Política de Privacidad

Última actualización: 3 de mayo de 2026

1. Responsable del tratamiento

• Titular: Gonzalo Vasco López
• NIF/CIF: 34884272B
• Domicilio: Rúa Farillon 10, 1ºE, 27890 San Ciprián, Lugo, España
• Correo electrónico: info@nubbo.app

2. Datos que recopilamos

Nubbo recopila y trata los siguientes datos personales:

2.1 Datos de cuenta

• Nombre y correo electrónico: proporcionados durante el registro para identificar tu cuenta.
• Contraseña: almacenada mediante hash criptográfico (bcrypt). Nunca almacenamos tu contraseña en texto plano.
• Último inicio de sesión: fecha y hora de tu último acceso.

2.2 Datos de seguridad

• Secreto 2FA y códigos de recuperación: si activas la autenticación de dos factores, almacenamos el secreto TOTP y los códigos de recuperación mediante hash (bcrypt).
• Dirección IP y User-Agent: recopilados en cada inicio de sesión y almacenados junto a los tokens de sesión para permitir la gestión de sesiones activas.

2.3 Credenciales de proveedores de nube

• Claves de acceso (Access Key ID y Secret Access Key): cifradas en reposo con AES-256-GCM. La clave de cifrado se almacena como variable de entorno y nunca en la base de datos.

2.4 Metadatos de archivos

• Nombres de archivos, rutas, tamaños y tipos: almacenados en nuestra base de datos como índice de tu almacenamiento en la nube. Se sincronizan cada vez que navegas a una carpeta. Cuando eliminas un archivo, se mueve a una papelera durante 30 días antes de ser eliminado permanentemente de nuestros servidores y de tu almacenamiento en la nube. Los metadatos también se eliminan al borrar el proveedor o la cuenta. Nubbo no almacena ni accede al contenido de tus archivos.
• Marcadores de favoritos: fecha en la que marcas un archivo como favorito.
• Etiquetas asignadas: referencias a las etiquetas que asocies a cada archivo (ver sección 2.12).

2.5 Datos de enlaces compartidos

• Tokens de enlace, contraseñas opcionales (hash bcrypt), fechas de expiración, contadores de descargas y de visualizaciones.

2.6 Datos de galerías

• Configuración de la galería: título, descripción, estilo de diseño, tema, color de acento, foto de portada y opciones de descarga.
• Datos de marca (branding): nombre, URL del logo y URL del sitio web (opcionales).
• Acceso: contraseña opcional (hash bcrypt) y fecha de expiración.
• Contadores: visualizaciones y descargas de la galería.

2.7 Datos de visitantes de galerías

Cuando un tercero accede a una galería compartida, Nubbo puede recopilar:

• Nombre y correo electrónico: proporcionados voluntariamente por el visitante. Si el visitante proporciona un correo electrónico, se utiliza para identificarlo en visitas posteriores y recuperar sus favoritos.
• Identificador de sesión: generado automáticamente en el navegador del visitante y almacenado de forma temporal (se elimina al cerrar la pestaña del navegador).
• Imágenes favoritas: imágenes marcadas como favoritas por el visitante.
• Registros de descargas: descargas individuales y en formato ZIP realizadas por el visitante.

Si el visitante es un usuario registrado de Nubbo y accede a la galería con su sesión iniciada, sus datos de cuenta (nombre y correo electrónico) se utilizan automáticamente para identificarlo como visitante.

Estos datos se tratan en régimen de corresponsabilidad entre Nubbo y el propietario de la galería conforme al artículo 26 del RGPD: Nubbo determina los medios técnicos (formulario de identificación, almacenamiento, cookies de sesión, registros de descargas) y el propietario determina la finalidad (gestionar el visionado de su cliente). Ver sección 15 para información específica dirigida a visitantes.

2.8 Solicitudes de archivos

• Configuración: nombre, descripción, tipos de archivo permitidos y tamaño máximo.
• Acceso: token único, contraseña opcional (hash bcrypt) y fecha de expiración.
• Contadores: número de subidas y visualizaciones.

