Política de privacidad

Resumen en lenguaje claro (no sustituye al texto legal)

Diseñamos Spalla para recoger lo mínimo. Principio rector: «catálogo sí, niño no» — a los servicios externos (incluida la IA) solo llega información sobre la música y el contenido pedagógico, nunca información que identifique al alumno.

Lo que NUNCA hacemos:

• ❌ No subimos tus grabaciones ni tus textos de autoevaluación: se quedan en tu dispositivo. No los vemos y no podemos recuperarlos.
• ❌ No enviamos a la inteligencia artificial ningún dato del alumno (ni nombre, ni alias, ni edad, ni grabaciones, ni progreso).
• ❌ No hay chat ni canal de mensajes libres entre adultos y menores.
• ❌ No mostramos publicidad, no hacemos perfilado publicitario y no vendemos datos.
• ❌ No procesamos los datos de tu tarjeta: el pago lo gestionan Apple/Google.

1. Responsable del tratamiento

El responsable es Spalla Music Limited, con domicilio en [DOMICILIO], Hong Kong (RAE de China). Para cualquier cuestión de privacidad o para ejercer tus derechos: contact@spallamusic.com.

(Si en el futuro se requiere, se designará representante en la UE conforme al art. 27 RGPD y/o un punto de contacto para otros mercados.)

2. A quién se aplica y qué cubre

Esta Política se aplica a la app Spalla, su sitio web spallamusic.com y los servicios asociados (el «Servicio»). Distingue entre el Titular adulto (quien abre y paga la cuenta) y el Alumno (quien estudia, que puede ser un menor bajo la responsabilidad del adulto).

3. Qué datos tratamos y cuáles NO

3.1 Datos del Titular adulto

• Correo electrónico (autenticación de la cuenta, vía Firebase).
• Datos de la suscripción gestionados por la tienda (Apple/Google). No recibimos ni almacenamos los datos de tu tarjeta; la tienda actúa como vendedor y procesador del pago.
• Idioma y preferencias de la cuenta.

3.2 Datos del Alumno (mínimos)

• Alias o nombre (opcional).
• Nivel e instrumento.
• País (para adaptar la nomenclatura educativa y el umbral de edad).
• Feedback estructurado por botones (p. ej. «Fácil/Bien/Difícil») y progreso, ligados a un seudónimo de la cuenta.
• Indicador de edad derivado: a partir del año de nacimiento calculamos y guardamos únicamente un flag («menor sí/no» + umbral del país). No guardamos la fecha de nacimiento completa.

3.3 Datos que permanecen SOLO en tu dispositivo (no los recibimos)

• Grabaciones de audio/vídeo.
• Textos libres de autoevaluación.
• El export de la evaluación antes de que tú decidas compartirlo.

Estos datos no se suben a la nube, no se almacenan en nuestros servidores, no se sincronizan y no los ve nadie (ni el profesor, ni el equipo de Spalla, ni la IA). Eres responsable de tus propias copias; si desinstalas la app o cambias de dispositivo, no podemos recuperarlos.

3.4 Lo que NUNCA enviamos a la inteligencia artificial

A los proveedores de IA solo se envía contenido sobre la música y la enseñanza (p. ej. obra, nivel, reglas pedagógicas, comentarios del profesor). Nunca se incluye: nombre, alias/ID, correo, edad, grabaciones, texto de autoevaluación, ni progreso ligado a un alumno concreto. El emparejamiento entre el contenido y el alumno se realiza después, en local o en nuestro backend, nunca en la solicitud a la IA.

4. Para qué usamos los datos y base jurídica (RGPD)

5. Menores y consentimiento parental

5.1 Spalla es un servicio de pago contratado por un adulto. Cuando el Alumno es un menor, su uso requiere que el padre, madre o tutor (el Titular) abra la cuenta, pague y consienta. El pago de la suscripción por el adulto constituye el consentimiento parental verificable (método reconocido, p. ej., por la FTC bajo COPPA, y conforme al art. 8 RGPD).

5.2 Nada antes del pago. Durante la prueba gratuita no se recoge ningún dato identificativo del menor; el alias y demás datos son opcionales y los datos sensibles (grabaciones, autoevaluación) permanecen en el dispositivo.

5.3 Verificación de edad. Al iniciar, se pide el año de nacimiento con una selección activa, y se aplica el umbral de consentimiento del país; se guarda solo el flag derivado, no la fecha completa.

5.4 Sin rastreo ni publicidad a menores. No realizamos publicidad conductual, perfilado con fines publicitarios ni venta de datos de menores.

5.5 Derechos parentales. El Titular puede revisar, corregir o eliminar los datos del menor y revocar el consentimiento (dejando de usar el Servicio y/o eliminando la cuenta) escribiendo a contact@spallamusic.com.

6. Con quién compartimos los datos (encargados y prestadores)

Recurrimos a proveedores que tratan datos por cuenta nuestra o prestan servicios técnicos, bajo los correspondientes acuerdos de tratamiento (DPA):

No vendemos ni cedemos datos a terceros con fines publicitarios.

