Esta página deja todo escrito a la vista: qué puedo ver yo cuando entrás a gan111.com, qué no puedo ver, y qué se hace con los bits que sí son visibles. Nada queda fuera de la mesa — no hay scripts de tracking escondidos en algún rincón, y no existe ningún esquema en el que tus datos terminen vendidos a una red publicitaria, porque este sitio no corre anuncios. Prefiero pasarme de claro a quedarme corto, sobre todo para lectores que entran desde España, México, Argentina, Colombia o Chile, donde el listón regulatorio para lo que una política de privacidad tiene que decir es bastante más alto que la norma global. Hay una sección dedicada y larga, §9 para lectores hispanohablantes, al final, donde entro en concreto sobre el Reglamento General de Protección de Datos europeo, la AEPD española, el Modelo 721, la LFPDPPP de México, la Ley 25.326 de Argentina, los canales reales de reclamación, y cómo se cruza todo eso con un sitio cripto que recoge datos mínimos.
§1Qué se recoge
La única herramienta de recolección de datos que corre activamente en este sitio es Google Analytics 4 (GA4), configurada con anonimización de IP. En forma anonimizada recoge:
- IP anonimizada · se usa para inferir tu región geográfica aproximada (a nivel país, no a nivel calle)
- Páginas vistas · qué artículos abriste, cuánto tiempo te quedaste en cada uno
- Tipo de dispositivo · móvil, ordenador o tablet, más la familia del navegador y sistema operativo
- Origen · si llegaste desde una búsqueda de Google, un enlace en X (antes Twitter), una entrada directa de URL, o una referencia desde otro sitio
- Marca temporal aproximada · el día y la hora aproximada de tu visita, usada para análisis de patrones de tráfico
El sistema no recoge tu nombre, dirección de correo, número de teléfono, DNI/CURP/CUIT, ni información financiera — salvo que tú me mandes proactivamente un correo, en cuyo caso obviamente puedo ver lo que escribiste y adjuntaste. Ese correo, con su contenido, queda almacenado en la bandeja de mi proveedor de email hasta que yo lo borre o tú me pidas que lo borre.
Para qué miro estos datos es directo: quiero saber qué artículos lee la gente de verdad frente a cuáles no abre nadie. Los artículos que nadie lee no se reescriben, se retiran. No hay perfilado, no hay segmentación de audiencias, no hay modelado de «lookalikes» y no hay reventa.
§2Cookies
GA4 deja una cookie en tu navegador con un identificador generado aleatoriamente. Su único propósito es reconocer que peticiones sucesivas de página, dentro de la misma sesión de navegador, pertenecen al mismo visitante anónimo — así es como sabe que leíste tres artículos en lugar de identificar a tres visitantes distintos leyendo uno cada uno. Ninguna cookie de este sitio almacena información que te identifique personalmente de forma directa.
Podés desactivar las cookies para este sitio en la configuración del navegador. Si lo haces:
- La funcionalidad del sitio no se ve afectada — no hay login, no hay carrito de compras, no hay un panel de preferencias que dependa de cookies
- GA4 simplemente no podrá observarte, lo que está perfectamente bien para ti y representa una pequeña pérdida tolerable para mí
- El gráfico de BTC, la cuenta regresiva del halving, la herramienta de dominancia, la de soporte/resistencia y cada artículo siguen funcionando al 100%
Todos los navegadores principales (Chrome, Safari, Firefox, Edge, Brave, Arc) exponen un interruptor «ajustes del sitio → bloquear cookies» que se encuentra en unos cinco segundos. Si lees desde la UE o el Reino Unido, ya tienes un derecho más fuerte a rechazar — ver §9 abajo.
§3Servicios de terceros
Esta es la lista completa de servicios de terceros que carga este sitio. No hay otros:
- Google Analytics 4 · analítica de tráfico anonimizada, como ya describí
- Cloudflare · red de distribución de contenido, protección DDoS, cache de borde · red global anycast
- Google Fonts · fuentes web (Inter, Source Serif 4, JetBrains Mono, Noto Sans). Si desactivás fuentes de terceros en tu navegador, el texto cae a fuentes del sistema y el sitio sigue siendo legible
- CoinGecko / API pública de Binance / Mempool.space · ticker de precio BTC en vivo en la masthead. Se llaman desde el cliente, desde tu navegador, sin ningún dato personal adjunto — solo una petición de dato público anónima
No hay cookie de retargeting publicitario. No hay píxel de remarketing de terceros. No hay Facebook Pixel, ni TikTok Pixel, ni Pinterest Tag. No hay librería de fingerprinting. No hay alimentación de audiencias «similares». No hay enriquecimiento de CRM.
Este sitio no se opera como un negocio publicitario, así que esas piezas nunca se conectaron desde el principio, y no hay plan de conectarlas. Si eso cambiara alguna vez, el cambio se anunciaría en la portada con siete días de banner de aviso, y quedaría registrado en el centro de correcciones antes de entrar en vigor.
§4Datos de los enlaces afiliados
Cuando haces clic en un enlace de exchange dentro de este sitio (Binance, OKX, Bybit, Bitget, Gate), el exchange sabe que «este registro se originó desde el código de referido XG188 de gan111.com» — así está diseñado el sistema de afiliados. No es opcional y no es tracking encubierto; es exactamente lo que un enlace de afiliado significa.
Sin embargo, hay varias cosas que yo no puedo ver desde mi lado de la relación de afiliación:
- No veo la dirección de email ni el número de teléfono que usaste para registrarte
- No veo tu monto de depósito, los tokens que operas, ni tu volumen de trading
- No veo tu P&L — ni ganancias ni pérdidas
- No veo la IP, el dispositivo ni la ubicación geográfica usada durante el registro
Lo que el exchange me muestra es exclusivamente data estadística agregada: cuántos usuarios nuevos se registraron por mi código este mes, cuánto volumen produjo en agregado ese grupo, y cuál es mi porcentaje del pool de marketing-spend del programa. La capa de identidad del usuario está protegida del lado del exchange, no del mío. Los exchanges tienen que mantenerlo así por cumplimiento KYC y AML — no pueden legalmente compartir información identificativa del cliente con los afiliados.
Para la divulgación comercial completa (compatible con FTC, ESMA y AMF), ver aviso legal §4.
§5Tus derechos
Estés donde estés, si el RGPD (UE/UK), CCPA/CPRA (California), VCDPA de Virginia, CPA de Colorado, CTDPA de Connecticut, UCPA de Utah, la LFPDPPP de México, la Ley 25.326 de Argentina, la Ley 1581 de Colombia, la Ley 21.719 chilena, la Ley 6.534 paraguaya o cualquier regulación regional análoga te aplican, tienes los siguientes derechos:
- Derecho de acceso · saber qué datos tengo sobre ti (exactamente lo que enumera §1)
- Derecho de supresión («derecho al olvido») · exigir la eliminación de cualquier dato ligado a ti
- Derecho de rectificación · si me mandaste un correo, puedes pedir que borre o corrija ese hilo
- Derecho de oposición · desactivar cookies en tu navegador y GA4 deja de poder observarte
- Derecho a la portabilidad · pedir una exportación de los datos personales que tengo sobre ti en formato legible por máquina
- Derecho a no ser objeto de decisiones automatizadas · no corro ningún perfilado automático ni scoring sobre los visitantes, así que este derecho está trivialmente satisfecho
GA4 retiene datos de eventos anonimizados durante 14 meses por defecto (el máximo de retención que se puede configurar en la consola GA4). No tengo una interfaz manual para borrar un identificador de visitante anonimizado específico antes de que se cumpla esa ventana de 14 meses — pero después de los 14 meses los datos se purgan automáticamente del lado de Google.
Para borrar un correo que me hayas mandado, simplemente respondé a ese hilo con «por favor, eliminá mi correo anterior», dirigido a [email protected], y lo borraré en siete días laborables.
§6Dónde viven físicamente los datos
Una política de privacidad honesta tiene que decir dónde están realmente los bits en disco:
- Datos de eventos GA4 · alojados en servidores de Google en Estados Unidos y la Unión Europea, gobernados por los términos de servicio de Google para clientes de analítica
- Logs de borde de Cloudflare · almacenados en el nodo anycast de Cloudflare más cercano a tu ubicación física (típicamente rotados en horas)
- Contenido del sitio · servido desde un servidor virtual privado ubicado en Tokio, Japón, con Cloudflare delante como capa internacional
- Contenido de los correos · almacenado en los servidores del proveedor de email, cifrado en reposo
Para lectores que entran desde China continental: el tráfico se enruta a través de los PoPs internacionales de Cloudflare (el sitio no tiene licencia ICP para hosting doméstico chino), lo que significa que la velocidad de acceso es algo más lenta que la de un sitio alojado en China, pero también significa que tus datos no terminan co-localizados en ninguna jurisdicción inesperada más allá de lo que ya implica la lista pública de puntos de presencia de Cloudflare.
