Legal · Effective April 8, 2026 · v1.1
Privacy Policy
How Eco Heroes International SL collects, uses, and protects your personal data when you use our educational platform.
1. Who we are
Eco Heroes is an educational platform that teaches the 17 United Nations Sustainable Development Goals (SDGs) to children ages 6–16 through illustrated storybooks, interactive games, AI-powered trivia, and lesson plans for teachers. We operate in multiple languages and serve schools, families, and educational organizations across Europe and beyond.
The data controller responsible for processing personal data under this policy is:
We are established in Spain and our lead supervisory authority under the General Data Protection Regulation (GDPR) is the Agencia Española de Protección de Datos (AEPD). If you are based in another European Union member state, you may also contact your local data protection authority.
We have not formally appointed a Data Protection Officer (DPO) because the scale and nature of our current processing activities does not legally require one under Article 37 of the GDPR. Privacy matters are handled directly by our leadership team, who can be reached at the contact address above.
2. What data we collect
We collect only the data we need to provide our service. This section lists every category of personal data we process, with examples of what falls under each.
2.1 Account and subscription data
When you create an account or subscribe to a paid plan, we collect:
- Email address (used for login, account recovery, and essential service communications)
- Display name or username
- Password (stored only in hashed form — we cannot see or retrieve your actual password)
- Country or region (to deliver content in the appropriate language and comply with local law)
- Account type (individual, family, school, hospitality, corporate)
- For school accounts: the school access code used during registration
2.2 Payment data
If you subscribe to a paid plan, your payment is processed by Stripe Payments Europe, Limited (our payment processor). Stripe collects and processes your card details, billing address, and transaction data directly. We never see or store your full card number. We receive from Stripe only a reference identifier for your subscription, the subscription status, and the amount and currency of payments — enough to manage your account but not enough to impersonate your payment method.
2.3 Learning and usage data
When you use the platform to play games, take trivia, or read books, we collect:
- Your progress through SDG content (which lessons or missions you have opened)
- Game scores, trivia answers, achievements earned
- Language preference
- Which books you have viewed
- Session timestamps (when you logged in and out)
This data is used to personalize your experience (for example, remembering which lessons you have completed) and to help teachers track classroom progress when you use the platform through a school account.
2.4 Technical data
Like all websites, we automatically collect certain technical information when your device connects to our servers:
- IP address (used for security, anti-abuse, and approximate country detection)
- Browser type and version
- Device type (desktop, tablet, mobile) and screen size
- Operating system
- Date and time of requests
- Pages visited and referrer URL
Web server access logs are retained for 30 days for security purposes and then deleted.
2.5 AI-generated trivia content
Our trivia feature uses Anthropic's Claude AI to generate new quiz questions in your chosen language. When you request an AI-generated question, your selected topic (SDG number, difficulty level, language) is sent to Anthropic for processing. We do not send your personal account information, email address, or any content you have written to the AI provider. The AI request contains only: "generate an SDG trivia question about [topic] at [difficulty] level in [language]."
2.6 Moodle LMS data
If you access our Learning Management System at eco-heroes.moodlecloud.com, Moodle collects additional data specific to course progress, quiz results, and cohort membership. This data is processed under a separate Data Processing Agreement with Moodle Pty Ltd (the MoodleCloud operator).
2.7 What we do NOT collect
We never collect any of the following
- Precise location data (GPS coordinates)
- Phone numbers
- Photos, videos, or voice recordings
- Content of private messages (we do not offer chat or messaging features)
- Social media profiles or friends lists
- Biometric data
- Special category data under GDPR Article 9 (health, religion, political views, etc.)
