Política de privacidad

Actualizado: 2026-05-04. Borrador v1 — pendiente de revisión legal antes del lanzamiento.

Esta política describe los datos personales que Loni recoge, por qué los recoge, con quién los comparte, cuánto tiempo los conserva y los derechos que tienes. Loni SAS (Costa de Marfil) es el responsable del tratamiento. Puedes contactarnos en privacy@helloloni.com.

1. Qué recogemos

Solo lo necesario para operar el servicio.

1.1 Cuenta e identidad

• Nombre (nombre público, nombre/apellidos si los proporcionas), correo, teléfono, foto de perfil, biografía, idioma preferido (fr / en / es).
• Estado de verificación: si el correo y el teléfono están confirmados.
• Estado de la cuenta: pendiente de verificación, activa, suspendida o eliminación programada.
• Estado de la autenticación en dos pasos y los hashes SHA-256 de tus seis códigos de recuperación (no almacenamos los códigos en texto claro).
• Para el registro con contraseña, un hash Argon2id de la contraseña (no almacenamos la contraseña en claro).
• Para el registro OAuth (Google, Apple), el nombre del proveedor y el identificador de usuario emitido por él.
• Código de referidos generado para tu cuenta.

1.2 Sesiones y dispositivos

• Registros de dispositivo: identificador generado en el cliente, etiqueta (p. ej. "iPhone 15 Pro"), plataforma, versión de la app y token de notificaciones push (FCM en Android, APNS en iOS).
• Registros de sesión: dirección IP, agente de usuario, expiración, revocación.
• Refresh tokens (rotados en cada uso, con un margen de 10 segundos para tolerar dobles peticiones).
• Los tokens de acceso son de corta duración (15 minutos) y no se almacenan.
• Secreto de la autenticación en dos pasos: cifrado en reposo con AES-256-GCM mediante una clave de servidor (MFA_ENCRYPTION_KEY); solo se almacena la forma cifrada y solo se descifra en memoria al autenticar.

1.3 Pedidos, contabilidad y facturas

• Artículos comprados, cantidades, formato (digital / rústica / tapa dura).
• Dirección de envío para libros impresos: nombre del destinatario, calle, ciudad, región, código postal, país, teléfono.
• Cuatro últimos dígitos de la tarjeta (Stripe) o número de Mobile Money enmascarado (PawaPay), con la referencia de transacción del proveedor. No almacenamos números completos de tarjeta ni credenciales completas de Mobile Money.
• Saldo de monedero e historial de transacciones (reembolsos, canjes de tarjetas regalo).
• Asientos contables con importes en XOF con precisión BigInt, en una cadena hash resistente a manipulación.
• Facturas HTML almacenadas en almacenamiento privado y firmadas con HMAC-SHA256.

1.4 Lectura y biblioteca

• Entradas de biblioteca (tabla desnormalizada: qué libros, formatos, fuente = compra / suscripción / regalo / concesión manual, último acceso).
• Sesiones de lectura activas (una por libro, formato y usuario), con latido cada 120 segundos.
• Marcadores, subrayados, notas, posición de lectura, sincronizados entre tus dispositivos.
• Paquetes de lectura sin conexión descargados.
• Exportes de anotaciones solicitados (CSV / JSON / Markdown).

1.5 Comunicaciones y reseñas

• Mensajes a soporte (que generan un ticket).
• Reseñas y valoraciones publicadas (1–5 estrellas + texto), con votos de utilidad.
• Preferencias de notificación por canal (correo, SMS, WhatsApp, push) y franja de horario silencioso.
• Reportes que envíes sobre reseñas o contenidos.

1.6 Telemetría técnica

• Registros de servidor estructurados con pino, exportados a Grafana Loki para depuración y análisis de seguridad a corto plazo. Estos registros no establecen cookies de terceros en tu navegador.
• Un registro de auditoría de acciones modificadoras (las tuyas y las de la plataforma) — ver retención más abajo.
• Una marca de agua forense por licencia: HMAC-SHA256 sobre (userId : bookId : format : issuedAt), almacenada solo en los metadatos de la licencia. Nunca se incrusta en el contenido y solo se consulta en investigaciones de fugas, con registro en el log de auditoría.

1.7 Lo que no recogemos

• No recogemos datos biométricos.
• No recogemos ubicación precisa; solo el país inferido por IP puede usarse para enrutar.
• No recogemos categorías especiales (salud, religión, opiniones políticas).
• No usamos rastreadores publicitarios de terceros ni píxeles de redes sociales.

2. Por qué los recogemos

2.1 Prestar el servicio

• Crear tu cuenta, iniciar sesión, asegurar tus credenciales.
• Sincronizar tu biblioteca y tu lectura entre dispositivos.
• Procesar compras y reembolsos; entregar libros impresos en la dirección indicada.
• Emitir, entregar y revocar las licencias digitales que te permiten leer en la app móvil Loni.

2.2 Asegurar la plataforma

• Detectar y limitar abusos (limitación de inicios de sesión; señalizaciones de fraude para pedidos > 150 000 XOF, 5+ pedidos pagados por hora, tasa de reembolso > 30 % o 5+ reseñas de 5★ en 7 días). Estas señales generan revisión humana; no bloquean la cuenta automáticamente.
• Proteger el contenido mediante el DRM, incluida la marca de agua forense en los metadatos de licencia.
• Cumplir con la ley y responder a requerimientos legales.

