Política de privacidad
Última actualización: 14.05.2026
Conforme a la nueva ley federal de protección de datos (nLPD, CH) y al Reglamento general de protección de datos (RGPD, UE/EEE).
1. Objeto
La presente política de privacidad describe cómo IntimX recopila, trata, almacena y protege sus datos personales cuando utiliza el Servicio accesible en intimx.ch. Se aplica a todos los usuarios (miembros, prestadores, establecimientos), dispongan o no de una cuenta. Los términos definidos en las Condiciones generales de uso (CGU) se aplican por referencia.
2. Responsable del tratamiento
El responsable del tratamiento en el sentido del art. 5 let. j nLPD y del art. 4 par. 7 RGPD es: N.JULIEN Sion (VS), Suiza Nombre comercial: Artenic Contacto protección de datos: privacy@intimx.ch El Editor no ha designado un delegado de protección de datos (DPD) en el sentido del art. 10 nLPD, al no ser obligatoria dicha designación. Para cualquier cuestión relativa a sus datos, diríjase directamente a privacy@intimx.ch.
3. Bases jurídicas del tratamiento
Los tratamientos de datos efectuados por IntimX se basan en las siguientes bases jurídicas: — Ejecución del contrato (art. 6 al. 1 let. b RGPD / art. 31 al. 1 nLPD): inscripción, gestión de la cuenta, mensajería, suscripciones, facturación. — Intereses legítimos prevalentes (art. 6 al. 1 let. f RGPD / art. 31 al. 1 nLPD): seguridad del Servicio, prevención del fraude, estadísticas agregadas, mejora del Servicio. — Obligación legal (art. 6 al. 1 let. c RGPD / art. 31 al. 1 nLPD): conservación de datos transaccionales (CO art. 958f), cooperación con las autoridades. — Consentimiento (art. 6 al. 1 let. a RGPD / art. 31 al. 1 nLPD): cookies analíticas, notificaciones push, comunicaciones de marketing.
4. Datos recopilados
Datos de registro: — Todos los roles: dirección de correo electrónico, contraseña (hash Argon2id, nunca almacenada en texto plano), nombre visible, idioma preferido, marca temporal de aceptación de las CGU y la política de privacidad. — Miembro y prestador: fecha de nacimiento (verificación 18+). — Prestador: categoría, tipo de servicio, biografía, atributos físicos, tarifas, disponibilidad, datos de contacto públicos. — Establecimiento: categoría, metadatos comerciales, datos de contacto públicos, enlaces a redes sociales. Datos de uso: — Registros de acceso: dirección IP, agente de usuario, geolocalización (ciudad, país) — conservados 90 días. — Sesiones: huella del token de actualización (SHA-256), hash de IP y agente de usuario (SHA-256), contexto geográfico, información del dispositivo (navegador, sistema operativo). — Dispositivos de confianza: huella del dispositivo (SHA-256), información del dispositivo (navegador, sistema operativo, móvil). — Mensajería: contenido de los mensajes (máx. 5.000 caracteres), marca temporal, identificadores de conversación. — Galería: imágenes (JPEG, PNG, WebP, HEIC, máx. 8 MB), metadatos de archivo. — Estadísticas de perfil: contadores agregados (visitas, clics) por día — ningún dato individual de visitantes. — Presencia: último acceso (actualizado vía WebSocket). — Notificaciones push (opt-in): URL de endpoint proporcionada por el navegador (Firebase, Mozilla Push, Apple Push), claves criptográficas públicas (p256dh, auth) utilizadas para cifrar las notificaciones, marca temporal de suscripción. Puede cancelarse en cualquier momento desde la configuración del navegador o de la cuenta. Datos sensibles (vault cifrado): — Verificación de identidad (KYC, voluntaria): nombre, apellido, fecha de nacimiento, teléfono, dirección — cifrados con AES-256-GCM. — Documentos KYC: archivos cifrados almacenados por separado. Datos de pago: — Identificadores Stripe (customer ID, payment intent ID). IntimX no recopila ni almacena nunca sus datos de tarjeta de crédito.
