Política de Privacidade

Un nome de usuario (pode ser inventado), un contrasinal que ti elixes, e un nome público para que os teus contactos te recoñezan (tamén pode ser inventado). Sen correo electrónico. Sen teléfono. Sen ningún dato que te vincule a unha persoa real.

Para un detalle exhaustivo de todos os campos que almacenamos, como os protexemos e canto tempo os conservamos, consulta o noso Manifesto de Transparencia

O tratamento dos teus datos baséase nas seguintes bases legais do Regulamento Xeral de Protección de Datos (RXPD)

• Execución do contrato ( Art. 6.1.b RGPD ): os datos da túa conta son necesarios para prestarche o servizo.
• Interese lexítimo ( Art. 6.1.f RGPD ): Medición anónima das visitas á páxina de presentación (sen cookies, sen IP, sen identificación).
• Obriga legal (Art. 6.1.c RGPD): Conservación de rexistros de pagamentos por obrigas fiscais.

Cada tipo de dato ten un período de conservación diferente, detallado no noso Manifesto de Transparencia

• Datos de conta: ata que borres a túa conta.
• Sesións: máximo 24 horas.
• Sinais de conexión: máximo 60 segundos, só en memoria.
• Rexistros do servidor: máximo 72 horas (para diagnóstico técnico)
• Rexistros de pagamentos: permanente (obrigación fiscal). Estes rexistros son completamente anónimos: só conteñen o importe e a data do cobro, para poder emitir o ticket de venda correspondente. Non inclúen ningún dato que vincule o pagamento a un usuario concreto.

Todos os nosos servidores están situados en Alemaña

Os pagamentos procésanse a través de pasarelas de pagamento externas. Estas pasarelas poden tratar datos da transacción conforme ás súas propias políticas de privacidade. Nós non recibimos nin almacenamos datos persoais do pagador — unicamente recibimos unha confirmación e un importe.

Na páxina de presentación (non na aplicación) realizamos unha medición anónima de visitas en servidores propios aloxados en Alemaña. Sen cookies, sen enderezo IP, sen identificar a ninguén e sen compartir datos con terceiros.

Base xurídica: interese lexítimo (Art. 6.1.f RXPD)

Dereito de oposición:

Podes borrar a túa conta e todos os teus datos técnicos asociados cun só clic. Sen preguntas.

Conforme ao RXPD e a LOPDGDD, tes dereito a:

• Acceso: Coñece os datos que temos sobre ti. Todo está detallado no Manifesto da Transparencia; Para a súa conta específica, póñase en contacto connosco.
• Corrección: Pode cambiar o seu nome público e contrasinal directamente desde a aplicación.
• Eliminación: Elimina a túa conta e todos os datos asociados cun só clic, desde a configuración.
• Portabilidade: Solo2 ofrece exportación de copias de seguridade cifradas que conteñen todos os seus datos locais.
• Limitación do procesamento: Na práctica, os datos que temos sobre ti son tan mínimos que case non hai nada que limitar. Pero se o solicitas, restrinxiremos calquera procesamento que non sexa estritamente necesario para manter o servizo.
• Obxección: Pode opoñerse ao tratamento en calquera momento. Para realizar análises anónimas, simplemente desactive JavaScript.

Para exercer calquera destes dereitos, escríbenos a hola@menzuri.com

Se consideras que non atendemos adecuadamente os teus dereitos, podes presentar unha reclamación ante a Axencia Española de Protección de Datos (AEPD)

Solo2 utiliza criptografía probada pola comunidade académica, non esquemas propios. As primitivas son as mesmas que validan publicacións revisadas por pares e que levan anos despregadas a escala global noutros sistemas.

