Política de Privacidad
Última actualización: 31 de mayo de 2026 · Versión 1.0
Resumen rápido · Vaultix está construido con un principio: no podemos ver tus datos. Ni queremos. Esta política te explica exactamente qué información tratamos, cómo y por qué — sin jerga legal innecesaria.
Si solo tienes 30 segundos:
- Tus contraseñas, tarjetas, passkeys y notas viven cifradas en tu dispositivo. Si sincronizas, viajan cifradas a Firestore con una clave que solo tú conoces.
- Tu PIN, master password y passphrase familiar NUNCA llegan a nuestros servidores. Si los olvidas, no podemos recuperarlos — por eso existe el Kit de Recuperación.
- Solo recogemos tu email si activas la sincronización en la nube. Para nada más.
- No usamos ads. No vendemos datos. No hay trackers. El modelo de negocio es la suscripción Vaultix Pro.
1. ¿Quién somos?
Vaultix es una aplicación desarrollada por Vaultix, con sede en Valencia, España, cumpliendo el Reglamento General de Protección de Datos (GDPR) de la UE.
Contacto del responsable: info@transformtoapp.com
2. Qué datos recogemos y por qué
2.1 Datos que NUNCA recogemos
- Tu PIN (queda solo en tu dispositivo, hasheado)
- Tu master password (de la cuenta de sincronización)
- Tu passphrase de bóveda familiar
- El contenido de tus contraseñas, tarjetas, notas, passkeys o cualquier item del baúl
- Tu localización, contactos, historial web, identificadores publicitarios (IDFA), tu actividad fuera de la app
2.2 Datos que recogemos SOLO si tú decides activar la sincronización
Para que tu baúl se sincronice entre dispositivos necesitamos:
| Dato | Por qué | Dónde se guarda |
| Email | Identificar tu cuenta de sincronización | Firebase Auth |
| Hash de autenticación | Verificar que eres tú al iniciar sesión | Firebase Auth |
| Blob cifrado de tu baúl | Almacenarlo para descargarlo en otros dispositivos | Cloud Firestore |
Nota clave: el "hash de autenticación" es lo que enviamos a Firebase Auth como tu "contraseña" desde el punto de vista de Firebase. Es el resultado de un PBKDF2 sobre tu master password con 210 000 iteraciones. Nosotros nunca vemos tu master password.
El "blob cifrado del baúl" es tu baúl entero pasado por AES-256-GCM con una clave derivada de tu master password. El blob es imposible de descifrar sin tu master password, y esa clave nunca sale de tu dispositivo.
2.3 Bóveda familiar
Si activas la bóveda familiar, generamos un ID público (no secreto) que sirve para localizar tu vault en Firestore. La passphrase de bóveda familiar la generamos en tu dispositivo y NUNCA la enviamos al servidor. Los items familiares se cifran con esa passphrase antes de subirse.
2.4 Compras dentro de la app (Vaultix Pro)
La gestión de suscripciones la hace Apple a través de StoreKit. Vaultix solo recibe de Apple un indicador "activo / no activo" mediante RevenueCat. No tenemos acceso a tu tarjeta, ni a tu historial de compra fuera de la app.
2.5 Diagnósticos / Crashes
A partir de v1.0, si la app peta enviamos un informe a Firebase Crashlytics. Ese informe NO incluye el contenido de tu baúl, tu PIN, tus contraseñas, ni datos identificables tuyos. Incluye únicamente la traza del error (qué línea de código falló, qué dispositivo, qué versión de iOS). Puedes desactivar el envío en Ajustes → Privacidad → Diagnósticos.
3. Cómo protegemos tus datos
- En el dispositivo: tu baúl SQLite vive en el almacenamiento privado de la app, protegido por el cifrado de hardware de iOS (NSFileProtectionComplete). Tu PIN está hasheado con PBKDF2 antes de guardarse. La clave biométrica está atada al Secure Enclave del dispositivo.
- En tránsito: TLS 1.3 obligatorio para toda comunicación con Firebase. Tu master password jamás sale de tu dispositivo en texto claro.
- En reposo en el servidor: solo guardamos ciphertext. No hay forma técnica de leer su contenido sin la clave que mantienes tú.
- Para Family Vault: derivación PBKDF2 (210k iteraciones) + AES-256-GCM. El servidor solo ve nonces y ciphertext.
4. ¿Compartimos tus datos con terceros?
Para hacer funcionar la app:
- Apple (StoreKit): gestiona las suscripciones Pro. Apple recibe tu compra, no nosotros.
- Google (Firebase): aloja el ciphertext de tu baúl y los datos de cuenta para sincronización. Firebase no puede descifrar lo que almacena. Tienen su propia política de privacidad: firebase.google.com/support/privacy
- RevenueCat: nos comunica si tienes suscripción Pro activa. Nada más.
Para nada más:
- NUNCA vendemos datos a anunciantes o data brokers.
- NUNCA compartimos datos con terceros para publicidad.
- NO usamos analytics de terceros.
5. ¿Cuánto tiempo guardamos tus datos?
- Mientras tienes cuenta de sincronización: guardamos tu blob cifrado hasta que tú lo borres o elimines la cuenta.
- Cuando borras tu cuenta (Ajustes → Sincronización → Eliminar mi cuenta): el blob desaparece de Firestore en menos de 24 horas y tu cuenta de Auth se borra inmediatamente.
- Si dejas de usar la app sin borrar tu cuenta: pasados 12 meses sin actividad, te enviamos un email de recordatorio. Pasados 24 meses sin actividad, eliminamos tu blob automáticamente.
6. Tus derechos (GDPR)
Como residente en la UE / EEE tienes derecho a:
- Acceso: pedirnos qué datos tuyos tenemos.
- Rectificación: cambiar tu email desde la propia app.
- Supresión: Ajustes → Eliminar mi cuenta (efecto inmediato).
- Portabilidad: exporta tu baúl en cualquier momento desde Ajustes → Exportar.
- Oposición al tratamiento: contacta info@transformtoapp.com.
- Reclamación ante autoridad de control: la Agencia Española de Protección de Datos (aepd.es).
7. Menores
Vaultix no está dirigido a menores de 13 años. No recogemos datos a sabiendas de menores. Si descubres que un menor de 13 ha creado cuenta de sincronización, contáctanos y la eliminaremos.
8. Cambios en esta política
Si cambiamos esta política, te avisaremos dentro de la app antes de que entre en vigor. La fecha de "última actualización" arriba siempre refleja la versión vigente.
9. Contacto
Email: info@transformtoapp.com
Dirección postal: Valencia, España
Delegado de protección de datos: info@transformtoapp.com (recomendado para apps con sync)