Política de Privacidad
Última actualización: 5 de abril de 2026
1. Responsable del tratamiento
- Identidad: Iván López Pérez
- NIF: 75793949W
- Domicilio: Calle Luis Montoto 143, Sevilla, España
- Correo electrónico: admin@c4rta.es
- Delegado de Protección de Datos (DPO): admin@c4rta.es
2. Finalidades del tratamiento
Los datos personales que recabamos se tratan con las siguientes finalidades:
| Finalidad | Base jurídica (RGPD) |
|---|---|
| Gestionar el registro y la cuenta del usuario | Art. 6.1.b) — Ejecución de contrato |
| Prestar el Servicio de gestión de menús digitales | Art. 6.1.b) — Ejecución de contrato |
| Procesar pagos y facturación | Art. 6.1.b) — Ejecución de contrato |
| Enviar comunicaciones de servicio (no comerciales) | Art. 6.1.b) — Ejecución de contrato |
| Mejorar la Plataforma mediante análisis de uso agregado | Art. 6.1.f) — Interés legítimo |
| Cumplir obligaciones legales y fiscales | Art. 6.1.c) — Obligación legal |
3. Datos que recogemos
- Datos de registro: nombre, correo electrónico, contraseña (almacenada con hash, nunca en texto plano).
- Datos del establecimiento: nombre del local, dirección, teléfono, sitio web, logotipo.
- Datos de menús: nombres y descripciones de platos, precios, imágenes, alérgenos.
- Datos de facturación: gestionados directamente por Stripe; no almacenamos datos de tarjeta de crédito.
- Datos técnicos: dirección IP, tipo de navegador, cookies técnicas de sesión.
4. Destinatarios (encargados del tratamiento)
Solo compartimos datos personales con terceros que actúan como encargados del tratamiento y con los que hemos suscrito los correspondientes acuerdos de protección de datos:
| Proveedor | Servicio | Ubicación | Garantías |
|---|---|---|---|
| Supabase Inc. | Alojamiento, base de datos, autenticación | UE (Frankfurt, Alemania) | DPA, región UE, SOC2 |
| OpenAI, Inc. | Procesamiento de IA (traducciones, descripciones, alérgenos) | EE.UU. | DPA, EU-US Data Privacy Framework |
| Stripe, Inc. | Procesamiento de pagos | EE.UU. / Irlanda | DPA, EU-US DPF, PCI-DSS Level 1 |
| Vercel Inc. | Alojamiento y CDN de la aplicación | Global (CDN) | DPA, EU-US DPF |
No vendemos, alquilamos ni cedemos datos personales a terceros con fines comerciales propios.
5. Transferencias internacionales
Algunos de nuestros encargados del tratamiento están ubicados fuera del Espacio Económico Europeo (EEE). Las transferencias se realizan al amparo de:
- EU-US Data Privacy Framework (Marco de Privacidad de Datos UE-EE.UU.), decisión de adecuación de la Comisión Europea de 10 de julio de 2023.
- Cláusulas contractuales tipo (SCCs) suscritas con cada proveedor.
6. Plazos de conservación
| Datos | Plazo |
|---|---|
| Datos de cuenta | Mientras la cuenta esté activa + 30 días tras solicitud de baja |
| Datos de menús y establecimientos | Mientras la cuenta esté activa |
| Datos de facturación | 5 años (obligación fiscal, Ley General Tributaria) |
| Logs de uso de IA | 90 días |
| Datos técnicos (IP, logs de acceso) | 12 meses (LSSI-CE) |
7. Derechos del interesado
De conformidad con el RGPD y la LOPDGDD, puedes ejercer los siguientes derechos:
- Acceso: obtener confirmación de si se tratan tus datos y acceder a ellos.
- Rectificación: solicitar la corrección de datos inexactos.
- Supresión: solicitar la eliminación de tus datos cuando ya no sean necesarios.
- Oposición: oponerte al tratamiento basado en interés legítimo.
- Limitación: solicitar la limitación del tratamiento en determinados supuestos.
- Portabilidad: recibir tus datos en un formato estructurado, de uso común y lectura mecánica.
Para ejercer cualquiera de estos derechos, envía un correo a admin@c4rta.es indicando el derecho que deseas ejercer y adjuntando copia de tu documento de identidad.
Si consideras que tus derechos no han sido debidamente atendidos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.
8. Seguridad
Aplicamos medidas técnicas y organizativas adecuadas para proteger tus datos, incluyendo:
- Cifrado en tránsito (TLS/HTTPS) y en reposo.
- Autenticación con hash seguro de contraseñas (bcrypt).
- Autenticación multifactor (TOTP) disponible.
- Políticas de Row Level Security (RLS) en base de datos para aislamiento multi-tenant.
- Revisiones periódicas de seguridad.
9. Tratamiento de datos por IA
La Plataforma utiliza modelos de inteligencia artificial de OpenAI para funcionalidades como traducción de menús, generación de descripciones y detección orientativa de alérgenos. Los datos enviados a OpenAI se procesan conforme a su DPA y no se utilizan para entrenar modelos (API for Business). Solo se envían los datos mínimos necesarios (nombre del plato, ingredientes, sección del menú) y nunca datos personales del usuario.
10. Modificaciones
Nos reservamos el derecho de modificar esta política para adaptarla a novedades legislativas o jurisprudenciales. Cualquier cambio sustancial será comunicado a los usuarios registrados por correo electrónico.