La versión jurídicamente vinculante de este documento es la francesa. Esta versión en español es una traducción de cortesía.
Última actualización: 2026-07-07
Política de privacidad — Tivera
Versión: 2.1 — BORRADOR previo a Play Store v1.0 (modelo Free + Premium) Fecha de entrada en vigor: 2026-07-07 Idioma de referencia: francés — jurisdicción del responsable: Marruecos (Loi 09-08, autoridad CNDP; RGPD aplicable con carácter extraterritorial — Art. 3.2 — para los usuarios residentes en la UE/EEE/Reino Unido) Editor: Mitchou, particular de Derecho marroquí (editor independiente). Dirección: Tralles, rue Essanaouabar, Casablanca, Marruecos.
⚠️ Borrador pendiente de validación por un abogado (protección de datos: Loi 09-08 / CNDP + RGPD/ePrivacy) antes de su publicación definitiva. La versión francesa es la que prevalece; las demás lenguas son traducciones de cortesía.
TL;DR
Tivera es un reproductor IPTV BYOC (Bring Your Own Content) para Android (móvil + TV). Tú importas tus propios flujos (M3U / Xtream Codes / EPG XMLTV); nosotros no alojamos ningún contenido.
- Datos personales recopilados con fines comerciales: ninguno. Sin reventa, sin intermediación de datos.
- Telemetría de diagnóstico (informes de fallos + estadísticas de uso anonimizadas + registro de rendimiento): enviada únicamente a nuestro propio servidor autoalojado (
api.tivera.tv), nunca a un tercero. Firebase Crashlytics y Firebase Analytics se han retirado — ya no se envía ningún fallo ni analítica a Google. Fuera de la UE/EEE/Reino Unido, este canal está activo por defecto (interés legítimo) y puede desactivarse en cualquier momento (Ajustes → Privacidad → Datos de diagnóstico). En la UE/EEE/Reino Unido, permanece desactivado hasta tu consentimiento explícito. - Uso compartido con terceros: únicamente Google AdMob (modo Free: publicidad, identificador publicitario AAID) y Google Play Billing (modo Premium: pago de la suscripción). La sincronización en la nube Premium (perfiles/favoritos/historial) va a nuestro servidor autoalojado, no a un tercero.
- Almacenamiento local cifrado: SQLCipher AES-256 + Google Tink AEAD (credenciales Xtream).
- Cero cuentas necesarias para reproducir tus flujos. Solo se necesita una cuenta para Premium / la sincronización en la nube / la gestión de dispositivos.
1. Responsable del tratamiento (RGPD Art. 13.1.a)
| Campo | Valor |
|---|---|
| Editor | Mitchou (particular de Derecho marroquí, editor independiente) |
| Nombre comercial de la app | Tivera |
| Paquete Android | com.mitchou.tivera |
| Email de contacto general | contact@tivera.tv |
| Email de privacidad | privacy@tivera.tv |
| Email DMCA | dmca@tivera.tv (véase Política DMCA) |
| Dirección postal | Tralles, rue Essanaouabar, Casablanca, Marruecos |
| DPO formal | No requerido (RGPD Art. 37: editor independiente, < 250 empleados, sin tratamiento a gran escala de datos sensibles) |
| Representante en la UE (RGPD Art. 27) | En proceso de designación antes del despliegue general en la UE. Entretanto, los residentes en la UE/EEE ejercen todos sus derechos directamente ante el Editor en privacy@tivera.tv; los datos de contacto del representante se publicarán aquí y en la app en cuanto sea designado. |
| Jurisdicción aplicable | Marruecos — Loi 09-08 relativa a la protección de las personas físicas frente al tratamiento de datos de carácter personal, bajo el control de la CNDP. RGPD (UE 2016/679) aplicable con carácter extraterritorial (Art. 3.2) para los usuarios de la UE/EEE/Reino Unido. |
Plazo de respuesta comprometido para toda solicitud RGPD / CCPA: 30 días (RGPD Art. 12.3) / 45 días (CCPA).
2. Naturaleza de la aplicación (RGPD Art. 13.1.c)
Tivera es un reproductor IPTV genérico BYOC distribuido a través de Google Play Store (y descarga directa del APK).
2.1 Lo que Tivera ES
- Un reproductor de flujos multimedia (vídeo / audio) que aportas tú mismo.
- Un organizador local de tus fuentes (URL M3U, credenciales de la API de Xtream Codes, URL EPG XMLTV).
- Una herramienta de diagnóstico local (Quality Scanner) + un grabador local (DVR) a petición tuya.
- Disponible en dos niveles: Free (con publicidad) o Premium (por suscripción, sin publicidad, funcionalidades adicionales).
2.2 Lo que Tivera NO ES
- No es un servicio de distribución de contenido (cero canales precargados, cero catálogo).
- No es un servicio de recomendación algorítmica.
- No es un servicio de almacenamiento de contenido. La sincronización en la nube Premium (perfiles, favoritos, historial, ajustes seleccionados) utiliza nuestro propio servidor autoalojado
api.tivera.tvy solo sincroniza metadatos ligeros (etiqueta de perfil, avatar, indicador infantil, PIN cifrado, identificadores de contenido opacos) — nunca tus flujos ni las credenciales de tus fuentes. - No es un intermediario técnico: te comunicas directamente con el servidor que elijas.
Eres el único responsable de los flujos que importas y de su conformidad con la legislación de derechos de autor aplicable (véase Condiciones de uso + Política DMCA).
2.3 Diferencias Free vs Premium en cuanto a datos
| Aspecto | Free | Premium |
|---|---|---|
| Datos recopilados por defecto | Ninguno | Ninguno |
| Publicidad AdMob (banner + native + rewarded) | Sí (modelo económico) | No |
| AAID (identificador publicitario de Android) leído por AdMob/Google | Sí (gestionado por Google Play Services) | No |
| SDK UMP (consentimiento publicitario UE/RGPD) | Sí (en el 1.er inicio en la UE) | No aplicable |
Telemetría de diagnóstico autoalojada (api.tivera.tv) | Fuera de la UE: activa por defecto (opt-out) · UE/EEE/Reino Unido: opt-in | Idéntica |
| Firebase Analytics / Crashlytics | Retirados (ya no se usan) | Retirados |
| Play Billing (tokens de compra) | No aplicable | Sí |
3. Datos tratados
3.1 Datos introducidos por el usuario — almacenados localmente únicamente
Todos estos datos permanecen en tu dispositivo. Ninguno se transmite a Mitchou ni a un tercero en un uso normal.
- URL M3U / lista de reproducción: SQLCipher AES-256. Reproducción de tus flujos. Base legal RGPD 6.1.b (ejecución del contrato). Duración: hasta la eliminación manual / desinstalación.
- Credenciales Xtream Codes (host, usuario, contraseña): Google Tink AEAD (clave maestra Android Keystore TEE/StrongBox) sobre SQLCipher, AAD vinculado a la fuente (anti cell-swap). Conexión a tu panel. Base legal RGPD 6.1.b.
- URL EPG XMLTV + asignaciones a canales: SQLCipher AES-256 (Tink AEAD si hay Basic Auth en la URL). Guía de programas. Base legal RGPD 6.1.b.
- Historial de reproducción (posición de reanudación): SQLCipher AES-256. «Continue Watching». Base legal RGPD 6.1.b.
- Favoritos: SQLCipher AES-256. Personalización de la interfaz. Base legal RGPD 6.1.b.
- Grabaciones DVR (
.ts) + descargas VOD sin conexión (Premium): scoped storage, sin cifrar. Visionado diferido/sin conexión a petición tuya. Base legal RGPD 6.1.b. - PIN parental de 4 dígitos: Tink AEAD (AAD
parental-pin-v1). Bloqueo del contenido adulto. Base legal RGPD 6.1.b. - Preferencias de interfaz (idioma, tema, calidad): DataStore Proto, no sensible. Base legal RGPD 6.1.f (interés legítimo).
3.2 Datos recopilados automáticamente por la aplicación
- AAID (identificador publicitario de Android): Free = sí, leído por Google Play Services durante una impresión de AdMob. Premium = no.
- Dirección IP: el payload de telemetría no contiene tu dirección IP como dato. Permanece visible a nivel de transporte para cualquier servidor que reciba la solicitud: (a) el servidor Xtream/EPG que configures, (b) Google cuando AdMob se activa en Free, (c) nuestro servidor
api.tivera.tv(+ Cloudflare en tránsito) cuando la telemetría está activa o cuando usas tu cuenta. Las IP que eventualmente se registren en el lado del servidor lo son durante el tiempo estrictamente necesario para la seguridad y el diagnóstico, y luego se eliminan. - Geolocalización precisa: no. Aproximada (derivada de la IP): no por parte de Tivera (AdMob puede inferir el país a partir de la IP en Free).
- Contactos / SMS / llamadas: no (permisos no declarados). Micrófono / cámara: no (la cámara se utiliza únicamente para escanear un QR de emparejamiento, 100 % en el dispositivo, sin transmisión de ninguna imagen). IMEI / n.º de serie / MAC: no.
- Android ID (
Settings.Secure.ANDROID_ID): leído únicamente cuando la telemetría de diagnóstico está activa (véase 3.4), nunca transmitido en claro. Sirve para derivar, mediante un hash SHA-256 unidireccional propio de la app, un identificador técnico de dispositivo seudónimo — estable por dispositivo: sobrevive a la reinstalación de la app y al borrado de sus datos (solo se reinicializa con el factory-reset), y no es un identificador de hardware (un identificador de software app-scope).
3.3 Datos técnicos necesariamente transmitidos a los servidores que tú configures
Cuando importas un panel Xtream o una URL M3U/EPG, tus solicitudes salen de tu dispositivo hacia el servidor que has elegido (ni Mitchou ni Tivera). Ese servidor recibe necesariamente tu IP, tus credenciales Xtream y tu User-Agent. No tenemos ningún control sobre su política de privacidad — consúltala antes de confiarle tus credenciales.
3.4 Telemetría de diagnóstico autoalojada (api.tivera.tv)
Para corregir errores y mejorar la estabilidad, Tivera recopila una telemetría de diagnóstico técnico enviada únicamente a nuestro servidor autoalojado api.tivera.tv (PocketBase, infraestructura del Editor, Marruecos / CNDP) — nunca a un tercero.
Tres canales: (1) Informes de fallos (crash_reports): stacktrace + extracto del registro técnico en el momento del fallo; (2) Estadísticas de uso anonimizadas (app_events): apertura de pantalla (ruta), inicio de sesión, arranque de la reproducción — sin ninguna URL, sin ningún nombre de canal; (3) Registro de rendimiento diario (≤ 125 KB/24 h): mediciones internas (p. ej. tiempo de arranque en frío) + clase de dispositivo (Build.MANUFACTURER + MODEL, p. ej. «Samsung SM-S911B» — una clase de dispositivo, no un dato personal) + versión de app/Android + plataforma.
Identificador: cada envío se vincula al identificador técnico de dispositivo seudónimo (véase 3.2) — estable por dispositivo, sobrevive a la reinstalación de la app y al borrado de los datos. No es tu identidad.
Modelo de consentimiento (condicionado geográficamente):
| Región | Estado por defecto | Base legal | Cómo retirarlo |
|---|---|---|---|
| Fuera de la UE / EEE / Reino Unido | Activa por defecto (opt-out) | Interés legítimo (RGPD Art. 6(1)(f)): diagnóstico interno, minimizado, autoalojado | Derecho de oposición (Art. 21): Ajustes → Privacidad → Datos de diagnóstico: OFF (efecto inmediato) |
| UE / EEE / Reino Unido | Desactivada por defecto | Consentimiento (RGPD Art. 6(1)(a)) — requerido porque la lectura de ANDROID_ID está sujeta al art. 5(3) de la Directiva ePrivacy 2002/58/CE (y sus transposiciones nacionales) | Rechazar, o retirar (Art. 7(3)) mediante el mismo toggle |
El canal nunca está activo antes del age gate (confirmación 13+, véase § 7). La retirada (toggle OFF) purga inmediatamente los envíos pendientes no transmitidos.