3. Why we collect it (lawful bases)
GDPR requires us to identify a lawful basis for every type of processing we do. We rely on the following:
| Processing purpose | Lawful basis |
|---|
| Creating and managing your account, delivering subscribed content | Contract (Art. 6(1)(b) GDPR) |
| Processing payments through Stripe | Contract (Art. 6(1)(b) GDPR) |
| Storing progress, scores, and learning history | Contract (Art. 6(1)(b) GDPR) |
| Security, fraud prevention, access logs | Legitimate interest (Art. 6(1)(f) GDPR) |
| Responding to data subject requests and legal inquiries | Legal obligation (Art. 6(1)(c) GDPR) |
| Tax and accounting records retention | Legal obligation (Art. 6(1)(c) GDPR) |
| Optional cookies (analytics, functionality) | Consent (Art. 6(1)(a) GDPR) |
| Processing children's data (under 14 in Spain) | Parental consent (Art. 8 GDPR + LOPDGDD) |
We do not use your personal data for marketing purposes. We do not send promotional newsletters. We do not share data with advertising networks. We do not sell user data to anyone. If this changes in the future, we will update this policy and seek separate consent for marketing communications.
4. How long we keep it
We only retain your data as long as we have a reason to keep it. The following retention periods apply:
| Data category | Retention period |
|---|
| Active account data | Duration of the account + 30 days after deletion request |
| Inactive accounts (no login for 24 months) | Deleted automatically after 24 months of inactivity, preceded by a warning email |
| Learning progress and scores | Same as account |
| Payment transaction records | 6 years (Spanish tax law requirement, Ley General Tributaria Art. 66) |
| Web server access logs | 30 days |
| Cookie consent records | 12 months from last update |
| Data subject request correspondence | 3 years from resolution (for audit purposes) |
When a retention period expires, data is either deleted permanently or anonymized (stripped of any information that could identify an individual) so it cannot be traced back to you.
5. Who we share it with
We share your personal data only with the parties listed below, and only to the extent needed for them to perform their services.
| Recipient | Purpose | Location |
|---|
| Stripe Payments Europe, Limited | Payment processing | Ireland (EU) |
| Moodle Pty Ltd (MoodleCloud) | Learning management system hosting | Australia (Standard Contractual Clauses) |
| Anthropic PBC | AI trivia question generation (no personal data sent) | United States (Standard Contractual Clauses) |
| Google LLC (Google Fonts) | Web font delivery (IP address exposed) | United States (Standard Contractual Clauses) |
| Our hosting provider | Web server hosting | European Union |
Each of these recipients is bound by either a Data Processing Agreement (for processors under Art. 28 GDPR) or by their own legal obligations as independent controllers. We do not share data with any party not listed above without either your consent or a legal obligation to do so.
We do not share data with governments except where legally compelled by a valid court order or equivalent lawful request. If we receive such a request, we will notify you unless legally prohibited from doing so.
6. International transfers
Some of our processors are located outside the European Economic Area (EEA), specifically in the United States (Anthropic, Google) and Australia (Moodle). Where data is transferred outside the EEA, we rely on the following safeguards:
- Standard Contractual Clauses (SCCs) approved by the European Commission (Decision 2021/914)
- Data Privacy Framework certification for US-based processors where available
- Technical measures including minimized data sharing (we send the least amount of personal data possible)
We are aware of the Schrems II ruling (CJEU C-311/18, July 2020) and the limitations it places on transfers to the United States. We continuously review our processor relationships for compliance with post-Schrems II requirements and take additional technical measures where appropriate.
7. Your rights under GDPR
Under the GDPR and Spanish LOPDGDD, you have the following rights regarding your personal data:
7.1 Right of access (Art. 15)
You can request a copy of all personal data we hold about you. We will provide it in a commonly-used electronic format within 30 days at no cost.
7.2 Right to rectification (Art. 16)
You can ask us to correct any personal data that is inaccurate or incomplete.
7.3 Right to erasure / right to be forgotten (Art. 17)
You can ask us to delete your personal data. We will do so unless we have a legal obligation to keep specific information (for example, tax records for transaction history). When we cannot fully delete, we will explain why and delete what we legally can.
7.4 Right to restriction of processing (Art. 18)
You can ask us to stop actively processing your data while a dispute is being resolved, without deleting it.
7.5 Right to data portability (Art. 20)
You can ask us to provide your data in a machine-readable format so you can transfer it to another service.
7.6 Right to object (Art. 21)
You can object to processing we carry out under legitimate interest. We will stop unless we can demonstrate compelling legitimate grounds that override your interests.
