Legal · Privacidad

Política de Privacidad

Última actualización: abril de 2026 · Versión 2.0 · Responsable: Caetano José Miguel Ollandzobo · hola@custodi.es

Resumen ejecutivo. Custodi trata tus datos exclusivamente para prestarte el servicio de co-parentalidad. No vendemos datos a terceros, no mostramos publicidad y aplicamos cifrado en tránsito y en reposo. Esta política cumple el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la Ley 34/2002 (LSSI-CE).

1. Responsable del tratamiento

TitularCaetano José Miguel Ollandzobo

NIF/NIEDisponible bajo solicitud

DomicilioMadrid, España

Email DPOhola@custodi.es

Webcustodi.es

Appapp.custodi.es

2. Datos que recogemos y para qué

La siguiente tabla detalla cada categoría de dato, la finalidad, la base jurídica y el plazo de conservación:

Categoría	Datos concretos	Finalidad	Base jurídica	Conservación
Identidad	Nombre completo, email, foto de perfil, teléfono	Crear y gestionar tu cuenta	Consentimiento	Vida de la cuenta + 30 días tras baja
Menores	Nombre, fecha de nacimiento, colegio, médico, alergias, medicación, seguro médico	Ficha del menor compartida entre co-progenitores	Interés legítimo parental	Hasta eliminación manual o baja de cuenta
Comunicaciones	Texto de mensajes, fecha, hora, dispositivo, puntuación ToneMeter	Canal formal entre progenitores con registro inalterable	Consentimiento	5 años (valor probatorio)
Calendario	Título, fecha, tipo, notas de eventos de custodia	Organización de custodias e intercambios	Consentimiento	5 años
Gastos	Descripción, importe, categoría, split, fecha, aprobación	Registro de gastos compartidos del menor	Consentimiento	5 años (obligación fiscal)
Registro formal	Texto del incidente, categoría, prioridad, dispositivo, validación co-progenitor	Documentación formal con valor legal	Interés legítimo	5 años
Acuerdos	Título, contenido, aprobaciones, fechas, estado	Pactos co-parentales con validez formal	Consentimiento	10 años (valor contractual)
Documentos	Archivos subidos (PDF, imágenes), metadatos, enlace Drive	Documentación del menor accesible a ambos progenitores	Consentimiento	Hasta eliminación manual
Círculo de apoyo	Nombre, teléfono, email, rol de contactos de confianza	Red de apoyo del menor	Consentimiento	Hasta eliminación manual
Dispositivo	Sistema operativo, navegador, tipo de dispositivo	Trazabilidad del registro formal (no hay tracking de actividad)	Interés legítimo	Junto al registro que lo contiene
Suscripción	Plan activo, fecha de expiración, Stripe customer ID	Gestión del acceso por planes	Ejecución de contrato	Duración suscripción + 5 años
Notificaciones push	Token VAPID del dispositivo	Envío de notificaciones de la app	Consentimiento explícito	Hasta revocación del permiso
Acceso profesional	Email del profesional, código de acceso, casos asignados, notas privadas	Acceso controlado de abogados/psicólogos a datos del usuario Pro	Consentimiento explícito	Hasta revocación del acceso
Autenticación Google	Token OAuth, fecha de expiración	Sincronización con Google Calendar y Google Drive (solo si el usuario activa la integración)	Consentimiento explícito	Hasta desconexión de la integración

Datos especialmente protegidos. La ficha del menor puede contener datos de salud (alergias, medicación). Estos datos se tratan con base en el artículo 9.2.c) RGPD (protección de intereses vitales) y el artículo 9.2.b) RGPD (obligaciones en el ámbito del Derecho laboral y de la seguridad social, aplicable por analogía a la co-parentalidad). Se aplican medidas de seguridad reforzadas.

