Política de Privacidad de coffelate
**BORRADOR — pendiente de revisión legal antes de publicación.**
Última actualización: 1 de julio de 2026 Este documento describe cómo coffelate recopila, utiliza y protege tus datos personales, de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y demás normativa de aplicación.
1. Responsable del tratamiento
| Campo | Datos | |---|---| | **Responsable** | **[NOMBRE LEGAL]** | | **CIF** | **[CIF]** | | **Domicilio** | **[DIRECCIÓN FISCAL]**, Barcelona, España | | **Correo de contacto** | privacidad@coffelate.app | | **Correo general** | hola@coffelate.app |
El rol de Delegado de Protección de Datos (DPO) será evaluado tras el análisis de los criterios del artículo 37 RGPD. Durante el MVP, las consultas de privacidad se atienden a través de **privacidad@coffelate.app**. [PLACEHOLDER: designar DPO si aplica]
2. Datos personales que recopilamos
La siguiente tabla enumera las categorías de datos que coffelate trata, junto con su finalidad y la base legal que legitima cada tratamiento:
| Categoría | Datos concretos | Finalidad | Base legal (art. 6 RGPD) | |---|---|---|---| | **Identificación** | Dirección de correo electrónico, nombre | Creación y gestión de la cuenta; comunicaciones transaccionales (confirmaciones, magic link, avisos de cobro) | Ejecución del contrato (art. 6.1.b) | | **Suscripción** | Plan contratado, identificador de la Cafetería partner, fecha de inicio y fin del periodo, estado de la suscripción, historial de renovaciones | Prestación del servicio de intermediación; gestión de la relación contractual | Ejecución del contrato (art. 6.1.b) | | **Historial de Canjes** | Fecha, hora y cafetería donde se realizó cada Canje; tier correspondiente | Control de los límites diarios; prevención de fraude; trazabilidad del servicio | Ejecución del contrato (art. 6.1.b) | | **Datos de pago (indirectos)** | Token de suscripción de Stripe (identificador interno, nunca datos de tarjeta) | Gestión del cobro recurrente y de cancelaciones | Ejecución del contrato (art. 6.1.b) | | **Datos técnicos** | Dirección IP, tipo de navegador, tipo de dispositivo, sistema operativo, geolocalización (solo si el Usuario la concede explícitamente) | Correcto funcionamiento de la Plataforma; detección de accesos no autorizados; mejora de la experiencia de usuario | Interés legítimo del responsable (art. 6.1.f) | | **Cookies esenciales** | Sesión de autenticación (token Supabase), preferencia de idioma | Funcionamiento básico de la Plataforma; persistencia de sesión | Interés legítimo (art. 6.1.f) |
**Datos que coffelate NO recopila:**
- Datos bancarios directos (número de tarjeta, CVV, IBAN). Stripe los procesa de forma
autónoma bajo sus propias obligaciones regulatorias.
- Datos de categoría especial (salud, origen étnico, creencias religiosas, preferencias
alimentarias o dietéticas).
- Cookies de marketing, retargeting o publicidad comportamental.
- Datos de navegación cross-site (seguimiento entre dominios terceros).
- Datos de menores de 18 años (ver apartado 9).
3. Cómo obtenemos tus datos
- **Directamente de ti**: al crear tu cuenta (correo electrónico y nombre), al completar
el proceso de suscripción y al interactuar con la Plataforma.
- **De Stripe**: coffelate recibe de Stripe el estado de la suscripción y la confirmación
de cada cobro, pero nunca los datos de la tarjeta.
- **Automáticamente**: datos técnicos (IP, dispositivo, navegador) que se registran con
cada petición al servidor.
- **De tu dispositivo** (solo con tu permiso explícito): coordenadas de geolocalización
para mostrar cafeterías cercanas. Puedes denegarlas en cualquier momento desde la configuración de tu dispositivo; la Plataforma funciona con un punto de referencia predeterminado (centro de Barcelona) si denegas el permiso.