7.7 Right to withdraw consent (Art. 7)
Where processing is based on consent (for example, optional cookies), you can withdraw that consent at any time, with no effect on processing that already took place before withdrawal.
7.8 Right not to be subject to automated decisions (Art. 22)
We do not make any decisions about you that have legal or significant effects using purely automated means. Your trivia questions are AI-generated, but no automated decisions are made about your account, access, or eligibility.
7.9 How to exercise these rights
To exercise any of these rights, send an email to [email protected] with a clear description of your request. We will respond within 30 days (extendable to 60 days for complex requests, with notification). There is no fee for reasonable requests. We may ask you to verify your identity before processing the request to prevent unauthorized data disclosure.
⚠️ Contact address
The email address above is a general inbox monitored for data protection requests. To ensure your request is handled promptly, please include "GDPR Request" in the subject line.
8. Children and young users
Eco Heroes is specifically designed for children ages 6–16. We take additional care with young users' data, beyond the general GDPR requirements.
Under Article 8 of the GDPR and Article 7 of Spain's Organic Law 3/2018 (LOPDGDD), the threshold for a child to consent to information society services in Spain is 14 years old. This differs from other EU member states (13–16 depending on jurisdiction).
A detailed Children's Privacy Notice, including parental consent procedures and age verification, is available at eco-heroes.org/legal/children. Please read it alongside this Privacy Policy.
In summary:
- Users under 14 in Spain (or under the local threshold in their member state) require verifiable parental consent before creating an account
- We do not profile children for marketing purposes
- We minimize data collection for child users to what is strictly necessary
- Parents have full rights to access, correct, and delete their child's data on the child's behalf
9. Security
We implement the following technical and organizational measures to protect your data, appropriate to the risks involved:
- Encryption in transit: All connections to eco-heroes.org use HTTPS with TLS 1.2 or higher
- Password hashing: Passwords are stored using industry-standard one-way hashing (bcrypt or equivalent)
- Access controls: Administrative access to user data is limited to authorized personnel on a need-to-know basis
- Regular updates: We apply security patches to our server software as they are released
- Incident response: In the event of a personal data breach affecting rights and freedoms, we will notify the Spanish AEPD within 72 hours as required by Article 33, and affected users without undue delay as required by Article 34
No system can guarantee absolute security. If you have concerns about the security of your account, contact us immediately at [email protected].
10. Cookies and tracking
We use cookies and similar technologies. A detailed explanation of every cookie we set — including its purpose, category, and expiration — is available in our Cookie Notice.
You can manage your cookie preferences at any time by clicking "Privacy Settings" in the footer of any page on our site.
11. Changes to this policy
We may update this Privacy Policy to reflect changes in our services, legal requirements, or best practices. When we make material changes, we will:
- Update the "Effective" date at the top of this document
- Post a notice on our homepage for at least 14 days
- Notify registered users by email for significant changes
We will retain previous versions of this policy and make them available upon request.
12. How to contact us and complain
12.1 Contact us directly
12.2 Complain to a supervisory authority
If you believe we have mishandled your personal data, you have the right to file a complaint with a data protection authority. Our lead supervisory authority is:
Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6
28001 Madrid, Spain
Website:
www.aepd.es
Citizen services phone: 901 100 099 / +34 91 266 35 17
If you are in another EU member state, you may contact your local data protection authority instead. A full list is maintained by the European Data Protection Board at edpb.europa.eu.
We encourage you to contact us first before filing a complaint, so that we have the opportunity to address your concerns directly.
Legal · Vigente desde el 8 de abril de 2026 · v1.1
Política de Privacidad
Cómo Eco Heroes International SL recopila, usa y protege tus datos personales cuando utilizas nuestra plataforma educativa.
1. Quiénes somos
Eco Heroes es una plataforma educativa que enseña los 17 Objetivos de Desarrollo Sostenible (ODS) de las Naciones Unidas a niños de 6 a 16 años a través de cuentos ilustrados, juegos interactivos, trivia con IA y planes de clase para profesores. Operamos en varios idiomas y prestamos servicio a escuelas, familias y organizaciones educativas en Europa y más allá.
