Índice de contenidos
Introducción y responsable del tratamiento
La presente Política de Privacidad describe cómo Jelly Stack («la Plataforma», «nosotros» o «el Responsable») recopila, utiliza, almacena y protege la información personal de los usuarios que acceden y hacen uso de sus servicios.
Jelly Stack es una plataforma SaaS diseñada para que operadores y administradores gestionen servidores Jellyfin, clientes, facturación y planes de acceso desde un panel centralizado. Al usar la Plataforma, aceptas las prácticas de privacidad descritas en este documento.
Esta política se aplica a todos los usuarios registrados, administradores de tenant y clientes finales que interactúen con la Plataforma a través de cualquier interfaz web o API.
Esta política cumple con los principios del Reglamento General de Protección de Datos (RGPD) de la Unión Europea y otras normativas de privacidad aplicables. Si tienes preguntas, consulta la sección de Contacto.
Datos que recopilamos
Recopilamos únicamente los datos necesarios para prestar el servicio. A continuación se detalla cada categoría de información y el momento en que se genera.
| Categoría | Datos específicos | Cuándo se recopila | Obligatorio |
|---|---|---|---|
| Datos de cuenta | Nombre completo, dirección de correo electrónico | Al registrarse o crear un cliente | Sí |
| Credenciales | Contraseña (almacenada como hash bcrypt, nunca en texto plano), secreto TOTP (2FA, si se activa) | Al registrarse / activar 2FA | Sí |
| Datos de red | Dirección IP del dispositivo desde el que se accede | En cada inicio de sesión y solicitud autenticada | Sí |
| Registros de actividad | Acciones realizadas en la plataforma: creación, renovación, suspensión y eliminación de clientes; intentos de inicio de sesión; cambios de configuración | Automáticamente al realizar cualquier acción | Sí |
| Referencias de pago | Identificadores de transacción emitidos por el procesador de pago (PayPal, Stripe, Plisio). No se almacenan números de tarjeta ni datos bancarios completos. | Al efectuar o registrar un pago | Condicional |
No recopilamos datos de navegación para publicidad, perfiles de comportamiento con fines comerciales, datos biométricos, ni información de menores de 16 años. La Plataforma no está dirigida a menores de edad.
Cómo usamos los datos
Utilizamos la información recopilada exclusivamente para los siguientes fines:
Gestión de cuentas y acceso
Crear y mantener tu cuenta, autenticar tu identidad, gestionar sesiones seguras mediante tokens JWT y habilitar la autenticación en dos factores (2FA/TOTP).
Facturación y procesamiento de pagos
Registrar y conciliar pagos, gestionar renovaciones y suspensiones de planes, y emitir referencias de transacción. Las referencias de pago permiten vincular una transacción con tu cuenta sin almacenar datos financieros sensibles.
Comunicaciones del servicio
Enviar notificaciones transaccionales como confirmaciones de pago, alertas de vencimiento, accesos otorgados o suspensiones. Estas comunicaciones se transmiten a través del servidor SMTP configurado por cada operador (tenant). No enviamos correos de marketing sin tu consentimiento expreso.
Seguridad y prevención del fraude
Registrar intentos de inicio de sesión y acciones críticas para detectar accesos no autorizados, prevenir el abuso de la plataforma y responder ante incidentes de seguridad. Los registros incluyen la dirección IP para facilitar la investigación de actividad sospechosa.
Operación y mejora del servicio
Diagnosticar problemas técnicos, monitorear la disponibilidad del servicio y mejorar la experiencia general de uso. Los datos de actividad se analizan de forma agregada y no se vinculan a perfiles individuales con fines comerciales.
Base legal del tratamiento
El tratamiento de tus datos personales se fundamenta en las siguientes bases legales conforme al artículo 6 del RGPD:
| Base legal | Finalidad del tratamiento |
|---|---|
| Ejecución contractual Art. 6.1.b RGPD |
Prestación del servicio: gestión de cuenta, facturación, accesos y notificaciones transaccionales necesarias para cumplir con el contrato de servicio aceptado al registrarse. |
| Interés legítimo Art. 6.1.f RGPD |
Seguridad de la plataforma, prevención del fraude, registro de acciones críticas y mantenimiento de logs de auditoría para proteger a usuarios y al sistema. |
| Obligación legal Art. 6.1.c RGPD |
Conservación de registros fiscales y de transacciones según la normativa tributaria y contable aplicable en la jurisdicción del operador. |
| Consentimiento Art. 6.1.a RGPD |
Comunicaciones de marketing o promocionales, en caso de que se implementen. Siempre revocable sin perjuicio del servicio. |
Compartición de datos con terceros
No vendemos ni alquilamos tus datos personales a terceros bajo ninguna circunstancia. La información solo se comparte con proveedores estrictamente necesarios para operar el servicio.