4. Finalidades del tratamiento
coffelate trata tus datos únicamente para las siguientes finalidades:
1. **Creación y mantenimiento de la cuenta**: registrar tu identidad en la Plataforma y permitirte acceder mediante magic link. 2. **Prestación del servicio de suscripción**: gestionar el alta, vigencia, renovación y cancelación de tu Plan. 3. **Procesamiento de pagos**: coordinar con Stripe la ejecución de los cobros mensuales. 4. **Validación de Canjes**: verificar en tiempo real que el Canje es válido (suscripción activa, Cafetería correcta, límite diario no superado) y registrar el consumo. 5. **Comunicaciones transaccionales**: enviarte confirmaciones de suscripción, avisos de renovación, confirmaciones de cancelación y notificaciones de incidencias que afecten a tu cuenta o a la Cafetería partner a la que estás suscrito. 6. **Geolocalización para descubrimiento de cafeterías**: si concedes el permiso, usar tu ubicación para mostrarte los establecimientos partner más cercanos. 7. **Prevención de fraude y seguridad**: detectar patrones de uso anómalos (por ejemplo, un mismo QR siendo escaneado simultáneamente en dos establecimientos distintos). 8. **Cumplimiento de obligaciones legales**: conservar registros de transacciones y comunicaciones según la normativa fiscal y mercantil española.
No tratamos tus datos con fines de marketing directo ni de análisis de comportamiento sin tu consentimiento previo y explícito.
5. Plazos de conservación
| Datos | Plazo de conservación | Justificación | |---|---|---| | Cuenta activa (perfil, suscripciones) | Mientras la cuenta esté activa | Necesario para la prestación del servicio | | Datos tras la baja o cancelación definitiva | 5 años | Obligaciones fiscales (Ley 58/2003 General Tributaria) y posibles reclamaciones (Real Decreto Legislativo 1/2007; Código de Comercio) | | Historial de Canjes | 5 años | Misma base que la anterior; trazabilidad de la relación contractual | | Logs técnicos (IP, accesos) | 12 meses | Proporcionalidad; seguridad e investigación de incidentes | | Datos de pago (tokens de Stripe) | Gestionados por Stripe según su política de privacidad | https://stripe.com/es/privacy |
Transcurridos los plazos indicados, los datos se eliminan o anonomizan de forma segura.
6. Encargados del tratamiento y transferencias internacionales
coffelate comparte datos personales exclusivamente con los encargados de tratamiento estrictamente necesarios para prestar el servicio. Todos los encargados están vinculados por un Acuerdo de Encargo de Tratamiento (DPA) conforme al artículo 28 RGPD.
| Encargado | Servicio prestado | País / Región de tratamiento | Garantía de transferencia | |---|---|---|---| | **Supabase Inc.** | Base de datos relacional y autenticación (magic link) | Irlanda (UE West — eu-west-1) [PLACEHOLDER: verificar región exacta del proyecto en Supabase Dashboard > Settings > General] | Dentro de la UE; sin transferencia internacional | | **Stripe Payments Europe Ltd.** | Procesamiento de pagos y gestión de suscripciones recurrentes | Irlanda (UE) | Dentro de la UE; adherido al RGPD | | **Vercel Inc.** | Hosting de la aplicación web y red de distribución de contenido (CDN) | Estados Unidos (con presencia en nodos de borde en la UE) | Cláusulas Contractuales Tipo (SCC) de la Comisión Europea + adherencia al Marco de Privacidad de Datos UE–EE.UU. (Data Privacy Framework) | | **PostHog Inc.** | Analítica de producto (interacciones, funnels) | Alemania/UE | Sí — DPA público | | **Vercel Web Analytics + Speed Insights** | Métricas técnicas anónimas (page views, Web Vitals) | EE.UU. con presencia en UE | Sí — SCC + DPF |
**Nota sobre Vercel y transferencias internacionales:** Vercel tiene sede en Estados Unidos. Aunque el tráfico de usuarios europeos se sirve preferentemente desde nodos de borde en la UE, el procesamiento de datos puede incluir sistemas en EE.UU. coffelate ha firmado con Vercel las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914), que constituyen una garantía adecuada conforme al artículo 46.2.c) RGPD.
**No cedemos ni vendemos datos personales a terceros con fines de marketing, publicidad o análisis comercial.**
7. Tus derechos como titular de los datos
Conforme al RGPD y a la LOPDGDD, tienes derecho a:
- **Acceso** (art. 15 RGPD): obtener confirmación de si tratamos tus datos y recibir una
copia de los mismos.
