Política de Privacidad

Última actualización: 16 de marzo de 2026

1. Responsable del tratamiento

• Titular: Gonzalo Vasco López
• NIF/CIF: 34884272B
• Domicilio: Rúa Farillon 10, 1ºE, 27890 San Ciprián, Lugo, España
• Correo electrónico: info@nubbo.app

2. Datos que recopilamos

Nubbo recopila y trata los siguientes datos personales:

2.1 Datos de cuenta

• Nombre y correo electrónico: proporcionados durante el registro para identificar tu cuenta.
• Contraseña: almacenada mediante hash criptográfico (bcrypt). Nunca almacenamos tu contraseña en texto plano.
• Último inicio de sesión: fecha y hora de tu último acceso.

2.2 Datos de seguridad

• Secreto 2FA y códigos de recuperación: si activas la autenticación de dos factores, almacenamos el secreto TOTP y los códigos de recuperación mediante hash (bcrypt).
• Dirección IP y User-Agent: recopilados en cada inicio de sesión y almacenados junto a los tokens de sesión para permitir la gestión de sesiones activas.

2.3 Credenciales de proveedores de nube

• Claves de acceso (Access Key ID y Secret Access Key): cifradas en reposo con AES-256-GCM. La clave de cifrado se almacena como variable de entorno y nunca en la base de datos.

2.4 Metadatos de archivos

• Nombres de archivos, rutas, tamaños y tipos: almacenados en nuestra base de datos como índice de tu almacenamiento en la nube. Se sincronizan cada vez que navegas a una carpeta. Cuando eliminas un archivo, se mueve a una papelera durante 30 días antes de ser eliminado permanentemente de nuestros servidores y de tu almacenamiento en la nube. Los metadatos también se eliminan al borrar el proveedor o la cuenta. Nubbo no almacena ni accede al contenido de tus archivos.

2.5 Datos de enlaces compartidos

• Tokens de enlace, contraseñas opcionales (hash bcrypt), fechas de expiración, contadores de descargas y de visualizaciones.

2.6 Datos de galerías

• Configuración de la galería: título, descripción, estilo de diseño, tema, color de acento y opciones de descarga.
• Datos de marca (branding): nombre del autor, URL del logo y URL del sitio web (opcionales).
• Acceso: contraseña opcional (hash bcrypt) y fecha de expiración.
• Contadores: visualizaciones y descargas de la galería.

2.7 Datos de visitantes de galerías

Cuando un tercero accede a una galería compartida, Nubbo puede recopilar:

• Nombre y correo electrónico: proporcionados voluntariamente por el visitante. Si el visitante proporciona un correo electrónico, se utiliza para identificarlo en visitas posteriores y recuperar sus favoritos y selecciones.
• Identificador de sesión: generado automáticamente en el navegador del visitante y almacenado de forma temporal (se elimina al cerrar la pestaña del navegador).
• Imágenes favoritas: imágenes marcadas como favoritas por el visitante.
• Selecciones: imágenes seleccionadas por el visitante, junto con su nombre y email si los proporciona.
• Registros de descargas: descargas individuales y en formato ZIP realizadas por el visitante.

Si el visitante es un usuario registrado de Nubbo y accede a la galería con su sesión iniciada, sus datos de cuenta (nombre y correo electrónico) se utilizan automáticamente para identificarlo como visitante.

El propietario de la galería (usuario registrado de Nubbo) es responsable de informar a sus visitantes sobre la recopilación de estos datos.

2.8 Solicitudes de archivos

• Configuración: nombre, descripción, tipos de archivo permitidos y tamaño máximo.
• Acceso: token único, contraseña opcional (hash bcrypt) y fecha de expiración.
• Contadores: número de subidas y visualizaciones.

Los archivos subidos por terceros a través de solicitudes se almacenan directamente en el bucket del usuario. Nubbo no conserva copias.

