Aviso de Privacidad
El presente Aviso de Privacidad regula el tratamiento de los datos personales de los usuarios de la aplicación educativa Gobbolink EduApps — asistente digital de aprendizaje de aritmética para niñas y niños de 7 a 13 años —, accesible en eduapps.gobbolink.com. Se emite en cumplimiento de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDHMX) de los Estados Unidos Mexicanos, y del Reglamento (UE) 2016/679 (RGPD/GDPR) respecto de usuarios con residencia en el Espacio Económico Europeo.
Identidad y domicilio del responsable
El responsable del tratamiento de los datos personales recogidos a través de la aplicación es Gobbolink (en lo sucesivo, “Gobbolink” o “el Responsable”), titular del sitio web gobbolink.com y de la aplicación accesible en el dominio eduapps.gobbolink.com.
[ARCO] — <nombre del titular>Gobbolink adopta las medidas técnicas, organizativas y legales razonables para garantizar el ejercicio de los derechos de los titulares de datos, conforme al marco normativo aplicable.
Finalidades del tratamiento
Los datos personales recabados se tratan con las siguientes finalidades, debidamente identificadas como primarias o secundarias:
- Prestar el servicio educativo de aritmética (suma, resta, multiplicación y división) con explicación paso a paso.
- Gestionar la cuenta del titular (padre o tutor) y los perfiles infantiles asociados.
- Registrar estadísticas de uso del menor —operaciones completadas, tiempo de uso y ayudas solicitadas— con fines de seguimiento pedagógico y mejora del contenido.
- Gestionar pagos y códigos de regalo, incluyendo la verificación de vigencia y el control de dispositivos autorizados (máximo 3 por cuenta).
- Autenticar al titular y al menor, así como recuperar el acceso ante olvido de credenciales.
- Enviar notificaciones por correo electrónico relativas a mejoras del servicio, novedades pedagógicas o recordatorios de uso.
- Generar métricas agregadas y anónimas con fines analíticos y de investigación educativa.
- Solicitar opiniones o testimonios opcionales, los cuales en su caso serán publicados únicamente con consentimiento expreso del titular.
El titular podrá oponerse al tratamiento para finalidades secundarias en cualquier momento, sin que ello afecte la prestación del servicio, mediante solicitud a privacy@gobbolink.com.
Datos personales recabados
Gobbolink aplica un principio de minimización: únicamente se recaban los datos estrictamente necesarios para cada finalidad descrita. Los datos se clasifican como sigue:
3.1 Datos del titular (padre o tutor)
| Dato | Finalidad | Naturaleza |
|---|---|---|
| Correo electrónico | Identificación de la cuenta, recuperación y notificaciones. | Identificadora |
| Nombre | Tratamiento personalizado y verificación en gestión de incidencias. | Básica |
| Contraseña (hasheada con bcrypt) | Autenticación del titular. | Sensible (cifrada) |
| PIN de padres (hasheado) | Control parental de acceso a funciones reservadas (configuración, compra, reportes). | Sensible (cifrada) |
3.2 Datos del menor (perfil infantil)
| Dato | Finalidad | Naturaleza |
|---|---|---|
| Nombre del perfil del niño | Identificación del perfil dentro de la cuenta familiar. Puede ser un alias o apodo; no se requiere nombre legal. | Infantil |
| Avatar elegido | Personalización visual del perfil; selección entre catálogo predefinido. | Básica |
| Estadísticas de aprendizaje | Operaciones completadas, tiempo de uso, ayudas (hints) solicitadas, progreso por operación. | Uso |
3.3 Datos técnicos
- User-Agent del navegador: para compatibilidad y resolución de incidencias técnicas.
- Dirección IP: utilizada exclusivamente para el control de dispositivos autorizados (máximo 3 por cuenta) y para la prevención de fraude. No se conserva más tiempo del necesario para dichas finalidades.
- Identificadores de sesión: cookies
httpOnlyy tokens de autenticación.
Protección reforzada de menores: en cumplimiento del artículo 20 de la LGPDHMX y del artículo 8 del RGPD, Gobbolink no recaba datos identificativos sensibles del menor (p. ej. CURP, RFC, ubicación precisa, biometría ni imágenes), ni realiza publicidad dirigida ni perfila al menor con fines comerciales.