Los archivos subidos por terceros a través de solicitudes se almacenan directamente en el bucket del usuario. Nubbo no conserva copias.

2.8.2 Envío de contraseña por email (Password Reveal)

Cuando el propietario de un enlace compartido, galería o solicitud de archivos protegidos con contraseña decide enviarla a un destinatario por correo electrónico mediante un enlace de un solo uso, Nubbo almacena temporalmente:

• Token único, contraseña cifrada (AES-256-GCM), correo electrónico del destinatario, nota opcional, fecha de creación, fecha de expiración configurable (24 horas, 3 o 7 días) y estado del enlace (visualizado, expirado, revocado o invalidado por cambio de contraseña).

El enlace se invalida automáticamente la primera vez que se visualiza, al expirar, cuando cambia la contraseña del recurso, o cuando el recurso se elimina. La contraseña en claro nunca se almacena de forma permanente; solo permanece cifrada dentro del token efímero hasta que se consume o expira.

2.8.1 Datos de visitantes de solicitudes de archivos

Cuando un tercero accede a una solicitud de archivos, Nubbo puede recopilar:

• Nombre y correo electrónico: proporcionados voluntariamente por el visitante. Si el visitante proporciona un correo electrónico, se utiliza para identificarlo en visitas posteriores.
• Identificador de sesión: generado automáticamente en el navegador del visitante y almacenado de forma temporal (se elimina al cerrar la pestaña del navegador).
• Registros de subidas: nombre, tamaño y tipo de cada archivo subido por el visitante.

Si el visitante es un usuario registrado de Nubbo y accede a la solicitud con su sesión iniciada, sus datos de cuenta (nombre y correo electrónico) se utilizan automáticamente para identificarlo como visitante.

Estos datos se tratan en régimen de corresponsabilidad entre Nubbo y el propietario de la solicitud conforme al artículo 26 del RGPD: Nubbo determina los medios técnicos (formulario de identificación, almacenamiento, cookies de sesión, registros de subidas) y el propietario determina la finalidad (recibir archivos de su cliente). Ver sección 15 para información específica dirigida a visitantes.

2.9 Miniaturas y marcas de agua

• Miniaturas: Nubbo genera versiones reducidas de las imágenes bajo demanda para mejorar la navegación.
• Marcas de agua: versiones con marca de agua generadas bajo demanda para las galerías.

Estos archivos se almacenan en el bucket del usuario dentro del directorio .nubbo-thumbs/. Se eliminan automáticamente al borrar la galería asociada o al eliminar la cuenta. Al residir en tu propio almacenamiento en la nube, también puedes eliminarlos manualmente en cualquier momento.

2.10 Preferencias

• Tema, idioma, tipo de vista predeterminado y visualización de miniaturas: almacenados en tu cuenta para personalizar la experiencia.

2.11 Registros técnicos

• Registros de solicitudes HTTP: método, URL, código de estado, IP y User-Agent. Estos registros se escriben únicamente en la consola del servidor y no se persisten en base de datos.

2.12 Etiquetas

• Nombre y color de las etiquetas que crees para clasificar tus archivos. Se almacenan asociadas a tu cuenta y se eliminan al borrar la cuenta.

2.13 Datos de formularios de contacto y ayuda

Cuando rellenas el formulario de contacto desde el sitio web público o el formulario de ayuda desde Configuración, Nubbo recopila:

• Nombre, correo electrónico, asunto y mensaje: proporcionados voluntariamente.

Estos datos no se almacenan en nuestra base de datos. Se envían directamente por correo electrónico (vía Resend, ver sección 5) a la bandeja de soporte de Nubbo y se conservan en dicha bandeja durante el tiempo necesario para atender tu consulta.