2.8.1 Datos de visitantes de solicitudes de archivos

Cuando un tercero accede a una solicitud de archivos, Nubbo puede recopilar:

• Nombre y correo electrónico: proporcionados voluntariamente por el visitante. Si el visitante proporciona un correo electrónico, se utiliza para identificarlo en visitas posteriores.
• Identificador de sesión: generado automáticamente en el navegador del visitante y almacenado de forma temporal (se elimina al cerrar la pestaña del navegador).
• Registros de subidas: nombre, tamaño y tipo de cada archivo subido por el visitante.

Si el visitante es un usuario registrado de Nubbo y accede a la solicitud con su sesión iniciada, sus datos de cuenta (nombre y correo electrónico) se utilizan automáticamente para identificarlo como visitante.

El propietario de la solicitud de archivos (usuario registrado de Nubbo) es responsable de informar a sus visitantes sobre la recopilación de estos datos.

2.9 Miniaturas y marcas de agua

• Miniaturas: Nubbo genera versiones reducidas de las imágenes bajo demanda para mejorar la navegación.
• Marcas de agua: versiones con marca de agua generadas bajo demanda para las galerías.

Estos archivos se almacenan en el bucket del usuario dentro del directorio .nubbo-thumbs/. Se eliminan automáticamente al borrar la galería asociada o al eliminar la cuenta. Al residir en tu propio almacenamiento en la nube, también puedes eliminarlos manualmente en cualquier momento.

2.10 Preferencias

• Tema, idioma, tipo de vista predeterminado y visualización de miniaturas: almacenados en tu cuenta para personalizar la experiencia.

2.11 Registros técnicos

• Registros de solicitudes HTTP: método, URL, código de estado, IP y User-Agent. Estos registros se escriben únicamente en la consola del servidor y no se persisten en base de datos.

3. Finalidad del tratamiento

• Gestión de cuenta: creación, autenticación y mantenimiento de tu cuenta.
• Prestación del servicio: conexión con tus proveedores de nube, navegación y gestión de archivos, compartición mediante enlaces, galerías y solicitudes de archivos.
• Seguridad: protección de tu cuenta mediante cifrado, 2FA y gestión de sesiones.
• Comunicaciones: envío de correos de verificación y recuperación de contraseña.

4. Base legal

• Consentimiento (Art. 6.1.a RGPD): al registrarte y aceptar los términos.
• Ejecución de contrato (Art. 6.1.b RGPD): necesario para prestar el servicio solicitado.
• Interés legítimo (Art. 6.1.f RGPD): seguridad del sistema, prevención de fraude y registros técnicos.

5. Destinatarios

• Resend: servicio de entrega de correo electrónico, utilizado exclusivamente para enviar correos de verificación y recuperación de contraseña.
• No compartimos datos con ningún otro tercero. No utilizamos servicios de analítica, publicidad ni tracking.

6. Transferencias internacionales

Para el envío de correos electrónicos (verificación de cuenta y recuperación de contraseña), Nubbo utiliza Resend, un servicio con sede en Estados Unidos. Al enviar estos correos, tu dirección de correo electrónico se transfiere a servidores de Resend en EE. UU. Esta transferencia está amparada por las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, que garantizan un nivel adecuado de protección de datos.

Más allá de este servicio, Nubbo no transfiere tus datos personales a terceros países. Los proveedores de almacenamiento en la nube que conectes son elegidos por ti y la relación con ellos es tu responsabilidad. Te recomendamos revisar las políticas de privacidad de tus proveedores de nube.