Base legal del tratamiento
El tratamiento de los datos personales se fundamenta en las siguientes bases legales:
- Consentimiento expreso del titular (padre o tutor legal del menor), otorgado al crear la cuenta y al aceptar el presente Aviso de Privacidad. Tratándose de menores, el consentimiento es prestado por quien ejerza la patria potestad o tutela.
- Cumplimiento de obligaciones contractuales asumidas con el titular al activar una suscripción, necesarias para prestar el servicio educativo contratado (art. 47 LGPDHMX; art. 6.1.b RGPD).
- Interés legítimo de Gobbolink para garantizar la seguridad de la plataforma, prevenir fraudes y ejercer acciones disciplinarias sobre cuentas (art. 6.1.f RGPD), siempre respetando los derechos y libertades fundamentales del titular y del menor.
- Cumplimiento de obligaciones legales respecto de requerimientos de autoridad competente debidamente fundados y motivados.
El consentimiento podrá ser revocado en cualquier momento sin efecto retroactivo, sin perjuicio de la conservación de los datos durante los plazos legales aplicables (sección 9).
Transferencias y cesiones de datos
Gobbolink no vende, arrienda ni comercializa los datos personales de sus usuarios. Las transferencias a terceros se limitan a los encargados del tratamiento estrictamente necesarios para prestar el servicio, bajo contratos de confidencialidad y conforme al principio de necesidad:
| Tercero | Finalidad | País / Marco |
|---|---|---|
| Hotmart | Procesamiento de pagos, gestión de reembolsos y emisión de comprobantes. | Brasil / EE. UU. — cláusulas contractuales tipo (SCC) |
| Google (Firebase) | Servicios de infraestructura, autenticación y analítica agregada, en caso de aplicarse. | EE. UU. — SCC y garantías del RGPD |
| Neubox | Alojamiento (hosting) y almacenamiento de la base de datos. | México |
| Proveedor de correo transaccional | Envío de notificaciones de cuenta, recuperación de contraseña y avisos legales. | EE. UU. / UE — SCC |
Gobbolink exigirá a sus encargados el cumplimiento de estándares equivalentes de seguridad y confidencialidad. En caso de transferencias internacionales a países sin nivel adecuado de protección, se suscribirán las cláusulas contractuales tipo aprobadas por la autoridad competente o se aplicarán las salvaguardas equivalentes previstas por la LGPDHMX y el RGPD.
No se realizan transferencias a autoridades públicas salvo requerimiento debidamente fundado y motivado por autoridad competente, o en términos del artículo 113 de la LGPDHMX.
Derechos ARCO y cómo ejercerlos
El titular —y, en su caso, el menor a partir de los 13 años asistido por su tutor— podrá ejercer en cualquier momento los siguientes derechos:
| Derecho | Descripción |
|---|---|
| Acceso | Conocer qué datos personales se tratan y obtener copia de los mismos. |
| Rectificación | Solicitar la corrección de datos inexactos o incompletos. |
| Cancelación / Supresión | Solicitar la supresión de los datos, salvo conservación legal obligatoria. |
| Oposición | Oponerse al tratamiento para finalidades secundarias o por motivos legítimos. |
| Revocación del consentimiento | Retirar el consentimiento otorgado, sin efecto retroactivo. |
| Portabilidad (RGPD) | Recibir los datos en formato estructurado y transmitirlos a otro responsable. |
| Limitación del tratamiento (RGPD) | Solicitar la suspensión temporal del tratamiento en los supuestos previstos. |
- Nombre del titular y correo electrónico de la cuenta.
- Derecho que desea ejercer y descripción clara de la petición.
- Copia de identificación oficial del titular (sólo para verificar identidad, no se conservará).
- En su caso, documento que acredite la representación legal del menor.
En México, el titular también podrá acudir al INAI si considera vulnerados sus derechos. En la UE, podrá hacerlo ante la autoridad de control de su Estado miembro.