5. Cookies y tecnologías similares
IntimX utiliza las siguientes cookies: Cookies esenciales (sin consentimiento, art. 45c al. 2 LTC): — ix_access: token de acceso JWT. Duración: 1 hora. HttpOnly, Secure, SameSite=Strict. — ix_refresh: token de actualización JWT. Duración: 7 días (30 días con «Recordarme»). HttpOnly, Secure, SameSite=Lax. — ix_csrf: token CSRF. Duración: sesión. Accesible para JavaScript para la validación de formularios. — ix_age: verificación de edad (art. 197 CP). Duración: 365 días. Valor: confirmación de mayoría de edad. Cookies analíticas (solo con consentimiento): — Actualmente no se utilizan cookies analíticas de terceros. Si en el futuro se integra un servicio de análisis, se solicitará su consentimiento explícito. Puede configurar su navegador para rechazar las cookies. El rechazo de las cookies esenciales imposibilita el uso del Servicio (se requiere autenticación).
6. Finalidades del tratamiento
Sus datos se tratan para las siguientes finalidades: — Prestación del Servicio: creación y gestión de su cuenta, visualización de su perfil, mensajería entre usuarios, gestión de reservas. — Suscripciones y pagos: procesamiento de pagos a través de Stripe, activación y gestión de suscripciones Premium/VIP. — Seguridad: verificación de edad, verificación de correo electrónico, detección de accesos sospechosos, bloqueo de cuenta, gestión de dispositivos de confianza. — Moderación: tratamiento de denuncias, lucha contra contenidos ilícitos, cooperación con las autoridades. — Comunicación: correos electrónicos transaccionales (verificación, contraseña, suscripción, reserva), notificaciones integradas. — Estadísticas: contadores agregados de consultas de perfil (visitas, clics). Sin perfilado individual. — Cumplimiento legal: conservación de datos transaccionales, registros de auditoría, prueba del consentimiento.
7. Destinatarios y encargados del tratamiento
Sus datos pueden ser comunicados a los siguientes destinatarios: — Stripe, Inc. (San Francisco, EE. UU.): procesamiento de pagos con tarjeta de crédito. Stripe actúa como corresponsable del tratamiento para los datos de pago. Política de privacidad: stripe.com/privacy. La transferencia a EE. UU. está regulada por las cláusulas contractuales tipo de la Comisión Europea. — Infomaniak Network SA (Ginebra, Suiza): alojamiento de la infraestructura (servidores, bases de datos PostgreSQL, almacenamiento de objetos S3, servicio de correo electrónico transaccional). Todos los datos están alojados en Suiza. — GeoIP (base de datos local): resolución de la geolocalización (ciudad, país) a partir de la dirección IP. Sin transmisión a terceros — la base de datos está integrada en la aplicación. — Telegram (opcional): notificaciones de alerta a los administradores ante eventos de seguridad. No se transmiten datos de usuarios. — Autoridades competentes: por requerimiento legal conforme al derecho suizo. IntimX no vende, alquila ni comparte nunca sus datos personales con fines publicitarios o comerciales.
8. Transferencias internacionales
Todos los datos tratados por IntimX están alojados en la infraestructura de Infomaniak en Suiza. No se realiza ninguna transferencia sistemática de datos fuera de Suiza. Excepción: los datos de pago se transmiten a Stripe, Inc. en Estados Unidos. Esta transferencia está regulada por las cláusulas contractuales tipo (CCT) adoptadas por la Comisión Europea y reconocidas por el PFPDT/FDPIC como garantes de un nivel de protección adecuado (art. 16 al. 2 let. d nLPD).
9. Plazos de conservación
Cuenta activa: sus datos se conservan durante toda la duración de su inscripción. Eliminación de cuenta: se aplica un período de gracia de 30 días (cancelable). Una vez transcurrido, la cuenta se cierra y los datos se tratan de la siguiente manera: — Datos de identidad cifrados (vault): eliminados 3 años después del cierre (nLPD art. 31 al. 1 let. c). — Documentos KYC: suprimidos 3 años después del cierre (archivos y columnas cifradas). — Datos transaccionales (suscripciones): conservados 10 años (CO art. 958f). — Registros de acceso (IP, agente de usuario, geo): purgados después de 90 días. — Sesiones: eliminadas a su expiración (7 o 30 días) o a la revocación. — Registro de auditoría KYC: conservado indefinidamente (prueba de conformidad nLPD, art. 32 nLPD). — Registro de consentimiento: conservado indefinidamente (prueba del consentimiento, art. 6 al. 7 nLPD / art. 7 al. 1 RGPD). — Acciones administrativas: conservadas indefinidamente (prueba jurídica).