• X3DH (Extended Triple Diffie-Hellman) para o establecemento inicial da sesión entre dous contactos: ambos derivan unha chave compartida sen ter intercambiado nunca antes ningún segredo.
• Double Ratchet para o cifrado en curso de cada conversación. Cada mensaxe cífrase cunha chave distinta, que se deriva e se borra inmediatamente despois de cifrar o seguinte.
• ChaCha20-Poly1305 para o cifrado autenticado de cada mensaxe individual, dentro do Double Ratchet. Os datos en repouso — a túa bóveda local e as copias de seguridade — cífranse con AES-256-GCM. Ambos son cifrados autenticados (AEAD) amplamente despregados e validados.
• Argon2id para derivar, a partir do teu contrasinal, a clave que envolve (cifra) a túa clave mestra. Resistente a ataques con hardware especializado (GPUs, ASICs).
• Curve25519 e Ed25519 para os pares de chaves de cifrado e firma. Curvas elípticas modernas, sen «constantes máxicas» sospeitosas.

Unha propiedade chave que ofrecen estas primitivas é forward secrecy: se unha chave de sesión queda comprometida, as mensaxes anteriores seguen sendo ilexibles. E a propiedade complementaria, post-compromise security: a conversación «auto-cúrase» en canto se intercambian mensaxes novas.

Non existe ningunha chave mestra, porta traseira nin mecanismo de recuperación que nos permita ler as túas mensaxes. Iso inclúe o caso dunha orde xudicial: tecnicamente non podemos descifrar o que non temos.

Unha política de privacidade seria non é só unha lista do que si facemos: tamén é unha lista clara do que nunca faremos.

• Non adestramos modelos de IA coas túas mensaxes. Non é unha promesa voluntaria: é unha consecuencia de todo o anterior. Non os temos en ningún momento — a cláusula que noutras políticas soa tranquilizadora, aquí é intrinsecamente certa por construción.
• Non vendemos publicidade. Solo2 é un servizo de pago, non monetizado mediante anuncios. Os teus datos non son o noso modelo de negocio.
• Non construímos perfís de uso, comportamento, localización, contactos nin intereses. Non temos tampouco un grafo social que vincule a uns usuarios con outros.
• Non compartimos datos con terceiros con fins comerciais. A única excepción son as pasarelas de pago, que reciben unicamente o importe da transacción.
• Non usamos cookies de rastreos, nin píxeles, nin fingerprinting do navegador, nin servizos externos como Google Analytics ou Facebook Pixel.
• Non rexistramos a túa dirección IP de forma persistente. A conexión necesita unha IP transitoria, pero non se garda asociada á túa conta.

En aplicación do artigo 28 do RGPD, os subprocesadores que actualmente interveñen na prestación do servizo son os seguintes. Se nalgún momento se incorpora un novo subprocesador, esta lista actualizarase e comunicaremos o cambio ás persoas usuarias antes de que entre en vigor.

• Hetzner Online GmbH (Alemaña) — Infraestrutura de servidores con centros de datos na Unión Europea. Cumpre RGPD e certificacións ISO 27001.
• Infomaniak (Suíza) — Correo electrónico corporativo. Datos aloxados en Suíza, país con declaración de adecuación da Comisión Europea.
• Pasarelas de pago — Procesamento de cobros. Non reciben datos persoais do usuario, só o importe e a moeda da transacción.

Cando recibimos unha orde xudicial válida emitida por unha autoridade competente española ou europea, cumprimos. A pregunta interesante non é se cumpriríamos, senón que poderiamos efectivamente entregar.

O deseño técnico de Solo2 limita drasticamente o que poderiamos achegar a unha requisitoria. Non temos acceso ao contido das mensaxes (cifrado extremo a extremo), non gardamos metadatos de quen fala con quen, non almacenamos historiais de conexión e non gardamos direccións IP asociadas a contas.

O que si poderiamos entregar, chegado o caso, son os datos mínimos asociados a unha conta tal e como se describen no Manifesto de Transparencia: nome de usuario e nome público (ambos poden ser inventados), un hash do contrasinal, e unha chave mestra cifrada con ese contrasinal que para nós é un blob opaco.

Esta política aplícase unicamente a autoridades competentes en España e na Unión Europea. Non respondemos a solicitudes de forzas da orde de terceiros países sen unha canle legal europea intermedia.