2.3 Comunicarnos contigo

• Mensajes transaccionales (siempre se envían): actualizaciones de pedido, decisiones de reembolso, alertas de seguridad, restablecimiento de contraseña, códigos de dos pasos, confirmaciones de eliminación. Esenciales; no se pueden desactivar mientras uses la cuenta.
• Marketing (opt-in): anuncios, promociones, recomendaciones. Puedes retirar el consentimiento cuando quieras desde tus preferencias.
• Canales: correo (SendGrid), SMS (Twilio), WhatsApp (Twilio Business), push (FCM, APNS).
• Un webhook de rebote o queja de SendGrid coloca tu dirección en una lista de supresión de 30 días, lo que detiene los correos hasta resolverse. Las plantillas críticas (códigos de un solo uso, restablecimiento de contraseña, dos pasos, eliminación de cuenta) ignoran la supresión porque son necesarias para la seguridad de la cuenta.

2.4 Mejorar el producto

• Analítica agregada vía registros de servidor. Sin analítica de terceros en v1.

3. Con quién los compartimos

Nunca vendemos tus datos personales. Compartimos con estas categorías de proveedores, solo lo imprescindible:

| Destinatario | Qué recibe | Finalidad | | --- | --- | --- | | PawaPay | Número de Mobile Money (formato E.164) | Procesar transacciones Mobile Money; webhooks firmados (RFC-9421) | | Stripe | Datos de tarjeta tokenizados, referencia de cliente | Procesar pagos con tarjeta y suscripciones de Stripe | | SendGrid | Dirección de correo | Entregar correo; recibir eventos de rebote / queja | | Twilio | Número de teléfono | Entregar SMS y WhatsApp | | FCM (Google) / APNS (Apple) | Token push por dispositivo | Entregar notificaciones push | | Socios de impresión | Nombre del destinatario y dirección de envío | Imprimir y enviar libros físicos | | Alojamiento y bases de datos gestionadas | Almacenamiento cifrado en servidor | Operar la plataforma; bajo acuerdos de tratamiento | | Autoridades | Divulgaciones limitadas | Cumplir órdenes judiciales y leyes aplicables |

Los socios de impresión reciben únicamente nombre y dirección. Nunca reciben información de pago.

4. Dónde se almacenan tus datos

Loni se ejecuta en infraestructura gestionada en la nube (droplet de DigitalOcean más Postgres y Redis gestionados). Los archivos (contenido de libros, portadas, muestras, facturas, exportes, pruebas de entrega) se almacenan en un único bucket privado compatible con S3 en MinIO, replicado de forma continua a un endpoint S3 gestionado con instantáneas diarias. Cualquier acceso público pasa por URLs firmadas de corta duración; nada de nuestro almacenamiento es navegable públicamente.

5. Cuánto tiempo los conservamos

| Categoría | Retención | | --- | --- | | Perfil y ajustes | Mientras tu cuenta esté activa | | Refresh tokens, sesiones | Hasta 14 días deslizantes, 90 días máximo absoluto, o hasta revocación | | Datos de lectura (biblioteca, marcadores, subrayados, notas, sesiones) | Hasta que retires el libro o elimines la cuenta | | Pedidos, asientos contables, facturas | Hasta diez años (obligaciones contables y fiscales), incluso tras eliminar la cuenta | | Registro de auditoría | Indefinido — append-only y resistente a manipulaciones; requerido por seguridad y cumplimiento | | Registros de telemetría | Corto plazo (habitualmente 30–90 días) | | Lista de supresión correo / SMS | 30 días desde el último rebote / queja | | Exportes RGPD | 7 días desde que se emite la URL firmada | | Consentimiento de marketing | Hasta su retirada |

Al eliminar tu cuenta, anonimizamos o borramos los datos personales en 30 días. Algunos elementos (pedidos, contabilidad, registro de auditoría, metadatos de tus libros publicados si eres creador, tus reseñas bajo "Usuario eliminado") se conservan por obligaciones contables, fiscales, de seguridad y por los derechos de otros usuarios.

6. Tus derechos

Tienes derecho a:

• Acceder — solicitar una copia de tus datos. Puedes generar una exportación de autoservicio desde tu cuenta; entregamos un archivo JSON mediante un enlace firmado válido 7 días. Límite: una exportación cada 24 horas.
• Rectificar — corregir datos inexactos u obsoletos desde tus ajustes.
• Suprimir — solicitar la eliminación. Desde la app: ajustes → Eliminar cuenta. Si ya no puedes iniciar sesión: usa la página pública Eliminar mi cuenta; te enviamos un enlace de confirmación. Tras confirmar, la eliminación se programa en 30 días; puedes cancelarla iniciando sesión durante ese plazo.
• Oponerte o limitar — los tratamientos basados en interés legítimo (por ejemplo, marketing).
• Retirar el consentimiento — para cualquier tratamiento que dependa de él, incluyendo correos de marketing.
• Reclamar — ante una autoridad de protección de datos competente.

Respondemos en un plazo de un mes. Si denegamos te explicamos por qué y cómo recurrir.

7. Cookies y almacenamiento similar

Nuestra Política de cookies detalla las cookies que usamos, qué hacen y cómo rechazar las no esenciales.

8. Menores

Debes tener al menos 13 años para crear una cuenta. Algunos libros llevan etiqueta de edad (ALL_AGES, TEEN, MATURE, ADULT) — respétala. No recogemos a sabiendas datos de menores de 13 años. Si crees que es el caso, contáctanos: eliminaremos la cuenta.

9. Cambios

Esta política puede actualizarse. Los cambios sustantivos se anuncian por correo y en el sitio al menos 14 días antes de entrar en vigor.

10. Contacto

Para cualquier consulta o para ejercer un derecho: privacy@helloloni.com, o usa la página Contacto.