7. Transferencias internacionales

El responsable está en Hong Kong y algunos proveedores operan fuera del EEE (p. ej. en EE. UU.). Cuando transferimos datos de usuarios de la UE/EEE fuera del EEE, lo hacemos con garantías adecuadas —Cláusulas Contractuales Tipo (SCC) de la Comisión Europea y medidas complementarias—. Gracias a la minimización, la cantidad de datos personales transferidos es muy reducida (y a la IA no se transfiere ningún dato del alumno). Para usuarios de Hong Kong se aplica la PDPO; en la primera ola también la APPI (Japón), la PIPA (Corea del Sur), la Privacy Act (Australia) y la PDPA (Singapur); para EE. UU. (cuando esté disponible), la COPPA.

8. Conservación

Conservamos los datos de la cuenta mientras esté activa y durante el plazo necesario para cumplir obligaciones legales. Al eliminar la cuenta, borramos o anonimizamos los datos asociados, salvo lo que la ley exija conservar. El contenido local (grabaciones, autoevaluación) lo controlas y eliminas tú desde tu dispositivo.

9. Seguridad

Aplicamos medidas técnicas y organizativas: minimización (recoger lo mínimo), mantener los datos sensibles solo en el dispositivo, cifrado en tránsito, control de acceso y selección de proveedores con garantías. Ningún sistema es 100 % seguro, pero la mejor protección es no recoger el dato: por eso grabaciones y autoevaluación nunca salen del móvil.

10. Tus derechos

Según tu jurisdicción, puedes ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad, así como retirar el consentimiento (RGPD); de acceso y corrección (PDPO, Hong Kong); y los derechos parentales de revisión y borrado (COPPA). Para ejercerlos, escribe a contact@spallamusic.com. Resolveremos en los plazos legales.

Reclamaciones: puedes reclamar ante tu autoridad de control —en la UE, tu Autoridad de Protección de Datos (p. ej. la AEPD en España); en Hong Kong, el PCPD (Office of the Privacy Commissioner for Personal Data); en Japón la PPC, en Corea la PIPC, en Australia la OAIC y en Singapur la PDPC.

11. Grabaciones y autoevaluación: bajo tu control

Insistimos por su importancia: las grabaciones y los textos de autoevaluación son locales. No los recibimos, no los almacenamos y no podemos acceder a ellos ni borrarlos por ti. Su gestión y copia de seguridad dependen de ti y de tu dispositivo.

12. Sin publicidad, sin rastreo, sin venta de datos

No incluimos SDK de publicidad ni de rastreo que capturen contenido del usuario, no elaboramos perfiles con fines publicitarios y no vendemos datos personales. La personalización del día a día del alumno se resuelve con lógica local, no enviando datos a la IA.

13. Notificaciones

Preferimos recordatorios locales en el dispositivo. Si activas notificaciones push, puede generarse un identificador de dispositivo (token) para entregarlas; puedes desactivarlas en los ajustes del sistema.

14. Cookies y tecnologías similares (web)

Si usas nuestro sitio web, podemos emplear cookies estrictamente necesarias para su funcionamiento. No usamos cookies publicitarias.

15. Cambios en esta Política

Podemos actualizar esta Política. Si los cambios son sustanciales, te avisaremos por medios razonables. La fecha de «Última actualización» indica la versión vigente.

16. Contacto

Spalla Music Limited — [DOMICILIO], Hong Kong — privacidad: contact@spallamusic.com.

Plain-language summary (does not replace the legal text)

We designed Spalla to collect the minimum. Guiding principle: "catalogue yes, child no" — external services (including AI) only receive information about the music and educational content, never information that identifies the student.

What we NEVER do:

• ❌ We do not upload your recordings or self-assessment texts: they stay on your device. We don't see them and can't recover them.
• ❌ We never send the AI any student data (no name, alias, age, recordings or progress).
• ❌ There is no chat or free-message channel between adults and minors.
• ❌ We show no advertising, do no ad profiling and do not sell data.
• ❌ We do not process your card details: payment is handled by Apple/Google.

1. Data controller

The controller is Spalla Music Limited, with registered office at [ADDRESS], Hong Kong SAR (China). For any privacy matter or to exercise your rights: contact@spallamusic.com.

(If required in the future, an EU representative under Art. 27 GDPR and/or a contact point for other markets will be appointed.)

2. Who it applies to and what it covers

This Policy applies to the Spalla app, its website spallamusic.com and associated services (the "Service"). It distinguishes between the adult Account Holder (who opens and pays for the account) and the Student (who studies, and may be a minor under the adult's responsibility).

3. What data we process and what we do NOT

3.1 Adult Account Holder data

• Email (account authentication, via Firebase).
• Subscription data handled by the store (Apple/Google). We do not receive or store your card details; the store acts as seller and payment processor.
• Language and account preferences.

