Política de Privacidad

Última actualización: abril de 2026

1. ¿Qué datos recogemos?

Los datos que tratamos dependen del servicio utilizado. A continuación se detalla cada caso.

Datos de analítica (Google Analytics 4)

Utilizamos Google Analytics 4 para medir el tráfico del sitio de forma agregada. GA4 recoge datos como páginas visitadas, tiempo de sesión, tipo de dispositivo y país de origen de forma anonimizada. No se recogen nombres ni correos electrónicos. Puedes desactivar el seguimiento instalando el complemento de inhabilitación de Google Analytics.

Datos de geolocalización (ipapi.co)

Para mostrar los precios en la moneda local del usuario, realizamos una consulta a ipapi.co con la dirección IP del visitante. Esta consulta devuelve únicamente el código de país. No almacenamos la IP ni la compartimos con terceros más allá de este servicio puntual.

Datos de sesión de juego de mesa (almacenamiento local)

El estado de la partida del juego de mesa (jugadores, posición en el tablero, retos mostrados) se guarda exclusivamente en el localStorage del navegador del usuario, con un tiempo de expiración de 4 horas. Estos datos nunca salen del dispositivo ni son enviados a ningún servidor.

Datos del servicio En Sintonía (almacenamiento en servidor)

El servicio En Sintonía requiere la recogida y almacenamiento de datos personales en nuestros servidores para poder prestarlo correctamente. Los datos que se recogen son:

• Nombre y correo electrónico de cada participante
• Respuestas al cuestionario (80 ítems de escala por participante)
• Estado de la sesión (sala de juego, progreso del cuestionario)
• Resultados calculados y contextos personalizados generados

Estos datos se almacenan en Supabase (base de datos en la nube con servidores en Europa) y son procesados por nuestro equipo para generar los contextos personalizados. El correo electrónico se utiliza además para enviar notificaciones del servicio a través de Resend (plataforma de envío de emails).

Datos de pago

El procesamiento de pagos es realizado por Redsys, la pasarela de pago líder en España, operada por Redsys Servicios de Procesamiento SL. El pago se realiza mediante redirección a la página segura de Redsys (modalidad full-page redirect), donde el usuario introduce directamente sus datos bancarios o de tarjeta. También está disponible el pago mediante Bizum a través de la misma pasarela.

NoctLab no almacena, procesa ni tiene acceso en ningún momento a los datos de tarjeta bancaria del usuario. Redsys cumple con el estándar PCI DSS (Payment Card Industry Data Security Standard). Política de privacidad de Redsys.

Los datos de transacción que NoctLab recibe de Redsys se limitan a: código de autorización, importe, fecha, estado de la operación e identificador de pedido. Estos datos se conservan durante el plazo legalmente exigido para obligaciones fiscales y contables (5 años, conforme al art. 30 del Código de Comercio).

2. Finalidad y base jurídica

• Analítica: Interés legítimo en conocer el rendimiento del sitio para mejorarlo (art. 6.1.f RGPD).
• Geolocalización de precios: Interés legítimo en ofrecer precios relevantes para cada mercado (art. 6.1.f RGPD).
• Sesión de juego de mesa: Ejecución del contrato / prestación del servicio solicitado (art. 6.1.b RGPD). Los datos permanecen en el dispositivo del usuario.
• En Sintonía: Ejecución del contrato (art. 6.1.b RGPD). El tratamiento de los datos es necesario para prestar el servicio contratado, incluyendo el cálculo de compatibilidad, la generación de contextos personalizados y el envío de notificaciones por correo electrónico.
• Pagos: Ejecución del contrato (art. 6.1.b RGPD). Los datos de transacción se conservan adicionalmente por obligación legal (art. 6.1.c RGPD, Código de Comercio).

3. Encargados del tratamiento (subcontratistas)

Para prestar el servicio, trabajamos con los siguientes proveedores externos que actúan como encargados del tratamiento:

• Supabase Inc. — Almacenamiento de base de datos. Servidores en Europa (UE). Política de privacidad
• Netlify Inc. — Alojamiento del sitio web y funciones de servidor. Política de privacidad
• Resend Inc. — Envío de correos electrónicos transaccionales. Política de privacidad
• Redsys Servicios de Procesamiento SL — Procesamiento de pagos con tarjeta y Bizum. Servidores en España. Política de privacidad
• Google LLC — Analítica web (Google Analytics 4). Política de privacidad

4. Cookies y almacenamiento local

Cookies de terceros

Este sitio utiliza cookies de analítica de terceros (Google Analytics) únicamente si el usuario acepta el banner de cookies. No utilizamos cookies de seguimiento publicitario.

Puedes configurar tu navegador para rechazar todas las cookies o para recibir un aviso antes de aceptarlas. Si rechazas las cookies de analítica, el sitio funcionará con normalidad.

