento de tus datos personales cuando usas nuestra aplicación y sitio web. Operamos desde Chile y cumplimos con la Ley 19.628 de Protección de la Vida Privada, además del Reglamento General de Protección de Datos (GDPR) de la UE y la Lei Geral de Proteção de Dados (LGPD) de Brasil cuando corresponde. Para consultas sobre privacidad escribe a privacy@letsplaytogether.app. 2. Qué datos recolectamos 2.1 Datos de cuenta. Correo electrónico, nombre de usuario, contraseña (procesada por Stack Auth Inc. — nuestro proveedor de identidad cloud, app.stack-auth.com — como hash criptográfico, nunca en texto plano), fecha de nacimiento, país de residencia, nombre legal completo (cuando lo proporciones para facturación), IP del registro, fecha y versión de los Términos y la Política de Privacidad aceptadas, y preferencia de idioma. La fecha de nacimiento y el país se usan para verificar elegibilidad (mayoría de edad e idoneidad jurisdiccional) y cumplir con obligaciones legales. 2.2 Datos de sesión. Códigos de sala temporales, IPs de conexión (para establecer el enlace peer-to-peer y para seleccionar el servidor TURN más cercano), identificadores de dispositivo, y metadatos técnicos de la transmisión (bitrate, latencia, errores). También conservamos, por motivos de seguridad y auditoría, la dirección IP y el user-agent del navegador o cliente en cada inicio de sesión exitoso o fallido (panel admin, portal de cuenta, sincronización con el proveedor de identidad, acceso a salas como espectador y login de broadcaster). Este registro se conserva por un máximo de 90 días y se utiliza para detección de accesos no autorizados, investigación de incidentes y respuesta a solicitudes de acceso a tus datos. 2.3 Datos de pago. Si contratas un plan, el procesador (FLOW como provider principal — cobra en CLP a usuarios CL e internacionales; Dodo Payments Inc. queda como Merchant of Record alternativo, pendiente de habilitación post-KYC) recolecta los datos de tu tarjeta o medio de pago. Nosotros solo almacenamos el identificador de transacción, la fecha, monto, plan contratado, moneda, estado y los últimos 4 dígitos de la tarjeta cuando el procesador nos los expone. No almacenamos ni vemos el número completo de tu tarjeta. 2.4 Datos de uso y diagnóstico. Registros anónimos o pseudonimizados de errores y rendimiento, enviados a Sentry y Axiom para detectar fallos y mejorar el Servicio. Además, usamos Cloudflare Web Analytics para contar pageviews agregados (sin cookies, sin identificadores persistentes, sin perfilado individual ni cross-tracking entre sesiones). 2.4.1 Telemetría de calidad de streaming. Durante cada sesión activa recolectamos métricas técnicas numéricas anónimas asociadas a un identificador interno de sesión: frames por segundo, descartes, latencia (RTT), bitrate, codec, resolución, cantidad de viewers conectados y duración. NO recolectamos video, audio, chat, IP del viewer, nombre del juego que transmites ni contenido de pantalla. La cadencia es de un snapshot por minuto y el envío corre fuera del path crítico del streaming, sin impacto perceptible. Estas métricas se conservan por un máximo de 90 días y se usan para detectar problemas de calidad (microstutters, picos de latencia, drops) y mejorar el rendimiento del Servicio. Cada viewer aporta métricas equivalentes del lado de la recepción (frames recibidos y mostrados, decode time, RTT, jitter, pérdida) más datos de cohorte ya bucketeados (clase de dispositivo, familia de navegador, familia de sistema operativo y clase de resolución de pantalla). NO enviamos el User-Agent crudo ni la resolución exacta — solo categorías agregadas que no permiten fingerprinting individual. 2.5 Comunicaciones. Si nos contactas por correo, conservamos ese intercambio para darte soporte. 2.6 Reportes de viewers. Cuando un viewer reporta una sala, almacenamos el contenido textual del reporte, la sala y el broadcaster reportado, el viewer reportador (cuando esté autenticado), la fecha, IP del reportador y el resultado de la revisión. Estos datos se usan exclusivamente para evaluar el reporte y aplicar acciones de enforcement (cláusula 10.2 de los Términos), y se conservan junto con la acción de moderación correspondiente para auditoría. NO realizamos captura automática de screenshots ni análisis de contenido con IA. 3. Base legal del tratamiento Tratamos tus datos bajo las siguientes bases legales: - Ejecución del contrato: datos de cuenta, sesión y pago necesarios para prestarte el Servicio. - Consentimiento: comunicaciones de marketing (sólo si lo aceptas expresamente) y cookies no esenciales. - Interés legítimo: seguridad, prevención de fraude y mejora del Servicio mediante métricas agregadas. - Obligación legal: conservación de documentos tributarios por el plazo que exija la ley. 4. Para qué usamos tus datos - Proveerte el Servicio y mantenerte autenticado. - Establecer conexiones peer-to-peer y seleccionar nodo TURN por región. - Procesar pagos y emitir documentos tributarios. - Enviarte correos transaccionales (confirmación de pago, expiración de prueba, recordatorios de renovación, cierre de cuenta). - Detectar abuso, fraude y errores. - Cumplir obligaciones legales cuando se nos requiera. 