3. Finalidad del tratamiento

• Gestión de cuenta: creación, autenticación y mantenimiento de tu cuenta.
• Prestación del servicio: conexión con tus proveedores de nube, navegación y gestión de archivos, compartición mediante enlaces, galerías y solicitudes de archivos.
• Seguridad: protección de tu cuenta mediante cifrado, 2FA y gestión de sesiones.
• Comunicaciones: envío de correos de verificación, recuperación de contraseña, notificaciones de eliminación de cuenta y enlaces de un solo uso para revelar contraseñas de recursos compartidos.

4. Base legal

• Consentimiento (Art. 6.1.a RGPD): al registrarte y aceptar los términos.
• Ejecución de contrato (Art. 6.1.b RGPD): necesario para prestar el servicio solicitado.
• Interés legítimo (Art. 6.1.f RGPD): seguridad del sistema, prevención de fraude y registros técnicos.

5. Destinatarios

• Resend: servicio de entrega de correo electrónico, utilizado exclusivamente para enviar correos transaccionales de Nubbo (verificación, recuperación de contraseña, notificaciones de cuenta y enlaces de un solo uso para revelar contraseñas de recursos compartidos).
• No compartimos datos con ningún otro tercero. No utilizamos servicios de analítica, publicidad ni tracking.

Puedes consultar la lista completa y actualizada de subprocesadores en /subprocessors/.

6. Transferencias internacionales

Para el envío de correos electrónicos (verificación de cuenta, recuperación de contraseña, notificaciones de cuenta y enlaces de un solo uso para revelar contraseñas de recursos compartidos), Nubbo utiliza Resend, un servicio con sede en Estados Unidos. Al enviar estos correos, tu dirección de correo electrónico (o la del destinatario que tú indiques en el caso del envío de contraseña) se transfiere a servidores de Resend en EE. UU. Esta transferencia está amparada por las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, que garantizan un nivel adecuado de protección de datos.

Más allá de este servicio, Nubbo no transfiere tus datos personales a terceros países. Los proveedores de almacenamiento en la nube que conectes son elegidos por ti y la relación con ellos es tu responsabilidad. Te recomendamos revisar las políticas de privacidad de tus proveedores de nube.

7. Conservación de datos

• Datos de cuenta: conservados mientras la cuenta esté activa. Al solicitar la eliminación, se aplica un periodo de gracia de 30 días durante el cual la cuenta queda suspendida y los datos se conservan. Pasados los 30 días, todos los datos se eliminan de forma permanente. El usuario puede solicitar la eliminación inmediata sin periodo de gracia desde Configuración.
• Sesiones: los tokens de refresco expiran automáticamente y se eliminan.
• Metadatos de archivos: conservados mientras el proveedor de nube asociado esté activo. Al eliminar archivos, se retienen en una papelera durante 30 días antes de su eliminación permanente. Se eliminan inmediatamente al borrar el proveedor o la cuenta.
• Galerías y datos de visitantes: conservados mientras la galería esté activa. Si la carpeta de la galería se mueve a la papelera, la galería permanece inactiva y se reactiva al restaurar la carpeta. Se eliminan definitivamente al borrar permanentemente la carpeta, el proveedor o la cuenta.
• Solicitudes de archivos y datos de visitantes: conservados mientras la solicitud esté activa. Si la carpeta destino se mueve a la papelera, la solicitud se desactiva temporalmente y se reactiva al restaurar la carpeta. Se eliminan definitivamente al borrar permanentemente la carpeta, el proveedor o la cuenta.
• Miniaturas y marcas de agua: almacenados en el bucket del usuario. Se eliminan automáticamente al borrar la galería asociada o al eliminar la cuenta.
• Solicitudes de exportación de datos:
  • Registro de la solicitud (estado, timestamps, motivo de fallo): se conserva en nuestra base de datos un máximo de 90 días tras finalizar, después se elimina automáticamente. También se elimina inmediatamente si el usuario elimina su cuenta.
  • Archivo .json.gz (flujo con bucket): si el usuario elige un proveedor, el archivo se sube a la carpeta Nubbo/Exports/ de su bucket. Pertenece al usuario y permanece allí hasta que él lo borre; Nubbo no lo gestiona ni lo elimina automáticamente, ni siquiera al eliminar la cuenta (ya que el bucket es del usuario).
  • Archivo .json.gz (flujo de descarga directa): si el usuario no tiene proveedor activo, el archivo se transmite directamente al navegador y no se almacena en ninguna parte: ni en la infraestructura de Nubbo, ni en ningún bucket. Una vez completada la descarga, no queda copia alguna del archivo en nuestros sistemas.
• Registros técnicos: no se persisten en base de datos.

