Política de privacidad – 040 Level App

Fecha: junio de 2026 | Versión: 1.2

1. Responsable del tratamiento

El responsable del tratamiento en el sentido del Reglamento General de Protección de Datos (GDPR) es:

Mixcover GmbH Neumann-Reichardt-Str. 27-33 22041 Hamburg Alemania

Correo electrónico: shop@mixcover.de Teléfono: +49 40 98241564

Directores gerentes: Timo Plogstedt, Philip Bonmann Registro mercantil: HRB 173050, Tribunal de Comercio de Hamburgo NIF/IVA: DE350528375

No existe la obligación legal de designar un delegado de protección de datos. Para cualquier consulta relacionada con la protección de datos, diríjase a los datos de contacto indicados anteriormente (véase también el apartado 16).

2. Consideraciones generales sobre el tratamiento de datos

Recopilamos y utilizamos los datos personales de nuestros usuarios únicamente en la medida en que sea necesario para proporcionar una aplicación funcional, así como nuestros contenidos y servicios, o cuando usted haya dado su consentimiento para ello. La recopilación y el uso de los datos personales de nuestros usuarios se realiza, con carácter general, únicamente previa obtención del consentimiento del usuario. Se aplica una excepción en aquellos casos en que no sea posible obtener el consentimiento previo por razones de hecho y el tratamiento de los datos esté permitido por disposición legal.

La 040 Level App tiene como finalidad la nivelación (el «equilibrado») de autocaravanas, caravanas y furgonetas camper. Para ello, la aplicación se conecta mediante Bluetooth Low Energy (BLE) a un sensor 040 Level (KBeacon) o utiliza, como alternativa —si usted lo elige—, los sensores de movimiento integrados en el teléfono inteligente (IMU del teléfono). Los datos de medición y de los sensores (ángulos de inclinación, aceleración, temperatura, batería) se procesan en todo caso exclusivamente de forma local en su dispositivo y no se transmiten ni a nosotros ni a terceros.

Cuando en esta política de privacidad se hace referencia a una transferencia a países terceros (en particular, Estados Unidos), dicha transferencia se realiza sobre la base de garantías adecuadas conforme al art. 46 GDPR, en particular las Cláusulas Contractuales Tipo de la UE (Standard Contractual Clauses, SCC). Puede solicitar una copia de estas garantías a los respectivos proveedores o a nosotros.

3. Tratamiento de datos de menores

Esta aplicación no está dirigida a menores de 16 años. No recopilamos conscientemente datos personales de menores de 16 años. La aplicación no utiliza verificación técnica de edad; la indicación voluntaria de un grupo de edad (véase el apartado 7.4) es una función de comodidad y no constituye una medida activa de protección de menores. Si usted no ha cumplido los 16 años, obtenga el consentimiento de sus tutores legales antes de otorgar a la aplicación consentimientos opcionales (análisis, ubicación, publicidad). Si tenemos conocimiento de que hemos tratado datos personales de un menor sin consentimiento válido, eliminaremos dichos datos de inmediato.

4. Procesamiento local en su dispositivo (sin transmisión)

Los siguientes datos se almacenan o procesan exclusivamente de forma local en el entorno seguro de la aplicación en su dispositivo y, en principio, no lo abandonan. No se produce ninguna transmisión a nosotros ni a terceros; no existe transferencia a países terceros.

4.1 Datos de sensores y mediciones

Con el sensor 040 Level conectado, la aplicación procesa en tiempo real (varias veces por segundo):

• Intensidad de señal (RSSI), potencia de transmisión estimada (TX-Power)
• Valores de aceleración brutos (ax/ay/az en m/s²)
• Ángulos de inclinación calculados (Pitch/Roll)
• Tensión de batería (mV) y nivel de batería (%)
• Temperatura (°C/°F)
• Bits de estado/flags del sensor, nombre del dispositivo, dirección MAC del sensor

Estos datos no se almacenan de forma permanente; se mantienen en la memoria RAM y son sobrescritos continuamente por nuevas mediciones.

Base jurídica: Art. 6, apdo. 1, letra b), GDPR (ejecución del contrato de uso de la aplicación — función principal de nivelación).

4.2 Identificación de dispositivos y gestión de conexiones (BLE Scan)

Para encontrar y conectar sensores, la aplicación procesa: ID de dispositivo (MAC), nombre del dispositivo (p. ej., «040_level_XXXXX», «KBPro_XXXXX»), historial de RSSI (búfer circular de los últimos 20 valores), marca de tiempo del último avistamiento y, en su caso, una URL de Eddystone. Esta información se mantiene en un almacenamiento intermedio volátil que se borra al cerrar la aplicación; los dispositivos que ya no son visibles se eliminan automáticamente al cabo de un breve período de tiempo.

