Is Road to Headliner really free?

Yes, 100% free with no ads or pay-to-win mechanics. All players compete on equal footing. We believe the best game is one where skill and strategy determine success, not your wallet.

How long is a season?

Each season lasts 12 real-world weeks. After a season ends, there's a brief offseason period, then you start fresh with a new band while keeping your awards, prestige, and account history.

Can I play on mobile?

Road to Headliner is designed primarily for PC/desktop browsers. The interface works reasonably on tablets, but the complex management screens are best experienced on a larger screen. A dedicated mobile experience may come in the future.

Yes! You share the game world with other players in real-time. Compete on leaderboards, enter festival brackets, collaborate on features, and declare rivalries with other bands.

What is MT (Management Time)?

MT is your action currency — think of it as your manager's energy. It regenerates 1 per hour up to a maximum of 48. Every action like booking shows, rehearsing, or recording costs MT, so planning your time wisely is key to success.

Política de privacidad | Camino al cartel principal

1. Quiénes somos

Road to Headliner es un juego de gestión de bandas multijugador en línea operado por un desarrollador independiente con sede en Eslovaquia, Unión Europea. Somos el responsable del tratamiento de los datos personales tratados a través de este servicio según el Reglamento (EU) 2016/679 (Reglamento General de Protección de Datos, "GDPR"). Nuestros servidores de juegos y nuestra base de datos están alojados en Hetzner Cloud en Falkenstein, Alemania (EU). Para todas las consultas sobre privacidad, solicitudes de interesados o quejas, contáctenos en [email protected].

2. Qué datos recopilamos

Datos de la cuenta: dirección de correo electrónico, nombre para mostrar, contraseña hash
Datos de preferencia: idioma, zona horaria
Datos técnicos: dirección IP, agente de usuario (navegador), identificadores de sesión
Datos del juego: nombre de la banda, acciones del juego, estadísticas, puntuaciones de la temporada.
Datos de comunicación: mensajes directos, publicaciones en foros (contenido generado por el usuario)
Datos de seguridad: intentos de autenticación, señales de detección de múltiples cuentas

3. Cómo utilizamos sus datos

Proporcionar y operar el servicio de juego.
Seguridad, antitrampas y prevención de fraudes
Análisis de productos sin cookies a través de la nube PostHog EU (solo memoria, sin cookies ni almacenamiento local).
Correos electrónicos transaccionales (códigos de verificación, restablecimiento de contraseñas, advertencias de seguridad) enviados a través de nuestro servidor de correo autohospedado.

4. Bases Legales del Tratamiento (GDPR)

Ejecución del contrato (Art. 6(1)(b)): Gestión de cuentas, datos de juegos, comunicaciones
Interés legítimo (Art. 6(1)(f)): Monitoreo de seguridad, anti-trampas, análisis
Consentimiento (Art. 6(1)(a)): Sólo si características futuras específicas lo requieren

5. Retención de datos

Conservamos los datos personales solo durante el tiempo necesario para los fines para los que fueron recopilados, de acuerdo con el principio de limitación del almacenamiento (Art. 5(1)(e) GDPR). Los siguientes períodos de retención se aplican automáticamente mediante una limpieza programada diaria:

Cuentas activas: datos retenidos mientras su cuenta existe y está activa
Intentos de autenticación: eliminados automáticamente después de 90 días
Sesiones: máximo 30 días, sesiones caducadas limpiadas diariamente
Registros de solicitudes y seguridad: eliminados automáticamente después de 90 días
Registros de auditoría de administración: conservados durante 1 año para cumplir con las normativas y luego eliminados
Notificaciones: notificaciones leídas eliminadas después de 90 días, no leídas después de 180 días
Alertas de seguridad: alertas resueltas eliminadas después de 180 días, alertas abiertas eliminadas después de 365 días
Registros del sistema de juego: eliminados después de 30 días. Seguimientos de cálculo y registros de auditoría RNG: eliminados después de 90 días
Mensajes directos: mensajes leídos eliminados después de 180 días, mensajes no leídos eliminados después de 365 días
Registros de acciones del jugador: eliminados después de 30 días
Instantáneas estatales e instantáneas semanales: eliminadas después de 365 días
Informes de jugadores: informes resueltos o descartados eliminados después de 180 días
Tokens de verificación y restablecimiento de contraseña caducados o usados: eliminados después de 7 días
Cuentas eliminadas: datos personales anonimizados inmediatamente después de la eliminación de la cuenta. Los registros de los juegos (clasificaciones de bandas, historial de listas) se conservan en forma seudonimizada para garantizar la integridad competitiva.
Copias de seguridad: los datos personales pueden persistir en copias de seguridad cifradas hasta 30 días después de su eliminación. Las copias de seguridad se cifran en reposo, tienen acceso controlado y se eliminan automáticamente dentro de la ventana de retención. Esta es una limitación aceptada y divulgada en el considerando 65 GDPR.