El responsable del tratamiento de los datos personales conforme a esta política es:
Estamos establecidos en España y nuestra autoridad de control principal conforme al Reglamento General de Protección de Datos (RGPD) es la Agencia Española de Protección de Datos (AEPD). Si resides en otro Estado miembro de la Unión Europea, también puedes contactar con tu autoridad local de protección de datos.
No hemos designado formalmente un Delegado de Protección de Datos (DPO) porque la escala y naturaleza de nuestras actividades de tratamiento actuales no lo requiere legalmente según el artículo 37 del RGPD. Las cuestiones de privacidad son gestionadas directamente por nuestro equipo directivo, accesible en la dirección de contacto anterior.
2. Qué datos recopilamos
Solo recopilamos los datos necesarios para prestar nuestro servicio. Esta sección enumera cada categoría de datos personales que tratamos, con ejemplos de lo que incluye cada una.
2.1 Datos de cuenta y suscripción
Cuando creas una cuenta o te suscribes a un plan de pago, recopilamos:
- Dirección de correo electrónico (usada para iniciar sesión, recuperación de cuenta y comunicaciones esenciales del servicio)
- Nombre para mostrar o nombre de usuario
- Contraseña (almacenada solo en forma cifrada — no podemos ver ni recuperar tu contraseña real)
- País o región (para entregar contenido en el idioma adecuado y cumplir con la legislación local)
- Tipo de cuenta (individual, familiar, escolar, hostelería, corporativa)
- Para cuentas escolares: el código de acceso escolar usado durante el registro
2.2 Datos de pago
Si te suscribes a un plan de pago, tu pago es procesado por Stripe Payments Europe, Limited (nuestro procesador de pagos). Stripe recopila y procesa directamente los datos de tu tarjeta, dirección de facturación y datos de la transacción. Nunca vemos ni almacenamos tu número de tarjeta completo. Recibimos de Stripe únicamente un identificador de referencia para tu suscripción, el estado de la suscripción y el importe y moneda de los pagos — suficiente para gestionar tu cuenta pero no para suplantar tu método de pago.
2.3 Datos de aprendizaje y uso
Cuando usas la plataforma para jugar, hacer trivia o leer libros, recopilamos:
- Tu progreso en el contenido ODS (qué lecciones o misiones has abierto)
- Puntuaciones de juegos, respuestas de trivia, logros obtenidos
- Preferencia de idioma
- Qué libros has visualizado
- Marcas de tiempo de sesión (cuándo inicias y cierras sesión)
Estos datos se usan para personalizar tu experiencia (por ejemplo, recordar qué lecciones has completado) y para ayudar a los profesores a seguir el progreso del aula cuando usas la plataforma a través de una cuenta escolar.
2.4 Datos técnicos
Como todos los sitios web, recopilamos automáticamente cierta información técnica cuando tu dispositivo se conecta a nuestros servidores:
- Dirección IP (usada para seguridad, antiabuso y detección aproximada del país)
- Tipo y versión del navegador
- Tipo de dispositivo (escritorio, tableta, móvil) y tamaño de pantalla
- Sistema operativo
- Fecha y hora de las solicitudes
- Páginas visitadas y URL de referencia
Los registros de acceso al servidor web se conservan durante 30 días por motivos de seguridad y después se eliminan.
2.5 Contenido de trivia generado por IA
Nuestra función de trivia usa Claude de Anthropic para generar nuevas preguntas en tu idioma elegido. Cuando solicitas una pregunta generada por IA, tu tema seleccionado (número del ODS, nivel de dificultad, idioma) se envía a Anthropic para su procesamiento. No enviamos tu información personal de cuenta, correo electrónico ni ningún contenido que hayas escrito al proveedor de IA. La solicitud a la IA contiene únicamente: "generar una pregunta de trivia ODS sobre [tema] en nivel [dificultad] en [idioma]".