- **Rectificación** (art. 16 RGPD): corregir datos inexactos o incompletos.
- **Supresión** (art. 17 RGPD): solicitar la eliminación de tus datos cuando, entre otros
supuestos, ya no sean necesarios para la finalidad para la que se recogieron. Este derecho puede estar limitado por obligaciones legales de conservación.
- **Limitación del tratamiento** (art. 18 RGPD): solicitar que suspendamos temporalmente
el tratamiento de tus datos en determinados supuestos.
- **Portabilidad** (art. 20 RGPD): recibir tus datos en un formato estructurado, de uso
común y lectura mecánica, y transmitirlos a otro responsable cuando el tratamiento se base en el contrato o en tu consentimiento y se efectúe por medios automatizados.
- **Oposición** (art. 21 RGPD): oponerte al tratamiento basado en el interés legítimo
(datos técnicos, cookies esenciales), salvo que concurran motivos imperiosos que lo justifiquen.
- **No ser objeto de decisiones automatizadas** (art. 22 RGPD): no ser sometido a
decisiones que produzcan efectos jurídicos significativos o te afecten de modo análogo, basadas únicamente en el tratamiento automatizado de datos.
- **Retirada del consentimiento**: cuando el tratamiento se base en tu consentimiento,
puedes retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento anterior a dicha retirada.
Cómo ejercer tus derechos
Envía un correo electrónico a **privacidad@coffelate.app** con el asunto "Ejercicio de derecho RGPD — [tipo de derecho]" e indica:
1. Tu nombre completo y correo electrónico registrado. 2. El derecho concreto que deseas ejercer. 3. Una copia de tu documento de identidad (DNI, NIE o pasaporte) para verificar tu identidad. Puedes enviarla con los datos no estrictamente necesarios oscurecidos.
Responderemos en el plazo máximo de **30 días naturales** desde la recepción. Si la solicitud fuera compleja o numerosa, podemos ampliar ese plazo en dos meses adicionales, notificándotelo dentro del primer mes con los motivos de la prórroga.
Reclamación ante la autoridad de control
Si consideras que el tratamiento de tus datos no es conforme con la normativa vigente o que no hemos atendido correctamente tu solicitud, tienes derecho a presentar una reclamación ante la **Agencia Española de Protección de Datos (AEPD)**:
- Sitio web: [www.aepd.es](https://www.aepd.es)
- Sede electrónica: [sedeagpd.gob.es](https://sedeagpd.gob.es)
8. Medidas de seguridad
coffelate aplica medidas técnicas y organizativas adecuadas para proteger los datos personales contra el acceso no autorizado, la pérdida, la alteración o la divulgación indebida:
- **Cifrado en tránsito**: todas las comunicaciones entre el navegador del Usuario y la
Plataforma se realizan mediante HTTPS/TLS.
- **Cifrado en reposo**: los datos almacenados en Supabase se cifran en reposo mediante
los mecanismos nativos del proveedor.
- **Aislamiento de datos**: Supabase aplica políticas de Row Level Security (RLS) que
garantizan que cada Usuario solo puede acceder a sus propios datos.
- **Gestión de credenciales**: los secretos y claves de acceso se almacenan en variables
de entorno seguras y no se incluyen en el código fuente del repositorio.
- **Control de acceso**: el acceso al panel de administración y a la base de datos en
producción está restringido al personal técnico autorizado mediante autenticación multifactor.
- **Copias de seguridad**: Supabase realiza copias de seguridad periódicas de la base de
datos con retención según su política de servicio.
- **Auditoría**: los accesos y operaciones sensibles quedan registrados en los logs del
sistema con retención de 12 meses.
A pesar de las medidas implantadas, ningún sistema es completamente seguro. En caso de brecha de seguridad que suponga un riesgo para tus derechos y libertades, te notificaremos sin dilación indebida y en el plazo máximo de 72 horas comunicaremos el incidente a la AEPD, conforme al artículo 33 RGPD.
9. Menores de edad
coffelate **no está dirigido a menores de 18 años** y no recopila conscientemente datos personales de menores. El registro en la Plataforma requiere que el Usuario declare ser mayor de 18 años.