Medidas de seguridad técnicas y organizativas
Gobbolink ha implementado medidas técnicas, administrativas y físicas razonables para proteger los datos personales contra uso indebido, acceso no autorizado, alteración, divulgación o pérdida, conforme al artículo 92 de la LGPDHMX y al artículo 32 del RGPD:
- Cifrado de credenciales: las contraseñas y el PIN de padres se almacenan exclusivamente en forma hasheada mediante el algoritmo
bcryptcon factor de coste adecuado. Gobbolink no puede visualizar la contraseña original. - Transporte seguro: todas las comunicaciones entre cliente y servidor se realizan sobre HTTPS / TLS 1.2+.
- Cookies
httpOnlyySecure: los tokens de sesión no son accesibles desde JavaScript cliente, mitigando ataques XSS. - Control de acceso basado en roles: el acceso a datos personales en backend está restringido al personal autorizado, con registro de auditoría.
- Límite de dispositivos: cada cuenta admite un máximo de 3 dispositivos autorizados; cualquier dispositivo adicional requiere autenticación del titular.
- Segregación de perfiles: el menor no tiene acceso a los datos de facturación, contraseñas, ni reportes administrativos del titular.
- Copias de seguridad y monitoreo: respaldos cifrados y monitorización de accesos para detección de incidentes.
- Plan de respuesta a incidentes: en caso de violación de seguridad, Gobbolink notificará a los titulares afectados y a la autoridad competente dentro de los plazos legales (72 horas en el RGPD).
Consentimiento de padres o tutores
El titular reconoce que:
- Ha leído y aceptado el presente Aviso de Privacidad y los Términos y Condiciones de Uso en nombre propio y del menor.
- Autoriza el tratamiento de los datos personales del menor con las finalidades descritas en la sección 2.
- Se compromete a acompañar al menor durante el uso de la aplicación, particularmente durante los primeros 7 días de uso, conforme a la recomendación pedagógica de Gobbolink.
- Es responsable de la veracidad de los datos proporcionados y de mantener actualizada la información de contacto.
Gobbolink se reserva el derecho de solicitar, en cualquier momento, evidencia razonable de la representación legal del menor, así como de suspender preventivamente la cuenta en caso de duda fundada sobre la titularidad o la edad del menor.
Conservación y supresión de datos
Gobbolink conservará los datos personales únicamente durante el tiempo necesario para cumplir con las finalidades para las que fueron recabados, conforme al principio de minimización temporal:
- Datos de cuenta y perfiles: durante la vigencia del acceso contratado (1 año desde la activación) más un periodo adicional de 90 días naturales para permitir renovación y recuperación, salvo solicitud de supresión anticipada por el titular.
- Estadísticas de uso del menor: se conservan mientras la cuenta esté activa; tras la baja, se anonimizan y agregan con fines analíticos.
- Datos de facturación: conforme a las obligaciones fiscales aplicables (5 años en términos del Código Fiscal de la Federación, cuando aplique).
- Registros técnicos (IP, logs): máximo 90 días, salvo conservación obligatoria por requerimiento legal.
Transcurridos los plazos indicados, los datos serán suprimidos o anonimizados de forma irreversible, de modo que ya no puedan asociarse a un titular identificado o identificable.
Cambios al presente aviso
Gobbolink podrá modificar el presente Aviso de Privacidad en atención a reformas legislativas, criterios de autoridad, cambios en el servicio o por decisión corporativa. Las modificaciones se publicarán en esta misma URL y se identificará la fecha de última actualización.
Cuando los cambios sean sustanciales —es decir, afecten las finalidades del tratamiento, los datos recabados, las transferencias o los derechos del titular— Gobbolink notificará por correo electrónico a la dirección registrada en la cuenta con al menos 15 días naturales de anticipación a su entrada en vigor. El uso continuado del servicio transcurrido ese plazo implicará la aceptación del aviso actualizado, salvo que el titular manifieste su oposición, en cuyo caso podrá ejercer su derecho de cancelación.
Fecha de última actualización
La fecha se calcula dinámicamente para reflejar la versión vigente en cada visita. Para consultar el historial de versiones, escríbanos a privacy@gobbolink.com.
En caso de duda sobre la interpretación del presente aviso, prevalecerá la versión en español publicada en eduapps.gobbolink.com/legal/privacidad.