§7Menores de edad
Este sitio contiene discusiones sobre instrumentos financieros especulativos y no está dirigido a menores de 18 años (ni a menores de 13 según la COPPA estadounidense, ni a menores de 16 según el RGPD en la mayoría de los estados miembro de la UE; en España el umbral son los 14 años conforme a la LOPDGDD). No recojo a sabiendas datos de menores. Si eres madre, padre o tutor y crees que un menor ha interactuado con este sitio o me ha enviado un correo, contactame en [email protected] y eliminaré cualquier registro relacionado de forma prioritaria.
§8Actualizaciones de la política
Esta política no cambia con frecuencia. Cuando cambia, me comprometo a hacer dos cosas:
- Actualizar la marca de tiempo Última actualización al pie de esta página
- Si el cambio es material — por ejemplo, agregar un nuevo servicio de tercero, o cambiar la base legal del tratamiento — aparecerá un banner de aviso en la portada durante al menos siete días completos antes de que la nueva política entre en vigor
No voy a modificar esta página en silencio y pretender que siempre dijo eso. Cada revisión queda registrada en el centro de correcciones con una marca de fecha y una nota breve sobre qué cambió y por qué. Esa es la disciplina grado-EEAT a la que me comprometí en otras partes del sitio, y aplica tanto a documentos legales como a artículos.
§9Para lectores hispanohablantes · suplemento de privacidad
Esta es la sección que más importa si estás leyendo desde España, México, Argentina, Colombia, Chile, Perú o Uruguay — y también es la sección que casi cualquier política de privacidad de publicación cripto, o se la salta, o la rellena con una línea copiada de 2018 que ya estaba desactualizada el día que la copiaron. Quiero ir punto por punto sobre el suelo regulatorio concreto que pisas según tu país, y los canales reales que tienes para reclamar si pensás que se han vulnerado tus derechos. Esta es la clase de detalle que la AEPD española, el INAI mexicano y la AAIP argentina cada vez exigen con más precisión a los editores.
España · RGPD, LOPDGDD y AEPD
El Reglamento General de Protección de Datos (Reglamento UE 2016/679) y su normativa de desarrollo nacional en España, la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), te dan, como residente en España, el catálogo más completo de derechos del mundo hispanohablante. Los artículos específicos del RGPD que importan para un lector de este sitio: artículo 15 — derecho de acceso, puedes pedir copia de cualquier dato personal que yo tenga sobre ti; artículo 16 — derecho de rectificación, puedes exigir la corrección de datos inexactos; artículo 17 — derecho de supresión, el famoso «derecho al olvido»; artículo 18 — derecho a la limitación del tratamiento; artículo 20 — derecho a la portabilidad; y artículo 21 — derecho de oposición al tratamiento basado en interés legítimo. La base legal en la que me apoyo para procesar la analítica GA4 es interés legítimo bajo el artículo 6(1)(f), acotado estrictamente a operar y mejorar la publicación. La gestión de correos cae bajo el artículo 6(1)(b) — ejecución del contrato que implícitamente formas cuando inicias correspondencia. No proceso ningún dato de categoría especial bajo el artículo 9, ni tomo decisiones automatizadas con efectos jurídicos bajo el artículo 22. Si quieres escalar formalmente, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en aepd.es. La AEPD tiene autoridad sancionadora de hasta 20 millones de euros o el 4% de la facturación global, y sus resoluciones son apelables ante la Audiencia Nacional.
