Política de Privacidad

Última actualización: 16 de marzo de 2026

1. Responsable del tratamiento

• Titular: Gonzalo Vasco López
• NIF/CIF: 34884272B
• Domicilio: Rúa Farillon 10, 1ºE, 27890 San Ciprián, Lugo, España
• Correo electrónico: info@nubbo.app

2. Datos que recopilamos

Nubbo recopila y trata los siguientes datos personales:

2.1 Datos de cuenta

• Nombre y correo electrónico: proporcionados durante el registro para identificar tu cuenta.
• Contraseña: almacenada mediante hash criptográfico (bcrypt). Nunca almacenamos tu contraseña en texto plano.
• Último inicio de sesión: fecha y hora de tu último acceso.

2.2 Datos de seguridad

• Secreto 2FA y códigos de recuperación: si activas la autenticación de dos factores, almacenamos el secreto TOTP y los códigos de recuperación mediante hash (bcrypt).
• Dirección IP y User-Agent: recopilados en cada inicio de sesión y almacenados junto a los tokens de sesión para permitir la gestión de sesiones activas.

2.3 Credenciales de proveedores de nube

• Claves de acceso (Access Key ID y Secret Access Key): cifradas en reposo con AES-256-GCM. La clave de cifrado se almacena como variable de entorno y nunca en la base de datos.

2.4 Metadatos de archivos

• Nombres de archivos, rutas, tamaños y tipos: almacenados en nuestra base de datos como índice de tu almacenamiento en la nube. Se sincronizan cada vez que navegas a una carpeta y se eliminan cuando el archivo se borra de tu almacenamiento, eliminas el proveedor o eliminas tu cuenta. Nubbo no almacena ni accede al contenido de tus archivos.

2.5 Datos de enlaces compartidos

• Tokens de enlace, contraseñas opcionales (hash bcrypt), fechas de expiración, contadores de descargas y de visualizaciones.

2.6 Datos de galerías

• Configuración de la galería: título, descripción, estilo de diseño, tema, color de acento y opciones de descarga.
• Datos de marca (branding): nombre del autor, URL del logo y URL del sitio web (opcionales).
• Acceso: contraseña opcional (hash bcrypt) y fecha de expiración.
• Contadores: visualizaciones y descargas de la galería.

2.7 Datos de visitantes de galerías

Cuando un tercero accede a una galería compartida, Nubbo puede recopilar:

• Nombre y correo electrónico: proporcionados voluntariamente por el visitante.
• Identificador de sesión: generado automáticamente en el navegador del visitante.
• Imágenes favoritas: imágenes marcadas como favoritas por el visitante.
• Selecciones: imágenes seleccionadas por el visitante, junto con su nombre y email si los proporciona.
• Registros de descargas: descargas individuales y en formato ZIP realizadas por el visitante.

El propietario de la galería (usuario registrado de Nubbo) es responsable de informar a sus visitantes sobre la recopilación de estos datos.

2.8 Solicitudes de archivos

• Configuración: nombre, descripción, tipos de archivo permitidos y tamaño máximo.
• Acceso: token único, contraseña opcional (hash bcrypt) y fecha de expiración.
• Contadores: número de subidas y visualizaciones.

Los archivos subidos por terceros a través de solicitudes se almacenan directamente en el bucket del usuario. Nubbo no conserva copias.

2.9 Miniaturas y marcas de agua

• Miniaturas: Nubbo genera versiones reducidas de las imágenes bajo demanda para mejorar la navegación.
• Marcas de agua: versiones con marca de agua generadas bajo demanda para las galerías.

Estos archivos se almacenan en el bucket del usuario dentro del directorio .nubbo-thumbs/. Se eliminan automáticamente al borrar la galería asociada. Al residir en tu propio almacenamiento en la nube, también puedes eliminarlos manualmente en cualquier momento.

2.10 Preferencias

• Tema, idioma, tipo de vista predeterminado y visualización de miniaturas: almacenados en tu cuenta para personalizar la experiencia.

2.11 Registros técnicos

• Registros de solicitudes HTTP: método, URL, código de estado, IP y User-Agent. Estos registros se escriben únicamente en la consola del servidor y no se persisten en base de datos.

