Política de Privacidad

Última actualización: 28 de abril de 2026  ·  Versión 1.0  ·  Aplicable a koraeclesia.net y la plataforma Kora Eclesia alojada en miparroquia.eu

1. ¿Quiénes somos? Responsable y Encargado del tratamiento

Kora Eclesia es una plataforma de gestión parroquial en modalidad SaaS (Software as a Service) que facilita a las parroquias la administración de familias, menores, actividades pastorales, libros sacramentales y comunicaciones internas.

Encargado del tratamiento (proveedor de la plataforma)

David Fernández García actúa como Encargado del Tratamiento en los términos del artículo 28 del RGPD, proporcionando la infraestructura tecnológica de la plataforma a las parroquias que contratan el servicio. Tratará los datos personales únicamente siguiendo las instrucciones documentadas de cada parroquia y no los utilizará para finalidades propias.

Responsable del tratamiento (la parroquia)

Cada parroquia o entidad religiosa que contrata y utiliza la plataforma Kora Eclesia actúa como Responsable del Tratamiento respecto a los datos de sus familias, menores, responsables pastorales y demás usuarios registrados en su espacio. La parroquia determina los fines y los medios del tratamiento.

Los datos de contacto del responsable concreto (denominación de la parroquia, dirección, CIF y correo) figuran en el formulario de registro y en las comunicaciones que la parroquia remite a sus usuarios.

2. Ámbito de aplicación

Esta Política de Privacidad aplica a:

• Los visitantes del sitio web koraeclesia.net y de miparroquia.eu.
• Las parroquias y entidades que contratan la plataforma como clientes.
• Los usuarios finales de la plataforma: familias, tutores legales, menores (cuyos datos son introducidos por sus tutores), responsables pastorales, párrocos y demás personas con acceso al sistema.

3. Datos personales que tratamos

3.1 Usuarios adultos (tutores, responsables, personal parroquial)

Categoría	Datos concretos
Identificativos	Nombre, apellidos, DNI/NIE/Pasaporte
Contacto	Correo electrónico, teléfono, dirección postal, localidad
Acceso a la plataforma	Dirección de correo (identificador), contraseña cifrada (hash bcrypt)
Documentación	Copia digital del DNI/NIE y de la tarjeta sanitaria (SIP), solo cuando el usuario decide subirla
Datos de certificación	Certificado negativo de Delitos de Naturaleza Sexual (para responsables pastorales que trabajan con menores)
Consentimientos RGPD	Fecha y hora del otorgamiento del consentimiento, versión del texto aceptado
Técnicos y de auditoría	Dirección IP, User-Agent, timestamps de acceso (registrados en consentimientos sacramentales)

3.2 Menores de edad

Categoría	Datos concretos
Identificativos	Nombre, apellidos, fecha de nacimiento, sexo, DNI/NIE (opcional)
Sanitarios (categoría especial)	Número de tarjeta sanitaria/SIP, alergias conocidas, notas médicas relevantes
Religiosos	Fecha de bautismo (si el tutor la facilita), sacramentos recibidos
Actividad pastoral	Inscripciones a grupos pastorales y campamentos, estado de aprobación
Documentación	Copia digital del DNI y tarjeta SIP (subida por el tutor legal)
Consentimientos	Fecha/hora de la declaración de tutoría legal y del consentimiento al tratamiento de datos de salud

3.3 Registros sacramentales

Los libros sacramentales digitales (bautismo, matrimonio, confirmación, primera comunión, difuntos, unción) recogen el nombre, apellidos, DNI/fecha de nacimiento de los interesados, datos de los padres/padrinos/testigos y la fecha de celebración. Estos registros se conservan de forma indefinida en cumplimiento de la normativa canónica (Código de Derecho Canónico, c. 535).