Los terceros con los que podemos compartir información son:
PayPal
Procesador de pagosAl realizar un pago a través de PayPal, los datos de la transacción son procesados directamente por PayPal Holdings, Inc. bajo su propia Política de Privacidad. Únicamente recibimos una referencia de transacción para vincular el pago con tu cuenta.
Stripe
Procesador de pagosLos pagos procesados mediante Stripe son gestionados por Stripe, Inc. bajo su Política de Privacidad. La Plataforma no accede ni almacena datos de tarjetas de crédito o débito; toda la información financiera sensible reside exclusivamente en los servidores de Stripe.
Plisio
Procesador de pagos criptoLos pagos con criptomonedas son gestionados por Plisio Ltd. bajo su Política de Privacidad. Al igual que con los demás procesadores, únicamente conservamos la referencia de transacción necesaria para confirmar y conciliar el pago.
Proveedor SMTP del operador
Envío de correoCada operador (tenant) de la Plataforma configura su propio servidor SMTP para el envío de notificaciones a sus clientes. El nombre y el correo electrónico del destinatario se transmiten a través de dicho servidor. El tratamiento de estos datos por parte del proveedor SMTP se rige por la política de privacidad del servicio de correo elegido por cada operador.
Fuera de los proveedores indicados, no transferimos tus datos a ningún otro tercero, incluidos gobiernos o autoridades públicas, salvo que exista obligación legal debidamente fundada y documentada.
Retención de datos
Conservamos tus datos personales durante el tiempo estrictamente necesario para cumplir con las finalidades para las que fueron recopilados, o durante el período legalmente requerido.
| Tipo de dato | Período de retención | Criterio |
|---|---|---|
| Datos de cuenta (nombre, email) | Mientras la cuenta esté activa + 30 días tras la solicitud de eliminación | Ejecución contractual |
| Contraseña (hash bcrypt) | Mientras la cuenta esté activa | Seguridad de acceso |
| Registros de actividad y logs | Hasta 12 meses desde la generación del registro | Interés legítimo / auditoría de seguridad |
| Dirección IP (logs de acceso) | Hasta 90 días | Seguridad y prevención del fraude |
| Referencias de transacciones de pago | Hasta 5 años desde la transacción | Obligación legal (normativa fiscal/contable) |
| Secreto TOTP (2FA) | Mientras el factor esté activado en la cuenta | Seguridad de acceso |
Una vez transcurrido el período de retención aplicable, los datos son eliminados de forma segura o anonimizados de manera irreversible.
Seguridad de los datos
Implementamos medidas técnicas y organizativas apropiadas para proteger tus datos personales frente a acceso no autorizado, pérdida, alteración o divulgación. Entre ellas:
Contraseñas con bcrypt
Las contraseñas se almacenan exclusivamente como hashes bcrypt con factor de coste elevado. Nunca se guardan en texto plano ni en formatos reversibles. Ni siquiera los administradores de la Plataforma pueden leer tu contraseña.
Tokens JWT seguros
Las sesiones se gestionan mediante JSON Web Tokens (JWT) firmados con secretos de alta entropía. Los tokens tienen un tiempo de expiración definido y se invalidan al cerrar sesión.
Cifrado en tránsito (HTTPS/TLS)
Toda la comunicación entre tu dispositivo y la Plataforma se realiza mediante HTTPS con TLS, evitando la interceptación de datos en tránsito.
Autenticación en dos factores (2FA)
La Plataforma soporta autenticación de dos factores mediante TOTP (RFC 6238), compatible con aplicaciones como Google Authenticator, Authy o cualquier app compatible con TOTP. Activarla añade una capa adicional de protección a tu cuenta.
Logs de auditoría
Todas las acciones críticas quedan registradas con marca temporal, IP y usuario asociado, permitiendo detectar y responder ante actividades sospechosas de forma rápida.