6. Tus derechos

Según GDPR (artículos 15 a 22), usted tiene los siguientes derechos con respecto a sus datos personales. Para ejercer cualquiera de estos derechos, envíe un correo electrónico a [email protected] con el asunto "Solicitud del interesado" y especifique el derecho que desea ejercer. Verificaremos su identidad antes de procesar su solicitud. Le responderemos en un plazo de 30 días (Art. 12(3) GDPR), prorrogable por 60 días más para solicitudes complejas, en cuyo caso le informaremos de la prórroga dentro del plazo inicial de 30 días.

Derecho de Acceso (Art. 15): Solicitar una copia de todos los datos personales que tenemos sobre usted. También puede descargar sus datos en formato JSON legible por máquina en cualquier momento a través de Configuración > Exportar datos, o enviando una solicitud GET a /api/v1/auth/data-export mientras está conectado. La exportación incluye datos de la cuenta, datos del juego, mensajes, publicaciones en foros e historial de transacciones.
Derecho de Supresión (Art. 17): Solicitar la eliminación permanente de su cuenta y la anonimización de todos los datos personales. Puede hacerlo usted mismo en cualquier momento a través de Configuración > Eliminar cuenta (requiere confirmación de contraseña). Sus datos personales se anonimizan inmediatamente. Los registros de los juegos (clasificaciones de bandas, entradas de gráficos) se conservan en forma seudonimizada para garantizar la integridad competitiva. Tenga en cuenta: los datos anónimos pueden persistir en copias de seguridad cifradas hasta por 30 días.
Derecho de Rectificación (Art. 16): Solicitar la corrección de datos personales inexactos. Puede actualizar la información de su perfil a través de la configuración de su cuenta. Para obtener datos que no se pueden cambiar a través del UI (como su dirección de correo electrónico), comuníquese con [email protected].
Derecho a la Portabilidad de los Datos (Art. 20): Recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica (JSON). Utilice la función de exportación de datos descrita anteriormente o solicite una copia por correo electrónico.
Derecho a oponerse (Art. 21): Oponerse al procesamiento basado en nuestro interés legítimo (Art. 6 (1) (f)), incluida la elaboración de perfiles anti-trampas y el monitoreo de seguridad. Envíe un correo electrónico a [email protected] con el procesamiento específico al que se opone. Cesaremos el procesamiento a menos que demostremos motivos legítimos imperiosos que prevalezcan sobre sus intereses.
Derecho de Restricción (Art. 18): Solicitar la limitación temporal del procesamiento mientras verificamos la exactitud de sus datos, evaluamos su objeción o establecemos si nuestros motivos legítimos prevalecen sobre los suyos. Durante la restricción, almacenaremos pero no procesaremos activamente los datos relevantes. Envíe un correo electrónico a [email protected] para solicitar restricción.
Derecho a retirar el consentimiento (Art. 7(3)): Cuando el procesamiento se base en su consentimiento, podrá retirarlo en cualquier momento. La retirada no afecta a la legalidad del tratamiento realizado antes de la retirada. Actualmente, todo el procesamiento se basa en la ejecución del contrato o en el interés legítimo, no en el consentimiento.
Derecho a presentar una denuncia (Art. 77): Tiene derecho a presentar una denuncia ante una autoridad de control. La autoridad competente para nuestras operaciones es la Urad na ochranu osobnych udajov Slovenskej republiky (Oficina de Protección de Datos Personales de la República Eslovaca), Hranicna 12, 820 07 Bratislava, Eslovaquia (https://dataprotection.gov.sk). También puede ponerse en contacto con la autoridad de control del Estado miembro EU de su residencia habitual o lugar de trabajo.

