Política de Privacitat

Un nom d'usuari (pot ser inventat), una contrasenya que tu tries, i un nom públic perquè els teus contactes et reconeguin (també pot ser inventat). Cap correu electrònic. Cap telèfon. Cap dada que et vinculi a una persona real.

Per a un detall exhaustiu de tots els camps que emmagatzemem, com els protegim i quant de temps els conservem, consulta el nostre Manifest de Transparència

El tractament de les teves dades es basa en les següents bases legals del Reglament General de Protecció de Dades (RGPD)

• Execució del contracte ( Art. 6.1.b RGPD ): Les dades del teu compte són necessàries per proporcionar-te el servei.
• Interès legítim ( Art. 6.1.f RGPD ): Mesurament anònim de visites a la pàgina de presentació (sense cookies, sense IP, sense identificació).
• Obligació legal (Art. 6.1.c RGPD): Conservació de registres de pagaments per obligacions fiscals.

Cada tipus de dada té un període de conservació diferent, detallat en el nostre Manifest de Transparència

• Dades de compte: fins que esborris el teu compte.
• Sessions: màxim 24 hores.
• Senyals de connexió: màxim 60 segons, només en memòria.
• Sol·licituds de vinculació: màxim 3 dies.
• Registres de pagaments: permanent (obligació fiscal). Aquests registres són completament anònims: només contenen l'import i la data del cobrament, per poder emetre el tiquet de venda corresponent. No inclouen cap dada que vinculi el pagament a un usuari concret.

Tots els nostres servidors estan ubicats a Alemanya

Els pagaments es processen a través de passarel·les de pagament externes. Aquestes passarel·les poden tractar dades de la transacció d'acord amb les seves pròpies polítiques de privacitat. Nosaltres no rebem ni emmagatzemem dades personals del pagador — únicament rebem una confirmació i un import.

A la pàgina de presentació (no a l'aplicació) realitzem una mesura anònima de visites en servidors propis allotjats a Alemanya. Sense cookies, sense adreça IP, sense identificar ningú i sense compartir dades amb tercers.

Base legal:

Dret d'oposició:

Pots esborrar el teu compte i totes les teves dades tècniques associades amb un sol clic. Sense preguntes.

D'acord amb el RGPD i la LOPDGDD, tens dret a:

• Accés: Saber quines dades tenim sobre tu. Tot està detallat al Manifest de Transparència; pel teu compte concret, contacta amb nosaltres.
• Rectificació: Pots canviar el teu nom públic i la teva contrasenya directament des de l'aplicació.
• Supressió: Eliminar el teu compte i totes les dades associades amb un clic, des dels paràmetres.
• Portabilitat: Solo2 ofereix exportació de còpies de seguretat xifrades que contenen totes les teves dades locals.
• Limitació del tractament: A la pràctica, les dades que tenim sobre tu són tan mínimes que amb prou feines hi ha res a limitar. Però si ho sol·licites, restringirem qualsevol tractament que no sigui estrictament necessari per mantenir el servei.
• Oposició: Pots oposar-te al tractament en qualsevol moment. Per a l'analítica anònima, només cal desactivar JavaScript.

Per exercir qualsevol d'aquests drets, escriu-nos a hola@menzuri.com

Si consideres que no hem atès adequadament els teus drets, pots presentar una reclamació davant l'Autoritat Catalana de Protecció de Dades (APDCAT)

Solo2 utilitza criptografia provada per la comunitat acadèmica, no esquemes propis. Les primitives són les mateixes que validen publicacions revisades per parells i que porten anys desplegades a escala global en altres sistemes.