Minimización: todo el contenido pasa por los filtros SecretRedactor + UrlRedactor en el lado del cliente, antes de cualquier envío (URLs, credenciales, tokens Bearer, IBAN, cadenas hexadecimales largas ≥ 32 caracteres eliminadas), los identificadores de canal se hashean/truncan, y el payload se limita a 125 KB.
Nunca transmitido: ningún nombre / email / teléfono; ninguna de tus fuentes, canales o historial; ningún AAID; ninguna publicidad, ninguna reventa.
Encargado del tratamiento: ninguno — api.tivera.tv es el servidor autoalojado del Editor, no un tercero de datos. Cloudflare se encarga únicamente del tránsito de red + TLS (sin almacenamiento). Cifrado en tránsito (HTTPS). Conservación: 90 días (purga automática en el lado del servidor). Este servidor está situado en Marruecos (véase § 9).
3.5 Firebase Crashlytics / Analytics + GlitchTip/Sentry — RETIRADOS
Firebase Crashlytics, Firebase Analytics y el canal GlitchTip/Sentry ya no se utilizan en la app. Están forzados a detenerse en el arranque en todas las builds (debug / release / beta). Ya no se transmite ningún informe de fallos ni estadística de uso a Google ni a ningún tercero con estos fines. La función de diagnóstico está ahora totalmente asegurada por el canal autoalojado descrito en 3.4.
Nota: Google AdMob (Free — § 3.6) y Google Play Billing (Premium — § 3.7) son servicios de Google distintos y no afectados por esta retirada; siguen declarados.
3.6 Google AdMob (modo Free únicamente)
En el nivel Free, la app muestra publicidad a través del SDK de Google Mobile Ads (AdMob). Formatos: banner adaptativo 320×50 dp en la parte inferior de la pantalla, native en el rail Browse, rewarded (opt-in) para un escaneo adicional del Quality Scanner. Ninguna publicidad en Android TV / Leanback.
Datos transmitidos a Google por el SDK de AdMob — en modo personalizado (consentimiento UE otorgado): AAID, IP, User-Agent, modelo de dispositivo, paquete + versión, ad unit ID, historial de anuncios vistos (frecuencia), intereses deducidos, interacciones pasadas. En modo no personalizado (consentimiento rechazado): AAID anonimizado, IP (segmentación aproximada por país), User-Agent, modelo, paquete + versión, ad unit ID — sin historial, sin cohortes, sin interacciones pasadas.
UMP SDK: en el 1.er inicio detectado en la UE, un diálogo de Google UMP recoge tu consentimiento a la publicidad personalizada (aceptar = personalizada; rechazar = no personalizada). Desactivación total de AdMob: pasar a Premium. Ningún toggle granular de AdMob en Free (modelo económico).
Encargado del tratamiento: Google LLC. Conservación: según la política de Google (típicamente ~14 meses para las cohortes publicitarias).
3.7 Google Play Billing (modo Premium únicamente)
Cuando te suscribes al nivel Premium (suscripción mensual 3,99 USD / anual 24,99 USD con prueba gratuita de 7 días en la anual). No se ofrece ninguna compra definitiva «de por vida».
- Datos gestionados por Google Play (nunca vistos por Tivera): medio de pago (tarjeta, PayPal, Google Pay, operador), dirección de facturación.
- Datos recibidos por Tivera: token de compra (purchase token, prueba opaca) + estado de la suscripción (activa / cancelada / grace period) a través de BillingClient.
- Almacenado localmente por Tivera: estado Premium (booleano, DataStore) + purchase token (Tink AEAD, AAD
play-billing-v1) para revalidación periódica.
Ningún dato de pago (número de tarjeta, CVV, caducidad) es nunca tratado, visto ni almacenado por Tivera. Cancelación: Google Play Store → Suscripciones → Tivera → Cancelar. Reembolsos: política estándar de Google Play (48 h para las suscripciones) — solicitud a través de Google Play, no de Tivera.