7. Intercambio de datos y subprocesadores

Utilizamos los siguientes subprocesadores para operar este servicio. Cada subencargado está contratado bajo un Acuerdo de Procesamiento de Datos (Art. 28 GDPR) y procesa solo los datos estrictamente necesarios para su propósito:

Hetzner Cloud (Hetzner Online GmbH, Alemania): alojamiento de infraestructura y almacenamiento de copias de seguridad cifrado. Categorías de datos: todo el contenido de la base de datos (datos de cuenta, datos de juegos, comunicaciones). Ubicación: centro de datos de Falkenstein, Alemania, sin transferencia internacional. DPA: Estándar Hetzner DPA según art. 28 GDPR (https://docs.hetzner.com/general/general-terms-and-conditions/data-privacy-faq/).
Cloudflare (Cloudflare, Inc., US con nodos de borde EU): CDN, protección DDoS y firewall de aplicaciones web. Categorías de datos: direcciones IP, encabezados de solicitud HTTP, URL de solicitud. Mecanismo de transferencia: Marco de Privacidad de Datos EU-US (DPF, decisión de adecuación del Art. 45) y Cláusulas Contractuales Tipo (SCC, Módulo 2: Responsable a Procesador, Art. 46(2)(c)). DPA: Cliente de Cloudflare DPA (https://www.cloudflare.com/cloudflare-customer-dpa/).
Entrega de correo electrónico transaccional: los correos electrónicos de verificación, restablecimiento de contraseñas y avisos de seguridad se envían actualmente a través de nuestro servidor SMTP/Postfix autohospedado en la misma infraestructura alojada en Hetzner que la aplicación. Las direcciones de correo electrónico y los nombres para mostrar se procesan únicamente para la entrega de mensajes.
PostHog Cloud (región EU): análisis de productos y análisis CTA de sitios públicos. Categorías de datos: ID de usuario seudónimos, ID de banda, ID de temporada, rutas de página y propiedades de eventos explícitas. El almacenamiento del cliente está deshabilitado (`persistence: memory`), por lo que PostHog no crea cookies de análisis ni identificadores de almacenamiento local en el navegador. DPA: https://posthog.com/dpa.

No vendemos, alquilamos, comercializamos ni compartimos sus datos personales con terceros con fines de marketing, publicidad o elaboración de perfiles. Los datos se comparten únicamente con los subprocesadores enumerados anteriormente, únicamente para los fines descritos.

8. Transferencias Internacionales de Datos

Sus datos se almacenan principalmente en Alemania (Hetzner Cloud, centro de datos de Falkenstein). Cloudflare procesa datos de solicitud HTTP en los nodos de borde EU; para cualquier procesamiento que no sea EU, Cloudflare participa en el Marco de privacidad de datos EU-US (DPF, decisión de adecuación del artículo 45) y proporciona cláusulas contractuales estándar (SCC, módulo 2, artículo 46(2)(c)) como salvaguarda complementaria. Los análisis de productos se procesan a través de la región de nube EU de PostHog en modo de memoria sin cookies. La entrega de correo electrónico transaccional actualmente utiliza nuestro servidor SMTP/Postfix autohospedado en la infraestructura alojada por Hetzner, por lo que no hay ningún procesador de correo electrónico de tercer país activo en producción. Todos los datos en tránsito se cifran mediante TLS 1.2+. No se transfieren datos personales a países sin una decisión de adecuación o garantías adecuadas (Art. 46 GDPR).

9. Medidas de seguridad

Cifrado en tránsito (TLS 1.2+)
Contraseñas codificadas con Argon2id (algoritmo líder en la industria)
Cookies de sesión HttpOnly con protección CSRF
Controles de acceso basados en roles y registro de auditoría integral

10. Cookies y almacenamiento local

Utilizamos únicamente cookies estrictamente necesarias y funcionales según se define en la Directiva de privacidad electrónica (Art. 5(3), Directiva 2002/58/EC). No se requiere consentimiento para estas cookies porque son esenciales para proporcionar el servicio que ha solicitado. No utilizamos cookies de seguimiento, publicidad o análisis de terceros:

