Política de Privacidad

1. Introducción

En Next Gaming RP (PCU-NGRP), nos comprometemos a proteger tu privacidad y garantizar el tratamiento seguro de tus datos personales. Esta Política de Privacidad describe cómo recopilamos, utilizamos, almacenamos y protegemos tu información personal cuando utilizas nuestra plataforma.

Esta política cumple con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, la Ley Orgánica de Protección de Datos (LOPD) de España, y otras normativas aplicables en materia de protección de datos.

2. Responsable del Tratamiento de Datos

El responsable del tratamiento de tus datos personales es:

• Nombre: José Alejandro León García
• Email de contacto: contacto@ngrp.es
• Ubicación: Los Llanos de Aridane, España

Para ejercer tus derechos en materia de protección de datos o realizar consultas sobre el tratamiento de tu información, puedes contactarnos en el email indicado arriba.

3. Datos Personales que Recopilamos

Recopilamos diferentes tipos de información personal según el uso que hagas de nuestra plataforma:

3.1. Datos de Autenticación (Discord OAuth)

Cuando te registras o inicias sesión en PCU-NGRP, utilizamos el sistema de autenticación de Discord (OAuth 2.0). Recopilamos:

• ID de Discord: Identificador único de tu cuenta de Discord
• Nombre de usuario de Discord: Tu username actual en Discord
• Avatar de Discord: URL de tu imagen de perfil en Discord
• Token de acceso OAuth: Token temporal para gestionar tu sesión y roles en el servidor de Discord

Base legal: Consentimiento y ejecución de contrato (necesario para usar el servicio)

Almacenamiento: Tabla usuarios en nuestra base de datos

Finalidad: Autenticación de usuarios, gestión de cuenta, asignación automática de roles en Discord

Conservación: Mientras tu cuenta esté activa + 1 año tras solicitud de eliminación

3.2. Datos de Personajes (Roleplay)

Al crear un personaje en el servidor de roleplay, recopilamos:

• Nombre del personaje: Nombre ficticio de tu personaje
• Apellido del personaje: Apellido ficticio de tu personaje
• Fecha de nacimiento del personaje: Fecha ficticia (no tu fecha real)
• Estatura del personaje: Altura en centímetros (160-250 cm)

Base legal: Ejecución de contrato (necesario para participar en el servidor)

Almacenamiento: Tabla personajes

Finalidad: Gestión de personajes en el servidor de roleplay, identificación in-game

Conservación: Mientras tu cuenta esté activa

3.3. Datos de Bleeter (Red Social Interna)

Si utilizas nuestra red social interna "Bleeter", recopilamos:

• Email: Dirección de correo electrónico (para recuperación de cuenta)
• Username: Nombre de usuario único en Bleeter
• Nombre mostrado: Nombre que aparece en tu perfil
• Biografía: Descripción de perfil (opcional)
• Avatar y portada: Imágenes de perfil
• Posts y comentarios: Contenido que publicas, comentarios, menciones
• Mensajes privados: Conversaciones directas con otros usuarios
• Likes y retweets: Interacciones con contenido de otros usuarios
• Seguidores y seguidos: Conexiones sociales en la plataforma

Base legal: Consentimiento y ejecución de contrato

Almacenamiento: Tablas ngrp_bleeter_users, ngrp_bleeter_posts, ngrp_bleeter_messages, ngrp_bleeter_comments, ngrp_bleeter_likes

Finalidad: Funcionamiento de la red social, comunicación entre usuarios, moderación de contenido

Conservación: Mientras tu cuenta esté activa; mensajes eliminados (soft delete) se conservan 30 días tras inactividad

3.4. Datos de Seguridad (2FA)

Si activas la autenticación de dos factores (obligatoria para administradores), recopilamos:

• Secreto TOTP: Código secreto para generar códigos de verificación
• Direcciones IP confiables: IPs desde las que has iniciado sesión y marcado como seguras
• User-agent del navegador: Hash del navegador para identificar dispositivos confiables

Base legal: Interés legítimo (seguridad de la cuenta y protección contra accesos no autorizados)

Almacenamiento: Tablas usuarios_2fa, usuarios_2fa_ips_confiables

Finalidad: Protección de cuentas administrativas, prevención de accesos no autorizados

Conservación: Mientras 2FA esté activo; IPs confiables se eliminan automáticamente tras 14 días de inactividad

3.5. Datos de Formularios

Cuando completas formularios dinámicos en la plataforma, recopilamos:

• Respuestas a preguntas: Según el esquema del formulario (texto, opciones múltiples, etc.)
• Archivos adjuntos: Imágenes, vídeos u otros archivos que subas
• Fecha de envío: Timestamp de cuándo enviaste el formulario

Base legal: Consentimiento (al enviar el formulario)

Almacenamiento: Tabla formularios_respuestas, archivos en /uploads/formularios/

Finalidad: Procesamiento de solicitudes administrativas, gestión de aplicaciones, análisis de respuestas

Conservación: 2 años tras el cierre del formulario

3.6. Datos de Conexión y Actividad

Cuando utilizas la plataforma, recopilamos automáticamente:

• Direcciones IP: Tu dirección IP pública
• Fechas y horas de conexión: Timestamps de login/logout
• Páginas visitadas: Actividad dentro de la plataforma
• Estado de conexión: Si estás online o no

Base legal: Interés legítimo (seguridad, prevención de fraude, análisis de uso)

Almacenamiento: Logs del servidor, tabla usuarios (campos ultima_conexion, ultima_actividad_pcu, onlinepcu)

Finalidad: Seguridad del servicio, detección de actividad sospechosa, mejora del servicio

Conservación: 12 meses

4. Cookies y Tecnologías Similares

Utilizamos cookies y tecnologías similares para mejorar tu experiencia en la plataforma. Para información detallada sobre qué cookies utilizamos, su finalidad y duración, consulta nuestra Política de Cookies.

Puedes gestionar tus preferencias de cookies en cualquier momento a través del banner de consentimiento o configurando tu navegador para rechazar cookies.

5. Compartir Datos con Terceros

Compartimos tus datos personales con terceros solo en los siguientes casos:

5.1. Discord Inc. (Estados Unidos)

Qué datos compartimos:

• ID de Discord, nombre de usuario, avatar
• Información de roles asignados en el servidor

Finalidad:

• Autenticación OAuth 2.0
• Asignación automática de roles según nivel de certificación
• Notificaciones vía webhooks (formularios, posts de Bleeter)

Base legal: Consentimiento y ejecución de contrato

Garantías: Discord Inc. cumple con GDPR y utiliza Cláusulas Contractuales Estándar (SCC) para transferencias desde la UE a EE.UU.

Más información: Política de Privacidad de Discord

5.2. Twitch (Amazon.com Inc., Estados Unidos)

Qué datos compartimos: ID de usuario de Twitch (solo para verificación)

Finalidad: Verificar si streamers configurados están en vivo

Base legal: Interés legítimo (funcionalidad del servicio)

Más información: Política de Privacidad de Twitch

5.3. Kick.com

Qué datos compartimos: ID de usuario de Kick (solo para verificación)

Finalidad: Verificar si streamers configurados están en vivo

Base legal: Interés legítimo (funcionalidad del servicio)

5.4. Google Fonts (Google LLC, Estados Unidos)

Qué datos se comparten automáticamente: Tu dirección IP (al cargar las fuentes desde el CDN de Google)

Finalidad: Mejorar la apariencia visual de la plataforma mediante fuentes personalizadas

Base legal: Interés legítimo

Nota: Estamos trabajando en migrar a fuentes locales para evitar esta transferencia

Más información: Política de Privacidad de Google

5.5. CDN Personalizado (cdn.ngrp.es)

Qué datos almacenamos: Imágenes de perfil, archivos adjuntos de formularios, uploads

Ubicación: Unión Europea

Finalidad: Almacenamiento y distribución eficiente de contenido multimedia

Base legal: Ejecución de contrato

5.6. QR Server API

Qué datos compartimos: Código secreto TOTP (para generar código QR visual)

Finalidad: Generación de códigos QR para configuración de 2FA

Base legal: Consentimiento (al activar 2FA)

Nota: El código QR se genera dinámicamente y no se almacena en servidores de terceros

6. Transferencias Internacionales de Datos

Algunos de nuestros proveedores de servicios están ubicados fuera del Espacio Económico Europeo (EEE), específicamente en Estados Unidos. Las transferencias de datos a estos países se realizan con las siguientes garantías:

• Cláusulas Contractuales Estándar (SCC): Discord, Google y Twitch han implementado cláusulas contractuales estándar aprobadas por la Comisión Europea
• Medidas de seguridad adicionales: Cifrado de datos en tránsito y en reposo, controles de acceso estrictos
• Decisiones de Adecuación: Cuando aplique, nos basamos en las decisiones de adecuación de la Comisión Europea

Puedes solicitar más información sobre las garantías específicas en contacto@ngrp.es.

7. Tus Derechos Según el GDPR

Tienes los siguientes derechos en relación con tus datos personales:

7.1. Derecho de Acceso

Puedes solicitar una copia de todos los datos personales que tenemos sobre ti. Te proporcionaremos la información en un formato estructurado y legible.

7.2. Derecho de Rectificación

Si consideras que algún dato es inexacto o incompleto, puedes solicitar que lo corrijamos. Muchos datos puedes actualizarlos directamente desde tu perfil.

