Vigente desde: 2026-03-06
Veleiras ("nosotros") es una plataforma de memoriales digitales. Nos tomamos muy en serio la privacidad de las personas que usan nuestro servicio — y de las personas a quienes recuerdan.
El responsable del tratamiento de sus datos personales es:
Eliana dos Santos Pereira (empresa individual)
6020 Innsbruck, AT
Email: privacy@veleiras.com
As a micro-enterprise with fewer than 10 employees, we are not required to appoint a Data Protection Officer under Art. 37 GDPR. For privacy-related enquiries, contact us at: privacy@veleiras.com.
Cuando crea un memorial, recopilamos:
No recopilamos nombres, correos electrónicos ni ninguna información identificativa de los visitantes que encienden velas o ven un memorial a través de un enlace compartido.
De acuerdo con el Art. 6(1) del RGPD, nos basamos en las siguientes bases jurídicas para cada actividad de tratamiento:
| Actividad de tratamiento | Base jurídica |
|---|---|
| Datos de cuenta (correo, contraseña) | Ejecución del contrato — Art. 6(1)(b) |
| Contenido del memorial (nombres, fechas, fotos, historias) | Ejecución del contrato — Art. 6(1)(b) |
| Datos de pago (registros de transacciones) | Ejecución del contrato — Art. 6(1)(b) + Obligación legal (conservación fiscal) — Art. 6(1)(c) |
| Registros de consentimiento de cookies | Interés legítimo (documentación de cumplimiento) — Art. 6(1)(f) |
| Análisis del lado del servidor (agregados) | Interés legítimo (mejora del servicio) — Art. 6(1)(f) |
| Notificaciones por correo electrónico | Ejecución del contrato — Art. 6(1)(b) |
| Cookies de sesión (PHPSESSID, CSRF) | Estrictamente necesarias — no requieren consentimiento (Art. 5(3) Directiva ePrivacy) |
Cifrado en reposo: Todos los datos personales sensibles — incluidos nombres, direcciones de correo, epitafios, historias de vida, mensajes del libro de visitas y entradas de apreciación (nombres e historias personales sobre personas que usted valoraba) — se cifran en reposo mediante cifrado autenticado AES-256-GCM (a través de la biblioteca defuse/php-encryption) antes de almacenarse en nuestra base de datos. Esto significa que incluso en caso de una brecha de seguridad, los datos son ilegibles sin las claves de cifrado.
Hashing de contraseñas: Las contraseñas se hashean con Argon2id con parámetros de alto consumo de memoria, lo que hace los ataques de fuerza bruta computacionalmente inviables. Nunca almacenamos contraseñas en texto plano.
Cifrado en tránsito: Toda la comunicación entre su navegador y nuestros servidores está protegida por cifrado HTTPS/TLS. Imponemos HTTPS en todas las páginas y puntos de acceso de la API.
Los memoriales se acceden a través de enlaces de compartir criptográficamente seguros, no a través de un directorio público. Existen tres niveles de acceso:
Sin un enlace válido, los visitantes solo ven una página mínima con el nombre de pila de la persona y una vela. No se muestran historias, fotos ni mensajes sin invitación.
Usamos únicamente cookies estrictamente necesarias. No usamos cookies de seguimiento, de análisis ni publicitarias de terceros.
| Cookie | Finalidad | Duración |
|---|---|---|
| PHPSESSID | Gestión de sesión (estado de inicio de sesión). Estrictamente necesaria. | Expira al cerrar el navegador |
| Token CSRF | Protección contra falsificación de solicitudes entre sitios. Estrictamente necesaria para la seguridad. | Sesión |
| __cf_bm y similares | Establecidas por Cloudflare para gestión de bots y protección DDoS. Estrictamente necesarias para la seguridad. | Hasta 30 minutos |
Dado que todas las cookies que usamos son estrictamente necesarias para el funcionamiento y la seguridad del servicio, están exentas de los requisitos de consentimiento conforme al Art. 5(3) de la Directiva ePrivacy.
Mostramos un banner de consentimiento de cookies a todos los visitantes. Aunque nuestras cookies son estrictamente necesarias y no requieren consentimiento, el banner proporciona transparencia y permite tomar una decisión informada. Su preferencia se almacena en el localStorage de su navegador y se registra del lado del servidor para nuestra documentación de cumplimiento.
El registro de consentimiento del lado del servidor almacena: ID de usuario (si ha iniciado sesión) o ID de visitante anónimo, acción de consentimiento (aceptar/rechazar), versión del consentimiento, un hash unidireccional de su dirección IP (no la dirección IP en sí) y marcas de tiempo.
Los registros de consentimiento de cookies se conservan durante 3 años de conformidad con el Art. 7(1) del RGPD, que requiere que el responsable del tratamiento pueda demostrar que se otorgó el consentimiento.
Recopilamos estadísticas de visitas agregadas para comprender cómo se utiliza el servicio y mejorarlo. Esto se hace completamente del lado del servidor, sin cookies, sin seguimiento JavaScript y sin identificación individual de visitantes.
Solo almacenamos:
CF-IPCountry de Cloudflare)No se almacenan direcciones IP, huellas digitales del navegador ni ninguna otra información de identificación personal como parte del análisis. Los visitantes individuales no pueden ser identificados ni rastreados. Los datos de análisis se conservan durante 2 años.
Todos los pagos son procesados por Stripe. Nunca vemos, almacenamos ni procesamos los datos de su tarjeta de crédito. Stripe gestiona todos los datos de pago en cumplimiento con PCI DSS Nivel 1.
Almacenamos un registro de su transacción (ID de pago de Stripe, importe, fecha, estado) para la ejecución del contrato y para cumplir nuestra obligación legal de conservar registros financieros según la ley fiscal austriaca (BAO §132). Los registros de pago se conservan durante 7 años después de la transacción.
| Categoría de datos | Período de conservación |
|---|---|
| Datos de cuenta (correo, hash de contraseña) | Hasta la eliminación de la cuenta + 30 días |
| Datos del memorial (Plan Para Siempre) | Mientras Veleiras esté en funcionamiento (ver condiciones del Plan Para Siempre) |
| Datos del memorial (nivel gratuito) | Indefinido; puede archivarse tras 5 años de inactividad (aviso previo de 90 días por correo al propietario) |
| Registros de pago | 7 años (ley fiscal austriaca, BAO §132) |
| Registros de consentimiento de cookies | 3 años (Art. 7(1) RGPD) |
| Análisis del lado del servidor | 2 años |
| Datos de sesión (PHPSESSID) | Hasta el cierre del navegador |
| Solicitudes de supresión (RGPD) | Datos eliminados en 30 días; se conserva el hash del correo para evitar problemas de re-registro |
Si elimina su memorial o solicita la supresión, todos los datos asociados (fotos, mensajes, historias, velas) se eliminan permanentemente de nuestros servidores en un plazo de 30 días.
Utilizamos los siguientes proveedores de servicios externos (subencargados) para operar Veleiras. Con cada uno existe un Acuerdo de Tratamiento de Datos (DPA):
| Subencargado | Finalidad | Ubicación y garantías |
|---|---|---|
| Stripe, Inc. | Procesamiento de pagos | Estados Unidos — Cláusulas Contractuales Tipo de la UE (CCT) + DPA |
| Cloudflare, Inc. | CDN, protección DDoS, seguridad, almacenamiento de medios (R2), base de datos edge (D1) | Empresa estadounidense — ubicaciones de datos en la UE, Marco de Privacidad de Datos UE-EE.UU. + DPA |
| Hostinger International Ltd. | Alojamiento web y base de datos | Servidores en la Unión Europea — DPA |
Sus datos se almacenan en servidores en la Unión Europea. Nuestra base de datos principal está alojada por Hostinger (UE), y Cloudflare D1 (base de datos) y R2 (almacenamiento de medios) están configurados para ubicaciones de datos en la UE. La CDN de Cloudflare puede enrutar solicitudes a través de servidores edge globales por razones de rendimiento y seguridad, pero los datos almacenados permanecen en la UE. Stripe (procesamiento de pagos) tiene su sede en Estados Unidos y está certificado en el Marco de Privacidad de Datos UE-EE.UU. Todas las transferencias fuera de la UE están protegidas por Acuerdos de Tratamiento de Datos según lo requerido por el Capítulo V del RGPD.
Si se encuentra en el Espacio Económico Europeo, tiene derecho a:
Para ejercer cualquiera de estos derechos, contáctenos en privacy@veleiras.com. Responderemos en un plazo de 30 días según lo requerido por el Art. 12(3) del RGPD.
No realizamos ningún tipo de elaboración de perfiles ni toma de decisiones automatizada según lo definido por el Art. 22 del RGPD. Ninguna decisión que le afecte se toma por medios automatizados. No construimos perfiles de comportamiento de usuarios o visitantes.
Veleiras no está dirigido a menores de 16 años. No recopilamos intencionadamente datos personales de menores. Los memoriales pueden ser creados para menores por sus padres o tutores legales.
Podemos actualizar esta política periódicamente. Los cambios significativos se comunicarán por correo electrónico a los propietarios de memoriales. La fecha de vigencia en la parte superior de esta página siempre reflejará la versión más reciente.
Para cualquier pregunta o solicitud relacionada con la privacidad:
privacy@veleiras.com
Nos esforzamos por resolver todas las preocupaciones de privacidad directamente. Si no está satisfecho con nuestra respuesta, tiene derecho a presentar una reclamación ante la autoridad de control:
Autoridad Austriaca de Protección de Datos
(Österreichische Datenschutzbehörde)
Barichgasse 40-42, 1030 Vienna, Austria
Email: dsb@dsb.gv.at
Website: www.dsb.gv.at