España · el Modelo 721 para tenencias cripto en el extranjero
Aunque no es estrictamente una norma de privacidad, hay una pieza fiscal que un lector español que pasa por una política de privacidad cripto tiene que conocer: el Modelo 721. Desde el ejercicio 2023, la AEAT obliga a residentes fiscales españoles a declarar tenencias de criptoactivos custodiadas en el extranjero (Binance global, OKX, Bybit, Coinbase fuera de la entidad española, wallets autocustodiadas con claves en exchanges no establecidos en España) cuando el valor agregado supera los 50.000 euros al cierre del ejercicio. La sanción por no presentar el Modelo 721 cuando correspondía es material — multas mínimas de 5.000 euros por dato omitido, con un mínimo de 10.000 euros por declaración. Esto cruza con privacidad porque significa que la AEAT, en última instancia, también es destinataria de información sobre tus tenencias cripto declaradas; esa información no la tengo yo, pero forma parte del contexto regulatorio del lector español que conviene tener presente.
México · LFPDPPP e INAI
En México la regulación de referencia es la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), de 2010, supervisada por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). La LFPDPPP reconoce los derechos ARCO — Acceso, Rectificación, Cancelación y Oposición — funcionalmente análogos a los del RGPD, aunque con procedimientos algo distintos. Para ejercerlos sobre lo poco que recoge este sitio, el canal sigue siendo [email protected]. Si tu solicitud no se resuelve en un plazo razonable o considerás que se ha vulnerado tu derecho, puedes presentar una denuncia ante el INAI en home.inai.org.mx. El INAI tiene capacidad sancionadora, aunque las multas son menores que las europeas — el rango típico va de 200 a 320.000 días de salario mínimo vigente. Hay además aviso de privacidad obligatorio bajo el artículo 16 de la LFPDPPP, que esta página cumple: te informa de qué datos se recogen, para qué finalidad, con qué base legal y cuáles son los canales de ejercicio.
Argentina · Ley 25.326 y AAIP
En Argentina la ley aplicable es la Ley 25.326 de Protección de los Datos Personales, de 2000, supervisada por la Agencia de Acceso a la Información Pública (AAIP). Es una de las leyes de protección de datos más antiguas de la región. Argentina tiene un reconocimiento de adecuación con la UE desde 2003, lo que significa que los flujos de datos personales desde la UE hacia Argentina están considerados como con nivel de protección equivalente, algo importante para una arquitectura como la de este sitio (datos GA4 en servidores Google EE.UU./UE pero contenido servido desde Tokio con Cloudflare como CDN). Tus derechos son básicamente los mismos que en México y España: acceso, rectificación, actualización, supresión y confidencialidad. El canal es [email protected] y, si quieres escalar, la AAIP en argentina.gob.ar/aaip recibe denuncias. La AAIP también supervisa el habeas data, el recurso judicial constitucional que cada argentino tiene para acceder y exigir rectificación de sus datos en bases públicas o privadas. Hay además una Resolución 47/2018 de la AAIP que reconoce expresamente derechos análogos al «derecho al olvido» del RGPD europeo en el contexto argentino.
Colombia, Chile, Perú, Uruguay · marcos análogos
Para el resto de jurisdicciones del mundo hispanohablante el marco es similar pero menos uniforme. Colombia tiene la Ley Estatutaria 1581 de 2012 y el Decreto 1377 de 2013, supervisados por la Superintendencia de Industria y Comercio (SIC), con un Registro Nacional de Bases de Datos obligatorio para tratantes establecidos en el país. Chile aprobó en 2024 la nueva Ley 21.719 que moderniza profundamente la antigua Ley 19.628 y crea una Agencia de Protección de Datos Personales (entra en plena vigencia en 2026, alineándose mucho más con el RGPD). Perú tiene la Ley 29.733 de 2011, supervisada por la Autoridad Nacional de Protección de Datos Personales bajo el Ministerio de Justicia. Uruguay tiene la Ley 18.331 de 2008, con la URCDP como autoridad y reconocimiento de adecuación europeo desde 2012. Para todos estos países, el canal operativo conmigo sigue siendo el mismo correo, y los plazos de respuesta del lado mío son los mismos que los exigidos por la regulación más estricta aplicable.