access_token (httpOnly, Secure, SameSite=Strict, 1 hora): cookie de sesión de autenticación. Estrictamente necesario para mantener su sesión de inicio de sesión.
update_token (httpOnly, Secure, SameSite=Strict, 30 días): cookie de actualización de sesión. Estrictamente necesario para una reautenticación perfecta.
rth-lang (funcional): almacena su preferencia de idioma. Cookie funcional exenta según el art. ePrivacy. 5(3), ya que es necesario para proporcionar el servicio en el idioma elegido.
__cf_bm (Cloudflare, de terceros, duración de la sesión): Cookie de gestión de bots. Estrictamente necesario para la protección y seguridad DDoS.
Análisis: utilizamos PostHog en modo de solo memoria para análisis de productos y sitios públicos. PostHog no establece cookies de análisis ni identificadores de almacenamiento local en el navegador en esta configuración.
Almacenamiento local: almacenamos las preferencias no personales de UI (desestimación de aviso de cookies, progreso del tutorial, sugerencias de UI) en el almacenamiento local de su navegador. Estos no contienen datos personales.

11. Privacidad de los niños y verificación de edad

Road to Headliner requiere que los usuarios tengan al menos 16 años de edad, de conformidad con el art. 8 (condiciones aplicables al consentimiento de un niño en relación con los servicios de la sociedad de la información). Durante el registro, todos los usuarios deben confirmar que tienen al menos 16 años marcando una casilla de verificación de edad obligatoria. Esta confirmación se registra como evidencia auditable. No recopilamos ni procesamos intencionalmente datos personales de niños menores de 16 años. Si nos damos cuenta de que un usuario es menor de 16 años, eliminaremos de inmediato su cuenta y todos los datos personales asociados. Si cree que una persona menor de 16 años ha creado una cuenta, contáctenos en [email protected].

12. Antitrampas y creación de perfiles automatizados

Para mantener el juego limpio, utilizamos correlación automatizada basada en IP para detectar el uso potencial de múltiples cuentas. Este sistema compara direcciones IP y patrones de inicio de sesión entre cuentas. Un administrador humano revisa las alertas de detección antes de realizar cualquier acción; ninguna cuenta se prohibe o penaliza automáticamente basándose únicamente en la detección automática. Este procesamiento se basa en nuestro interés legítimo en mantener la integridad del juego (Art. 6(1)(f) GDPR). Puede oponerse a este procesamiento comunicándose con [email protected].

13. Notificación de violación de datos

En caso de violación de datos personales que suponga un riesgo para sus derechos y libertades, lo notificaremos a la autoridad de control competente dentro de las 72 horas siguientes a tener conocimiento de la violación (Art. 33 GDPR). Si es probable que la infracción suponga un alto riesgo para usted, también se lo notificaremos sin demora indebida por correo electrónico o notificación en el juego (Art. 34 GDPR).

14. Delegado de Protección de Datos y Autoridad de Supervisión

Como responsable del tratamiento de datos a pequeña escala que no lleva a cabo un procesamiento a gran escala de categorías especiales de datos ni un seguimiento sistemático a gran escala, estamos exentos de la obligación de nombrar un Delegado de Protección de Datos en virtud del art. 37(1) GDPR. Para todas las consultas sobre privacidad, solicitudes de interesados o quejas, contáctenos directamente a [email protected]. La autoridad de control competente para este servicio es la Urad na ochranu osobnych udajov Slovenskej republiky (Oficina de Protección de Datos Personales de la República Eslovaca), Hranicna 12, 820 07 Bratislava, Eslovaquia, sitio web: https://dataprotection.gov.sk. También tiene derecho a presentar una queja ante la autoridad de control en el Estado miembro de EU de su residencia habitual o lugar de trabajo (Art. 77 GDPR).

15. Cambios a esta política

Podemos actualizar esta Política de Privacidad de vez en cuando. Los cambios materiales se comunicarán mediante notificación dentro del juego o correo electrónico. El uso continuado del servicio después de los cambios constituye la aceptación de la política actualizada.

16. Contacto

Para consultas de privacidad, solicitudes de acceso de interesados (SAR), solicitudes de eliminación de datos, solicitudes de rectificación o quejas, contáctenos en [email protected]. Incluya "Solicitud del interesado" en la línea de asunto para un procesamiento más rápido. Nuestro objetivo es acusar recibo dentro de los 5 días hábiles y responder sustancialmente a todas las solicitudes de los interesados dentro de los 30 días posteriores a la recepción (Art. 12(3) GDPR). Si una solicitud es compleja o recibimos un volumen elevado, podremos ampliar el plazo de respuesta hasta 60 días, en cuyo caso le informaremos dentro del plazo inicial de 30 días.