Política de Privacidad

Última actualización: 2026-05-26

AreaCacao trata tus datos personales con las garantías que exige el Reglamento (UE) 2016/679 (GDPR) y la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

1. Responsable del tratamiento

Responsable: AreaCacao · contacto: support@areacacao.com.

2. Datos que recogemos y finalidad

• Cuenta y servicio (email, nombre, password hash, 2FA secret) — base legal: ejecución del contrato (GDPR Art. 6.1.b).
• Datos de pago (Stripe Customer ID, suscripciones, historial de cobros) — base legal: ejecución del contrato. El número de tarjeta NUNCA pasa por nuestros servidores: se introduce directamente en Stripe Checkout (PCI-DSS SAQ-A).
• Procesamiento de recetas/IA (descripción del producto, ingredientes, parámetros del wizard) — enviados a Google Cloud para generar recomendaciones. Base legal: ejecución del contrato.
• Datos sensoriales de terceros (panelistas externos que evalúan tus catas) — solo si activas el módulo Sensorial. Base legal: consentimiento del panelista (recogido vía formulario digital).
• Datos técnicos (IP, user-agent, logs de errores en Sentry) — base legal: interés legítimo (seguridad y mejora del servicio). Sentry está configurado con scrub de PII.

3. Proveedores que procesan tus datos (subprocesadores)

• Stripe (USA) — pagos. DPA + SCC firmados. Mantienen historial de facturación 7 años por ley fiscal.
• Backblaze B2 (USA, región us-east-005) — almacenamiento de adjuntos (PDFs, imágenes). DPA. Pendiente Transfer Impact Assessment.
• AWS SES (eu-west-1, Irlanda) — envío de emails transaccionales. DPA estándar.
• Google Cloud — procesamiento con IA sobre descripciones de recetas. DPA Google Cloud.
• Sentry — captura de errores. DPA + SCC.
• Hetzner Cloud + Contenfo (UE) — hosting del cluster backend y base de datos. DPA.
• Firebase App Hosting (Google, UE) — hosting del frontend. DPA Google Cloud.
• PostHog (UE, eu.posthog.com) — analítica de producto, solo con tu consentimiento. Datos alojados en la UE. DPA.

4. Plazos de conservación

• Cuenta activa: mientras dure el contrato.
• Tras la baja: 30 días para cancelación + 7 años para facturación.
• Datos de panelistas externos: hasta que retiren el consentimiento.
• Logs técnicos y errores: 90 días.

5. Tus derechos (GDPR Arts. 15–22)

Tienes derecho a acceder, rectificar, suprimir, oponerte, limitar el tratamiento y solicitar la portabilidad de tus datos. Para ejercerlos, escribe a support@areacacao.com desde el email asociado a tu cuenta. Plazo de respuesta: 30 días.

6. Transferencias internacionales

Algunos subprocesadores (Stripe, Backblaze, Google) procesan datos en USA. La transferencia se ampara en cláusulas contractuales tipo (SCC) de la Comisión Europea.

7. Cambios a esta política

Publicaremos cualquier cambio en esta misma página con una nueva fecha de última actualización. Si el cambio es sustancial, te notificaremos por email.

8. Panelistas invitados (módulo Sensorial)

Si participas como panelista invitado a través de un enlace de evaluación, el obrador que te invitó trata, mediante AreaCacao, tu nombre, tus respuestas de cata y datos técnicos mínimos (un identificador técnico de tu dispositivo) con la finalidad de analizar el producto o entrenar su panel sensorial. La base legal es tu consentimiento, que recogemos antes de iniciar la evaluación. Puedes solicitar el acceso o la supresión de tus datos contactando con el obrador que te invitó o escribiendo a support@areacacao.com.

Ver también: Términos y Condiciones · Política de Cookies.