3. Finalidad del tratamiento

• Gestión de cuenta: creación, autenticación y mantenimiento de tu cuenta.
• Prestación del servicio: conexión con tus proveedores de nube, navegación y gestión de archivos, compartición mediante enlaces, galerías y solicitudes de archivos.
• Seguridad: protección de tu cuenta mediante cifrado, 2FA y gestión de sesiones.
• Comunicaciones: envío de correos de verificación y recuperación de contraseña.

4. Base legal

• Consentimiento (Art. 6.1.a RGPD): al registrarte y aceptar los términos.
• Ejecución de contrato (Art. 6.1.b RGPD): necesario para prestar el servicio solicitado.
• Interés legítimo (Art. 6.1.f RGPD): seguridad del sistema, prevención de fraude y registros técnicos.

5. Destinatarios

• Resend: servicio de entrega de correo electrónico, utilizado exclusivamente para enviar correos de verificación y recuperación de contraseña.
• No compartimos datos con ningún otro tercero. No utilizamos servicios de analítica, publicidad ni tracking.

6. Transferencias internacionales

Nubbo no transfiere tus datos personales a terceros países. Los proveedores de almacenamiento en la nube que conectes son elegidos por ti y la relación con ellos es tu responsabilidad. Te recomendamos revisar las políticas de privacidad de tus proveedores de nube.

7. Conservación de datos

• Datos de cuenta: conservados mientras la cuenta esté activa. Se eliminan al solicitar la eliminación de la cuenta.
• Sesiones: los tokens de refresco expiran automáticamente y se eliminan.
• Metadatos de archivos: conservados mientras el proveedor de nube asociado esté activo. Se eliminan al borrar el proveedor o la cuenta.
• Galerías y datos de visitantes: conservados mientras la galería esté activa. Se eliminan al borrar la galería, el proveedor o la cuenta.
• Solicitudes de archivos: conservados mientras la solicitud esté activa. Se eliminan al borrar la solicitud, el proveedor o la cuenta.
• Miniaturas y marcas de agua: almacenados en el bucket del usuario. Se eliminan automáticamente al borrar la galería asociada. Las miniaturas generadas fuera de galerías permanecen en el bucket del usuario.
• Registros técnicos: no se persisten en base de datos.

8. Derechos del usuario

De conformidad con el RGPD y la LOPD-GDD, puedes ejercer los siguientes derechos:

• Acceso: conocer qué datos tenemos sobre ti.
• Rectificación: corregir datos inexactos.
• Supresión: solicitar la eliminación de tus datos.
• Portabilidad: recibir tus datos en formato estructurado.
• Limitación: solicitar la limitación del tratamiento.
• Oposición: oponerte al tratamiento de tus datos.

Para ejercer estos derechos, envía un correo a info@nubbo.app.

Asimismo, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

9. Medidas de seguridad

• Cifrado de credenciales con AES-256-GCM.
• Contraseñas almacenadas con hash bcrypt.
• Comunicaciones cifradas mediante HTTPS/TLS.
• Tokens de sesión con expiración automática.
• Autenticación de dos factores (TOTP) opcional.

10. Cookies y almacenamiento local

Nubbo utiliza una única cookie estrictamente necesaria con fines de seguridad:

• nubbo_rt (cookie httpOnly): almacena el token de refresco utilizado para renovar tu sesión. Esta cookie es httpOnly (no accesible desde JavaScript), secure (enviada solo por HTTPS en producción) y limitada a la ruta de la API (/api). Expira tras 7 días (o 30 días si seleccionas "Recuérdame"). Al tratarse de una cookie estrictamente necesaria para el funcionamiento del servicio, no requiere consentimiento previo conforme al artículo 22.2 de la LSSI-CE.

También utilizamos localStorage del navegador para almacenar:

• Token de acceso de corta duración: necesario para la autorización de la API, expira tras 15 minutos.
• Datos básicos de cuenta: nombre, email y preferencias para mostrar en la interfaz sin consultar al servidor.
• Preferencias de interfaz: tema e idioma.
• Volumen del reproductor multimedia: para conservar tu preferencia de volumen entre sesiones.
• Identificadores de sesión de galería: un identificador único por cada galería que visitas, almacenado en tu navegador.

No utilizamos cookies de analítica, publicidad ni rastreo. Esta información se almacena exclusivamente en tu navegador, no se envía a terceros y se elimina al cerrar sesión o borrar los datos del navegador.