7.3. Derecho de Supresión ("Derecho al Olvido")

Puedes solicitar la eliminación de tus datos personales. Eliminaremos tu información cuando:

• Ya no sea necesaria para los fines para los que fue recopilada
• Retires tu consentimiento y no exista otra base legal
• Te opongas al tratamiento y no prevalezcan motivos legítimos imperiosos
• Los datos hayan sido tratados ilícitamente

Excepciones: Podemos conservar datos si existe obligación legal, para defensa de reclamaciones, o si es necesario para el cumplimiento de contratos.

7.4. Derecho de Portabilidad

Puedes solicitar recibir tus datos personales en un formato estructurado, de uso común y lectura mecánica (por ejemplo, JSON o CSV), y tienes derecho a transmitir esos datos a otro responsable sin que lo impidamos.

7.5. Derecho de Oposición

Puedes oponerte al tratamiento de tus datos personales basado en interés legítimo. Dejaremos de tratar tus datos salvo que demostremos motivos legítimos imperiosos.

7.6. Derecho de Limitación del Tratamiento

Puedes solicitar que limitemos el uso de tus datos en los siguientes casos:

• Impugnas la exactitud de los datos (durante el periodo de verificación)
• El tratamiento es ilícito pero no quieres que se eliminen
• Necesitas los datos para reclamaciones legales aunque ya no los necesitemos
• Te has opuesto al tratamiento (durante la verificación de motivos legítimos)

7.7. Derecho a Retirar el Consentimiento

Cuando el tratamiento se base en tu consentimiento, puedes retirarlo en cualquier momento. Esto no afectará la licitud del tratamiento previo a la retirada.

7.8. Derecho a Presentar una Reclamación

Si consideras que el tratamiento de tus datos vulnera la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):

• Web: www.aepd.es
• Dirección: C/ Jorge Juan, 6, 28001 Madrid, España
• Teléfono: +34 901 100 099 / +34 91 266 35 17

Cómo Ejercer Tus Derechos

8. Seguridad de los Datos

Implementamos medidas técnicas y organizativas apropiadas para proteger tus datos personales contra acceso no autorizado, pérdida, destrucción o alteración:

Medidas Técnicas

• Cifrado HTTPS: Todas las comunicaciones están cifradas con SSL/TLS
• Hash de contraseñas: Las contraseñas de Bleeter se almacenan con bcrypt (nunca en texto plano)
• Autenticación 2FA: Autenticación de dos factores TOTP para administradores
• Tokens seguros: Tokens de sesión con expiración automática
• Preparadas Statements: Protección contra inyección SQL en todas las consultas

Medidas Organizativas

• Acceso restringido: Solo personal autorizado tiene acceso a datos personales
• Copias de seguridad: Backups regulares de la base de datos
• Auditorías de seguridad: Revisiones periódicas de los sistemas
• Limpieza automática: IPs confiables y datos temporales se eliminan automáticamente

Notificación de Brechas de Seguridad

En caso de una brecha de seguridad que pueda suponer un riesgo para tus derechos y libertades, te notificaremos en un plazo de 72 horas según lo exigido por el GDPR, e informaremos a la autoridad de control correspondiente.

9. Protección de Menores

Nuestra plataforma está dirigida a personas mayores de 16 años, conforme a las normas internas del servidor. En España, la edad mínima para prestar consentimiento válido en servicios de la sociedad de la información es de 14 años, pero PCU-NGRP establece voluntariamente una edad mínima superior (16) en ejercicio de su derecho de admisión y autorregulación.

No recopilamos conscientemente datos personales de menores de 16 años. Si descubrimos que hemos recopilado datos de un menor, procederemos a eliminar esa información lo antes posible.

Para más detalles (consentimiento parental, relación con plataformas de terceros, exoneración y medidas disciplinarias), consulta la cláusula específica incluida en nuestros Términos y Condiciones.

Si eres padre/madre/tutor y crees que tu hijo menor de 16 años nos ha proporcionado datos personales, contacta con nosotros en contacto@ngrp.es para que podamos tomar las medidas necesarias.

10. Cambios a esta Política de Privacidad

Podemos actualizar esta Política de Privacidad ocasionalmente para reflejar cambios en nuestras prácticas, en la legislación aplicable, o en los servicios que ofrecemos.

Cuando realicemos cambios significativos, te notificaremos mediante:

• Un aviso destacado en la plataforma
• Actualización de la fecha de "Última actualización" en la parte superior de esta página
• En caso de cambios sustanciales que requieran nuevo consentimiento, te solicitaremos que lo proporciones

Te recomendamos revisar esta política periódicamente para mantenerte informado sobre cómo protegemos tus datos.

11. Contacto

Si tienes preguntas, dudas o solicitudes relacionadas con esta Política de Privacidad o el tratamiento de tus datos personales, puedes contactarnos a través de:

• Email: contacto@ngrp.es
• Discord: discord.gg/ngrp

Nos comprometemos a responder tus consultas en el menor tiempo posible y a brindarte toda la información necesaria sobre cómo gestionamos tus datos personales.