3.8 Perfiles de usuario + sincronización en la nube Premium (profiles)
Tivera permite crear varios perfiles en una misma cuenta (favoritos e historial por perfil, perfil restringido opcional). Los perfiles se almacenan localmente (Room SQLCipher AES-256) y, únicamente si eres suscriptor Premium y activas la sincronización en la nube, se sincronizan con nuestro servidor autoalojado a través de la colección profiles (api.tivera.tv).
Datos sincronizados por perfil (Premium + sincronización activa únicamente): name (etiqueta — potencialmente personal si pones un nombre real; recomendación: usa un seudónimo, sobre todo para un perfil infantil), avatarId (índice de ilustración neutra), isKids (indicador de filtrado elegido por el titular, NO una declaración de edad), pinCiphertext (PIN cifrado con Google Tink AES-256-GCM, nunca descifrado en el lado del servidor). No se recopila ninguna fecha de nacimiento. Los favoritos y el historial son ahora por perfil; ningún flujo, ningún nombre de canal/película/serie, ningún identificador Xtream transita hacia api.tivera.tv (identidad de contenido = SHA-256 opaco). Encargado del tratamiento: ninguno; sincronización opt-in (Premium, activable/desactivable en los Ajustes).
3.9 Cuenta Tivera (dirección de email + código OTP)
La cuenta es opcional. No se necesita ninguna cuenta para usar la app en Free (importar tus fuentes, reproducir tus flujos, escanear tus canales). Solo creas una cuenta para desbloquear Premium, activar la sincronización en la nube, gestionar tus dispositivos o introducir un código promocional.
- Dirección de email: proporcionada por ti; inicio de sesión mediante código de un solo uso (OTP) (sin contraseña). Transmitida a nuestro servidor autoalojado
api.tivera.tv(Marruecos / CNDP) y almacenada allí para identificar tu cuenta (entitlement Premium, lista de dispositivos, códigos promocionales). Base legal: RGPD 6.1.b (ejecución del contrato). Encargado del tratamiento: ninguno; cifrado en tránsito. Conservación: hasta la eliminación de tu cuenta (véase § 5 + § 10). Tu email nunca se utiliza para la publicidad, nunca se revende, nunca se comparte con intermediarios.
4. Destinatarios de los datos (RGPD Art. 13.1.e)
| Destinatario | Datos afectados | Finalidad | Ubicación |
|---|---|---|---|
| Tú mismo (en tu dispositivo) | 100 % de los datos introducidos | Uso de la app | Local |
| Servidores IPTV/EPG que tú configures | Credenciales Xtream + IP + User-Agent | Autenticación + reproducción | Variable (tu elección) |
Servidor autoalojado api.tivera.tv — Cuenta (Editor, no un tercero) | Email de la cuenta (OTP) — opcional | Gestión de la cuenta / entitlement / sincronización / dispositivos / códigos promocionales | Marruecos / CNDP |
Servidor autoalojado api.tivera.tv — Telemetría (Editor, no un tercero) | Stacktraces + estadísticas de uso (rutas de pantalla) + registro de rendimiento + clase de dispositivo + identificador seudónimo | Diagnóstico / estabilidad | Marruecos / CNDP |
| RETIRADO — sin más transferencia a Google con estos fines (véase 3.5) | — | — | |
| Google AdMob (Free) | AAID + IP + dispositivo + ad unit ID + cohortes (en personalizado) | Visualización publicitaria | EE. UU. + UE (CCT + DPF) |
| Google Play Billing (Premium) | Purchase token (sin datos bancarios) | Validación de la suscripción | Google (global) |
Servidor autoalojado api.tivera.tv — Sincronización en la nube (Editor, no un tercero) | Perfiles (etiqueta, avatar, indicador infantil, PIN cifrado) + favoritos + historial por perfil (identidad de contenido SHA-256 opaco) | Sincronización multidispositivo | Marruecos / CNDP |
| Cloudflare | Tránsito de red (CDN + Tunnel + WAF) — ve IP/cabeceras, no almacena ningún dato personal | Enrutamiento + seguridad de red | Multinacional (DPA) |
Ninguna venta de datos a intermediarios ni agregadores. Ningún uso compartido con fines publicitarios distinto de Google AdMob (Free únicamente).