8. Eliminación de cuenta

Puedes eliminar tu cuenta en cualquier momento desde Configuración → Eliminar cuenta. La eliminación se realiza en dos etapas:

1. Periodo de gracia (30 días): tu cuenta se marca como inactiva pero los datos se conservan. Durante este tiempo no podrás acceder a Nubbo y todos los enlaces públicos (galerías, compartidos, peticiones de archivos) responderán como no disponibles. Puedes reactivar tu cuenta iniciando sesión con tu contraseña. Recibirás un correo recordatorio 7 días antes de la eliminación definitiva.
2. Eliminación definitiva (día 31): todos los datos se eliminan permanentemente y de forma irreversible. Esto incluye tu perfil, conexiones de proveedores, galerías, compartidos, peticiones de archivos, miniaturas y marcas de agua generadas en tu almacenamiento.

Si necesitas la eliminación inmediata sin periodo de gracia (por ejemplo, ejerciendo el derecho al olvido del RGPD), está disponible como opción dentro del mismo flujo en Configuración.

Importante: los archivos en tu propio almacenamiento (DigitalOcean Spaces, AWS S3, etc.) no se eliminan porque pertenecen a tu cuenta de proveedor y permanecerán intactos.

9. Derechos del usuario

De conformidad con el RGPD y la LOPD-GDD, puedes ejercer los siguientes derechos:

• Acceso: conocer qué datos tenemos sobre ti.
• Rectificación: corregir datos inexactos.
• Supresión: eliminar tu cuenta desde Configuración (con periodo de gracia o inmediato) o solicitarlo por correo.
• Portabilidad: puedes solicitar una copia de tus datos personales en formato JSON comprimido (.json.gz) desde Configuración → Exportar datos. Si tienes uno o más proveedores de almacenamiento configurados, podrás elegir en cuál de tus buckets quieres que se suba el archivo: se generará en segundo plano y se guardará en la carpeta Nubbo/Exports/ del bucket que indiques; recibirás un correo cuando esté listo. Si no tienes ningún proveedor activo, podrás descargar el archivo directamente desde tu navegador. También puedes solicitarlo por correo a info@nubbo.app.
• Limitación: solicitar la limitación del tratamiento.
• Oposición: oponerte al tratamiento de tus datos.

Para ejercer estos derechos por canales adicionales, envía un correo a info@nubbo.app.

Nubbo responderá a tu solicitud en el plazo máximo de un mes desde su recepción, conforme al artículo 12 del RGPD. Este plazo podrá prorrogarse otros dos meses adicionales en casos de especial complejidad o cuando se hayan recibido un número elevado de solicitudes, informándote de la prórroga y de sus motivos dentro del primer mes.

Asimismo, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

10. Medidas de seguridad

• Cifrado de credenciales con AES-256-GCM.
• Contraseñas almacenadas con hash bcrypt.
• Comunicaciones cifradas mediante HTTPS/TLS.
• Tokens de sesión con expiración automática.
• Autenticación de dos factores (TOTP) opcional.

11. Notificación de brechas de seguridad

En caso de producirse una brecha de seguridad que afecte a tus datos personales, Nubbo notificará a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde que tenga conocimiento de ella, conforme al artículo 33 del RGPD.

Si la brecha supone un alto riesgo para tus derechos y libertades, te lo notificaremos directamente sin demora indebida, conforme al artículo 34 del RGPD, indicando la naturaleza de la brecha, sus posibles consecuencias, las medidas adoptadas para mitigarla y los pasos que puedes tomar para protegerte.