• X3DH (Extended Triple Diffie-Hellman) per a l'establiment inicial de la sessió entre dos contactes: tots dos deriven una clau compartida sense haver intercanviat mai abans cap secret.
• Double Ratchet per al xifratge en curs de cada conversa. Cada missatge es xifra amb una clau diferent, que es deriva i s'esborra immediatament després de xifrar el següent.
• ChaCha20-Poly1305 per al xifratge autenticat de cada missatge individual, dins del Double Ratchet. Les dades en repòs — la teva volta local i les còpies de seguretat — es xifren amb AES-256-GCM. Ambdós són xifratges autenticats (AEAD) àmpliament desplegats i validats.
• Argon2id per derivar, a partir de la teva contrasenya, la clau que envolta (xifra) la teva clau mestra. Resistent a atacs amb maquinari especialitzat (GPUs, ASICs).
• Curve25519 i Ed25519 per als parells de claus de xifratge i signatura. Corbes el·líptiques modernes, sense «constants màgiques» sospitoses.

Una propietat clau que ofereixen aquestes primitives és forward secrecy: si una clau de sessió queda compromesa, els missatges anteriors continuen sent il·legibles. I la propietat complementària, post-compromise security: la conversa s'«auto-cura» tan bon punt s'intercanvien missatges nous.

No existeix cap clau mestra, porta del darrere ni mecanisme de recuperació que ens permeti llegir els teus missatges. Això inclou el cas d'una ordre judicial: tècnicament no podem desxifrar el que no tenim.

Una política de privadesa seriosa no és només una llista del que sí fem: també és una llista clara del que mai farem.

• No entrenem models d'IA amb els teus missatges. No és una promesa voluntària: és una conseqüència de tot l'anterior. No els tenim en cap moment — la clàusula que en altres polítiques sona tranquil·litzadora, aquí és intrínsecament certa per construcció.
• No venem publicitat. Solo2 és un servei de pagament, no monetitzat mitjançant anuncis. Les teves dades no són el nostre model de negoci.
• No construïm perfils d'ús, comportament, ubicació, contactes ni interessos. No tenim tampoc un graf social que vinculi uns usuaris amb uns altres.
• No compartim dades amb tercers amb fins comercials. L'única excepció són les passarel·les de pagament, que reben únicament l'import de la transacció.
• No fem servir galetes de rastreig, ni píxels, ni fingerprinting del navegador, ni serveis externs com Google Analytics o Facebook Pixel.
• No registrem la teva adreça IP de forma persistent. La connexió necessita una IP transitòria, però no es guarda associada al teu compte.

En aplicació de l'article 28 del RGPD, els subprocessadors que actualment intervenen en la prestació del servei són els següents. Si en algun moment s'incorpora un nou subprocessador, aquesta llista s'actualitzarà i comunicarem el canvi a les persones usuàries abans que entri en vigor.

• Hetzner Online GmbH (Alemanya) — Infraestructura de servidors amb centres de dades a la Unió Europea. Compleix RGPD i certificacions ISO 27001.
• Infomaniak (Suïssa) — Correu electrònic corporatiu. Dades allotjades a Suïssa, país amb declaració d'adequació de la Comissió Europea.
• Passarel·les de pagament — Processament de cobraments. No reben dades personals de l'usuari, només l'import i la moneda de la transacció.

Quan rebem una ordre judicial vàlida emesa per una autoritat competent espanyola o europea, complim. La pregunta interessant no és si compliríem, sinó què podríem efectivament lliurar.

El disseny tècnic de Solo2 limita dràsticament el que podríem aportar a una requisitòria. No tenim accés al contingut dels missatges (xifratge d'extrem a extrem), no guardem metadades de qui parla amb qui, no emmagatzemem historials de connexió i no guardem adreces IP associades a comptes.

El que sí podríem lliurar, arribat el cas, són les dades mínimes associades a un compte tal com es descriuen en el Manifest de Transparència: nom d'usuari i nom públic (tots dos poden ser inventats), un hash de la contrasenya, i una clau mestra xifrada amb aquesta contrasenya que per a nosaltres és un blob opac.

Aquesta política s'aplica únicament a autoritats competents a Espanya i la Unió Europea. No responem a sol·licituds de forces de l'ordre de tercers països sense un canal legal europeu intermedi.