Política de Privacidad
En Curapitch nos tomamos tu privacidad muy en serio. Esta política explica de forma clara y transparente qué datos personales recopilamos, para qué los usamos, con quién los compartimos y cuáles son tus derechos. Si tienes cualquier duda, escríbenos a legal@curapitch.com.
1. Responsable del Tratamiento
De conformidad con el artículo 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, «RGPD»), le informamos de que el Responsable del Tratamiento de sus datos personales es:
Razón social
Curapitch SLDomicilio social
Madrid, EspañaCorreo de contacto (DPD)
legal@curapitch.comSitio web
curapitch.comCurapitch SL es la entidad responsable de las decisiones relativas al tratamiento de datos personales dentro de la Plataforma. Para cualquier cuestión relacionada con la privacidad o el ejercicio de derechos, puede dirigirse a nosotros a través del correo electrónico indicado o mediante correo postal a nuestra dirección de Madrid.
2. Datos que Recopilamos
Recopilamos únicamente los datos necesarios para prestar el servicio de manera adecuada, aplicando el principio de minimización de datos establecido en el RGPD. A continuación se detallan las categorías de datos que tratamos:
2.1 Datos de registro y perfil
- Dirección de correo electrónico: necesaria para la creación de cuenta, autenticación e comunicaciones transaccionales.
- Nombre artístico o nombre de curador: nombre público visible en la Plataforma.
- Contraseña: almacenada siempre en formato cifrado (hash bcrypt). Nunca se almacena en texto plano.
- Rol de usuario: artista, curador o ambos.
- Fecha de registro y último acceso.
2.2 Datos de la cuenta de Spotify
- ID de usuario de Spotify: identificador único de la cuenta de Spotify vinculada.
- Nombre de usuario de Spotify: nombre visible en la plataforma de Spotify.
- URL de perfil de Spotify y foto de perfil (si está disponible públicamente).
- Playlists (solo para curadores): nombre, descripción, número de seguidores, URL e ID de las playlists seleccionadas para participar en el marketplace.
- Token de acceso OAuth 2.0: token temporal necesario para realizar consultas autorizadas a la API de Spotify. Este token se cifra en almacenamiento y caduca automáticamente según las condiciones de Spotify.
2.3 Datos de actividad en la Plataforma
- Historial de pitches: fecha y hora del envío, canción enviada (ID de Spotify), curador destinatario, estado (pendiente, aceptado, rechazado), feedback recibido.
- Saldo de Pitches: créditos disponibles, historial de adquisición y consumo.
- Transacciones: importe, fecha, identificador de sesión de Stripe (nunca datos de tarjeta), estado del pago.
- Ingresos de curadores: historial de liquidaciones, importes devengados, método de pago configurado.
2.4 Datos técnicos recopilados automáticamente
- Dirección IP: recopilada con fines de seguridad, detección de fraude y registro de accesos.
- User-agent del navegador: tipo y versión del navegador utilizado.
- Cookies de sesión: necesarias para mantener la sesión autenticada.
- Registros de actividad (logs): acciones realizadas en la Plataforma, errores técnicos, tiempos de respuesta. Estos registros no se usan con fines publicitarios.
Lo que NO recopilamos: Curapitch no almacena números de tarjeta de crédito, CVV, PINs, contraseñas de Spotify ni ningún otro dato financiero sensible. Los pagos son procesados íntegramente por Stripe en sus servidores certificados PCI-DSS.