Base jurídica: Art. 6, apdo. 1, letra b), GDPR (ejecución del contrato — conectividad BLE).

4.3 Configuración del sensor y autenticación (aprovisionamiento)

Para una conexión y configuración seguras del sensor KBeacon, la aplicación procesa una contraseña del dispositivo (solo en la memoria RAM, nunca almacenada de forma permanente, compilada de forma fija en la aplicación), la dirección MAC para el cálculo de la autenticación, UUID de GATT y un número de versión de configuración. La contraseña no abandona la aplicación en ningún momento y se utiliza exclusivamente frente al sensor vinculado. Solo el número de versión de configuración se almacena localmente para detectar si es necesaria una actualización.

Base jurídica: Art. 6, apdo. 1, letra b), GDPR (ejecución del contrato — aprovisionamiento del dispositivo); art. 32 GDPR (seguridad del tratamiento).

4.4 Offsets de calibración

Para corregir la instalación y orientación del sensor, la aplicación almacena valores de calibración (offset de pitch/roll, corrección fina, offset de yaw) — tanto globales como por perfil de sensor.

Base jurídica: Art. 6, apdo. 1, letra b), GDPR (ejecución del contrato — datos de configuración del usuario).

4.5 IMU del teléfono (sensores de movimiento del smartphone)

Si no desea utilizar un sensor externo, la aplicación puede utilizar de forma alternativa los sensores de movimiento integrados en el smartphone (acelerómetro/giroscopio). En este proceso se tratan la aceleración (x/y/z m/s²), las velocidades de rotación (x/y/z rad/s) y los ángulos de inclinación calculados a partir de estos. Estos datos se procesan exclusivamente de forma local, se mantienen únicamente en la memoria RAM y se descartan al finalizar la función.

Base jurídica: Art. 6, apdo. 1, letra b), GDPR (ejecución del contrato — nivelación sin hardware externo) o, en la medida en que usted elija activamente este modo de funcionamiento, art. 6, apdo. 1, letra a), GDPR (consentimiento).

4.6 Perfiles de sensor (gestión de múltiples perfiles)

Puede crear varias configuraciones por sensor (p. ej., «Turismo 160 cm», «Autocaravana 305 cm»). Se almacenan, entre otros: ID de perfil, ID de dispositivo (MAC), nombre para mostrar, tipo de vehículo, anchura de vía (delantera/trasera en cm), distancia entre ejes, configuración de los accesorios (cuñas/cojines/gatos), ajustes de visualización, orientación del sensor y offsets de calibración. Estos perfiles se almacenan localmente y permanecen hasta que elimine el perfil, desinstale la aplicación o active el restablecimiento de privacidad (véase el apartado 13).

Base jurídica: Art. 6, apdo. 1, letra b), GDPR (ejecución del contrato — datos de perfil/configuración).

4.7 Ajustes y preferencias de la aplicación

Se almacenan localmente sus ajustes, entre otros: unidad de temperatura (°C/°F), unidad de longitud (cm/pulgadas), sonido/vibración activado/desactivado, orientación del sensor, parámetros de suavizado/filtro, decimales, tema, idioma, modo de la aplicación, modo senior/lupa, servicio en segundo plano activado/desactivado, último sensor conectado, modo de vista, ángulo de tolerancia y ajustes de accesorios.

Base jurídica: Art. 6, apdo. 1, letra b), GDPR (ejecución del contrato — datos de configuración).

4.8 Mensajes almacenados localmente («Noticias»)

Los contenidos de las notificaciones push (véase el apartado 8) se almacenan exclusivamente en el almacenamiento seguro de la aplicación en el dispositivo, para que pueda consultarlos más adelante en «Actualizaciones y novedades» (máximo 100 entradas). Estos datos no abandonan su dispositivo. Puede eliminarlos en cualquier momento (restablecimiento de privacidad o desinstalación); además, podemos hacer que se eliminen mensajes individuales del servidor mediante un comando de eliminación.

Base jurídica: Art. 6, apdo. 1, letra b), GDPR (ejecución del contrato — visualización de mensajes de servicio recibidos).

4.9 Widget de pantalla de inicio/pantalla de bloqueo

Si configura un widget en la pantalla de inicio o de bloqueo, los últimos valores de inclinación conocidos y una marca de tiempo de actualización se mantienen localmente para la visualización del widget. No se produce ninguna transmisión externa.

Base jurídica: Art. 6, apdo. 1, letra b), GDPR (ejecución del contrato — función de comodidad).

4.10 Estado del consentimiento de privacidad

Para la implementación y el registro de sus consentimientos, almacenamos localmente su selección de consentimiento (técnico/análisis/ubicación/publicidad), un estado de aviso y la marca de tiempo de su consentimiento. Este estado controla si las funciones opcionales están activas y sirve como prueba del consentimiento.