Si coffelate detecta o tiene motivos fundados para creer que se ha registrado un menor, procederá a la suspensión inmediata de la cuenta y a la eliminación de los datos asociados. Si eres padre, madre o tutor legal y tienes conocimiento de que un menor a tu cargo ha facilitado datos a coffelate, por favor contacta con nosotros en **privacidad@coffelate.app**.
10. Cookies
Usamos cookies esenciales y cookies de análisis de producto:
| Cookie | Finalidad | Duración | |---|---|---| | `sb-*` | Sesión de autenticación (Supabase) | 1 año | | `coffelate-locale` | Preferencia de idioma | 1 año | | `ph_*` | Analítica de producto (PostHog) — nos ayuda a entender cómo se usa la app | 1 año | | `_vercel_*` | Analítica técnica anónima (Vercel) — tráfico y rendimiento | Sesión |
**No usamos cookies de marketing ni publicidad de terceros**. Todas las cookies de análisis son propias (first-party) y su única finalidad es mejorar el producto.
**Do Not Track**: si tu navegador envía la cabecera Do Not Track (DNT), respetamos automáticamente esa preferencia y desactivamos la analítica de producto para tu sesión.
11. Cambios en esta Política de Privacidad
coffelate puede actualizar esta Política de Privacidad para adaptarla a cambios normativos, jurisprudenciales o en el servicio. Las modificaciones se comunicarán de la siguiente forma:
- **Cambios sustanciales** (nuevas categorías de datos, nuevas finalidades, nuevos
terceros, cambios en derechos del Usuario): notificación por correo electrónico al menos **30 días naturales antes** de la entrada en vigor de los cambios.
- **Cambios menores** (actualizaciones de datos de contacto, correcciones de redacción):
publicación directa en esta página con la fecha de actualización indicada en el encabezado.
El uso continuado de la Plataforma tras la entrada en vigor de una versión actualizada implica la aceptación de la misma.
12. Contacto y reclamaciones
| Canal | Contacto | |---|---| | **Consultas de privacidad y ejercicio de derechos** | privacidad@coffelate.app | | **Soporte general** | hola@coffelate.app | | **Dirección postal** | [DIRECCIÓN FISCAL], Barcelona, España | | **Autoridad de control** | Agencia Española de Protección de Datos (AEPD) — [www.aepd.es](https://www.aepd.es) |
**Nota técnica para el equipo legal antes de publicar:** - **Supabase region**: confirmar con el equipo técnico que el proyecto de Supabase está alojado en la región `eu-west-1` (Irlanda). Verificar en Supabase Dashboard > Settings > General > Region. Si la región es distinta (por ejemplo, `us-east-1`), el texto del apartado 6 debe actualizarse y evaluar si se requiere una DPA con SCC. - **DPA firmadas**: verificar que se han firmado o aceptado los Data Processing Agreements (DPA) con Supabase (https://supabase.com/privacy), Stripe (https://stripe.com/es/legal/dpa) y Vercel (https://vercel.com/legal/dpa) antes de la publicación. - **Registro de actividades de tratamiento** (art. 30 RGPD): una vez superados los umbrales del artículo 30.5 (menos de 250 empleados, salvo si el tratamiento puede entrañar riesgo para los derechos y libertades), valorar si es necesario mantener el registro. En todo caso, es recomendable mantenerlo desde el inicio como buena práctica. - **Designación de DPO** (art. 37 RGPD): analizar si coffelate, como marketplace con tratamiento sistemático de datos de comportamiento de consumo y geolocalización, está obligado a designar un DPO. Si no es obligatorio, se recomienda como buena práctica dado el sector. - **Análisis de Impacto en Protección de Datos (AIPD / DPIA)**: valorar si el tratamiento de datos de geolocalización y de historial de consumo a escala requiere una DPIA conforme al artículo 35 RGPD. - **Cookies**: revisar con el equipo técnico que el nombre exacto de la cookie de sesión de Supabase coincide con el indicado en la tabla del apartado 10. El nombre tiene el formato `sb-[project-ref]-auth-token` donde `[project-ref]` es el identificador del proyecto en Supabase. - **Marco de Privacidad de Datos UE-EE.UU.**: verificar que Vercel sigue adherido al Data Privacy Framework en el momento de publicación (la lista actualizada está en https://www.dataprivacyframework.gov/). El DPF fue adoptado por Decisión de la Comisión Europea el 10 de julio de 2023.