3. Cómo Usamos los Datos
Tratamos los datos personales recopilados para los siguientes fines:
| Finalidad | Descripción |
|---|---|
| Prestación del servicio | Gestionar cuentas, procesar pitches, calcular reembolsos, liquidar pagos a curadores y garantizar el correcto funcionamiento del marketplace. |
| Autenticación | Verificar la identidad del usuario en cada acceso y mantener la sesión activa de forma segura. |
| Conexión con Spotify | Verificar la existencia y estado de perfiles de artista y playlists de curador, y mostrar información de canciones enviadas en la interfaz de la Plataforma. |
| Procesamiento de pagos | Tramitar la compra de Pitches a través de Stripe y gestionar las liquidaciones mensuales a curadores. |
| Comunicaciones transaccionales | Enviar notificaciones sobre el estado de los pitches (aceptación, rechazo, caducidad), confirmaciones de compra y avisos de cuenta. Estas comunicaciones son necesarias para el servicio y no requieren consentimiento adicional. |
| Seguridad y antifraude | Detectar y prevenir accesos no autorizados, uso fraudulento del sistema de créditos, bots o comportamientos abusivos. |
| Analítica interna | Generar métricas agregadas y anonimizadas sobre el uso de la Plataforma para mejorar la experiencia de usuario. No realizamos perfilado individual con fines comerciales. |
| Cumplimiento legal | Conservar registros de transacciones durante el tiempo exigido por la legislación fiscal y mercantil española. |
| Marketing (opcional) | Enviar comunicaciones sobre novedades, nuevas funcionalidades o promociones, exclusivamente con el consentimiento expreso del usuario, que puede retirarse en cualquier momento. |
4. Base Legal del Tratamiento
Todo tratamiento de datos personales realizado por Curapitch se ampara en alguna de las bases legales previstas en el artículo 6 del RGPD:
- Ejecución de un contrato (art. 6.1.b RGPD): El tratamiento de datos necesario para prestar el servicio (gestión de cuentas, pitches, pagos, reembolsos, comunicaciones transaccionales) se basa en la relación contractual establecida entre el usuario y Curapitch al aceptar los Términos de Servicio. Sin estos datos, no es posible prestar el servicio.
- Interés legítimo (art. 6.1.f RGPD): El tratamiento de datos técnicos (IPs, logs de acceso) y las actividades de seguridad y antifraude se basan en el interés legítimo de Curapitch de proteger la integridad de la Plataforma y los datos de sus usuarios. Hemos realizado un test de ponderación y consideramos que este interés no prevalece sobre los derechos fundamentales de los usuarios.
- Obligación legal (art. 6.1.c RGPD): La conservación de registros de transacciones durante 7 años se basa en las obligaciones establecidas por la legislación fiscal y mercantil española (Ley General Tributaria, Código de Comercio).
- Consentimiento (art. 6.1.a RGPD): El envío de comunicaciones de marketing y el uso de cookies analíticas opcionales se basan en el consentimiento libre, específico, informado e inequívoco del usuario, que puede retirarse en cualquier momento sin que ello afecte a la legalidad del tratamiento previo.
Retirada del consentimiento: Cuando el tratamiento se base en el consentimiento, puede retirarlo en cualquier momento escribiendo a legal@curapitch.com o utilizando el enlace de baja incluido en cada correo electrónico de marketing. La retirada del consentimiento no afecta a la licitud del tratamiento efectuado con anterioridad.
5. Integración con Spotify
Curapitch utiliza la API oficial de Spotify y el protocolo de autorización estándar OAuth 2.0 para conectar las cuentas de los usuarios con la Plataforma. Esta integración es fundamental para la prestación del servicio.
Permisos que solicitamos y para qué los usamos:
| Permiso (Scope) | Uso en Curapitch |
|---|---|
user-read-private |
Leer el ID de usuario y nombre de la cuenta de Spotify, necesario para vincular el perfil y verificar la identidad. |
user-read-email |
Leer el email asociado a la cuenta de Spotify (solo en el proceso de registro inicial para facilitar el alta). |
playlist-read-private |
Leer las playlists privadas y públicas del curador para que pueda seleccionar qué playlists quiere ofrecer en el marketplace. |
playlist-modify-public |
Permitir al curador añadir canciones aceptadas a sus playlists públicas directamente desde la Plataforma. |
playlist-modify-private |
Permitir al curador añadir canciones aceptadas a sus playlists privadas (si el curador ha registrado alguna como privada). |
Qué no hacemos con la conexión de Spotify:
- No almacenamos ni tenemos acceso a la contraseña de Spotify del usuario en ningún momento.
- No leemos el historial de reproducción del usuario ni sus listas de seguimiento.
- No modificamos el perfil público de Spotify del artista ni del curador.
- No enviamos datos de Spotify a terceros con fines publicitarios o comerciales.
- No accedemos a los datos financieros de la cuenta de Spotify (suscripción, métodos de pago).
Los tokens de acceso de Spotify se almacenan cifrados en nuestra base de datos y se renuevan automáticamente según el flujo de actualización de OAuth 2.0. Puedes revocar el acceso de Curapitch a tu cuenta de Spotify en cualquier momento desde la configuración de privacidad de Spotify en spotify.com/account/apps. La revocación del acceso implica que no podrás seguir usando el servicio de Curapitch hasta que vuelvas a vincular tu cuenta.
El uso de la API de Spotify está sujeto a las Condiciones de Uso de la API de Spotify y a la Política de Privacidad de Spotify. Curapitch no controla las prácticas de privacidad de Spotify y le recomendamos que las consulte directamente.
6. Integración con Stripe
Todos los pagos en la Plataforma son procesados por Stripe Payments Europe, Ltd. (con sede en Dublín, Irlanda), proveedor de servicios de pago certificado PCI DSS Nivel 1, el más alto nivel de seguridad disponible en la industria de pagos.
Qué hace Stripe con tus datos: Cuando introduces los datos de tu tarjeta en el formulario de pago, dichos datos van directamente a los servidores de Stripe y nunca pasan por los servidores de Curapitch. Curapitch únicamente recibe de Stripe:
- Un identificador de sesión de pago (Payment Intent ID) para registrar la transacción en nuestra base de datos.
- El estado del pago (completado, fallido, reembolsado).
- El importe y la moneda de la transacción.
- Los últimos 4 dígitos de la tarjeta y la marca (Visa, Mastercard, etc.) para que el usuario pueda identificar su método de pago en el historial de transacciones.
Curapitch nunca almacena el número completo de la tarjeta, el CVV, la fecha de caducidad completa ni ningún otro dato sensible de pago.
Para las liquidaciones a curadores, Stripe Connect puede requerir que el curador complete un proceso de verificación de identidad (KYC) directamente con Stripe. Curapitch no tiene acceso a los documentos de identidad aportados; dicho proceso es gestionado íntegramente por Stripe.
El tratamiento de datos de pago por parte de Stripe se rige por la Política de Privacidad de Stripe. Le recomendamos consultarla para comprender cómo Stripe gestiona sus datos financieros.
7. Compartición de Datos con Terceros
Curapitch no vende, alquila ni cede datos personales de sus usuarios a terceros con fines publicitarios o comerciales. Nunca lo hemos hecho y nunca lo haremos.
Los datos personales únicamente se comparten con terceros en los siguientes supuestos limitados:
- Stripe: Compartimos la información mínima necesaria para procesar pagos y liquidaciones (identificación de la transacción, importe). Stripe actúa como encargado del tratamiento conforme al RGPD.
- Spotify: Las consultas a la API de Spotify requieren transmitir tokens de autenticación. Spotify puede registrar estas consultas conforme a su propia política. Curapitch no comparte datos de usuarios con Spotify más allá de lo necesario para las llamadas a la API.
- Proveedores de infraestructura: Curapitch utiliza servicios de alojamiento web y bases de datos en servidores ubicados en la Unión Europea o con garantías adecuadas de protección conforme al RGPD. Estos proveedores actúan como encargados del tratamiento y están vinculados por contratos que garantizan la confidencialidad y seguridad de los datos.
- Cumplimiento legal: Podemos divulgar datos personales cuando sea estrictamente necesario para cumplir una obligación legal, responder a un proceso judicial, proteger los derechos o la seguridad de Curapitch o de terceros, o colaborar con las autoridades competentes en el marco de una investigación legítima.
En el caso de una transmisión de negocio (fusión, adquisición, venta de activos), los datos de usuarios podrían transferirse al nuevo titular, siempre que este se comprometa a mantener las mismas condiciones de privacidad establecidas en esta Política. Notificaríamos a los usuarios con al menos 30 días de antelación ante tal eventualidad.