2.6 Datos del LMS Moodle
Si accedes a nuestro Sistema de Gestión de Aprendizaje en eco-heroes.moodlecloud.com, Moodle recopila datos adicionales específicos del progreso del curso, resultados de exámenes y pertenencia a cohortes. Estos datos se procesan bajo un Acuerdo de Tratamiento de Datos separado con Moodle Pty Ltd (operador de MoodleCloud).
2.7 Lo que NO recopilamos
Nunca recopilamos lo siguiente
- Datos de ubicación precisa (coordenadas GPS)
- Números de teléfono
- Fotos, vídeos o grabaciones de voz
- Contenido de mensajes privados (no ofrecemos funciones de chat o mensajería)
- Perfiles de redes sociales o listas de amigos
- Datos biométricos
- Categorías especiales de datos bajo el artículo 9 del RGPD (salud, religión, opiniones políticas, etc.)
3. Por qué los recopilamos (bases legales)
El RGPD nos exige identificar una base legal para cada tipo de tratamiento. Nos basamos en las siguientes:
| Finalidad del tratamiento | Base legal |
|---|
| Creación y gestión de tu cuenta, entrega de contenido suscrito | Contrato (Art. 6(1)(b) RGPD) |
| Procesamiento de pagos a través de Stripe | Contrato (Art. 6(1)(b) RGPD) |
| Almacenamiento de progreso, puntuaciones e historial de aprendizaje | Contrato (Art. 6(1)(b) RGPD) |
| Seguridad, prevención de fraude, registros de acceso | Interés legítimo (Art. 6(1)(f) RGPD) |
| Respuesta a solicitudes de interesados y consultas legales | Obligación legal (Art. 6(1)(c) RGPD) |
| Conservación de registros fiscales y contables | Obligación legal (Art. 6(1)(c) RGPD) |
| Cookies opcionales (analítica, funcionalidad) | Consentimiento (Art. 6(1)(a) RGPD) |
| Tratamiento de datos de menores (menores de 14 años en España) | Consentimiento parental (Art. 8 RGPD + LOPDGDD) |
No usamos tus datos personales con fines de marketing. No enviamos boletines promocionales. No compartimos datos con redes publicitarias. No vendemos datos de usuarios a nadie. Si esto cambia en el futuro, actualizaremos esta política y solicitaremos un consentimiento separado para comunicaciones de marketing.
4. Cuánto tiempo los conservamos
Solo conservamos tus datos mientras tengamos una razón para hacerlo. Se aplican los siguientes periodos de conservación:
| Categoría de datos | Periodo de conservación |
|---|
| Datos de cuenta activa | Duración de la cuenta + 30 días tras solicitud de eliminación |
| Cuentas inactivas (sin inicio de sesión durante 24 meses) | Eliminadas automáticamente tras 24 meses de inactividad, precedido de un email de aviso |
| Progreso de aprendizaje y puntuaciones | Igual que la cuenta |
| Registros de transacciones de pago | 6 años (exigencia de la Ley General Tributaria, Art. 66) |
| Registros de acceso al servidor web | 30 días |
| Registros de consentimiento de cookies | 12 meses desde la última actualización |
| Correspondencia de solicitudes de interesados | 3 años desde la resolución (para auditoría) |
Cuando expira un periodo de conservación, los datos se eliminan permanentemente o se anonimizan (se eliminan todos los datos que podrían identificar a una persona) para que no puedan rastrearse hasta ti.
5. Con quién los compartimos
Solo compartimos tus datos personales con las partes enumeradas a continuación, y únicamente en la medida necesaria para que presten sus servicios.
| Destinatario | Finalidad | Ubicación |
|---|
| Stripe Payments Europe, Limited | Procesamiento de pagos | Irlanda (UE) |
| Moodle Pty Ltd (MoodleCloud) | Alojamiento del sistema de gestión de aprendizaje | Australia (Cláusulas Contractuales Tipo) |
| Anthropic PBC | Generación de preguntas de trivia con IA (sin datos personales) | Estados Unidos (Cláusulas Contractuales Tipo) |
| Google LLC (Google Fonts) | Entrega de fuentes web (IP expuesta) | Estados Unidos (Cláusulas Contractuales Tipo) |
| Nuestro proveedor de hosting | Alojamiento del servidor web | Unión Europea |
Cada uno de estos destinatarios está vinculado por un Acuerdo de Tratamiento de Datos (para encargados bajo el Art. 28 RGPD) o por sus propias obligaciones legales como responsables independientes. No compartimos datos con ninguna parte no listada anteriormente sin tu consentimiento o sin una obligación legal.