5. Tus derechos (RGPD Art. 13.2.b + Art. 15 a 22 + CCPA/CPRA)
5.1 Derechos RGPD (residentes de la UE / EEE / Reino Unido)
- Acceso (Art. 15): tus datos locales están en tu dispositivo (Ajustes → Fuentes / Apariencia…). Datos de cuenta: exportación automatizada (email, entitlement, dispositivos, facturas, perfiles, favoritos + historial por perfil, registros que te conciernen) — a solicitud a
privacy@tivera.tv. - Rectificación (Art. 16): directamente en la app (Ajustes → Fuentes → Modificar); email de cuenta modificable, o solicitud a
privacy@tivera.tv. - Limitación (Art. 18): desactiva la telemetría (toggle «Datos de diagnóstico», Ajustes → Privacidad).
- Portabilidad (Art. 20): Ajustes → Ayuda → Enviar un informe de diagnóstico (ZIP legible); exportación de la cuenta a solicitud a
privacy@tivera.tv. - Oposición (Art. 21): fuera de la UE/EEE/Reino Unido, la telemetría se basa en el interés legítimo → puedes oponerte en cualquier momento mediante el toggle «Datos de diagnóstico», sin degradación del servicio. En la UE/EEE/Reino Unido, este canal está de todas formas desactivado hasta tu consentimiento.
- Decisión automatizada (Art. 22): ningún perfilado ni decisión automatizada. Los motores de recovery/scanner utilizan heurísticas técnicas — sin Machine Learning / IA en el sentido del Reglamento UE 2024/1689 (EU AI Act).
Eliminación de la cuenta y borrado de tus datos (Art. 17)
- Datos locales: Ajustes → Vaciar la caché elimina canales/EPG/grabaciones/descargas (las credenciales Xtream se conservan para la reconexión); desinstalar la app elimina todo (
/data/data/com.mitchou.tivera/). - Telemetría de diagnóstico: desactivar el toggle «Datos de diagnóstico» purga inmediatamente los envíos pendientes; para el borrado de los datos ya transmitidos a
api.tivera.tv, escribe aprivacy@tivera.tvindicando tu identificador técnico de dispositivo (Ajustes → Ayuda) — eliminación en 30 días (y purga automática a los 90 días). - Perfiles sincronizados: eliminar un perfil en la app desencadena un soft-delete (ocultación inmediata, purga del servidor en 30 días).
- Eliminación de la cuenta (cascada): desde la app o a solicitud a
privacy@tivera.tv. La eliminación de la cuenta purga en cascada, en el lado del servidorapi.tivera.tv, todos tus perfiles (incluidos los perfiles infantilesisKids), tus favoritos y tu historial por perfil, tus ajustes y fuentes sincronizados, tu entitlement Premium, tus dispositivos registrados y tus tokens de emparejamiento, y anonimiza tus líneas de registro de auditoría. Tus facturas también se eliminan. Puedes exportarlas previamente (véase § 5.1), y el proveedor de pago conserva su propia copia (véase § 10). - Premium: cancelar la suscripción a través de Google Play, luego desinstalar.
5.2 Derechos CCPA / CPRA (residentes de California)
Tivera no vende datos. Right to Know — categorías recopiladas (últimos 12 meses): Identifiers (AAID en Free; identificador técnico de dispositivo seudónimo para la telemetría; email si hay cuenta); Commercial information (estado de la suscripción); Internet/Network Activity (interacciones con AdMob; rutas de pantalla de la telemetría); Geolocation (país aproximado derivado de la IP por AdMob en Free). Fuentes: tú + tu dispositivo. Finalidades comerciales: publicidad (Free), prestación del servicio, diagnóstico. Compartido/«vendido»: únicamente AAID + actividad de red a través de Google AdMob (Free) — un «uso compartido» en el sentido de la CPRA, rechazable mediante UMP; la telemetría va hacia nuestro servidor autoalojado (no un tercero — fuera del ámbito de un «uso compartido»/«venta» CCPA). Right to Delete / Correct: véase § 5.1. Opt-Out of Sale/Sharing: el uso compartido de AdMob (en personalizado) es rechazable mediante el consentimiento UMP (y automáticamente no personalizado para los usuarios CCPA detectados por Google). Limit Use of Sensitive PI: ningún dato sensible recopilado. Non-Discrimination + Authorized Agent aplicables. Plazo de 45 días — privacy@tivera.tv.