8. Cookies y Tecnologías de Seguimiento
Curapitch utiliza cookies y tecnologías similares para garantizar el funcionamiento de la Plataforma y, con su consentimiento, mejorar su experiencia. A continuación se detalla el uso que hacemos de cada tipo:
| Tipo de Cookie | Finalidad | Necesaria | Duración |
|---|---|---|---|
| Sesión (PHPSESSID) | Mantener la sesión autenticada del usuario durante la navegación. | Sí | Sesión (se elimina al cerrar el navegador) |
| Preferencias | Recordar configuraciones del usuario (idioma, vista preferida). | Sí | 12 meses |
| Seguridad (CSRF) | Token para proteger los formularios contra ataques de falsificación de petición. | Sí | Sesión |
| Analíticas (opcionales) | Medir el uso de la Plataforma de forma agregada: páginas vistas, tasa de conversión, flujos de usuario. Solo se activan con su consentimiento. | No | 13 meses |
Gestión de cookies: Al acceder a la Plataforma por primera vez, se le mostrará un banner de gestión de cookies donde podrá aceptar o rechazar las cookies no esenciales. Puede modificar su configuración de cookies en cualquier momento desde la sección «Privacidad» de su perfil o a través de la configuración de su navegador.
Tenga en cuenta que la desactivación de las cookies necesarias puede afectar al funcionamiento correcto de la Plataforma, impidiendo el acceso a ciertas funcionalidades como la autenticación o la protección de formularios.
Curapitch no utiliza cookies de terceros con fines publicitarios ni comparte datos de comportamiento de usuarios con redes publicitarias.
9. Retención de Datos
Conservamos los datos personales únicamente durante el tiempo necesario para cumplir las finalidades para las que fueron recopilados, respetando el principio de limitación del plazo de conservación del RGPD.
| Categoría de datos | Período de retención | Motivo |
|---|---|---|
| Datos de cuenta activa | Durante la vigencia de la cuenta | Necesarios para prestar el servicio |
| Datos de cuenta eliminada | Hasta 5 años adicionales tras la eliminación | Defensa ante reclamaciones legales (art. 1964 CC) |
| Registros de transacciones | 7 años | Obligación fiscal (Ley General Tributaria, art. 70) |
| Comunicaciones de soporte | 3 años desde la última comunicación | Defensa ante posibles reclamaciones |
| Logs de seguridad / acceso | 12 meses | Detección de fraude y seguridad del sistema |
| Tokens OAuth de Spotify | Hasta revocación o expiración por Spotify | Funcionamiento del servicio |
| Datos de marketing (con consentimiento) | Hasta que el usuario retire el consentimiento | Basado en consentimiento revocable |
Transcurridos los plazos de retención indicados, los datos personales se eliminarán o anonimizarán de forma irreversible. Los datos anonimizados pueden conservarse indefinidamente con fines estadísticos, ya que no permiten identificar a personas concretas.
10. Tus Derechos como Titular de los Datos RGPD
En virtud del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), tienes los siguientes derechos sobre tus datos personales:
Derecho de Acceso
Conocer qué datos tuyos tratamos, cómo los usamos y con quién los compartimos.
Derecho de Rectificación
Solicitar la corrección de datos inexactos o incompletos que te afecten.
Derecho de Supresión
Solicitar la eliminación de tus datos cuando ya no sean necesarios o retires el consentimiento.
Derecho de Portabilidad
Recibir tus datos en formato estructurado y legible por máquina, o transferirlos a otro responsable.
Derecho de Oposición
Oponerte al tratamiento basado en interés legítimo o para fines de marketing directo.
Derecho de Limitación
Solicitar la suspensión temporal del tratamiento mientras se resuelve una reclamación.
Cómo ejercer tus derechos: Puedes ejercer cualquiera de estos derechos enviando un correo electrónico a legal@curapitch.com indicando claramente:
- Tu nombre completo y dirección de correo electrónico registrada en Curapitch.
- El derecho que deseas ejercer.
- Una descripción concisa de tu solicitud.
- Copia de un documento de identidad válido (para verificar tu identidad).
Responderemos a tu solicitud en un plazo máximo de un mes desde su recepción. Este plazo puede prorrogarse dos meses adicionales en casos de solicitudes complejas o numerosas, informándote de dicha prórroga dentro del primer mes.