Base jurídica: Art. 7, apdo. 1, GDPR (prueba del consentimiento); art. 6, apdo. 1, letra c), GDPR en relación con el art. 5, apdo. 2, GDPR (principio de responsabilidad proactiva).

5. Informes de fallos y errores (Sentry y Firebase Crashlytics)

Para garantizar la estabilidad, la seguridad y el funcionamiento de la aplicación, procesamos informes de fallos y errores. Este tratamiento se realiza en base a un interés legítimo y es técnicamente necesario; no depende de un consentimiento para análisis.

Categorías de datos tratados:

• Naturaleza, tipo y descripción del error, seguimiento de pila (stacktrace)
• Rastros de actividad («breadcrumbs»: p. ej., pantallas visitadas, pulsaciones de teclas, eventos BLE, interrupciones/tiempos de espera de conexión, calidad de la señal)
• ID de dispositivo anonimizado (solo los últimos 4 caracteres, p. ej., «…F2A7»)
• Plataforma, versión del sistema operativo, versión de la aplicación/número de compilación, modelo del dispositivo, configuración de idioma
• Indicadores de rendimiento (p. ej., tiempo de procesamiento, tasa de fotogramas) e indicaciones de datos de sensor defectuosos (solo los primeros bytes como valor hexadecimal, sin contenido)

Los ID de dispositivo completos, los números IMEI, las direcciones MAC en texto claro ni sus datos de medición reales (flujo de Pitch/Roll) no se transmiten. Los informes de errores y fallos se envían, en el estado de entrega predeterminado, en su totalidad (cada evento) a Sentry; una reducción configurable por muestreo es técnicamente posible. Las mediciones de rendimiento puro (rastreo) solo se recopilan de forma parcial (muestra).

Base jurídica: Art. 6, apdo. 1, letra f), GDPR (interés legítimo en una aplicación estable, segura y sin errores); art. 32 GDPR (seguridad del tratamiento). Nuestro interés legítimo prevalece; el tratamiento se limita al mínimo necesario y está garantizado mediante seudonimización (anonimización del ID de dispositivo).

Destinatarios / transferencia a países terceros: véase el apartado 9.1 (Sentry) y 9.2 (Firebase Crashlytics).

Plazo de conservación: Sentry y Firebase Crashlytics, generalmente 90 días cada uno; los registros de depuración locales solo de forma volátil en la memoria RAM (eliminados al cerrar la aplicación).

Derecho de oposición: Tiene derecho a oponerse a este tratamiento basado en el art. 6, apdo. 1, letra f), GDPR por razones derivadas de su situación particular (art. 21 GDPR; véase el apartado 14).

6. Análisis de uso (Firebase Analytics) – solo con consentimiento

Si acepta el análisis de uso, recopilamos los siguientes datos para mejorar la aplicación y comprender el uso de las funciones:

• Pantallas y funciones visitadas, tiempo de permanencia
• Pulsaciones de teclas / botones y ajustes utilizados (sin contenido de sus mediciones)
• Inicio/fin de sesión, duración de la sesión y frecuencia de uso
• Información del dispositivo (modelo, sistema operativo, idioma, país según la configuración del dispositivo)
• Grupo de edad indicado voluntariamente (véase el apartado 7)
• Tipo de vehículo y tipo de accesorio (según los ajustes de la aplicación)
• Eventos como calibración, conexión/desconexión del sensor (tipo de sensor, duración), finalización del onboarding, cálculos de nivelación realizados (valores de inclinación redondeados, tipo de vehículo, accesorios)
• Con consentimiento de ubicación adicional: datos de ubicación anonimizados (redondeados a aprox. 11 km) (véase el apartado 7.3)
• Un ID de instalación seudónimo generado automáticamente por Firebase (sin nombre ni correo electrónico)

Los datos no contienen el contenido de sus mediciones. Adicionalmente, se mantienen localmente contadores de uso (p. ej., contadores de funciones y sesiones); estos se eliminan con el restablecimiento de privacidad. Complementariamente, los eventos de análisis se transmiten como contexto de breadcrumb a Sentry, pero solo cuando el consentimiento de análisis está activo.

Base jurídica: Art. 6, apdo. 1, letra a), GDPR (consentimiento) en relación con el § 25, apdo. 1, TDDDG (almacenamiento o acceso a información en el terminal). El consentimiento es voluntario y está desactivado por defecto; se otorga durante el onboarding o en Ajustes → Privacidad y análisis.

Destinatarios / transferencia a países terceros: véase el apartado 9.2 (Google Firebase).