10. Medidas de seguridad
IntimX implementa las siguientes medidas técnicas y organizativas: — Arquitectura de tres bases de datos: los datos aplicativos (públicos), los datos sensibles (vault cifrado) y los datos del sistema están físicamente separados. — Cifrado en reposo: los datos personales identificativos (nombre, apellido, fecha de nacimiento, teléfono, dirección) están cifrados con AES-256-GCM en el vault. — Hash de contraseñas: Argon2id (64 MB de memoria, 3 iteraciones, conforme a OWASP 2023+). Las contraseñas comprometidas (base de datos HIBP) son rechazadas. Historial de las 5 últimas contraseñas para impedir la reutilización. — Hash de tokens: los tokens de actualización se almacenan como hash SHA-256 (nunca en texto plano). — Transporte: HTTPS obligatorio (TLS 1.3), cookies Secure. — CSRF: token CSRF en todas las acciones mutativas. — Bloqueo de cuenta: mecanismo progresivo (15 min, 1 h, 24 h, bloqueo administrativo). — Autenticación reforzada: soporte opcional de Passkey/WebAuthn. — Confianza del dispositivo: huella del dispositivo hasheada SHA-256, verificación OTP por correo electrónico para dispositivos no reconocidos. — Control de acceso: Row-Level Security (RLS) PostgreSQL en todas las tablas que contienen datos de usuario. — Registro de auditoría: registros inmutables (append-only) para acciones KYC, consentimiento y acciones administrativas.
11. Sus derechos
Conforme a la nLPD (art. 25-29) y al RGPD (art. 15-22), usted dispone de los siguientes derechos: — Derecho de acceso: obtener una copia de sus datos personales. — Derecho de rectificación: corregir datos inexactos o incompletos. — Derecho de supresión: solicitar la eliminación de sus datos (con sujeción a las obligaciones legales de conservación). — Derecho a la portabilidad: recibir sus datos en un formato estructurado y legible por máquina (véase art. 12). — Derecho de oposición: oponerse a un tratamiento basado en un interés legítimo. — Derecho de retirada del consentimiento: retirar su consentimiento en cualquier momento (sin afectar a la licitud del tratamiento anterior). Para ejercer sus derechos, envíe un correo electrónico a privacy@intimx.ch indicando su identidad y el derecho que desea ejercer. Respondemos en un plazo de 30 días (nLPD) o 30 días, prorrogable a 90 días en caso de complejidad (RGPD). Usted tiene derecho a presentar una reclamación ante el Delegado Federal de Protección de Datos y Transparencia (PFPDT), Feldeggweg 1, 3003 Berna, Suiza (edoeb.admin.ch).
12. Portabilidad de los datos
IntimX ofrece una función de exportación de sus datos desde la configuración de su cuenta. La exportación incluye: — Datos de la cuenta: identificador, correo electrónico, rol, idioma, fechas de registro y cierre. — Perfil: nombre visible, biografía, preferencias, configuración de privacidad. — Mensajes: historial de conversaciones (limitado a las entradas más recientes). — Reservas, reseñas, favoritos, tickets de soporte. — Suscripciones: historial de suscripciones. — Consentimientos: historial de aceptaciones y retiradas. — Sesiones activas: contexto geográfico y dispositivo. La exportación requiere una nueva verificación de la contraseña (en los últimos 5 minutos) y está limitada a una solicitud por cada 24 horas. Los datos se proporcionan en formato JSON estructurado.
13. Protección de menores
IntimX está destinado exclusivamente a personas mayores de edad (18 años cumplidos). Conforme al art. 197 CP, se presenta un age gate en cada primer acceso. IntimX no recopila conscientemente datos personales de menores. Si tenemos conocimiento de que un menor ha creado una cuenta, esta será suspendida de inmediato y los datos serán eliminados. Toda denuncia de contenido que involucre a menores se trata con prioridad absoluta a través de legal@intimx.ch.
14. Modificación de la política
El Editor se reserva el derecho de modificar la presente política en cualquier momento. Los usuarios registrados serán informados de cualquier modificación sustancial por correo electrónico o mediante notificación en la plataforma, con al menos 30 días de antelación a la entrada en vigor. La fecha de la última actualización se indica al inicio del presente documento. Las versiones anteriores están disponibles bajo solicitud a support@intimx.ch.
15. Contacto
Para cualquier cuestión relativa a la protección de sus datos personales: Responsable del tratamiento: N.JULIEN Contacto: privacy@intimx.ch Para consultas generales o soporte: support@intimx.ch Para denuncias urgentes (autoridades, menores): legal@intimx.ch Autoridad de supervisión: Delegado Federal de Protección de Datos y Transparencia (PFPDT) Feldeggweg 1, 3003 Berna, Suiza edoeb.admin.ch