Si consideras que el tratamiento de tus datos vulnera la normativa de protección de datos, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en aepd.es, sin perjuicio de ejercer cualquier otra acción que corresponda.
11. Transferencias Internacionales de Datos
Como norma general, Curapitch trata los datos personales dentro del Espacio Económico Europeo (EEE). No obstante, algunos de nuestros proveedores de servicios tienen su sede o procesan datos fuera del EEE:
- Stripe (Estados Unidos): Los datos de pago procesados por Stripe pueden ser transferidos a servidores ubicados en Estados Unidos. Esta transferencia se realiza bajo el amparo de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución UE 2021/914), que garantizan un nivel de protección equivalente al exigido por el RGPD.
- Spotify (sueco, con servidores globales): Spotify AB tiene sede en Estocolmo (Suecia), dentro del EEE, aunque sus servidores pueden estar distribuidos globalmente. Las consultas a la API de Spotify están sujetas a la política de privacidad de Spotify y a sus compromisos de cumplimiento con el RGPD.
En cualquier caso, Curapitch se asegura de que todas las transferencias internacionales de datos cuenten con las garantías adecuadas exigidas por el Capítulo V del RGPD, ya sea mediante decisiones de adecuación, cláusulas contractuales tipo u otras garantías apropiadas.
Puede solicitar información sobre las garantías específicas aplicables a cada transferencia internacional escribiendo a legal@curapitch.com.
12. Menores de Edad
Curapitch es un servicio dirigido exclusivamente a personas mayores de 16 años, conforme a lo establecido en el artículo 8 del RGPD y el artículo 7.1 de la Ley Orgánica 3/2018 (LOPDGDD), que fija en 16 años la edad mínima para prestar el consentimiento al tratamiento de datos en España.
Curapitch no recopila consciente ni intencionadamente datos personales de personas menores de 16 años. Si un progenitor, tutor legal o el propio interesado nos comunica que un menor de 16 años ha facilitado datos personales sin la autorización parental correspondiente, procederemos a:
- Verificar la denuncia con la información disponible.
- Eliminar la cuenta y los datos personales asociados sin demora injustificada.
- Notificar la resolución adoptada en un plazo máximo de 30 días.
Si tiene conocimiento de que un menor de 16 años está usando la Plataforma, le rogamos que nos lo comunique a la mayor brevedad posible en legal@curapitch.com.
13. Cambios en esta Política de Privacidad
Curapitch puede actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas de tratamiento de datos, en la legislación aplicable o en las funcionalidades de la Plataforma. Todas las versiones anteriores quedan archivadas y disponibles bajo petición.
Notificación de cambios sustanciales: Cuando los cambios sean materiales (es decir, afecten de manera relevante a tus derechos o a la forma en que tratamos tus datos), te avisaremos con al menos 15 días naturales de antelación mediante:
- Correo electrónico a la dirección registrada en tu cuenta.
- Aviso destacado al iniciar sesión en la Plataforma.
- Actualización de la fecha «Última actualización» al inicio de este documento.
Si no estás de acuerdo con los cambios introducidos, puedes eliminar tu cuenta antes de la entrada en vigor de la nueva versión. El uso continuado de la Plataforma tras la fecha de entrada en vigor implicará la aceptación de la Política de Privacidad actualizada.
14. Contacto y Reclamaciones
Para cualquier consulta relacionada con esta Política de Privacidad, el ejercicio de tus derechos o cualquier incidencia de privacidad, puedes contactar con nuestro equipo a través de los siguientes canales:
Consultas de privacidad y ejercicio de derechos RGPD
legal@curapitch.comPlataforma web
curapitch.comNos comprometemos a responder todas las consultas de privacidad en un plazo máximo de 30 días desde su recepción, conforme a los plazos establecidos por el RGPD.
Reclamaciones ante la autoridad de control: Sin perjuicio de tu derecho a contactarnos directamente, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), autoridad de control competente en España en materia de protección de datos personales:
Agencia Española de Protección de Datos
www.aepd.esCurapitch SL · Madrid, España · Última revisión: junio 2025 · Conforme al RGPD (UE) 2016/679