No compartimos datos con gobiernos excepto cuando estamos legalmente obligados por una orden judicial válida o solicitud legal equivalente. Si recibimos dicha solicitud, te notificaremos salvo que esté legalmente prohibido.
6. Transferencias internacionales
Algunos de nuestros encargados están ubicados fuera del Espacio Económico Europeo (EEE), concretamente en Estados Unidos (Anthropic, Google) y Australia (Moodle). Cuando se transfieren datos fuera del EEE, nos basamos en las siguientes garantías:
- Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Decisión 2021/914)
- Certificación del Marco de Privacidad de Datos para encargados basados en EE. UU. donde esté disponible
- Medidas técnicas que incluyen compartir datos mínimos (enviamos la menor cantidad posible de datos personales)
Somos conscientes de la sentencia Schrems II (TJUE C-311/18, julio de 2020) y las limitaciones que impone a las transferencias a Estados Unidos. Revisamos continuamente nuestras relaciones con encargados para cumplir con los requisitos posteriores a Schrems II y adoptamos medidas técnicas adicionales cuando procede.
7. Tus derechos bajo el RGPD
Bajo el RGPD y la LOPDGDD española, tienes los siguientes derechos sobre tus datos personales:
7.1 Derecho de acceso (Art. 15)
Puedes solicitar una copia de todos los datos personales que tenemos sobre ti. Te la proporcionaremos en un formato electrónico de uso común en un plazo de 30 días sin coste alguno.
7.2 Derecho de rectificación (Art. 16)
Puedes pedirnos que corrijamos cualquier dato personal que sea inexacto o incompleto.
7.3 Derecho de supresión / derecho al olvido (Art. 17)
Puedes pedirnos que eliminemos tus datos personales. Lo haremos salvo que tengamos una obligación legal de conservar cierta información (por ejemplo, registros fiscales del historial de transacciones). Cuando no podamos eliminar completamente, te explicaremos por qué y eliminaremos lo que legalmente podamos.
7.4 Derecho a la limitación del tratamiento (Art. 18)
Puedes pedirnos que dejemos de tratar activamente tus datos mientras se resuelve una disputa, sin eliminarlos.
7.5 Derecho a la portabilidad de los datos (Art. 20)
Puedes pedirnos que te proporcionemos tus datos en un formato legible por máquina para transferirlos a otro servicio.
7.6 Derecho de oposición (Art. 21)
Puedes oponerte al tratamiento que realizamos bajo interés legítimo. Nos detendremos salvo que podamos demostrar motivos legítimos imperiosos que prevalezcan sobre tus intereses.
7.7 Derecho a retirar el consentimiento (Art. 7)
Cuando el tratamiento se base en el consentimiento (por ejemplo, cookies opcionales), puedes retirarlo en cualquier momento, sin efecto sobre el tratamiento anterior a la retirada.
7.8 Derecho a no ser objeto de decisiones automatizadas (Art. 22)
No tomamos ninguna decisión sobre ti con efectos legales o significativos mediante medios puramente automatizados. Las preguntas de trivia las genera una IA, pero no se toman decisiones automatizadas sobre tu cuenta, acceso o elegibilidad.
7.9 Cómo ejercer estos derechos
Para ejercer cualquiera de estos derechos, envía un email a [email protected] con una descripción clara de tu solicitud. Responderemos en 30 días (ampliable a 60 días para solicitudes complejas, con notificación). No hay coste para solicitudes razonables. Podemos pedirte que verifiques tu identidad antes de tramitar la solicitud para evitar la divulgación no autorizada de datos.
⚠️ Dirección de contacto
La dirección de email anterior es un buzón general supervisado para solicitudes de protección de datos. Para asegurar que tu solicitud se gestiona rápidamente, incluye "Solicitud RGPD" en el asunto.
