SightReader SightReader

Política de privacidad

Última actualización: 18 June 2026

Esta traducción se ofrece para mayor claridad. La versión en inglés es el texto jurídicamente vinculante.

Esta política explica qué datos personales recopila SightReader, por qué los recopilamos y qué puedes hacer al respecto. Hemos intentado que sea breve y claro. Si algo no queda claro, escríbenos a [email protected] y te lo explicaremos.

Quiénes somos

SightReader ( sightreader.app ) está gestionado por Bret Cameron, autónomo, con sede en Londres, Reino Unido. A efectos del UK GDPR y de la Data Protection Act 2018 somos el responsable del tratamiento de los datos personales descritos a continuación.

Contacto para cualquier asunto de privacidad: [email protected].

Qué recopilamos

Información de la cuenta

  • Tu dirección de correo electrónico y (cuando el proveedor los facilita) nombre visible y foto de perfil del proveedor de inicio de sesión que elijas (Google, Microsoft o el enlace mágico por correo).
  • Un identificador interno de usuario que generamos, junto con el rol (la mayoría de usuarios son simplemente user).
  • Las respuestas de la incorporación (nivel, objetivo semanal) si completas el flujo de bienvenida.

Datos de práctica

  • Las sesiones que completas: qué pieza, precisión, tiempos, valoración por estrellas y las notas que has tocado.
  • Los ajustes que cambias (tempo, transposición, armaduras).
  • Las piezas que subes (archivos MusicXML), si las hay. Se guardan asociadas a tu cuenta.
  • Los nombres del dispositivo MIDI conectado (p. ej. "Yamaha P-45") para mostrarlos en el selector. No capturamos audio.

Datos de pago

Si te suscribes a Pro, los pagos los gestiona Stripe. Nunca vemos los datos de tu tarjeta: Stripe solo nos envía el ID de cliente, el estado de la suscripción y la divisa. Para su tratamiento se aplica la propia política de privacidad de Stripe.

Datos técnicos

  • Dirección IP y ubicación aproximada (país/ciudad) en el momento de la solicitud.
  • Navegador, sistema operativo y tipo de dispositivo a partir del User-Agent.
  • Las páginas que ves, los botones que pulsas y los errores que encuentras.

Comunicaciones

Cuando te enviamos correos (bienvenida, secuencia de incorporación, resumen semanal si eres administrador) registramos el envío y cualquier rebote o reclamación posterior. Si respondes a uno de nuestros correos, conservamos el hilo.

Bases legales para el tratamiento

Conforme al artículo 6 del UK GDPR, las bases legales en las que nos apoyamos son:

  • Contrato — para prestar el servicio que has contratado: gestión de la cuenta, seguimiento de la práctica, facturación e inicio de sesión.
  • Intereses legítimos — para mantener el servicio seguro, corregir errores (Sentry), entender qué funciones se utilizan (PostHog) y avisarte de cambios significativos en el producto. Lo hemos sopesado frente a tus derechos y consideramos que el impacto es mínimo.
  • Consentimiento — para correos de marketing no esenciales más allá de las actualizaciones del servicio. Cada correo de marketing incluye un enlace para darse de baja. Puedes retirar el consentimiento en cualquier momento desde tu cuenta o mediante el enlace de baja.
  • Obligación legal — para conservar registros de facturación (Stripe) por motivos fiscales con HMRC.

Cómo usamos tus datos

  • Para crear tu cuenta y permitirte iniciar sesión.
  • Para guardar tu progreso de práctica y ofrecerte selecciones diarias adaptadas a tu nivel.
  • Para cobrar Pro y recordar si tienes derecho a las funciones Pro.
  • Para enviar correos transaccionales (enlaces de inicio de sesión, recibos, cambios de cuenta).
  • Para enviar correos de incorporación y producto (bienvenida, secuencia), de los que puedes darte de baja en cualquier momento.
  • Para depurar fallos, supervisar el rendimiento y detectar abusos.
  • Para producir estadísticas agregadas y no identificativas sobre el uso del producto (p. ej. "cuántos usuarios completaron el Grade 1 la semana pasada").

No vendemos tus datos personales. No mostramos publicidad de terceros y nunca compartimos tus datos con anunciantes.

Subprocesadores

Recurrimos a un pequeño número de proveedores para prestar el servicio. Cada uno está sujeto a un contrato (Adenda de Tratamiento de Datos) que les obliga a tratar tus datos solo siguiendo nuestras instrucciones y a aplicar medidas de seguridad adecuadas.

  • Supabase (base de datos y almacenamiento de autenticación) — alojado en la UE.
  • Cloudflare (hosting, DNS, WAF) — red global, con tráfico servido normalmente desde el Reino Unido o la UE para visitantes del Reino Unido.
  • Amazon Web Services — S3 (almacenamiento de la biblioteca MusicXML), CloudFront (CDN delante de la biblioteca) y SES (correo transaccional y de marketing; se procesan la dirección de email y el cuerpo del mensaje). Usamos la región eu-west-2 (Londres).
  • Stripe — procesamiento de pagos (Reino Unido y mundial).
  • Google y Microsoft — solo cuando eliges esos proveedores para iniciar sesión. Saben que has iniciado sesión en SightReader; nosotros recibimos tu correo, nombre visible y avatar.
  • PostHog (analítica de producto) — nube en la UE (eu.i.posthog.com).
  • Sentry (supervisión de errores) — Fráncfort, Alemania (de.sentry.io).