5.3 Reclamación
- CNDP (Marruecos): https://www.cndp.ma
- Residentes de la UE/EEE: la autoridad de control de tu residencia (p. ej. CNIL en Francia: https://www.cnil.fr/fr/plaintes). Lista: https://edpb.europa.eu/about-edpb/about-edpb/members_en.
- California AG: https://oag.ca.gov
6. Seguridad de los datos (RGPD Art. 32)
6.1 Cifrado en reposo
- SQLCipher AES-256 en la base de datos local (canales, EPG, fuentes, historial, descargas).
- Google Tink AEAD (clave maestra Android Keystore TEE/StrongBox) como capa adicional para: credenciales Xtream (AAD vinculado a la fuente, anti cell-swap), credenciales EPG, PIN parental (AAD
parental-pin-v1), purchase token de Play Billing (AADplay-billing-v1). - Grabaciones / descargas VOD: archivos
.tssin cifrar en scoped storage, eliminados en la desinstalación.
6.2 Cifrado en tránsito
- HTTPS estricto hacia los dominios first-party (Google Play Services / AdMob) + hacia nuestro backend
api.tivera.tv. - HTTP en claro tolerado únicamente hacia los servidores IPTV/EPG que tú configures (la mayoría de los paneles Xtream siguen sirviendo en HTTP — rechazarlo rompería el uso BYOC).
6.3 Arquitectura defensiva
- Permisos de Android mínimos; CAMERA únicamente para escanear un QR de emparejamiento (tratamiento 100 % local). Permisos añadidos por los SDK de Google (versión publicada):
com.android.vending.BILLING(Premium),AD_ID+ACCESS_ADSERVICES_*(AdMob, Free únicamente),BIND_GET_INSTALL_REFERRER_SERVICE(atribución de instalación),READ_EPG_DATA(rail «Continue Watching» del launcher de Android TV). Ningún permiso peligroso runtime aparte de CAMERA. - R8/ProGuard en release; reglas de backup restrictivas (excluyen las credenciales Xtream cifradas del backup de Google Drive);
SecretRedactor+UrlRedactoren todo log Y todo payload de telemetría antes del envío.
6.4 Notificación de violación (RGPD Art. 33-34)
En caso de violación que afecte a tus derechos, Mitchou notifica a la autoridad de control competente (CNDP en Marruecos; CNIL o la autoridad de la UE del usuario afectado) en 72 horas, y a ti directamente si el riesgo es elevado.
7. Menores (COPPA US + RGPD Art. 8)
Tivera está destinado a personas de 13 años o más. Age gate declarativo en el 1.er inicio («Tengo 13 años» + aceptación del Disclaimer). Sin recopilación intencionada de datos de menores de 13 años. La telemetría de diagnóstico está condicionada por el age gate: ningún identificador persistente se transmite antes de la confirmación 13+. PIN parental de 4 dígitos + perfiles restringidos (isKids) = control parental best-effort, opcional, sin fecha de nacimiento solicitada, sin analítica ni publicidad dirigida asociada a un perfil infantil. Padre/tutor: privacy@tivera.tv.
Publicidad y menores (UE): en la UE/EEE, la edad del consentimiento digital (RGPD Art. 8) varía de 13 a 16 años según el Estado miembro. Para proteger a los usuarios que puedan ser menores, la publicidad personalizada nunca se activa sin un consentimiento válido recogido a través del SDK de Google UMP; en su defecto (o en caso de rechazo), solo se sirven publicidades no personalizadas (NPA — sin perfilado ni segmentación comportamental). El nivel Premium elimina toda publicidad.