Almacenamiento local del navegador (localStorage / sessionStorage)

Utilizamos el almacenamiento local del navegador para el correcto funcionamiento del sitio. Estos datos nunca salen del dispositivo del usuario ni son enviados a servidores externos. En concreto:

• Consentimiento de edad (noctlab_age_ok): Recuerda que el usuario ha confirmado ser mayor de edad. Permanente hasta que el usuario borre los datos del navegador.
• Preferencia de cookies (noctlab_cookie_consent): Recuerda la elección del usuario sobre cookies de analítica. Permanente hasta que el usuario borre los datos del navegador.
• Atribución de marketing (noctlab_utm_source, noctlab_utm_medium, noctlab_utm_campaign): Si el usuario llega al sitio a través de un enlace promocional, se almacena la fuente de referencia durante 90 días para poder atribuir la venta al colaborador correspondiente. Estos datos se envían al servidor únicamente en el momento del pago.
• Estado de partida de Mi Turno: Jugadores, posición en el tablero y retos mostrados. Expira automáticamente a las 4 horas.
• Configuración pendiente de pago (pendingGameConfig): Guarda temporalmente la configuración de la partida durante el proceso de pago. Expira a los 30 minutos.
• Sesión de En Sintonía (sintonia_sesion): Datos de sesión del cuestionario (código de sala, nombre). Se almacena en sessionStorage y se borra al cerrar la pestaña del navegador.

5. ¿Cuánto tiempo conservamos los datos?

• Datos de analítica (GA4): Según la política de retención configurada en Google Analytics (por defecto 14 meses).
• Datos de geolocalización: No se almacenan de forma persistente por nuestra parte.
• Datos de sesión de juego de mesa: Expiran automáticamente en el dispositivo del usuario a las 4 horas.
• Datos de atribución de marketing: 90 días en el dispositivo del usuario. En el servidor, se conservan mientras exista el registro de pago.
• Datos de En Sintonía: Se conservan durante el tiempo necesario para prestar el servicio y durante un máximo de 12 meses desde la finalización del mismo. Transcurrido ese plazo, los datos personales (nombre, email, respuestas individuales y resultados calculados) se eliminan de forma permanente e irreversible de nuestros servidores. No se realiza anonimización: se produce un borrado completo.
• Datos de transacciones de pago: Los datos de transacción (código de autorización, importe, fecha, estado) se conservan durante 5 años conforme a las obligaciones contables y fiscales del Código de Comercio español (art. 30).

6. Transferencias internacionales

Algunos de nuestros proveedores están ubicados fuera del Espacio Económico Europeo:

• Google Analytics 4: Puede transferir datos a servidores en Estados Unidos. Google dispone de certificación en el marco del Acuerdo UE-EE.UU. de Protección de Datos y aplica cláusulas contractuales tipo aprobadas por la Comisión Europea.
• Netlify y Resend: Empresas estadounidenses que aplican cláusulas contractuales tipo para garantizar un nivel adecuado de protección conforme al RGPD.
• Supabase: Los datos de En Sintonía se almacenan en servidores dentro de la Unión Europea.

7. Tus derechos

Como persona interesada, tienes derecho a:

• Acceso: Conocer qué datos tratamos sobre ti.
• Rectificación: Corregir datos inexactos.
• Supresión: Solicitar la eliminación de tus datos.
• Limitación: Solicitar que restrinjamos el tratamiento.
• Oposición: Oponerte al tratamiento basado en interés legítimo.
• Portabilidad: Recibir tus datos en formato estructurado.

Puedes ejercer estos derechos escribiéndonos a noctlabgames@toydoms.com indicando tu nombre y el derecho que deseas ejercer. Responderemos a tu solicitud en un plazo máximo de un mes desde su recepción, conforme al art. 12.3 del RGPD. Si la solicitud es compleja o hay un gran número de solicitudes, este plazo podrá ampliarse dos meses más, informándote previamente.

Supresión de datos de En Sintonía

Si deseas eliminar todos los datos asociados a tu participación en una sesión de En Sintonía (nombre, email, respuestas al cuestionario, resultados y contextos generados), puedes solicitarlo enviando un correo a noctlabgames@toydoms.com desde el email utilizado en la sesión. Procederemos al borrado completo en un plazo máximo de 72 horas y te enviaremos confirmación por correo electrónico.

Reclamación ante la autoridad de control

Si consideras que el tratamiento de tus datos no se ajusta a la normativa vigente, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): C/ Jorge Juan, 6 — 28001 Madrid — www.aepd.es.

8. Cambios en esta política

Podemos actualizar esta política de privacidad para reflejar cambios en el servicio o en la normativa aplicable. Te recomendamos revisarla periódicamente. La fecha de última actualización figura al inicio de este documento.

Contacto: noctlabgames@toydoms.com