Política de privacidad

1. Responsable del tratamiento

El responsable del tratamiento en el sentido del Reglamento General de Protección de Datos (RGPD) es:

IMH Group, Inc.
8 The Green, Ste B
Dover, DE 19901
United States

Authorized representative: Christian Aberle
Contacto general: info@imh-group.us, Teléfono: +1 (302) 212-0640

Solicitudes de privacidad (acceso, supresión, rectificación, oposición): info@imh-group.us

Los datos de la empresa también están disponibles en el Aviso legal o Imprint – IMH Group Inc.

2. Finalidad de la aplicación

YT Stream es una herramienta de administración interna de IMH Group, Inc. para gestionar streams en directo de YouTube (canales, listas de reproducción, programaciones, medios). El acceso está restringido al personal y administradores autorizados. No se utilizan cookies de seguimiento de visitantes, marketing o analítica.

3. Datos tratados

• Cuentas de usuario: Nombre de usuario, hash de contraseña (bcrypt), rol (administrador/personal), estado de activación, marca temporal de creación.
• Cookie de sesión: técnicamente necesario para el inicio de sesión y la autorización (véase sección 4).
• Configuración de canales y streams: Nombres de canales, slugs, programaciones, entradas de lista de reproducción (rutas/títulos de archivos), configuración del codificador.
• Claves de stream y tokens OAuth: almacenados cifrados en la base de datos (Fernet, derivado del secreto de la aplicación).
• Registro de auditoría: Marca temporal, nombre de usuario conectado, acción (p. ej. crear, editar, iniciar/detener), ID de canal opcional y detalle breve (p. ej. nombre del canal) — sin contraseñas ni claves de stream en texto plano.
• Seguridad / limitación de velocidad: Dirección IP en intentos de inicio de sesión fallidos, temporalmente en memoria (máx. 15 minutos, no almacenada permanentemente).
• Registros operativos y de error: registros técnicos en el servidor (Plesk EU), contenido según la configuración del servidor.

Los roles de personal no pueden ver las claves de stream en texto plano; los administradores pueden gestionar las claves. La interfaz evita deliberadamente mostrar datos personales innecesarios en los mensajes.

4. Cookies

Solo se establece una cookie de sesión (normalmente denominada session). Esta cookie es estrictamente necesaria para el inicio de sesión y no requiere consentimiento conforme al artículo 25 TTDSG junto con el considerando 28 del RGPD.

• HttpOnly: sí — sin acceso mediante JavaScript en el navegador.
• SameSite: Lax (Starlette SessionMiddleware).
• Secure: en producción con HTTPS o cuando PUBLIC_BASE_URL usa https:// o están habilitados los encabezados de proxy de confianza.

La página de inicio de sesión indica que al iniciar sesión se establece esta cookie. No hay banner de cookies para marketing o analítica porque no se utilizan.

5. Bases jurídicas (Art. 6 RGPD)

• Art. 6(1)(b): Tratamiento para ejecutar la relación de uso o prestar el servicio interno a usuarios autorizados.
• Art. 6(1)(f): interés legítimo en seguridad informática, trazabilidad de cambios (registro de auditoría), prevención de abusos (limitación de velocidad de inicio de sesión).

6. Plazo de conservación

• Cuentas de usuario: hasta la desactivación o eliminación por un administrador o mediante solicitud escrita a info@imh-group.us.
• Sesión: hasta el cierre de sesión o fin de la sesión del navegador.
• Registro de auditoría: hasta la limpieza manual o eliminación de la base de datos; normalmente conservado durante un período más largo para trazabilidad operativa. Las entradas relativas a un usuario pueden tratarse a solicitud.
• Limitación de velocidad de inicio de sesión (IP): máximo 15 minutos en memoria, luego eliminación automática.
• Registros del servidor: según la política de conservación del proveedor de alojamiento (Plesk EU).

7. Destinatarios y terceros

Los datos no se comparten con servicios publicitarios o de analítica. YT Stream no incluye seguimiento integrado (p. ej. Google Analytics).

Cuando se utilizan funciones opcionales, los datos pueden transmitirse a:

• YouTube / Google: al usar OAuth o la API, conforme a las políticas de privacidad de Google.
• Jellyfin: solo si está configurado (consultas de metadatos).
• Alojamiento (Plesk EU): operación del servidor en el marco de un acuerdo de tratamiento de datos con el proveedor.

Se cargan recursos CDN externos (Tailwind, htmx) para la interfaz; las direcciones IP pueden ser procesadas técnicamente por el proveedor CDN. Se pueden usar archivos estáticos locales en su lugar.

8. Medidas técnicas y organizativas

• Las contraseñas se hashean con bcrypt, no se almacenan en texto plano.
• Las claves de stream y los tokens OAuth refresh se almacenan con cifrado Fernet en la base de datos.
• HTTPS está previsto en producción; las cookies de sesión reciben el flag Secure cuando está configurado.
• Los datos de la aplicación (DATA_DIR: base de datos, registros, caché) están fuera de la raíz web pública o protegidos por reglas del servidor.
• Acceso solo tras autenticación; restricciones basadas en roles para el personal.
• Protección CSRF para acciones basadas en formularios.

9. Sus derechos

Tiene, entre otros, los siguientes derechos frente al responsable del tratamiento:

• Acceso (Art. 15 RGPD)
• Rectificación (Art. 16 RGPD)
• Supresión (Art. 17 RGPD)
• Limitación del tratamiento (Art. 18 RGPD)
• Oposición al tratamiento basado en intereses legítimos (Art. 21 RGPD)
• Portabilidad de datos, cuando corresponda (Art. 20 RGPD)
• Presentar una reclamación ante una autoridad de control (Art. 77 RGPD)

Eliminación de cuentas del personal: Los administradores pueden desactivar cuentas en la gestión de usuarios o eliminar completamente las cuentas del personal. Para otras solicitudes, contacte con info@imh-group.us.

10. Sin obligación de facilitar datos

El uso de YT Stream requiere autorización interna. Sin proporcionar los datos necesarios para el inicio de sesión, no es posible utilizarlo.