3. Proveedores y transferencias internacionales

Custodi trabaja con los siguientes subencargados de tratamiento, todos con garantías adecuadas conforme al RGPD:

Proveedor	Servicio	Ubicación	Garantía RGPD
Supabase	Base de datos, autenticación, almacenamiento	UE (AWS Frankfurt)	DPA firmado, cláusulas contractuales tipo
Vercel	Alojamiento de la aplicación web	UE / EE.UU.	DPA firmado, Privacy Shield sucesor (DPF)
Stripe	Procesamiento de pagos	EE.UU. / UE	DPA firmado, certificación PCI DSS nivel 1
Google (Calendar, Drive, OAuth)	Integraciones opcionales activadas por el usuario	EE.UU. / UE	DPA firmado, DPF certificado
Hostinger	Alojamiento landing page	UE (Lituania)	DPA firmado

Los datos de mensajes, registro, gastos y documentos se almacenan en la región EU (Frankfurt) de Supabase. No se realizan transferencias internacionales fuera de las indicadas. Stripe procesa únicamente datos de pago — nunca accede al contenido de la app.

4. Tus derechos

Conforme al RGPD (artículos 15 a 22) y la LOPDGDD tienes los siguientes derechos:

Acceso (art. 15)Conocer qué datos tratamos sobre ti y obtener una copia

Rectificación (art. 16)Corregir datos inexactos o incompletos

Supresión (art. 17)Solicitar la eliminación de tus datos ("derecho al olvido")

Limitación (art. 18)Restringir el tratamiento en determinadas circunstancias

Portabilidad (art. 20)Recibir tus datos en formato estructurado y legible por máquina

Oposición (art. 21)Oponerte al tratamiento basado en interés legítimo

No decisión automatizada (art. 22)El ToneMeter es una herramienta de apoyo, no toma decisiones con efectos jurídicos

Retirar consentimientoEn cualquier momento, sin afectar a la licitud del tratamiento anterior

Para ejercer cualquiera de estos derechos escribe a hola@custodi.es indicando tu nombre, email de cuenta y el derecho que deseas ejercer. Responderemos en un plazo máximo de 30 días (prorrogable 2 meses en casos complejos, con notificación previa).

Si no obtienes respuesta satisfactoria, puedes presentar reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es · C/ Jorge Juan, 6, 28001 Madrid.

5. Seguridad de los datos

Aplicamos las siguientes medidas técnicas y organizativas:

Cifrado en tránsito mediante TLS 1.3 en todas las comunicaciones
Cifrado en reposo en la base de datos (AES-256 en Supabase / AWS)
Row Level Security (RLS) en Supabase — cada usuario solo accede a sus propios datos
Autenticación mediante contraseña hasheada (bcrypt) o OAuth 2.0 con Google
Tokens de acceso profesional de un solo uso con expiración
Sin almacenamiento de contraseñas en texto plano
Acceso al panel de administración restringido por autenticación multifactor
Copias de seguridad automáticas diarias con retención de 30 días
Registro de actividad para auditorías (logs de acceso)
El código del ToneMeter se ejecuta localmente en el dispositivo — los mensajes no se envían a servidores de IA externos

En caso de brecha de seguridad que afecte a tus derechos y libertades, notificaremos a la AEPD en un plazo máximo de 72 horas y a los usuarios afectados sin dilación indebida, conforme al artículo 33 RGPD.

6. Menores de edad

Custodi está dirigida exclusivamente a personas mayores de 18 años. No recogemos datos de menores de forma directa. Los datos sobre menores (fichas, documentación) son introducidos por sus progenitores o tutores legales, quienes son los únicos responsables de la exactitud y licitud de esa información.

Si tienes conocimiento de que un menor ha creado una cuenta sin autorización parental, contacta con hola@custodi.es y eliminaremos la cuenta de inmediato.

Custodi no es una aplicación dirigida a menores de 13 años en ninguna circunstancia, en cumplimiento del artículo 8 RGPD y la Sección 312 de la COPPA (para usuarios de EE.UU.).

7. Cookies y tecnologías de seguimiento

Custodi no utiliza cookies de seguimiento ni publicidad. Utilizamos exclusivamente:

Cookies de sesión técnicas — necesarias para mantener tu sesión autenticada (base jurídica: interés legítimo / necesidad técnica). No requieren consentimiento conforme al considerando 47 RGPD y la Guía de la AEPD sobre cookies.
localStorage — para preferencias locales de la aplicación (sin transmisión a servidores).