12. Cookies y almacenamiento local

Nubbo utiliza una única cookie estrictamente necesaria con fines de seguridad:

• nubbo_rt (cookie httpOnly): almacena el token de refresco utilizado para renovar tu sesión. Esta cookie es httpOnly (no accesible desde JavaScript), secure (enviada solo por HTTPS en producción) y limitada a la ruta de la API (/api). Expira tras 7 días (o 30 días si seleccionas "Recuérdame"). Al tratarse de una cookie estrictamente necesaria para el funcionamiento del servicio, no requiere consentimiento previo conforme al artículo 22.2 de la LSSI-CE.

También utilizamos localStorage del navegador para almacenar:

• Token de acceso de corta duración: necesario para la autorización de la API, expira tras 15 minutos.
• Datos básicos de cuenta: nombre, email y preferencias para mostrar en la interfaz sin consultar al servidor.
• Preferencias de interfaz: tema e idioma.
• Volumen del reproductor multimedia: para conservar tu preferencia de volumen entre sesiones.
• Identificadores de sesión de galería: un identificador único temporal por cada galería que visitas, almacenado en sessionStorage (se elimina automáticamente al cerrar la pestaña del navegador).

No utilizamos cookies de analítica, publicidad ni rastreo. Esta información se almacena exclusivamente en tu navegador, no se envía a terceros y se elimina al cerrar sesión o borrar los datos del navegador.

13. Obligatoriedad de los datos

Para crear una cuenta y utilizar el servicio, es obligatorio proporcionar tu nombre, correo electrónico y contraseña. Sin estos datos no es posible registrarse ni acceder a Nubbo.

La conexión de proveedores de nube (Access Key ID y Secret Access Key) es necesaria para utilizar las funcionalidades de gestión de archivos. Sin estas credenciales, la cuenta existirá pero no podrá operar sobre ningún almacenamiento.

El resto de datos (activación de 2FA, datos de galerías, datos de visitantes, preferencias) son opcionales y se recopilan únicamente cuando decides utilizar las funcionalidades correspondientes.

14. Decisiones automatizadas

Nubbo no realiza decisiones automatizadas ni elaboración de perfiles en el sentido del artículo 22 del RGPD. Ningún dato personal es utilizado para tomar decisiones automatizadas que produzcan efectos jurídicos o te afecten significativamente.

15. Información para visitantes de galerías y solicitudes

Si has accedido a una galería o solicitud de archivos a través de Nubbo (por ejemplo, mediante un enlace que te ha enviado un fotógrafo, profesional o particular), debes saber lo siguiente:

15.1 Régimen de corresponsabilidad (Art. 26 RGPD)

Tus datos como visitante (nombre, correo electrónico, favoritos, descargas o archivos subidos) se tratan en régimen de corresponsabilidad entre Nubbo y el propietario de la galería o solicitud:

• Nubbo determina los medios técnicos esenciales: el formulario de identificación que se te muestra, qué campos se solicitan, el almacenamiento de los datos, las cookies de sesión y los registros de descargas o subidas.
• El propietario determina la finalidad concreta: por qué crea la galería o solicitud y qué uso hace de los datos que recopila (entrega de fotografías, recepción de archivos, comunicación contigo, etc.).

Ambos somos responsables ante ti del cumplimiento del RGPD.

15.2 Cómo ejercer tus derechos

Conforme al artículo 26.3 del RGPD, puedes ejercer tus derechos (acceso, rectificación, supresión, limitación, oposición y portabilidad) frente a cualquiera de los corresponsables:

• Frente a Nubbo: escribe a info@nubbo.app. Atenderemos tu solicitud directamente y notificaremos al propietario para que retire cualquier copia local de tus datos si la tuviera.
• Frente al propietario: contacta con él por los medios que te haya facilitado. El propietario es quien tiene la relación directa contigo y conoce el contexto en el que se recopilaron tus datos.

Atenderemos cualquier solicitud en el plazo máximo de un mes conforme al artículo 12 del RGPD.

15.3 Reclamaciones

Si no estás conforme con la respuesta recibida, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.