8. Cookies / rastreadores de terceros
Tivera es una app móvil nativa (no un sitio web). Ninguna cookie HTTP propia; las eventuales cookies de servidores de terceros (p. ej. __cf_bm de un panel) se gestionan en RAM (InMemoryCookieJar), nunca persistidas. Ningún píxel/beacon propietario. El sitio tivera.tv: ninguna cookie de terceros, ningún script de analítica/publicidad de terceros, ningún CDN externo en runtime (regla interna R-NA-1) — las llamadas van únicamente hacia nuestro backend (api.tivera.tv) por acción del usuario.
9. Transferencias internacionales (RGPD Art. 44 a 50)
| Transferencia | Marco jurídico |
|---|---|
| Tu dispositivo → servidores IPTV/EPG que tú configures | Sin transferencia orquestada por Mitchou (tú eliges el destinatario). |
| Telemetría + sincronización en la nube Premium → servidor autoalojado (Marruecos) | Marruecos no cuenta con una decisión de adecuación de la UE (Art. 45). Bases de transferencia aplicadas para los usuarios de la UE/EEE: (a) telemetría de diagnóstico — consentimiento explícito (excepción del Art. 49(1)(a)), siendo además este canal opt-in en la UE; (b) cuenta + sincronización en la nube Premium — transferencia necesaria para la ejecución del contrato que solicitas (Art. 49(1)(b)). Medidas complementarias: seudonimización + minimización (SecretRedactor/UrlRedactor) + cifrado en tránsito; responsable único (el Editor aloja él mismo, sin importador tercero distinto en el sentido de las directrices CEPD 05/2021); marco legal local Loi 09-08 + autoridad CNDP. |
| AdMob (Free) / Play Billing (Premium) → Google LLC (EE. UU.) | CCT + DPF. |
| Tránsito Cloudflare | Enrutamiento de red (sin almacenamiento de datos personales); DPA de Cloudflare. |
10. Plazo de conservación (RGPD Art. 13.2.a)
- Datos locales (Xtream, M3U, EPG, historial, grabaciones, descargas): mientras la app esté instalada; borrado inmediato en la desinstalación o mediante «Vaciar la caché».
- Telemetría de diagnóstico (
crash_reports+app_events+ registro de rendimiento): 90 días y luego purga automática. Retirada anticipada mediante el toggle. - Firebase Crashlytics / Analytics: n/a (retirados, sin más recopilación).
- Cuenta (email, entitlement, dispositivos, emparejamientos, perfiles, favoritos, historial): hasta la eliminación de la cuenta (purga en cascada). Entitlement: hasta la expiración + ventana de litigios/reembolso.
- Facturas (metadatos): eliminadas al cerrar la cuenta (purga en cascada). El proveedor de pago conserva su propia copia en virtud de su obligación contable (también en caso de litigio).
- Cohortes AdMob (Free): según la política de Google (~14 meses). Premium purchase token: mientras la suscripción esté activa + grace period.
- Registro de auditoría (
audit_log, incl. IP del cliente): 90 días; líneas anonimizadas en la eliminación de la cuenta.
11. Actualización de esta política
Toda modificación material conlleva: notificación in-app en el siguiente inicio (banner no bloqueante + enlace al diff) + actualización de la fecha + conservación del diff Git versionado públicamente + reaceptación si se añade una nueva categoría de tratamiento (p. ej. nueva red publicitaria). Las modificaciones menores no desencadenan reaceptación.
12. Contacto
- Email general:
contact@tivera.tv - Email de privacidad (ejercicio de derechos):
privacy@tivera.tv - Email DMCA:
dmca@tivera.tv(véase Política DMCA) - Dirección postal: Tralles, rue Essanaouabar, Casablanca, Marruecos
Plazo de respuesta: 30 días (RGPD) / 45 días (CCPA).
13. Documentos asociados
Estado: BORRADOR v2.1 — divulga el modelo Free + Premium (AdMob en Free, Play Billing en Premium), la telemetría autoalojada (Firebase retirado) y la sincronización en la nube Premium. Pendiente de validación por un abogado (Loi 09-08 / CNDP + RGPD/ePrivacy) antes de su publicación definitiva: base legal de la telemetría, garantías de transferencia Marruecos → UE, mecanismo de opt-out. La versión francesa es la que prevalece; las demás lenguas son traducciones de cortesía.