Plazo de conservación: en Firebase, máximo 14 meses (estándar de Google) o hasta la revocación; contadores locales hasta el restablecimiento de privacidad o la desinstalación.

Revocación: en cualquier momento en la aplicación bajo Ajustes → Privacidad y análisis, o por correo electrónico a shop@mixcover.de.

7. Datos de ubicación, meteorología y grupo de edad voluntario

7.1 Determinación de la ubicación para la visualización del tiempo

La aplicación puede mostrar, a petición, datos meteorológicos locales de su ubicación actual. Para ello, una vez otorgado el consentimiento de ubicación y el permiso adicional requerido por el sistema operativo, determina sus coordenadas geográficas (latitud/longitud) y las transmite al servicio meteorológico Open-Meteo (véase el apartado 9.3) para obtener datos meteorológicos actuales y una previsión. La posición exacta no se almacena de forma permanente; los datos meteorológicos solo se almacenan en caché de forma temporal (en la memoria RAM aprox. 30 minutos, localmente hasta 24 horas como alternativa de respaldo).

Base jurídica: Art. 6, apdo. 1, letra a), GDPR (consentimiento) en relación con el § 25, apdo. 1, TDDDG.

7.2 Datos meteorológicos utilizados

Para la visualización se procesan, entre otros, temperatura, viento, humedad, visibilidad, código meteorológico, un nombre de localidad determinado mediante geocodificación inversa y una previsión de 7 días.

7.3 Estadísticas de ubicación anonimizadas

Si se dispone tanto del consentimiento de ubicación como del de análisis, la aplicación puede transmitir a Firebase Analytics una posición redondeada a una decimal (rejilla de aprox. 11 km, no atribuible a personas) con el fin de evaluar regiones de uso anonimizadas. No se realiza ningún rastreo de ubicación personal.

Base jurídica: Art. 6, apdo. 1, letra a), GDPR (consentimiento).

7.4 Grupo de edad voluntario

Durante el onboarding o al suscribirse al boletín, puede indicar voluntariamente un grupo de edad (p. ej., «18–30», «30–40»). Este sirve para seleccionar mejor los contenidos relevantes y se almacena —si se indica— de forma local y, con consentimiento de análisis activo, como propiedad de usuario de Firebase y, en el marco de una suscripción al boletín, se transmite a Brevo/Shopify. Los grupos de edad en intervalos de al menos cinco años no se consideran, por sí solos, directamente atribuibles a personas. El grupo de edad almacenado localmente se elimina con el restablecimiento de privacidad (véase el apartado 13.3).

Base jurídica: Art. 6, apdo. 1, letra a), GDPR (consentimiento voluntario).

Revocación/oposición: en cualquier momento a través de los ajustes o del restablecimiento de privacidad; en relación con Firebase/Brevo/Shopify, a través de las respectivas vías de revocación (apartados 6, 11, 12).

8. Notificaciones push (Firebase Cloud Messaging)

La aplicación puede enviarle notificaciones push. Distinguimos dos tipos:

• Información de servicio y de producto (p. ej., actualizaciones de la aplicación, nuevas funciones, novedades de productos): Las recibirá en cuanto haya habilitado las notificaciones a nivel del sistema operativo.
• Ofertas y publicidad (descuentos, promociones, noticias): Las recibirá únicamente si ha dado su consentimiento expreso adicional a la categoría «Ofertas/Publicidad».

Para la entrega utilizamos Firebase Cloud Messaging (FCM) de Google Ireland Limited (véase el apartado 9.2). En su dispositivo se genera un token de push seudónimo que se transmite a Google; solo a través de este pueden entregarse mensajes. El token no contiene nombre ni dirección de correo electrónico. También se procesan los temas suscritos (p. ej., «todos», «actualizaciones de la aplicación», «productos», «ofertas»), el estado del permiso y el estado de clic/lectura (local). El contenido de los mensajes push individuales se almacena exclusivamente de forma local (véase el apartado 4.8).

Base jurídica: Push de servicio/producto: art. 6, apdo. 1, letra b), GDPR (ejecución del contrato — información de servicio) o art. 6, apdo. 1, letra f), GDPR en relación con el § 25, apdo. 2, TDDDG. Push publicitario («Ofertas»): art. 6, apdo. 1, letra a), GDPR en relación con el § 25, apdo. 1, TDDDG, § 7, apdo. 2, UWG. El consentimiento publicitario es voluntario, está desactivado por defecto y puede revocarse en cualquier momento.

Destinatarios / transferencia a países terceros: véase el apartado 9.2 (Google FCM, posiblemente EE. UU.; SCC).

Plazo de conservación: token FCM hasta la desinstalación/revocación del permiso (rotado por Google); noticias locales hasta el restablecimiento de privacidad.

Revocación: en cualquier momento a través de los ajustes de notificaciones de su sistema operativo; push publicitario también en la aplicación bajo Ajustes → Privacidad y análisis.

9. Proveedores de servicios y terceros utilizados

9.1 Sentry (análisis de fallos y errores)

Proveedor: Functional Software, Inc. («Sentry»), 132 Hawthorne Street, San Francisco, CA 94107, EE. UU. El tratamiento se realiza a través de la región UE (de.sentry.io); según la configuración, no puede descartarse un tratamiento en servidores ubicados en EE. UU.

• Finalidad: análisis de fallos/errores, supervisión del rendimiento y la estabilidad, gestión de comentarios en la aplicación (véase el apartado 10).
• Base jurídica: Art. 6, apdo. 1, letra f), GDPR (interés legítimo); cuando se facilita correo electrónico junto con el comentario, adicionalmente art. 6, apdo. 1, letras a) y b), GDPR.
• Garantías para países terceros: Cláusulas Contractuales Tipo de la UE conforme al art. 46 GDPR; acuerdo de tratamiento de datos conforme al art. 28 GDPR.
• Plazo de conservación: generalmente 90 días.
• Política de privacidad: https://sentry.io/privacy/

9.2 Google Firebase (Analytics, Crashlytics y Cloud Messaging / FCM)

Proveedor: Google Ireland Limited, Gordon House, Barrow Street, Dublín 4, Irlanda («Google»); para EE. UU.: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, EE. UU. Proyecto Firebase: «level-app-ad57e».

• Servicios/finalidad: Firebase Analytics (análisis de uso, solo con consentimiento — apartado 6), Firebase Crashlytics (informes de fallos, interés legítimo — apartado 5), Firebase Cloud Messaging (push — apartado 8).
• Base jurídica: Analytics/FCM-publicidad: art. 6, apdo. 1, letra a), GDPR; Crashlytics/push de servicio: art. 6, apdo. 1, letras f) y b), GDPR respectivamente.
• Garantías para países terceros: Es posible el tratamiento en servidores de Google en EE. UU. Google se ha sometido a las Cláusulas Contractuales Tipo de la UE conforme al art. 46 GDPR; acuerdo de tratamiento de datos conforme al art. 28 GDPR.
• Plazo de conservación: Analytics, máximo 14 meses; Crashlytics, generalmente 90 días; token FCM hasta la revocación/desinstalación.
• Política de privacidad: https://policies.google.com/privacy
• Privacidad de Firebase: https://firebase.google.com/support/privacy

9.3 Open-Meteo (datos meteorológicos)

Proveedor: Open-Meteo, un servicio de datos meteorológicos de código abierto, de uso gratuito y sin clave API (open-meteo.com). Según nuestro conocimiento, el alojamiento se realiza dentro de la UE o Suiza. Solo se transmiten coordenadas geográficas para obtener los datos meteorológicos; no se transmiten nombres, direcciones de correo electrónico ni identificadores de dispositivo/usuario, y no se crean perfiles de usuario. Al tratarse de un servicio gratuito sin registro, generalmente no existe un acuerdo formal de tratamiento de datos conforme al art. 28 GDPR con Open-Meteo; sin embargo, el riesgo es reducido, ya que solo se transmiten coordenadas anónimas sin referencia a su persona.

• Base jurídica: Art. 6, apdo. 1, letra a), GDPR (consentimiento de ubicación) o art. 6, apdo. 1, letra b), GDPR (ejecución del contrato — función meteorológica).
• Garantías para países terceros: Según nuestro conocimiento, el tratamiento se realiza dentro de la UE o Suiza (para Suiza existe una decisión de adecuación conforme al art. 45 GDPR). No está prevista ninguna transferencia a países terceros no seguros.
• Aviso de privacidad/condiciones de uso: https://open-meteo.com/en/terms

9.4 Brevo (correo electrónico de boletín y transaccional)

Proveedor: Sendinblue SAS («Brevo»), 106 boulevard Haussmann, 75008 París, Francia. Tratamiento en servidores de la UE (Francia).

• Finalidad: envío de la confirmación de doble opt-in y del boletín; notificaciones de comentarios a nosotros.
• Base jurídica: Art. 6, apdo. 1, letra a), GDPR en relación con el § 7, apdo. 2, núm. 3, UWG (boletín); art. 6, apdo. 1, letra f), GDPR (notificación interna de comentarios).
• Garantías para países terceros: Tratamiento dentro de la UE; acuerdo de tratamiento de datos conforme al art. 28 GDPR.
• Política de privacidad: https://www.brevo.com/de/legal/privacypolicy/

9.5 Shopify (visualización de productos y registro de clientes del boletín)

Proveedor: Shopify International Limited, Victoria Buildings, 2.ª planta, 1–2 Haddington Road, Dublín 4, D04 XN32, Irlanda; empresa matriz: Shopify Inc., Canadá.

• Finalidad: obtención de información pública de productos para el feed de productos integrado en la aplicación (solo datos técnicos de conexión/producto, sin datos de clientes); tras la confirmación de la suscripción al boletín, almacenamiento como registro de cliente con estado de boletín.
• Base jurídica: Art. 6, apdo. 1, letra b), GDPR (feed de productos) o art. 6, apdo. 1, letra f), GDPR (interés legítimo en la información de productos); registro de cliente: art. 6, apdo. 1, letra a), GDPR (consentimiento).
• Garantías para países terceros: Puede producirse una transferencia a países terceros (p. ej., EE. UU./Canadá); Shopify ha acordado las garantías adecuadas conforme al art. 46 GDPR (Cláusulas Contractuales Tipo de la UE). Para Canadá existe además una decisión de adecuación de la Comisión de la UE (art. 45 GDPR) para las organizaciones sometidas a la PIPEDA. Acuerdo de tratamiento de datos conforme al art. 28 GDPR.
• Política de privacidad: https://www.shopify.com/legal/privacy

9.6 Servidor propio de Mixcover GmbH (relay)

Las suscripciones al boletín y los comentarios en la aplicación se transmiten primero a nuestro propio servidor (operado por Mixcover GmbH, con ubicación del servidor dentro de la UE) y se almacenan allí. Desde allí, según la función, se reenvían a Brevo, Shopify, Sentry, y se envía una notificación interna a nuestro equipo a través del servicio de mensajería Telegram.

Notificación interna del equipo a través de Telegram: El proveedor es Telegram FZ-LLC (Dubái, Emiratos Árabes Unidos). Telegram sirve exclusivamente para la notificación interna de nuestro equipo (p. ej., «nuevo comentario recibido») y no es un canal de comunicación dirigido al usuario. Limitamos el contenido transmitido a Telegram al mínimo indispensable; la transmisión de contenidos en texto claro con referencia personal (en particular, una dirección de correo electrónico que usted facilite voluntariamente) se evita en la medida de lo posible en el servidor, en aras de la minimización de datos. Los Emiratos Árabes Unidos son un país tercero sin decisión de adecuación de la Comisión de la UE. En la medida en que, en casos individuales, se transmitan datos personales a través de Telegram, nos basamos en garantías adecuadas conforme al art. 46 GDPR (Cláusulas Contractuales Tipo de la UE) o —en la medida en que sea aplicable— en una excepción conforme al art. 49, apdo. 1, GDPR; en los demás casos, solo se transmiten indicaciones anonimizadas o no atribuibles a personas.

• Base jurídica: Art. 6, apdo. 1, letra a), GDPR (boletín), art. 6, apdo. 1, letras b) y f), GDPR (asistencia/comentarios, notificación interna).
• Política de privacidad de Telegram: https://telegram.org/privacy

9.7 Transferencia a otros terceros

Sus datos personales no se ceden a otros terceros, salvo que: haya dado su consentimiento expreso; la cesión sea necesaria para la ejecución del contrato; estemos legalmente obligados a ceder los datos; o la cesión sea necesaria para hacer valer nuestros derechos.

10. Comentarios en la aplicación (informes de errores y solicitudes de funciones)

A través de la función de comentarios puede notificarnos errores o enviarnos solicitudes de funciones. En este proceso tratamos: su texto de comentario, el tipo (error/solicitud), opcionalmente su dirección de correo electrónico (para consultas), versión de la aplicación/número de compilación, plataforma y versión del sistema operativo, idioma, marca de tiempo y —si lo adjunta— una captura de pantalla. La transmisión se realiza a nuestro propio servidor (lager.mix-cover.de o lagerbestands-tool, UE) y simultáneamente a Sentry; en el servidor se produce una notificación interna de Telegram (véase el apartado 9.6, incluida la indicación de país tercero Telegram FZ-LLC/EAU) y un envío de correo electrónico a nuestro equipo a través de Brevo.

La indicación de una dirección de correo electrónico es voluntaria y solo es necesaria si desea recibir una respuesta.

Base jurídica: Art. 6, apdo. 1, letra b), GDPR (tramitación de su solicitud de asistencia) y art. 6, apdo. 1, letra f), GDPR (interés legítimo en la mejora del producto); en caso de indicación opcional del correo electrónico, art. 6, apdo. 1, letra a), GDPR (consentimiento para el contacto).

Destinatarios / transferencia a países terceros: servidor propio (UE), Brevo (UE), Sentry (véase 9.1, posiblemente EE. UU. con SCC), notificación interna de Telegram (véase 9.6, EAU = país tercero; minimización de datos, posiblemente SCC/art. 49 GDPR).

