OG GALAXY

Política de privacidad

En cumplimiento del Reglamento (UE) 2016/679, General de Protección de Datos (RGPD), de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y de la Ley 34/2002 (LSSI-CE), se informa al usuario sobre el tratamiento de sus datos personales en el sitio web oggalaxy.com y en el videojuego OG Galaxy (en adelante, el «Servicio»).

1. Responsable del tratamiento

Responsable	[COMPLETAR: nombre completo o razón social] — provisional: Pedro Moreno
NIF / DNI	[COMPLETAR: NIF/DNI del responsable]
Domicilio	[COMPLETAR: dirección postal completa]
Correo de contacto	[email protected]

2. Datos personales que tratamos

El Servicio trata las siguientes categorías de datos personales:

Categoría	Datos
Datos de registro	Nombre de usuario, dirección de correo electrónico, contraseña (almacenada cifrada con bcrypt), idioma preferido, bandera/país declarado, fecha de registro.
Datos de uso del juego	Progreso de cuenta, recursos, planetas, lunas, naves, alianzas, mensajes intercambiados en chats del juego, fecha de último acceso, IP de conexión y horarios de actividad.
Datos técnicos	Dirección IP, identificador de sesión (cookie técnica connect.sid), agente de usuario (navegador), información mínima necesaria para el funcionamiento del Servicio.
Datos de pago	Importe, fecha, identificador de sesión de Stripe, identificador del producto adquirido, correo electrónico facilitado a Stripe. El Servicio NO almacena, ni accede, a datos de tarjeta bancaria — esos datos los gestiona exclusivamente Stripe (PCI-DSS Nivel 1).
Comunicaciones	Mensajes enviados al correo de contacto y respuestas asociadas.

3. Finalidades del tratamiento

Tratamos sus datos personales para las siguientes finalidades:

• Crear y gestionar su cuenta de usuario en el Servicio.
• Permitir el correcto funcionamiento del juego (sincronización entre servidores, ranking, alianzas, mensajería interna).
• Procesar las compras de Materia Oscura realizadas a través de Stripe.
• Enviar correos transaccionales necesarios (confirmación de registro, recuperación de contraseña, confirmación de compra) a través del proveedor Resend.
• Atender las consultas, soporte y reclamaciones de los usuarios.
• Detectar y prevenir el uso fraudulento, abusivo o ilícito del Servicio.
• Cumplir con obligaciones legales (mercantiles, fiscales, contables).
• Mantener registros agregados y anonimizados con finalidades estadísticas internas.

4. Base jurídica del tratamiento

Finalidad	Base legal
Creación y gestión de la cuenta, funcionamiento del juego	Ejecución del contrato (art. 6.1.b RGPD)
Procesamiento de pagos	Ejecución del contrato (art. 6.1.b RGPD)
Envío de correos transaccionales	Ejecución del contrato y consentimiento (art. 6.1.a y b RGPD)
Cumplimiento de obligaciones legales (fiscalía, etc.)	Obligación legal (art. 6.1.c RGPD)
Prevención de fraude y abuso	Interés legítimo del responsable (art. 6.1.f RGPD)
Cookies no esenciales (si las hubiera)	Consentimiento (art. 6.1.a RGPD)

5. Plazos de conservación

• Datos de la cuenta: durante toda la vida útil de la cuenta y hasta 2 años tras su cancelación, salvo obligación legal de conservación.
• Datos de pago: 5 años conforme a la normativa fiscal y mercantil aplicable.
• Registros de IP y logs técnicos: hasta 12 meses desde su captación, salvo obligación de conservación más amplia.
• Mensajes y comunicaciones de soporte: 3 años desde la última interacción.

6. Destinatarios y encargados del tratamiento

Para la prestación del Servicio nos apoyamos en los siguientes encargados del tratamiento, todos ellos seleccionados por aportar garantías suficientes y haber suscrito el correspondiente contrato de tratamiento de datos:

Proveedor	Finalidad	Ubicación
Hetzner Online GmbH	Alojamiento del servidor del juego, infraestructura y bases de datos.	Alemania / Finlandia (UE)
Stripe Payments Europe, Ltd.	Procesamiento de pagos con tarjeta y otros métodos.	Irlanda (UE) — Stripe es PCI-DSS Nivel 1.
Resend Inc.	Envío de correos electrónicos transaccionales.	Estados Unidos — bajo cláusulas contractuales tipo de la UE.
Cloudflare Inc.	CDN, protección frente a ataques (WAF, DDoS), proxy de seguridad.	Estados Unidos — bajo cláusulas contractuales tipo de la UE.

Algunos de estos proveedores tienen su sede o procesan datos fuera del Espacio Económico Europeo. En esos casos, se garantizan transferencias internacionales mediante Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) u otras garantías reconocidas por la normativa vigente.

Salvo lo anterior, no cedemos sus datos personales a terceros, ni los comercializamos, ni los compartimos con fines publicitarios.

7. Derechos del usuario

En su condición de interesado, le asisten los siguientes derechos respecto al tratamiento de sus datos personales:

• Acceso: conocer qué datos personales suyos tratamos.
• Rectificación: corregir datos inexactos o incompletos.
• Supresión («derecho al olvido»): eliminar datos cuando ya no sean necesarios.
• Oposición al tratamiento por motivos relacionados con su situación particular.
• Limitación del tratamiento en los supuestos previstos por la ley.
• Portabilidad: recibir los datos en formato estructurado y de uso común.
• Revocación del consentimiento en cualquier momento, sin efecto retroactivo.
• Reclamación ante la Agencia Española de Protección de Datos si considera que el tratamiento vulnera la normativa.

Para ejercer estos derechos, envíe un correo a [email protected] identificándose como titular de los datos (adjuntando copia escaneada de su DNI o documento equivalente). Responderemos en un plazo máximo de 30 días naturales.

8. Seguridad

El responsable adopta las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos personales, evitando su alteración, pérdida, tratamiento o acceso no autorizado, conforme al estado de la técnica.

Entre otras, aplicamos las siguientes medidas:

• Cifrado en tránsito mediante HTTPS / TLS 1.2+ con HSTS.
• Cifrado de contraseñas con bcrypt (no se almacenan en texto claro).
• Cookies de sesión con atributos HttpOnly, Secure y SameSite=Lax.
• Protección frente a CSRF, XSS, inyección SQL y ataques comunes (OWASP Top 10).
• Limitación de tasa (rate limit) en endpoints sensibles.
• Copias de seguridad periódicas y monitorización del servicio.
• Protección a nivel de red mediante Cloudflare (WAF, anti-DDoS).
• Acceso restringido al servidor mediante claves SSH.

9. Menores de edad

El Servicio no está dirigido a menores de 14 años. Si tomamos conocimiento de que un menor de esa edad se ha registrado, procederemos a cancelar la cuenta y eliminar sus datos. Los menores entre 14 y 18 años declaran tener autorización de sus padres o tutores legales.

10. Cookies

Para más información sobre el uso de cookies, consulte nuestra Política de cookies.

11. Cambios en esta política

El responsable se reserva el derecho a modificar esta Política de Privacidad para adaptarla a novedades legislativas o cambios en los tratamientos. Cualquier modificación se publicará en esta misma página indicando la fecha de última actualización.