Política de Privacidad

1. Identidad del responsable

PickSure ("nosotros", "nuestro") es responsable del tratamiento de los datos personales que recolectamos a través de picksure.app y servicios asociados. Contacto del responsable: privacidad@picksure.app.

2. Datos que recolectamos

Cuando creas una cuenta: tu correo electrónico, contraseña (almacenada con hash bcrypt vía Supabase Auth, nunca en texto plano), preferencias de deportes y ligas favoritas.

Cuando te suscribes: información de pago manejada y almacenada directamente por Stripe (nosotros nunca vemos ni guardamos tu número de tarjeta — solo recibimos un token e identificadores de cliente/suscripción).

Cuando navegas: dirección IP (para detectar país y aplicar restricciones por jurisdicción), tipo de dispositivo, páginas visitadas, picks consultados. Datos de uso anonimizados se procesan vía Vercel Analytics.

Cuando contactas a soporte: el contenido de tu mensaje, tu correo y cualquier información adicional que decidas compartir.

Datos que NO recolectamos: nombre legal completo, dirección postal, datos biométricos, información financiera más allá de lo procesado por Stripe.

3. Para qué usamos tus datos

Proveer el Servicio: enviarte picks, gestionar tu suscripción, mostrarte el contenido filtrado a tus deportes favoritos.

Pagos: procesar cobros recurrentes vía Stripe, emitir comprobantes fiscales si aplican.

Seguridad: detectar y bloquear cuentas fraudulentas, prevenir abuso del Servicio, cumplir con auditorías de Stripe.

Comunicaciones esenciales: notificaciones de cobro, cambios en términos, recuperación de contraseña, recordatorios de fin de prueba.

Cumplimiento legal: responder a requerimientos válidos de autoridades, conservar registros contables según ley.

Mejora del producto: análisis de uso anonimizado para entender qué deportes/ligas consumes más y mejorar el motor.

NO usamos tus datos para: vender a terceros, marketing de terceros, perfilamiento publicitario invasivo, ni para entrenar modelos de IA con tu información personal.

4. Encargados y sub-procesadores

Para operar el Servicio compartimos datos con terceros que actúan bajo nuestras instrucciones:

• Supabase (San Francisco, EE.UU. / region us-east-1): almacenamiento de cuentas, perfiles y picks. Cifrado en reposo y en tránsito (TLS 1.2+).

• Stripe, Inc. (San Francisco, EE.UU.): procesamiento de pagos. Stripe es responsable independiente del tratamiento de tus datos de pago bajo PCI-DSS Level 1.

• Vercel, Inc. (San Francisco, EE.UU.): hosting y CDN del sitio.

• Anthropic, PBC (San Francisco, EE.UU.): procesamiento del razonamiento IA de cada pick. NO enviamos tus datos personales a Anthropic — solo datos del partido (equipos, estadísticas, cuotas).

• Resend (EE.UU.): envío de correos transaccionales (confirmaciones, recordatorios).

• Telegram (Dubái, EAU): envío de notificaciones opt-in si activas el canal — solo si tú lo solicitas explícitamente.

• Proveedores de datos deportivos (OddsPapi, API-Football, the-odds-api): NO les enviamos datos personales tuyos. Solo consumimos datos públicos de partidos.

Transferencias internacionales: todos los proveedores anteriores cuentan con cláusulas contractuales estándar y compromisos de seguridad equivalentes a tu jurisdicción.

5. Tus derechos (ARCO / LGPD / GDPR-light)

Tienes derecho en todo momento a:

• ACCESO: solicitar copia de los datos personales que tenemos sobre ti.

• RECTIFICACIÓN: corregir datos inexactos o incompletos (puedes editar directamente desde /cuenta).

• CANCELACIÓN / SUPRESIÓN: pedir la eliminación de tu cuenta y datos asociados (con excepciones: registros contables que estamos obligados a conservar por ley fiscal — típicamente 5 años en MX).

• OPOSICIÓN: oponerte al tratamiento para fines específicos (por ejemplo, análisis de uso).

• PORTABILIDAD: recibir tus datos en formato estructurado (JSON) para llevarlos a otro servicio.

• REVOCACIÓN del consentimiento que hayas dado previamente.

Para ejercer cualquiera de estos derechos: escribe a privacidad@picksure.app desde el correo asociado a tu cuenta. Respondemos en máximo 15 días hábiles (MX) / 20 días (LGPD Brasil) / 30 días (otros).

6. Tiempo de conservación

Conservamos tus datos mientras tu cuenta esté activa. Si cancelas:

• Datos de cuenta (email, preferencias): eliminados dentro de 30 días posteriores a la solicitud de eliminación, salvo que tengas suscripción activa pendiente.

• Registros de pago: conservados por 5 años (obligación fiscal en México y la mayoría de LATAM).

• Logs técnicos de seguridad (IP, errores): conservados máximo 90 días.

• Picks históricos: anonimizados (sin tu user_id) se conservan indefinidamente para el track record público.

7. Cookies y tecnologías similares

Usamos cookies estrictamente necesarias para:

• Sesión de usuario (cookie de Supabase Auth, expira al cerrar sesión).

• Preferencias (zona horaria, idioma).

• Seguridad anti-CSRF.

No usamos cookies de publicidad de terceros, ni rastreadores cross-site, ni píxeles de Facebook/Google Ads. Si activamos analytics en el futuro, será con un proveedor privacy-first (Plausible, Vercel Analytics) sin cookies de terceros.

8. Seguridad

Aplicamos medidas técnicas y organizativas razonables: cifrado en tránsito (HTTPS/TLS 1.2+), cifrado en reposo (Supabase + S3), Row Level Security en todas las tablas de la base de datos, autenticación con hash bcrypt, principio de mínimo privilegio para roles internos, monitoreo de actividad sospechosa, validación de contraseñas filtradas vía HaveIBeenPwned.

Ningún sistema es 100% seguro. En caso de incidente que afecte tus datos, te notificaremos por correo dentro de 72 horas tras conocerlo, según exige la LGPD/GDPR.

9. Menores de edad

El Servicio NO está dirigido a menores de 18 años. No recolectamos conscientemente datos de menores. Si detectamos una cuenta de menor, la suspenderemos y eliminaremos sus datos. Si crees que un menor nos ha proporcionado información, contacta a privacidad@picksure.app inmediatamente.

10. Cambios a esta política

Podemos actualizar esta política. Te notificaremos por correo y/o aviso en el sitio al menos 15 días antes de cambios sustanciales. La fecha en la parte superior siempre refleja la versión vigente. El uso continuado del Servicio implica aceptación de los cambios.

11. Autoridades de protección de datos

Si consideras que tus derechos han sido vulnerados, puedes presentar denuncia ante la autoridad de tu país:

• México: INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) — inai.org.mx

• Brasil: ANPD (Autoridade Nacional de Proteção de Dados) — gov.br/anpd

• Colombia: SIC (Superintendencia de Industria y Comercio) — sic.gov.co

• Argentina: AAIP (Agencia de Acceso a la Información Pública) — argentina.gob.ar/aaip

• Chile: Consejo para la Transparencia — consejotransparencia.cl

• Perú: ANPD-Perú — www.gob.pe/anpd