Plazo de conservación: en nuestro servidor hasta 12 meses (para el análisis de tendencias y errores); Sentry, generalmente 90 días; una captura de pantalla adjunta solo hasta su tramitación.

11. Suscripción al boletín

Cuando se suscribe al boletín en la aplicación, tratamos su dirección de correo electrónico, opcionalmente nombre y apellidos, así como —si los facilita— su grupo de edad voluntario, exclusivamente para el envío del boletín (noticias, novedades de productos, ofertas de 040 Parts). Adicionalmente, almacenamos el idioma seleccionado en la aplicación (para el boletín en su idioma), la plataforma de su dispositivo (solo de forma general: iOS o Android), la versión de la aplicación, el momento y su consentimiento (casilla de verificación de marketing). La suscripción se realiza a través de nuestro propio servidor (UE); para el envío de correos electrónicos utilizamos Brevo (apartado 9.4) y, tras la confirmación, lo almacenamos como cliente con estado de boletín en nuestra tienda Shopify (apartado 9.5).

Por razones de minimización de datos, en caso de falta temporal de conexión a Internet, solo se almacena localmente su dirección de correo electrónico (cola sin conexión) y la suscripción se completa en el próximo inicio de la aplicación; nombre y apellidos no se almacenan localmente de forma deliberada. Para el boletín no se recopila un número de teléfono ni el modelo exacto de su dispositivo.

Base jurídica: Art. 6, apdo. 1, letra a), GDPR en relación con el § 7, apdo. 2, núm. 3, UWG. La suscripción se realiza mediante el procedimiento de doble opt-in: recibirá un correo electrónico de confirmación y solo pasará a formar parte de la lista de distribución tras la confirmación.

Destinatarios / transferencia a países terceros: servidor propio (UE), Brevo (UE), Shopify (véase 9.5, posiblemente EE. UU./Canadá con SCC o decisión de adecuación).

Plazo de conservación: hasta la revocación del consentimiento o la baja; la cola sin conexión se mantiene localmente solo hasta el envío exitoso.

Revocación: en cualquier momento a través del enlace de baja en cualquier correo electrónico o por mensaje a shop@040parts.com o shop@mixcover.de.

12. Feed de productos de Shopify (novedades en la aplicación)

Para mostrar nuevos productos (etiquetados como «Novedad»), la aplicación obtiene datos públicos de productos a través de la interfaz Shopify Storefront (ID de producto, título, descripción abreviada, precio, URL de imagen, enlace a la tienda). Localmente se almacenan valores técnicos para controlar la visualización (p. ej., la caché de productos obtenida, productos ya vistos, contadores de sesiones, estado de ocultación); estos no abandonan su dispositivo. Cualquier medición de éxito («visto»/«ocultado») solo se realiza con el consentimiento de análisis activo. Los valores de control almacenados localmente, incluida la caché de productos, se eliminan con el restablecimiento de privacidad (véase el apartado 13.3).

Base jurídica: Art. 6, apdo. 1, letra b), GDPR (ejecución del contrato — visualización de productos) o art. 6, apdo. 1, letra f), GDPR (interés legítimo en la información de productos); seguimiento local con medición de éxito: art. 6, apdo. 1, letra a), GDPR.

Destinatarios / transferencia a países terceros: Shopify (véase 9.5).

Plazo de conservación: caché de productos localmente 24 horas; valores «visto»/«ocultado» hasta el restablecimiento de privacidad.

13. Permisos del dispositivo, seguridad de los datos y restablecimiento de privacidad

13.1 Permisos del dispositivo

La aplicación solicita —solo cuando es necesario— los siguientes permisos del sistema operativo: Bluetooth (conexión con el sensor), ubicación (meteorología/lugar de acampada), cámara y biblioteca de fotos (captura de pantalla opcional en los comentarios), micrófono o reproducción de audio (avisos acústicos/modo en segundo plano) y notificaciones (push). Puede revocar los permisos otorgados en cualquier momento en los ajustes del dispositivo.

13.2 Seguridad de los datos

Aplicamos medidas de seguridad técnicas y organizativas conforme al art. 32 GDPR para proteger sus datos frente a pérdidas, manipulaciones y accesos no autorizados. Las transmisiones a proveedores de servicios se realizan de forma cifrada (HTTPS/TLS). Los datos locales de la aplicación se almacenan en el almacenamiento seguro de la aplicación del sistema operativo, al que otras aplicaciones no tienen acceso. Los ID de dispositivo/direcciones MAC se seudonimizan antes de cualquier transmisión externa (solo los últimos 4 caracteres).