7. Conservación de datos

• Datos de cuenta: conservados mientras la cuenta esté activa. Se eliminan al solicitar la eliminación de la cuenta.
• Sesiones: los tokens de refresco expiran automáticamente y se eliminan.
• Metadatos de archivos: conservados mientras el proveedor de nube asociado esté activo. Al eliminar archivos, se retienen en una papelera durante 30 días antes de su eliminación permanente. Se eliminan inmediatamente al borrar el proveedor o la cuenta.
• Galerías y datos de visitantes: conservados mientras la galería esté activa. Si la carpeta de la galería se mueve a la papelera, la galería permanece inactiva y se reactiva al restaurar la carpeta. Se eliminan definitivamente al borrar permanentemente la carpeta, el proveedor o la cuenta.
• Solicitudes de archivos y datos de visitantes: conservados mientras la solicitud esté activa. Si la carpeta destino se mueve a la papelera, la solicitud se desactiva temporalmente y se reactiva al restaurar la carpeta. Se eliminan definitivamente al borrar permanentemente la carpeta, el proveedor o la cuenta.
• Miniaturas y marcas de agua: almacenados en el bucket del usuario. Se eliminan automáticamente al borrar la galería asociada o al eliminar la cuenta.
• Registros técnicos: no se persisten en base de datos.

8. Derechos del usuario

De conformidad con el RGPD y la LOPD-GDD, puedes ejercer los siguientes derechos:

• Acceso: conocer qué datos tenemos sobre ti.
• Rectificación: corregir datos inexactos.
• Supresión: solicitar la eliminación de tus datos.
• Portabilidad: recibir tus datos en formato estructurado.
• Limitación: solicitar la limitación del tratamiento.
• Oposición: oponerte al tratamiento de tus datos.

Para ejercer estos derechos, envía un correo a info@nubbo.app.

Asimismo, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

9. Medidas de seguridad

• Cifrado de credenciales con AES-256-GCM.
• Contraseñas almacenadas con hash bcrypt.
• Comunicaciones cifradas mediante HTTPS/TLS.
• Tokens de sesión con expiración automática.
• Autenticación de dos factores (TOTP) opcional.

10. Cookies y almacenamiento local

Nubbo utiliza una única cookie estrictamente necesaria con fines de seguridad:

• nubbo_rt (cookie httpOnly): almacena el token de refresco utilizado para renovar tu sesión. Esta cookie es httpOnly (no accesible desde JavaScript), secure (enviada solo por HTTPS en producción) y limitada a la ruta de la API (/api). Expira tras 7 días (o 30 días si seleccionas "Recuérdame"). Al tratarse de una cookie estrictamente necesaria para el funcionamiento del servicio, no requiere consentimiento previo conforme al artículo 22.2 de la LSSI-CE.

También utilizamos localStorage del navegador para almacenar:

• Token de acceso de corta duración: necesario para la autorización de la API, expira tras 15 minutos.
• Datos básicos de cuenta: nombre, email y preferencias para mostrar en la interfaz sin consultar al servidor.
• Preferencias de interfaz: tema e idioma.
• Volumen del reproductor multimedia: para conservar tu preferencia de volumen entre sesiones.
• Identificadores de sesión de galería: un identificador único temporal por cada galería que visitas, almacenado en sessionStorage (se elimina automáticamente al cerrar la pestaña del navegador).

No utilizamos cookies de analítica, publicidad ni rastreo. Esta información se almacena exclusivamente en tu navegador, no se envía a terceros y se elimina al cerrar sesión o borrar los datos del navegador.

11. Obligatoriedad de los datos

Para crear una cuenta y utilizar el servicio, es obligatorio proporcionar tu nombre, correo electrónico y contraseña. Sin estos datos no es posible registrarse ni acceder a Nubbo.

La conexión de proveedores de nube (Access Key ID y Secret Access Key) es necesaria para utilizar las funcionalidades de gestión de archivos. Sin estas credenciales, la cuenta existirá pero no podrá operar sobre ningún almacenamiento.

El resto de datos (activación de 2FA, datos de galerías, datos de visitantes, preferencias) son opcionales y se recopilan únicamente cuando decides utilizar las funcionalidades correspondientes.

12. Decisiones automatizadas

Nubbo no realiza decisiones automatizadas ni elaboración de perfiles en el sentido del artículo 22 del RGPD. Ningún dato personal es utilizado para tomar decisiones automatizadas que produzcan efectos jurídicos o te afecten significativamente.