Marco EU-US Data Privacy Framework y flujos transatlánticos
Desde el 10 de julio de 2023, los flujos de datos personales desde la UE/EEE hacia Estados Unidos están gobernados por el EU-US Data Privacy Framework (DPF), que reemplazó al invalidado Privacy Shield. Google se autocertificó bajo el DPF, lo que significa que los datos analíticos de GA4 que fluyen desde visitantes europeos hacia los servidores de Google en EE.UU. están cubiertos por una decisión de adecuación. Si el DPF se invalida de nuevo (una posibilidad real, dado los litigios estilo Schrems-III en curso), el respaldo serían las cláusulas contractuales estándar de la UE, en las que Google también se apoya. Como cuestión práctica: si entrás desde la UE/EEE y no quieres que tus eventos GA4 anonimizados crucen el Atlántico, desactivar cookies impide que el cliente GA4 dispare, y ningún dato cruza ninguna frontera.
Consentimiento de cookies · la asimetría UE vs. Latam vs. EE.UU.
Aquí es donde las normas divergen más. En la UE bajo el RGPD más la Directiva ePrivacy, la regla por defecto es opt-in estricto: las cookies no esenciales no deberían fijarse hasta que el usuario consienta afirmativamente, y los banners con dark patterns están cada vez más en el punto de mira de las autoridades nacionales (AEPD en España, CNIL en Francia). En Latam la práctica es más mixta — México y Argentina están más cerca del modelo opt-out con aviso informado; Colombia tiende al opt-in para datos sensibles; Chile, con la nueva ley, se alinea fuertemente con el modelo europeo. En EE.UU. la norma prevaleciente es el aviso únicamente: las cookies pueden fijarse por defecto siempre que el usuario tenga notificación y pueda darse de baja. Este sitio actualmente fija la cookie GA4 en la primera visita sin distinguir región, porque la cookie GA4 está anonimizada y la IP está enmascarada. Si entrás desde España u otro país UE y preferís una postura opt-in estricta, bloquear cookies en el navegador antes de visitar logra exactamente eso, sin que yo tenga que mantener infraestructura de consentimiento por región que, irónicamente, recogería datos adicionales de ubicación para funcionar.
Canales reales · cómo escalo yo si fuese tu cuenta
Estos son los canales de escalación que funcionan, por jurisdicción, ordenados por cómo los usaría yo en el mundo real:
- Paso 1 (todos) · email a [email protected] con asunto «Solicitud de privacidad» — primera respuesta en siete días laborables, resolución completa en 30 días (RGPD) o 45 días (LFPDPPP, CCPA), prorrogables 60 días para solicitudes complejas con aviso previo
- España · AEPD · aepd.es · reclamaciones online a través del «Canal Reclama» · autoridad sancionadora hasta 20M EUR o 4% de facturación global
- España · Audiencia Nacional · recurso contencioso-administrativo contra resoluciones de la AEPD
- México · INAI · home.inai.org.mx · sistema PRODECON y procedimiento de protección de derechos (PPD)
- Argentina · AAIP · argentina.gob.ar/aaip · denuncia online · habeas data ante la justicia federal como vía judicial constitucional
- Colombia · SIC · sic.gov.co · queja online ante la Delegatura para la Protección de Datos Personales
- Chile · Agencia de Protección de Datos Personales (operativa desde 2026 bajo Ley 21.719) · transitoriamente, denuncias ante el Consejo para la Transparencia
- Perú · ANPD · Autoridad Nacional de Protección de Datos Personales dentro del Ministerio de Justicia · minjus.gob.pe
- Uruguay · URCDP · datospersonales.gub.uy · reconocimiento de adecuación europeo desde 2012
Ningún canal es rápido. Las investigaciones de AEPD típicamente toman 12-18 meses; INAI similar; AAIP entre 6 y 24 meses dependiendo del caso. Pero la denuncia formal es la única forma de crear un registro regulatorio permanente, y las autoridades publican estadísticas agregadas que orientan sus prioridades de enforcement. Reclamar importa incluso cuando no produce resolución inmediata.
§10Contacto
Para cualquier consulta relativa a privacidad, o para ejercer cualquiera de los derechos descritos en §5 o §9, el correo es el canal más fiable:
Incluí «Solicitud de privacidad» en el asunto para que se priorice. Primera respuesta en siete días laborables. Resolución completa en 30 días naturales según exige el RGPD, prorrogables otros 60 días para solicitudes complejas con aviso al solicitante (también permitido por el RGPD), y dentro de los 45 días naturales que exigen CCPA/CPRA y la LFPDPPP mexicana.