4. Finalidades y bases jurídicas del tratamiento

Finalidad	Base jurídica (RGPD)
Gestión del acceso y autenticación de usuarios en la plataforma	Ejecución de un contrato (art. 6.1.b)
Gestión de familias y menores inscritos en actividades pastorales	Consentimiento del interesado / tutor legal (art. 6.1.a)
Inscripción y seguimiento en campamentos, eventos y pastorales	Consentimiento (art. 6.1.a); ejecución de contrato (art. 6.1.b)
Gestión de libros sacramentales	Cumplimiento de obligación de interés público / normativa canónica (art. 6.1.e)
Comunicaciones parroquiales (avisos, circulares)	Consentimiento (art. 6.1.a); interés legítimo de la parroquia (art. 6.1.f)
Verificación del Certificado de Delitos de Naturaleza Sexual	Cumplimiento de obligación legal (Ley Orgánica 8/2021, art. 6.1.c)
Tratamiento de datos de salud (alergias, notas médicas de menores)	Consentimiento explícito del tutor legal (art. 9.2.a RGPD)
Atención de solicitudes de derechos ARCO-POL y derecho al olvido	Cumplimiento de obligación legal (art. 6.1.c); arts. 15–22 RGPD
Facturación y gestión del contrato de servicio con la parroquia	Ejecución de contrato (art. 6.1.b); obligación fiscal (art. 6.1.c)

5. Categorías especiales de datos (datos de salud)

Estos datos se tratan exclusivamente con la finalidad de garantizar la seguridad del menor durante las actividades pastorales en las que participa (campamentos, convivencias, excursiones). Su tratamiento se basa en el consentimiento explícito del tutor legal (art. 9.2.a RGPD), otorgado mediante un checkbox específico en el formulario de alta del menor.

• Solo acceden a estos datos el personal parroquial autorizado (párroco, responsable pastoral del menor).
• No se comparten con terceros salvo requerimiento médico de urgencia.
• Se almacenan cifrados en la base de datos mediante las medidas descritas en la sección 10.
• El tutor puede retirar el consentimiento en cualquier momento ejerciendo el derecho de supresión.

6. Datos de menores de edad

Conforme al artículo 7 de la LOPDGDD, en España la edad mínima para prestar consentimiento autónomo al tratamiento de datos personales es de 14 años. Para menores de esa edad, el consentimiento debe ser otorgado por el padre, madre o tutor legal.

La plataforma implementa los siguientes controles:

• Declaración de tutoría legal: en el formulario de alta de cada menor, el adulto que lo registra debe marcar expresamente que es el padre, madre o tutor legal y que consiente el tratamiento de los datos del menor.
• Consentimiento separado para datos de salud: existe un checkbox independiente y específico para autorizar el tratamiento de alergias y notas médicas, conforme al art. 9.2.a RGPD.
• Registro con timestamp: se almacena la fecha y hora exacta de cada consentimiento otorgado como evidencia auditable.
• Acceso restringido: los datos de menores solo son visibles por la propia familia y el personal parroquial autorizado, mediante políticas Row Level Security (RLS) en la base de datos.

7. Destinatarios, subencargados y transferencias internacionales

7.1 Destinatarios internos

Los datos son accesibles, dentro de la plataforma, únicamente por el personal con el rol correspondiente en cada parroquia (Super Administrador, Párroco/Admin, Responsable Pastoral, Familia). El sistema de control de acceso basado en roles (RBAC) y las políticas RLS impiden que un usuario acceda a datos de otras parroquias o a datos para los que no tiene permiso.

7.2 Subencargados del tratamiento

Para prestar el servicio, Kora Eclesia utiliza los siguientes proveedores tecnológicos, que actúan como subencargados del tratamiento y con quienes se han suscrito o son exigibles los acuerdos de protección de datos correspondientes:

Proveedor	Servicio prestado	Ubicación de datos	Garantías
Supabase, Inc. supabase.com	Base de datos PostgreSQL, autenticación de usuarios, almacenamiento de ficheros (Storage)	AWS eu-west-2 (Londres, Reino Unido / UE)	DPA disponible; Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea
Hostinger International, UAB hostinger.es	Alojamiento web (hosting) del frontend de la aplicación	Centros de datos en la UE (Lituania / Países Bajos)	Entidad establecida en la UE; RGPD directamente aplicable
Cloudflare, Inc. cloudflare.com	CDN, protección DDoS, proxy inverso y seguridad perimetral	Red global; procesamiento de tráfico en nodos UE	Participante en el EU–US Data Privacy Framework; SCCs de la CE; DPA disponible

7.3 Transferencias internacionales

Los proveedores Supabase y Cloudflare tienen sede en Estados Unidos. Las transferencias de datos hacia estos proveedores se realizan con las siguientes garantías:

• Cláusulas Contractuales Tipo (SCCs) adoptadas por la Comisión Europea mediante Decisión de Ejecución (UE) 2021/914, que proporcionan garantías adecuadas conforme al art. 46.2.c RGPD.
• EU–US Data Privacy Framework: Cloudflare está certificada bajo este marco, reconocido como adecuado por la Comisión Europea (Decisión 2023/1795).
• Los datos de la base de datos se almacenan en la región eu-west-2 (AWS Londres), minimizando las transferencias fuera del Espacio Económico Europeo.