No integramos Google Analytics, Facebook Pixel, ni ningún otro sistema de analítica de terceros.

8. ToneMeter — Análisis de tono con IA

El ToneMeter analiza el texto de los mensajes antes de enviarlos para detectar patrones de comunicación potencialmente conflictivos. Es importante que sepas:

El análisis se ejecuta íntegramente en tu dispositivo mediante reglas locales. Los mensajes no se envían a ningún servidor de inteligencia artificial externo.
La puntuación ToneMeter se almacena junto al mensaje como metadato informativo.
Es una herramienta de apoyo a la comunicación, no una evaluación psicológica ni una decisión automatizada con efectos jurídicos (art. 22 RGPD).
El usuario puede enviar cualquier mensaje independientemente de la puntuación obtenida.

9. Integración con Google (opcional)

Si activas la integración con Google, Custodi solicita acceso a:

Google Calendar — para sincronizar eventos de custodia. Solo lectura/escritura de eventos creados por Custodi.
Google Drive — para almacenar documentos del menor en tu Drive personal. Los archivos se guardan en una carpeta "Custodi" de tu propiedad.

Esta integración es completamente opcional. Puedes revocarla en cualquier momento desde tu cuenta de Google en myaccount.google.com/permissions. Custodi no accede a ningún otro dato de tu cuenta Google.

El uso de la API de Google se rige por la Política de Privacidad de Google.

10. Acceso profesional (plan Custodi Legal)

Los usuarios con plan Custodi Legal pueden invitar a un abogado/a o psicólogo/a mediante un código de acceso de 6 caracteres generado por el propio usuario. El profesional invitado podrá ver:

Mensajes del usuario que le invitó (solo los suyos, no los del co-progenitor)
Gastos, registro formal y acuerdos en modo solo lectura

El acceso puede revocarse en cualquier momento desde la sección Co-progenitor → Acceso profesional. Al revocar, el profesional pierde el acceso inmediatamente. Las notas privadas que el profesional haya creado en su expediente son de su propiedad exclusiva y no son visibles para el usuario.

11. Pagos y datos financieros

Los pagos son procesados por Stripe, Inc. Custodi nunca almacena números de tarjeta, CVV ni datos bancarios completos. Solo conservamos el identificador de cliente Stripe y el plan activo para gestionar tu suscripción.

Stripe está certificado PCI DSS nivel 1. Consulta su política en stripe.com/es/privacy.

12. Conservación y eliminación de datos

Cuando solicitas la eliminación de tu cuenta:

Tus datos se marcan para eliminación inmediata en la interfaz
La eliminación efectiva en base de datos se completa en un plazo máximo de 30 días
Los datos con obligación legal de conservación (gastos, acuerdos) se conservan anonimizados durante el plazo legal aplicable
Los documentos almacenados en Supabase Storage se eliminan permanentemente
Los documentos en Google Drive son de tu propiedad — Custodi no puede eliminarlos; debes hacerlo tú directamente
Las copias de seguridad se purgan de forma automática a los 30 días de la eliminación

¿Quieres eliminar tu cuenta?

Puedes solicitar la eliminación de tu cuenta y todos tus datos enviando un email a hola@custodi.es con el asunto Solicitud eliminación de cuenta e indicando el email de tu cuenta.

Procesaremos tu solicitud en un plazo máximo de 30 días.

13. Cambios en esta política

Custodi puede actualizar esta política para reflejar cambios en el servicio o en la legislación. Cuando los cambios sean sustanciales, te notificaremos por email con al menos 30 días de antelación y solicitaremos nuevo consentimiento si fuera necesario. La versión vigente siempre estará disponible en custodi.es/privacidad.html.

14. Legislación aplicable y jurisdicción

Esta política se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), y la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE).

Para cualquier litigio derivado de esta política, las partes se someten a los juzgados y tribunales de Madrid, con renuncia expresa a cualquier otro fuero que pudiera corresponderles.

15. Contacto

Para cualquier consulta sobre privacidad, ejercicio de derechos o incidencias de seguridad:

📧 hola@custodi.es
🌐 custodi.es
📍 Madrid, España

Tiempo de respuesta: máximo 30 días hábiles.