13.3 Restablecimiento de privacidad (derecho de supresión)

A través del restablecimiento de privacidad en los ajustes puede eliminar todos los datos personales almacenados localmente, en particular: perfiles de sensor (incluidas las direcciones MAC almacenadas), la caché meteorológica, los contadores de análisis, su grupo de edad indicado voluntariamente, la caché de productos de Shopify local y los valores de control de visualización asociados, los mensajes guardados (noticias), la cola de boletín sin conexión y todos los ajustes de consentimiento. Con esto ejecutamos directamente su derecho de supresión (art. 17 GDPR) para los datos mantenidos localmente. También puede eliminar todos los datos locales de forma completa desinstalando la aplicación.

14. Sus derechos como interesado

Conforme a los arts. 15–21 GDPR, usted tiene los siguientes derechos:

• Derecho de acceso (art. 15 GDPR): confirmación e información sobre si tratamos datos que le conciernen y cuáles son.
• Derecho de rectificación (art. 16 GDPR): rectificación de datos inexactos o completitud de datos incompletos.
• Derecho de supresión (art. 17 GDPR): supresión de sus datos («derecho al olvido»), siempre que no existan obligaciones legales de conservación que se opongan.
• Derecho a la limitación del tratamiento (art. 18 GDPR).
• Derecho a la portabilidad de los datos (art. 20 GDPR): recepción de sus datos en un formato estructurado, de uso común y legible por máquina.
• Derecho de oposición (art. 21 GDPR): oposición al tratamiento basado en el art. 6, apdo. 1, letra f), GDPR (interés legítimo) por razones derivadas de su situación particular.

Revocación de consentimientos: Puede revocar los consentimientos otorgados en cualquier momento con efecto de futuro (art. 7, apdo. 3, GDPR). La licitud del tratamiento realizado hasta la revocación no se verá afectada.

• En la aplicación: Ajustes → Privacidad y análisis → Gestionar consentimientos
• Por correo electrónico: shop@mixcover.de

Tras la revocación, no se recopilarán nuevos datos sobre la base del consentimiento revocado; los datos ya recopilados se eliminarán, siempre que no exista una obligación legal de conservación.

15. Derecho de reclamación ante la autoridad de control

Sin perjuicio de cualquier otro recurso administrativo o judicial, usted tiene derecho a presentar una reclamación ante una autoridad de control de protección de datos, en particular en el Estado miembro de su residencia habitual, de su lugar de trabajo o del lugar donde se haya producido la presunta infracción.

La autoridad de control competente para nosotros como responsables del tratamiento es:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Hamburgo Web: https://datenschutz-hamburg.de

16. Contacto para consultas sobre protección de datos

Para consultas sobre protección de datos, para ejercer sus derechos o para revocar consentimientos, diríjase a:

Mixcover GmbH A/A de Timo Plogstedt Neumann-Reichardt-Str. 27-33, 22041 Hamburg Correo electrónico: shop@mixcover.de Teléfono: +49 40 98241564

Tramitamos las solicitudes en el plazo legalmente establecido (generalmente un mes, art. 12, apdo. 3, GDPR).

17. Resumen de los plazos de conservación

Transcurrido el correspondiente plazo de conservación, los datos se eliminan de forma rutinaria, siempre que no exista una obligación legal de conservación.

18. Modificaciones de esta política de privacidad

Nos reservamos el derecho a adaptar esta política de privacidad para mantenerla en todo momento conforme a los requisitos legales actuales o a los cambios en nuestros servicios. La versión vigente en cada momento está disponible en la aplicación bajo Ajustes → Privacidad, así como en línea en app.040parts.com/<idioma>/privacy. Ante cambios sustanciales, se le informará en el próximo inicio de la aplicación y —en la medida en que sea legalmente necesario— se le solicitará un nuevo consentimiento.

19. Derecho aplicable y jurisdicción

Se aplica el derecho de la República Federal de Alemania con exclusión de la Convención de las Naciones Unidas sobre los Contratos de Compraventa Internacional de Mercaderías, en la medida en que no se opongan disposiciones legales imperativas —en particular, del derecho de protección de consumidores o de protección de datos—. En la medida en que lo permita la ley, el fuero judicial exclusivo para todas las controversias derivadas de o relacionadas con esta política de privacidad es Hamburgo. Los fueros judiciales legalmente imperativos —en particular para los consumidores— permanecen inalterados.

20. Versión lingüística vinculante

Esta política de privacidad se pone a disposición en varios idiomas. En caso de discrepancias o diferencias de interpretación entre las versiones lingüísticas, la versión en alemán es jurídicamente vinculante.

Esta política de privacidad es aplicable exclusivamente a la 040 Level App. No es aplicable a sitios web externos enlazados ni a servicios de terceros.

Fecha: junio de 2026 | Versión 1.2