7.4 Otros destinatarios

No se cederán datos personales a terceros salvo:

• Obligación legal (requerimiento de autoridades competentes, jueces o fiscales).
• Consentimiento expreso del interesado para una cesión específica.
• Interés vital del interesado (emergencias médicas del menor).

8. Plazos de conservación

Tipo de dato	Plazo de conservación
Datos de usuarios (perfil, credenciales)	Durante la vigencia de la relación pastoral + 5 años tras su finalización (prescripción de responsabilidades civiles)
Datos de menores (ficha personal, alergias)	Hasta que el tutor solicite la supresión o hasta que el menor alcance la mayoría de edad y decida sobre sus datos
Documentos identidad/SIP (copies digitales)	Se eliminan automáticamente al darse de baja de la parroquia o cuando el usuario los suprime manualmente
Registros sacramentales	Indefinidamente, conforme a la normativa canónica (c. 535 CIC)
Consentimientos RGPD (registros de auditoría)	5 años desde el otorgamiento (evidencia del cumplimiento legal)
Certificados de Delitos de Naturaleza Sexual	Mientras el responsable pastoral esté activo + 1 año
Datos de facturación (parroquias contratantes)	10 años (obligación fiscal — Ley 58/2003 General Tributaria)

Transcurridos los plazos indicados, los datos serán eliminados de forma segura o anonimizados de manera irreversible. Los documentos almacenados en el sistema de ficheros (Supabase Storage) son eliminados mediante la API de borrado seguro del proveedor.

9. Derechos de los interesados (ARCO-POL)

Conforme a los artículos 15 a 22 del RGPD, los interesados pueden ejercer los siguientes derechos ante la parroquia responsable del tratamiento:

Derecho	Descripción	Cómo ejercerlo en la plataforma
Acceso (art. 15)	Obtener confirmación de si se tratan datos propios y recibir una copia	Portal Familia → Mi Perfil → Descargar mis datos (exportación JSON)
Rectificación (art. 16)	Corregir datos inexactos o incompletos	Portal Familia → Mi Perfil → editar directamente los campos
Supresión / derecho al olvido (art. 17)	Eliminar los datos cuando ya no sean necesarios o se retire el consentimiento	Portal Familia → Mi Perfil → Solicitar eliminación de datos
Oposición (art. 21)	Oponerse al tratamiento basado en interés legítimo	Contactando con la parroquia por correo
Limitación (art. 18)	Solicitar que se limite el tratamiento mientras se resuelve una reclamación	Contactando con la parroquia por correo
Portabilidad (art. 20)	Recibir los datos en formato estructurado y legible por máquina	Portal Familia → Mi Perfil → Descargar mis datos (formato JSON)

Las solicitudes de supresión quedan registradas y son notificadas automáticamente al administrador de la parroquia, quien dispone de un plazo máximo de 30 días para procesarlas, conforme al art. 12.3 RGPD.

Para derechos que requieren intervención manual (limitación, oposición), el interesado puede dirigirse por correo electrónico a la parroquia responsable. Si el interesado considera que sus derechos no han sido atendidos, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6, 28001 Madrid — www.aepd.es.