3.2 Student data (minimal)

• Alias or name (optional).
• Level and instrument.
• Country (to adapt educational nomenclature and the age threshold).
• Structured feedback via buttons (e.g. "Easy/OK/Hard") and progress, linked to an account pseudonym.
• Derived age indicator: from the year of birth we calculate and store only a flag ("minor yes/no" + country threshold). We do not store the full date of birth.

3.3 Data that stays ONLY on your device (we do not receive it)

• Recordings (audio/video).
• Free-text self-assessments.
• The assessment export before you decide to share it.

This data is not uploaded to the cloud, not stored on our servers, not synced and seen by no one (not the teacher, not the Spalla team, not the AI). You are responsible for your own backups; if you uninstall the app or change device, we cannot recover them.

3.4 What we NEVER send to the AI

Only content about the music and teaching is sent to AI providers (e.g. work, level, pedagogical rules, teacher comments). Never included: name, alias/ID, email, age, recordings, self-assessment text, or progress linked to a specific student. The matching between content and student happens afterwards, locally or in our backend, never in the AI request.

4. How we use the data and legal basis (GDPR)

5. Minors and parental consent

5.1 Spalla is a paid service taken out by an adult. Where the Student is a minor, use requires the parent or guardian (the Account Holder) to open the account, pay and consent. The adult's payment of the subscription constitutes verifiable parental consent (a method recognised, e.g., by the FTC under COPPA, and consistent with Art. 8 GDPR).

5.2 Nothing before payment. During the free trial, no identifying data of the minor is collected; the alias and other data are optional, and sensitive data (recordings, self-assessment) stay on the device.

5.3 Age verification. At the start, the year of birth is requested via an active selection, and the country consent threshold is applied; only the derived flag is stored, not the full date.

5.4 No tracking or advertising to minors. We do no behavioural advertising, ad profiling or sale of minors' data.

5.5 Parental rights. The Account Holder may review, correct or delete the minor's data and withdraw consent (by ceasing to use the Service and/or deleting the account) by writing to contact@spallamusic.com.

6. Who we share data with (processors and providers)

We use providers that process data on our behalf or provide technical services, under the relevant data-processing agreements (DPAs):

We do not sell or share data with third parties for advertising purposes.

7. International transfers

The controller is in Hong Kong, and some providers operate outside the EEA (e.g. in the U.S.). When we transfer data of EU/EEA users outside the EEA, we do so with appropriate safeguards —the European Commission's Standard Contractual Clauses (SCCs) and supplementary measures—. Thanks to minimisation, the amount of personal data transferred is very small (and no student data is transferred to the AI). For Hong Kong users the PDPO applies; in the first wave also APPI (Japan), PIPA (South Korea), the Privacy Act (Australia) and the PDPA (Singapore); for the U.S. (when available), COPPA.

8. Retention

We keep account data while the account is active and for as long as necessary to meet legal obligations. On account deletion, we delete or anonymise the associated data, except what the law requires us to keep. Local content (recordings, self-assessment) is controlled and deleted by you from your device.

9. Security

We apply technical and organisational measures: minimisation (collect the minimum), keeping sensitive data only on the device, encryption in transit, access control and selection of providers with safeguards. No system is 100% secure, but the best protection is not to collect the data: that is why recordings and self-assessment never leave the phone.

10. Your rights

Depending on your jurisdiction, you may exercise the rights of access, rectification, erasure, restriction, objection and portability, and withdraw consent (GDPR); access and correction (PDPO, Hong Kong); and the parental rights of review and deletion (COPPA). To exercise them, write to contact@spallamusic.com. We will respond within the legal time limits.

Complaints: you may complain to your supervisory authority —in the EU, your Data Protection Authority (e.g. the AEPD in Spain); in Hong Kong, the PCPD (Office of the Privacy Commissioner for Personal Data); in Japan the PPC, in South Korea the PIPC, in Australia the OAIC and in Singapore the PDPC.

11. Recordings and self-assessment: under your control

We stress this because it matters: recordings and self-assessment texts are local. We do not receive them, do not store them and cannot access or delete them for you. Their management and backup are up to you and your device.

12. No advertising, no tracking, no sale of data

We include no advertising or tracking SDKs that capture user content, we do not build profiles for advertising purposes and we do not sell personal data. The student's day-to-day personalisation is resolved with local logic, not by sending data to the AI.

13. Notifications

We prefer local reminders on the device. If you enable push notifications, a device identifier
(token) may be generated to deliver them; you can disable them in your system settings. (Internal note: review use of expo_push_token vs local reminders — see minimisation document.)

14. Cookies and similar technologies (web)

If you use our website, we may use strictly necessary cookies for its operation. We do not use advertising cookies.

15. Changes to this Policy

We may update this Policy. If the changes are material, we will notify you by reasonable means. The "Last updated" date indicates the current version.

16. Contact

Spalla Music Limited — [ADDRESS], Hong Kong — privacy: contact@spallamusic.com.