8. Niños y usuarios jóvenes
Eco Heroes está diseñado específicamente para niños de 6 a 16 años. Ponemos especial cuidado con los datos de los usuarios jóvenes, más allá de los requisitos generales del RGPD.
Según el artículo 8 del RGPD y el artículo 7 de la Ley Orgánica 3/2018 (LOPDGDD) de España, el umbral para que un menor pueda consentir a servicios de la sociedad de la información en España es de 14 años. Esto difiere de otros Estados miembros de la UE (13–16 según la jurisdicción).
Un Aviso de Privacidad Infantil detallado, incluyendo procedimientos de consentimiento parental y verificación de edad, está disponible en eco-heroes.org/legal/children. Por favor, léelo junto con esta Política de Privacidad.
En resumen:
- Los usuarios menores de 14 años en España (o por debajo del umbral local en su Estado miembro) requieren consentimiento parental verificable antes de crear una cuenta
- No perfilamos a los niños con fines de marketing
- Minimizamos la recopilación de datos de los usuarios infantiles a lo estrictamente necesario
- Los padres tienen plenos derechos para acceder, corregir y eliminar los datos de su hijo en su nombre
9. Seguridad
Implementamos las siguientes medidas técnicas y organizativas para proteger tus datos, apropiadas a los riesgos implicados:
- Cifrado en tránsito: todas las conexiones a eco-heroes.org usan HTTPS con TLS 1.2 o superior
- Hash de contraseñas: las contraseñas se almacenan con hash unidireccional estándar de la industria (bcrypt o equivalente)
- Controles de acceso: el acceso administrativo a los datos de usuario está limitado al personal autorizado según el principio de necesidad de conocer
- Actualizaciones regulares: aplicamos parches de seguridad al software del servidor cuando se publican
- Respuesta a incidentes: en caso de una violación de datos personales que afecte a derechos y libertades, notificaremos a la AEPD española en un plazo de 72 horas según el artículo 33, y a los usuarios afectados sin dilación indebida según el artículo 34
Ningún sistema puede garantizar seguridad absoluta. Si tienes inquietudes sobre la seguridad de tu cuenta, contáctanos inmediatamente en [email protected].
10. Cookies y seguimiento
Usamos cookies y tecnologías similares. Una explicación detallada de cada cookie que establecemos — incluyendo su finalidad, categoría y caducidad — está disponible en nuestro Aviso de Cookies.
Puedes gestionar tus preferencias de cookies en cualquier momento haciendo clic en "Ajustes de Privacidad" en el pie de página de cualquier página de nuestro sitio.
11. Cambios en esta política
Podemos actualizar esta Política de Privacidad para reflejar cambios en nuestros servicios, requisitos legales o mejores prácticas. Cuando realicemos cambios sustanciales:
- Actualizaremos la fecha de "Vigencia" en la parte superior de este documento
- Publicaremos un aviso en nuestra página de inicio durante al menos 14 días
- Notificaremos por email a los usuarios registrados para cambios significativos
Conservaremos las versiones anteriores de esta política y las pondremos a disposición bajo petición.
12. Cómo contactarnos y reclamar
12.1 Contáctanos directamente
Eco Heroes International SL — Consultas de privacidad
Email:
[email protected]
Asunto: incluye "Solicitud RGPD" para gestión más rápida
Web:
eco-heroes.org
12.2 Reclamar ante una autoridad de control
Si crees que hemos gestionado mal tus datos personales, tienes derecho a presentar una reclamación ante una autoridad de protección de datos. Nuestra autoridad de control principal es:
Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6
28001 Madrid, España
Web:
www.aepd.es
Teléfono de atención al ciudadano: 901 100 099 / +34 91 266 35 17
Si estás en otro Estado miembro de la UE, puedes contactar con tu autoridad local de protección de datos. El Comité Europeo de Protección de Datos mantiene una lista completa en edpb.europa.eu.
Te animamos a contactarnos primero antes de presentar una reclamación, para que tengamos la oportunidad de atender tus inquietudes directamente.