Datos de pago no almacenados
La Plataforma no almacena números de tarjeta, CVV, datos bancarios ni credenciales de billeteras digitales. Todo el procesamiento financiero sensible ocurre en los entornos certificados PCI DSS de nuestros procesadores de pago.
Ningún sistema es completamente infalible. En caso de detectar una brecha de seguridad que afecte a tus datos personales, te notificaremos sin demora indebida y tomaremos las medidas correctivas necesarias, conforme a lo establecido en el RGPD.
Tus derechos sobre tus datos
De acuerdo con la normativa de protección de datos aplicable, dispones de los siguientes derechos. Puedes ejercerlos en cualquier momento contactando con nosotros (ver sección Contacto).
Derecho de acceso
Puedes solicitar una copia de todos los datos personales que tenemos sobre ti, incluyendo cómo los usamos y con quién los compartimos.
Derecho de rectificación
Si alguno de tus datos es inexacto o incompleto, puedes solicitar su corrección. También puedes actualizar directamente tu perfil desde el panel de control.
Derecho de supresión («derecho al olvido»)
Puedes solicitar la eliminación de tus datos personales. Este derecho puede estar limitado cuando exista una obligación legal de conservación (por ejemplo, registros de transacciones para fines fiscales).
Derecho de portabilidad
Puedes solicitar que te entreguemos tus datos en un formato estructurado, de uso común y legible por máquina, para transferirlos a otro responsable del tratamiento.
Derecho de limitación del tratamiento
Puedes solicitar que limitemos el uso de tus datos en determinadas circunstancias, por ejemplo mientras se verifica la exactitud de los mismos o se resuelve una reclamación.
Derecho de oposición
Puedes oponerte al tratamiento de tus datos cuando este se base en interés legítimo. Evaluaremos tu solicitud y cesaremos el tratamiento salvo que existan motivos legítimos imperiosos que lo justifiquen.
Si consideras que el tratamiento de tus datos personales no se ajusta a la normativa, tienes derecho a presentar una reclamación ante la autoridad supervisora de protección de datos competente en tu país de residencia.
Cookies y tecnologías similares
El único mecanismo de almacenamiento en el navegador utilizado es el token JWT de sesión, necesario exclusivamente para mantener tu sesión autenticada:
| Identificador | Tipo | Finalidad | Duración | Tercero |
|---|---|---|---|---|
| auth_token / session | Esencial | Mantener la sesión autenticada del usuario. Sin este token, no es posible acceder a las áreas protegidas de la Plataforma. | Sesión / configurable | No |
Al tratarse de una cookie/token estrictamente necesaria para la prestación del servicio, no es posible rechazarla mientras se use la Plataforma. No se emplean píxeles de seguimiento, balizas web, fingerprinting de dispositivos ni ninguna otra tecnología de identificación más allá del token de sesión descrito.
Modificaciones de esta política
Nos reservamos el derecho de actualizar esta Política de Privacidad cuando sea necesario, por ejemplo para reflejar cambios en el servicio, nuevas obligaciones legales o mejoras en nuestras prácticas de privacidad.
Cuando realicemos cambios materiales que afecten a tus derechos o al tratamiento de tus datos, te notificaremos con antelación razonable a través de un aviso en la Plataforma o por correo electrónico a la dirección registrada en tu cuenta.
Los cambios menores (correcciones ortográficas, aclaraciones de redacción sin cambio de fondo) se publicarán en esta página sin notificación previa. La fecha de la última actualización siempre estará visible en la cabecera de este documento.
El uso continuado de la Plataforma tras la publicación de los cambios constituye la aceptación de la nueva política. Si no estás de acuerdo con los cambios, puedes solicitar la eliminación de tu cuenta antes de que estos entren en vigor.
Contacto
Para ejercer cualquiera de tus derechos, realizar consultas sobre el tratamiento de tus datos personales, reportar un incidente de privacidad o solicitar más información, puedes contactar con el responsable del tratamiento a través de los canales disponibles en la Plataforma.
Responderemos a tu solicitud en un plazo máximo de 30 días naturales desde su recepción, conforme a lo establecido en el artículo 12 del RGPD. En casos complejos o cuando el volumen de solicitudes sea elevado, podremos ampliar dicho plazo hasta 60 días adicionales, informándote de ello.
Para contactarnos puedes:
- Usar el formulario de contacto disponible en la Plataforma.
- Abrir un ticket de soporte desde tu panel de cliente.
- Escribir directamente al correo de soporte indicado en el panel del operador.