10. Medidas de seguridad técnicas y organizativas

De conformidad con el artículo 32 RGPD, se aplican las siguientes medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo:

Medidas técnicas

• Cifrado en tránsito: todas las comunicaciones entre el navegador del usuario y los servidores se realizan mediante TLS 1.2/1.3. La cabecera HSTS garantiza que no se admitan conexiones HTTP sin cifrar.
• Cifrado en reposo: la base de datos PostgreSQL (Supabase) cifra los datos en reposo mediante AES-256. Los ficheros en Supabase Storage se almacenan cifrados.
• Control de acceso basado en roles (RBAC): cada usuario solo puede acceder a los datos que le corresponden según su rol (Super Admin, Párroco, Responsable Pastoral, Familia). Las políticas Row Level Security (RLS) se aplican a nivel de base de datos, independientemente de la capa de aplicación.
• Hashing de contraseñas: las contraseñas se almacenan como hash bcrypt con salt. Nunca se guardan en texto plano.
• Datos PII tokenizados: los campos especialmente sensibles (DNI, número SIP) se almacenan mediante funciones de encriptación de la base de datos y solo son accesibles mediante funciones RPC autenticadas (get_minor_pii, get_profile_pii).
• URLs firmadas temporalmente: los documentos almacenados en el sistema de ficheros (DNI, SIP, certificados) solo son accesibles mediante URLs firmadas con caducidad breve (60–3600 segundos).
• Protección perimetral: Cloudflare proporciona protección frente a ataques DDoS, inyección SQL y otras amenazas OWASP Top 10.
• Cabeceras de seguridad HTTP: X-Frame-Options DENY, X-Content-Type-Options nosniff, Content Security Policy (CSP), Permissions Policy, Referrer-Policy.

Medidas organizativas

• Acuerdo de Encargo del Tratamiento (DPA) firmado con cada parroquia cliente.
• Registro de Actividades de Tratamiento (RAT) mantenido por el Encargado.
• Registro de todos los consentimientos RGPD con timestamp, versión del texto aceptado y tipo.
• Registro de solicitudes de derechos ARCO-POL y plazos de atención.
• Notificación de brechas de seguridad: en caso de brecha que afecte a datos personales, se notificará a la AEPD en el plazo de 72 horas (art. 33 RGPD) y a los afectados si procede (art. 34 RGPD).

11. Política de cookies

El sitio web koraeclesia.net y la plataforma Kora Eclesia utilizan las siguientes cookies y tecnologías de almacenamiento local:

Nombre / tecnología	Tipo	Finalidad	Duración
sb-[ref]-auth-token	Técnica (necesaria)	Sesión de autenticación Supabase. Permite mantener la sesión iniciada del usuario.	Sesión / 1 hora (renovable)
localStorage: kora-auth-store	Técnica (necesaria)	Persistencia del estado de autenticación y rol activo en el navegador del usuario (Zustand persist).	Hasta cierre de sesión
Cloudflare _cf_bm, cf_clearance	Técnica (seguridad)	Protección anti-bot de Cloudflare. Impide tráfico automatizado malicioso.	30 minutos / 24 horas

La plataforma no utiliza cookies de seguimiento, publicidad ni analítica de terceros. No se comparte información de navegación con redes publicitarias.

Dado que únicamente se utilizan cookies técnicas estrictamente necesarias para el funcionamiento del servicio, no se requiere obtener consentimiento previo para su uso, conforme al art. 22.2 de la LSSI-CE y la Guía sobre el uso de cookies de la AEPD (2023).

12. Modificaciones de esta política

Kora Eclesia se reserva el derecho a actualizar esta Política de Privacidad para adaptarla a cambios normativos, técnicos o de negocio. Cuando los cambios sean significativos:

• Se actualizará la fecha de "Última actualización" al inicio del documento.
• Se incrementará el número de versión.
• Las parroquias contratantes serán notificadas por correo electrónico con al menos 30 días de antelación.
• Los usuarios finales serán informados a través de un aviso visible en la plataforma en su próximo acceso, requiriendo una nueva aceptación cuando los cambios afecten a las bases jurídicas del tratamiento.

La versión histórica de esta política estará disponible bajo solicitud enviada a david.fernandez@korasolutions.net.

13. Contacto y reclamaciones

Para cualquier consulta sobre esta Política de Privacidad o sobre el tratamiento de sus datos:

Para el ejercicio de derechos ARCO-POL relativos a datos tratados por una parroquia concreta, debe dirigirse directamente a dicha parroquia (Responsable del Tratamiento), cuyos datos de contacto figuran en el espacio de la plataforma de esa parroquia.

Si considera que sus derechos no han sido debidamente atendidos, tiene derecho a presentar una reclamación ante la autoridad de control competente: