Política de Privacidad
Última actualización: 8 de mayo de 2026
Esta política explica qué datos personales tratamos cuando creas un álbum digital de boda en Alboda, cuando un invitado sube fotos al álbum, y qué derechos tienes sobre esos datos. La hemos escrito para que se entienda. Si algo no te queda claro, escríbenos a [email protected].
1. Quién es el responsable
El responsable del tratamiento de tus datos es José Antonio Yébenes García, trabajador autónomo, con NIF 38882905W y domicilio en Calle Secoya 3, 4.º 4.ª, Portal B, 28054 Madrid (España). Opera bajo la marca comercial Alboda. Dirección de contacto: [email protected].
Para cualquier asunto relacionado con tus datos personales, esa misma dirección es válida. No hay un Delegado de Protección de Datos designado: la legislación no obliga a tenerlo dado el volumen y la naturaleza del tratamiento, y todas las solicitudes de derechos llegan al mismo buzón y reciben respuesta en plazo.
2. Qué datos tratamos y con qué finalidad
Tratamos dos grupos de datos según quién los aporta:
2.1 Datos de la pareja (cuenta del álbum)
| Dato | Origen | Finalidad |
|---|---|---|
| Tú, al crear cuenta | Identificación, login por enlace de acceso, comunicaciones del servicio | |
| Nombres de los novios | Tú, al crear el álbum | Personalizar la portada del álbum y el QR |
| Fecha y ubicación de la boda | Tú, al crear el álbum | Activar y cerrar la ventana de subida del álbum |
| Datos de pago | Stripe (no los almacenamos nosotros) | Cobrar el pago único del plan |
| Dirección IP y user-agent | Cloudflare al servir cada petición | Seguridad, detección de abuso, registros técnicos |
| Cookies de sesión | Tu navegador, tras login | Mantenerte conectado al panel |
| Vínculo de cuenta de Google (opcional) | Google, si eliges entrar con Google | Identificarte en futuros accesos sin pedirte el enlace por email. Solo guardamos tu correo y tu nombre público; ver sección 5.1 |
2.2 Datos de los invitados (uso del álbum)
| Dato | Origen | Finalidad |
|---|---|---|
| Nombre que el invitado introduce | El propio invitado | Mostrar a la pareja quién subió cada foto |
| Fotos y vídeos subidos | El propio invitado | Formar el álbum digital de la boda |
| Marca de tiempo y versión de consentimiento | El sistema, al aceptar la casilla | Acreditar el consentimiento conforme al art. 7 RGPD |
| Cookie de sesión de invitado | Su navegador, tras aceptar | Permitir subir fotos sin tener que registrarse |
| Dirección IP y user-agent | Cloudflare al servir cada petición | Seguridad y anti-abuso |
El nombre del invitado es texto libre. El propio invitado decide si pone su nombre real, un apodo o cualquier otra cadena. Las fotos pueden contener imágenes de terceros (otros invitados, niños, paisaje). Tratamos esa información bajo el consentimiento del invitado que sube y la base de interés legítimo de la pareja como organizadora del evento.
No usamos ni cederemos las fotos, vídeos ni mensajes del álbum para entrenar modelos de inteligencia artificial, propios ni de terceros. Esto incluye cualquier producto, proveedor o socio comercial. Si alguna vez quisiéramos cambiar este compromiso te lo notificaríamos de antemano y necesitaríamos tu consentimiento explícito en una casilla no premarcada.
3. Bases legales del tratamiento
- Ejecución del contrato (art. 6.1.b RGPD): para crear y mantener el álbum de la pareja, procesar el pago y entregar el servicio.
- Consentimiento explícito (art. 6.1.a y art. 7 RGPD): para que un invitado suba fotos al álbum. El consentimiento se recoge con casilla no premarcada y se puede retirar cuando el invitado quiera, desde la pantalla Mis fotos dentro del álbum o escribiendo a la pareja.
- Interés legítimo (art. 6.1.f RGPD): para registros de seguridad, detección de fraude y resolución de incidencias técnicas. Hemos valorado este interés frente a tus derechos y consideramos que prevalece solo en el ámbito mínimo de seguridad.
- Cumplimiento de obligaciones legales (art. 6.1.c RGPD): para conservar comprobantes de pago el tiempo que exige la normativa fiscal española.
4. Cuánto tiempo conservamos cada dato
El tiempo de conservación va atado al ciclo de vida del álbum y a obligaciones legales concretas:
- Cuenta de la pareja: mientras tengas el álbum activo. Cuando borras la cuenta o cancelas el álbum, los datos pasan a borrado lógico y se eliminan físicamente del almacenamiento en 7 días (ventana de gracia para revertir un borrado accidental).
- Fotos y vídeos: se conservan sin fecha de caducidad mientras la pareja mantenga el álbum activo. Si la pareja solicita la cancelación del álbum, las fotos se borran lógicamente al confirmar y se eliminan físicamente del almacenamiento en R2 a los 7 días.
- Fotos ocultadas por moderación: 30 días desde que la pareja las oculta, antes del borrado físico. La pareja puede restaurarlas en cualquier momento dentro de esa ventana.
- Datos de pago y facturación: 6 años, conforme al art. 30 del Código de Comercio y al art. 66 de la Ley 58/2003 General Tributaria.
- Registros técnicos (logs de seguridad de Cloudflare): hasta 30 días, según la configuración estándar del proveedor.
- Comprobante de consentimiento del invitado: mientras dure el álbum y, tras su cierre, hasta 3 años desde el fin del tratamiento, conforme al plazo de prescripción de las infracciones leves del art. 78.b de la LO 3/2018 (LOPDGDD). Una vez transcurrido ese plazo, el comprobante se elimina.
5. A quién compartimos tus datos
Para que el servicio funcione, algunos proveedores tratan datos por cuenta nuestra como encargados de tratamiento (art. 28 RGPD). Sólo trabajamos con proveedores que ofrecen garantías RGPD:
| Proveedor | Para qué | Localización |
|---|---|---|
| Cloudflare | Hosting de la web (Workers), almacenamiento de fotos en R2, base de datos D1, caché de sesión en KV, registros de seguridad | Centros de datos en la Unión Europea para R2, D1 y KV, red global para CDN |
| Stripe | Procesar el pago único del plan | EE. UU. con cláusulas contractuales tipo aprobadas por la Comisión Europea |
| Resend | Envío de emails transaccionales (login, confirmaciones, reembolsos) | EE. UU. con cláusulas contractuales tipo aprobadas por la Comisión Europea |
| Google LLC | Verificar tu identidad cuando entras con Google (OAuth 2.0) | EE. UU. con cláusulas contractuales tipo aprobadas por la Comisión Europea |
Las fotos del álbum se almacenan exclusivamente en infraestructura de Cloudflare en la Unión Europea. No vendemos datos personales. No los cedemos para fines publicitarios. Cuando hay transferencias internacionales (Stripe, Resend, Google) están cubiertas por las cláusulas contractuales tipo (Decisión 2021/914 de la Comisión Europea). Puedes pedir copia de esas cláusulas escribiendo a la dirección de contacto.
5.1 Entrar con Google (OAuth)
Si eliges Conectar Google en tus ajustes, usamos Google LLC como procesador para verificarte. En ese intercambio le pedimos a Google solo dos cosas: tu correo electrónico y tu nombre público. No pedimos acceso a tus contactos, a tus fotos, a tu Drive ni a ningún otro contenido de tu cuenta de Google.
Guardamos un vínculo entre tu correo y tu cuenta de Google para que puedas volver a entrar sin pasar por el enlace de acceso por email. Si te desconectas desde la pestaña Acceso de tus ajustes, borramos ese vínculo de nuestra base de datos y tu sesión de Google deja de funcionar para Alboda. La cuenta sigue intacta y puedes seguir entrando con el enlace de acceso enviado por email.
5.2 Biblioteca de autenticación
El flujo de Google OAuth se gestiona con Better Auth, una biblioteca de código abierto que se ejecuta dentro de nuestros propios Workers en Cloudflare. Better Auth no es un proveedor externo: es código que funciona en nuestra infraestructura y no recibe tus datos por separado. Las tablas de sesión, cuenta y vínculo OAuth viven en la base de datos D1 y en la caché KV de Cloudflare, dentro de los mismos centros de datos europeos descritos en la tabla de arriba.
6. Tus derechos
El RGPD y la LOPDGDD te dan los siguientes derechos sobre tus datos:
- Acceso: pedirnos copia de los datos que tenemos sobre ti.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión (derecho al olvido): pedir que borremos tus datos. La pareja puede ejercerlo desde el panel cancelando el álbum (cascada de borrado de fotos, invitados y consentimientos asociados). Los invitados pueden hacerlo desde la pantalla Mis fotos del álbum o escribiendo a la pareja o a nosotros.
- Limitación: pedir que paremos el tratamiento mientras se resuelve una incidencia.
- Portabilidad: recibir tus datos en un formato estructurado y de uso común (las fotos del álbum se exportan en ZIP desde el panel).
- Oposición: oponerte al tratamiento basado en interés legítimo.
- Retirada del consentimiento: si tu base legal era el consentimiento, puedes retirarlo en cualquier momento sin que afecte a la licitud del tratamiento previo.
- No ser objeto de decisiones automatizadas: no tomamos decisiones automatizadas con efectos jurídicos sobre los usuarios.
Para ejercer cualquiera de estos derechos escríbenos a [email protected] indicando el derecho que ejerces y, si te identificas, una referencia que nos permita localizar tus datos (email de la cuenta o enlace del álbum). Respondemos en el plazo máximo de un mes (art. 12.3 RGPD), prorrogable dos meses más en casos complejos con aviso previo.
Si consideras que no hemos atendido bien tu solicitud, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en aepd.es.
7. Seguridad de los datos
Aplicamos medidas técnicas y organizativas razonables para proteger tus datos:
- Cifrado en tránsito (HTTPS obligatorio en todas las páginas y endpoints).
- Contraseñas almacenadas con hashing irreversible.
- Cookies de sesión
HttpOnlyySecurepara evitar acceso desde JavaScript de terceros. - Tokens de invitado con caducidad y versión de consentimiento, que se invalidan al cancelar el álbum.
- Almacenamiento de fotos en buckets privados con acceso firmado (no son URL públicas).
- Registros de eventos de seguridad y revisión periódica.
Ningún sistema es invulnerable. Si detectamos una brecha de seguridad que afecte a tus datos personales, te lo comunicaremos en el plazo y forma que exige el art. 34 RGPD.
8. Datos de menores
Alboda no está dirigido a menores de edad y no creamos cuentas para usuarios menores de 14 años, edad mínima de consentimiento conforme al art. 7 de la LO 3/2018 (LOPDGDD). Si una foto subida por un invitado contiene la imagen de un menor, la persona que la sube debe contar con el consentimiento de quien ejerza la patria potestad o tutela. Si crees que se ha publicado en un álbum una imagen de un menor sin el consentimiento adecuado, escríbenos a [email protected] y la retiraremos sin demora.
9. Cookies
Usamos cookies estrictamente necesarias para que el servicio funcione y, si las aceptas, una cookie de medición agregada para entender cómo se usa el sitio. Los detalles, la lista exacta de cookies y cómo gestionarlas están en la Política de cookies.
10. Cambios en esta política
Si actualizamos materialmente esta política, lo avisaremos en la página de inicio y, en caso de cambios que afecten al consentimiento del invitado, mediante una nueva versión del consentimiento que requiera reaceptación. La fecha de la última actualización aparece arriba.
11. Contacto
Para cualquier duda sobre privacidad o para ejercer tus derechos: [email protected].