Transferencias internacionales

La mayor parte del tratamiento se realiza en el Reino Unido o la UE. Cuando un subprocesador está fuera del Reino Unido (p. ej. Stripe, partes de AWS, Google, Microsoft), las transferencias se basan en el UK International Data Transfer Agreement, las Cláusulas Contractuales Tipo de la UE con la adenda del Reino Unido, o una decisión de adecuación (como el UK–US Data Bridge), según corresponda. Puedes pedirnos una copia del mecanismo de transferencia aplicable escribiendo a [email protected].

Conservación

  • Datos de cuenta y práctica — se conservan mientras tu cuenta esté activa. Si eliminas tu cuenta, retiramos los campos de identificación personal en un plazo de 30 días; las estadísticas de práctica agregadas y anónimas pueden persistir.
  • Registros de correo — se conservan 12 meses para diagnosticar la entrega y luego se eliminan.
  • Registros de pago — se conservan al menos 6 años para cumplir con las normas de conservación de HMRC.
  • Tokens de enlace mágico — de un solo uso, caducan en 30 minutos y se almacenan con hash.
  • Eventos de fallo y analítica — se conservan 90 días (Sentry) y 12 meses (PostHog) respectivamente, y luego se eliminan.

Tus derechos

Conforme al UK GDPR tienes derecho a:

  • Solicitar una copia de los datos personales que tenemos sobre ti (derecho de acceso).
  • Corregir cualquier dato erróneo (rectificación).
  • Pedirnos que eliminemos tus datos, incluida tu cuenta (supresión o "derecho al olvido").
  • Restringir o oponerte a determinados tratamientos.
  • Recibir tus datos en un formato portable (portabilidad de datos).
  • Retirar el consentimiento en cualquier momento, cuando nos hayamos basado en él.
  • Presentar una reclamación ante la Information Commissioner’s Office (ICO) del Reino Unido si crees que hemos gestionado mal tus datos. Agradecemos que nos des antes la oportunidad de resolverlo: escríbenos a [email protected].

Puedes ejercer la mayoría de estos derechos directamente desde tu página de cuenta (eliminar la cuenta, exportar datos, editar el perfil). Para todo lo que no sea autoservicio, escríbenos: nuestro objetivo es responder en 30 días.

Para eliminar tú mismo tu cuenta y todos los datos asociados, ve a la página de eliminación de cuenta. La eliminación es permanente tras un periodo de gracia de 30 días.

Cookies y tecnologías similares

Agrupamos las cookies en tres categorías. Puedes cambiar tus elecciones en cualquier momento en la página de Configuración de cookies .

Estrictamente necesarias

Siempre activas. El sitio no funciona sin ellas, por lo que están exentas del consentimiento.

  • Autenticación — una cookie de sesión que establece Auth.js para que no tengas que iniciar sesión en cada carga de página.
  • Protección CSRF — una cookie de corta duración para evitar peticiones falsificadas.
  • Preferencia de idioma — una cookie que recuerda el idioma elegido para que el sitio se muestre en la lengua correcta en tu próxima visita.
  • Registro del consentimiento de cookies — almacenamiento local con tus elecciones por categoría, para no preguntarte en cada visita.
  • Preferencias — almacenamiento local para recordar opciones de la interfaz como el volumen o la clave preferida.
  • Supervisión de fallos — Sentry establece un identificador de sesión para vincular errores relacionados. Sin datos personales; necesario para la salud del sitio.

Analítica

Solo se establecen si lo aceptas. PostHog coloca una cookie propia y una entrada en localStorage para contar usuarios únicos y medir el uso de funciones. Alojado en la UE, con IP enmascarada.

Marketing

Hoy no hay cookies de marketing activas. Las listaremos aquí a medida que las añadamos, y la categoría permanece desactivada por defecto hasta que aceptes.

Para cambiar tus elecciones, visita Configuración de cookies (también enlazado en el pie del sitio).

Menores

SightReader es apto para estudiantes de piano de cualquier edad, pero no recopilamos a sabiendas datos personales de menores de 13 años. De acuerdo con el Age Appropriate Design Codede la ICO, cualquier menor de 13 años en el Reino Unido debería pedir a su madre, padre o tutor que cree la cuenta en su nombre. Si crees que un menor se ha registrado sin permiso, escríbenos a [email protected] y eliminaremos la cuenta.

Seguridad

Protegemos tus datos con medidas estándar del sector: TLS en tránsito, cifrado en reposo en nuestros proveedores de base de datos y almacenamiento, tokens de enlace mágico con hash (no en texto plano), seguridad a nivel de fila en la base de datos para que cada usuario solo pueda leer sus propios registros, actualizaciones periódicas de dependencias y credenciales de servicio con privilegios mínimos. Ningún sistema es impenetrable: si detectamos una brecha que afecte a tus datos, te lo notificaremos a ti y a la ICO sin demora indebida, tal como exige la ley.

Cambios en esta política

Podemos actualizar esta política cuando cambien el producto o nuestros proveedores. La fecha de "Última actualización" en la parte superior es la referencia válida. Para cambios sustanciales (nuevas categorías de datos o nuevos subprocesadores que modifiquen significativamente el panorama de privacidad) avisaremos por correo a los usuarios activos al menos 14 días antes de que el cambio entre en vigor.

Contacto

Preguntas, solicitudes o reclamaciones: [email protected]. Nuestro objetivo es responder en tres días laborables (hora del Reino Unido).

Si no podemos resolver tu reclamación, puedes ponerte en contacto con la Information Commissioner’s Office — el regulador de protección de datos del Reino Unido — en ico.org.uk/make-a-complaint.