5. Con quién compartimos datos No vendemos datos personales. Compartimos sólo con los siguientes procesadores, bajo contrato y en base al mínimo necesario: - FLOW — procesador principal de pagos (Chile, Santiago); cobra CLP a usuarios CL e internacionales y emite boleta tributaria SII. - Dodo Payments Inc. — Merchant of Record alternativo internacional (Estados Unidos / global), pendiente de habilitación post-KYC. - Stack Auth Inc. — proveedor cloud de identidad (autenticación, hash de contraseñas, recuperación de cuenta) — Estados Unidos / app.stack-auth.com. - Resend — envío de correos transaccionales (EE.UU./UE). - Sentry — diagnóstico de errores (EE.UU./UE). - Axiom — logs operativos (EE.UU./UE). - Proveedor de VPS Vultr — hosting del servidor principal y de los nodos TURN (Estados Unidos, Chile y otros países según región del usuario). - Cloudflare Inc. — DNS, CDN, protección frente a ataques de red, captcha (Turnstile) y analíticas cookieless agregadas (Web Analytics). EE.UU. / global. - Autoridades competentes cuando exista un requerimiento legal válido. 6. Transferencias internacionales Parte del tratamiento ocurre fuera de Chile. Cuando transferimos datos a países sin un nivel equivalente de protección aplicamos cláusulas contractuales tipo u otras garantías reconocidas por la normativa aplicable. 7. Retención 7.1 Cuenta activa. Conservamos tus datos mientras tu cuenta esté activa. 7.2 Cierre de cuenta — proceso en dos compartimentos. Al cerrar tu cuenta hacemos dos cosas distintas y separadas — es importante entenderlas porque atienden propósitos diferentes: (a) Base operativa — anonimización inmediata. En la base de datos que LPT usa para hacer funcionar el producto (login, salas, pagos en curso, panel admin, etc.) eliminamos o anonimizamos los datos personales de forma inmediata: el correo se reemplaza por un placeholder no funcional para liberar el original para futuros signups, el nickname público queda libre para que otro usuario pueda tomarlo, los IDs externos (Stack Auth, procesador de pagos) se desvinculan, y campos como IP, user-agent, fecha de nacimiento y nombre legal quedan en null. A partir de ese momento ningún módulo del Servicio puede mostrar, buscar ni procesar esos datos — la cuenta deja de existir operativamente. (b) Archivo cifrado de defensa legal — separado y retenido hasta 6 años. En paralelo, copiamos un snapshot de los datos personales de cuenta (correo histórico, nicknames usados, fecha de nacimiento declarada, IPs de registro y último acceso, versión de Términos y Privacidad aceptadas, métricas agregadas de bans y reportes recibidos) a un archivo SEPARADO, cifrado y aislado de la base operativa. Este archivo NO está disponible para ningún flujo del producto — sólo se accede manualmente por personal autorizado bajo requerimiento legal: (i) Art. 6(1)(c) GDPR — obligación legal por retención fiscal del SII Chile (6 años); (ii) Art. 6(1)(f) GDPR — interés legítimo de defensa frente a reclamos, chargebacks o investigaciones posteriores; (iii) excepciones del Art. 17(3) GDPR al derecho al olvido cuando coexiste obligación legal. Pasados los 6 años, un job automático elimina el archivo de forma permanente. Para acceder a una copia post-cierre debes acreditar identidad fuera del Servicio (correo del cierre + identificador de pagos o Stack Auth UID). 7.3 Por qué la distinción importa. La operación cotidiana del producto trabaja exclusivamente contra la base operativa anonimizada; el archivo de defensa legal vive aparte y sólo se toca bajo requerimiento. Esto cumple simultáneamente con tu derecho al olvido (Art. 17 GDPR) sobre la base operativa, y con nuestras obligaciones legales/fiscales sobre el archivo. 7.4 Documentos tributarios. Documentos contables, facturas y comprobantes de pago se conservan por los plazos que exija la ley aplicable, sin importar el cierre de la cuenta. 7.5 Logs operativos. Logs operativos y de seguridad (errores, accesos, acciones de moderación, login_audit) se conservan por un máximo de 90 días; pasado ese plazo se eliminan o anonimizan salvo requerimiento legal válido vigente. 8. Tus derechos Según la ley aplicable puedes ejercer los derechos de: - Acceso: saber qué datos tenemos sobre ti. - Rectificación: corregir datos inexactos. - Cancelación / Supresión: pedir la eliminación de tu cuenta y datos. - Oposición y limitación: oponerte a ciertos tratamientos. - Portabilidad: recibir tus datos en formato estructurado. - Revocar el consentimiento en cualquier momento (sin efectos retroactivos). Para ejercerlos escribe a privacy@letsplaytogether.app desde el correo asociado a tu cuenta. Responderemos en un plazo máximo de 30 días. Si no estás conforme con nuestra respuesta puedes reclamar ante la autoridad de control de tu país (en Chile, el Consejo para la Transparencia; en la UE, tu autoridad nacional de protección de datos; en Brasil, la ANPD). 9. Menores El Servicio no está disponible para menores de 18 años. No recolectamos datos de menores de esa edad de forma consciente. Si descubrimos el registro de un menor de 18, cerraremos la cuenta y eliminaremos los datos asociados (conservando sólo lo mínimo necesario para acreditar el cierre ante requerimiento legal). La verificación inicial se realiza mediante declaración de fecha de nacimiento en el registro y confirmación de mayoría de edad al ingresar a salas; podremos solicitar verificación documental adicional ante sospechas fundadas. 10. Seguridad Aplicamos medidas técnicas y organizativas razonables para proteger tus datos: cifrado en tránsito (TLS), contraseñas cifradas, acceso basado en roles, auditoría de accesos y segregación de entornos. Ninguna plataforma es invulnerable, por lo que no podemos garantizar seguridad absoluta. 11. Cambios en esta política Podremos actualizar esta política. Si el cambio es sustancial te avisaremos por correo o dentro del Servicio con al menos 15 días de antelación. 12. Contacto Responsable y DPO de facto: privacy@letsplaytogether.app.