Política de privacidad
**Versión 1.0** | **Fecha de entrada en vigor: [por completar]**
1. Responsable del tratamiento
El responsable de tus datos personales es **GastroBridge**, con domicilio social en **[DIRECCIÓN, Reykjavík, Islandia]**, kennitala: **[KENNITALA]** ("Responsable", "nosotros").
Contacto en materia de protección de datos: **info@gastrobridge.com**
2. Qué datos recopilamos
2.1 Datos de la cuenta de usuario
Nombre y apellidos, dirección de correo electrónico, número de teléfono (opcional), contraseña (almacenada exclusivamente como hash criptográfico en el sistema Firebase Authentication - el Responsable no tiene acceso a las contraseñas en texto plano).
2.2 Datos de la organización
Nombre legal de la empresa, kennitala (número de identificación de la empresa), número de IVA (VSK), dirección del domicilio social, dirección de entrega, dirección del almacén, número de cuenta bancaria (IBAN), correo electrónico de la organización, número de teléfono de la organización, correo electrónico de facturación, condiciones de pago, configuración de envío.
2.3 Datos operativos
Historial de inicios de sesión, configuración de la cuenta, acciones realizadas en el panel (p. ej., realización de pedidos, gestión de catálogos), metadatos de pedidos y consultas.
2.4 Datos de facturación
Información sobre la suscripción, historial de pagos de los servicios del Servicio, datos de facturación relativos a suscripciones. Los pagos son procesados por Stripe - el Responsable no almacena los datos completos de las tarjetas de pago.
2.5 Datos técnicos
Dirección IP, encabezados del navegador (user agent), cookies, registros de errores, datos de Google Analytics (si otorgas tu consentimiento - ver sección 9).
3. Finalidades y bases jurídicas del tratamiento
El tratamiento se realiza de conformidad con el Reglamento (UE) 2016/679 (RGPD), aplicable en Islandia en virtud del Acuerdo sobre el Espacio Económico Europeo, y la Ley islandesa n.° 90/2018 sobre protección de datos personales (lög um persónuvernd og vinnslu persónuupplýsinga).
| Finalidad | Base jurídica | Descripción |
|---|---|---|
| Prestación del servicio | Art. 6.1.b RGPD | Ejecución de un contrato - registro de cuenta, gestión de pedidos, comunicación con Vendedores, gestión de catálogos |
| Contabilidad e impuestos | Art. 6.1.c RGPD | Obligación legal - emisión de facturas por suscripciones del Servicio, mantenimiento de los registros contables del Responsable, cumplimiento de las obligaciones fiscales del Responsable |
| Seguridad y prevención de fraude | Art. 6.1.f RGPD | Interés legítimo - protección contra el acceso no autorizado, detección de fraude, registros de seguridad |
| Análisis y mejora del servicio | Art. 6.1.a RGPD | Consentimiento - Google Analytics, medición de rendimiento, análisis de uso (solo tras otorgar consentimiento mediante el banner de cookies) |
| Marketing de servicios propios | Art. 6.1.a RGPD | Consentimiento - boletín informativo, información sobre nuevas funciones, ofertas (solo tras otorgar consentimiento voluntario, revocable en cualquier momento) |
4. Destinatarios de los datos
Tus datos pueden ser compartidos con las siguientes categorías de destinatarios, exclusivamente en la medida necesaria para cumplir las finalidades descritas en la sección 3:
| Destinatario | Finalidad | Sede | Región de almacenamiento |
|---|---|---|---|
| Google Cloud Platform | Alojamiento de la aplicación (Cloud Run) | EE.UU. | UE (europe-west1 / europe-north1) |
| Firebase Authentication (Google) | Autenticación de usuarios | EE.UU. | UE |
| MongoDB Atlas (MongoDB Inc.) | Base de datos de la aplicación | EE.UU. | UE (europe-west1) |
| SendGrid (Twilio Inc.) | Envío de correos transaccionales | EE.UU. | UE |
| Stripe Inc. | Procesamiento de pagos y suscripciones | EE.UU. | UE |
| Google Analytics (Google LLC) | Análisis de uso (con consentimiento) | EE.UU. | UE |
Todos los encargados tratan los datos en virtud de acuerdos de encargo de tratamiento y de acuerdo con las instrucciones del Responsable.
Además, los datos pueden ser comunicados a autoridades públicas facultadas por la ley (p. ej., Skatturinn, Ríkisskattstjóri).
El Responsable no vende datos personales ni los comparte con fines publicitarios de terceros.
5. Transferencias de datos fuera del EEE
Los encargados del tratamiento enumerados en la sección 4 tienen su sede en Estados Unidos. Los datos se almacenan en servidores en la región de la UE; sin embargo, debido a la ubicación de las sedes de los encargados, puede producirse acceso a los datos desde territorio estadounidense.
Islandia es miembro del Espacio Económico Europeo (EEE). Base jurídica de la transferencia: decisión de adecuación de la Comisión Europea para EE.UU. en el marco del EU-US Data Privacy Framework (decisión del 10 de julio de 2023), también adoptada por el Comité Mixto del EEE. Todas las entidades mencionadas están certificadas en este programa.
Adicionalmente, como garantía complementaria, utilizamos Cláusulas Contractuales Tipo de la UE (CCT) con los encargados del tratamiento.
6. Períodos de conservación de datos
| Categoría de datos | Período de conservación | Base |
|---|---|---|
| Datos de cuenta | Durante la vigencia del contrato + 4 años después de su finalización | Plazo general de prescripción en la legislación islandesa (Ley n.° 150/2007) |
| Datos fiscales y de facturación | 7 años desde el final del año fiscal | Legislación fiscal islandesa (Ley n.° 90/2003, Art. 40) |
| Registros técnicos y de seguridad | Hasta 12 meses | Interés legítimo |
| Copias de seguridad | Hasta 30 días | Continuidad del negocio |
| Datos de marketing | Hasta la retirada del consentimiento | Consentimiento del usuario |
| Datos analíticos (Google Analytics) | Hasta 14 meses | Configuración GA4, consentimiento del usuario |
Una vez transcurridos los períodos de conservación, los datos se eliminan o anonimizan.
7. Tus derechos
En virtud del RGPD y la Ley islandesa n.° 90/2018, te asisten los siguientes derechos:
- **Acceso** - puedes solicitar información sobre los datos tratados (Art. 15)
- **Rectificación** - puedes corregir datos inexactos (Art. 16)
- **Supresión** - puedes solicitar la eliminación de datos, sin perjuicio de las obligaciones legales (Art. 17). GastroBridge ofrece una función de eliminación de cuenta en los ajustes de la aplicación con confirmación por correo electrónico.
- **Limitación del tratamiento** - puedes solicitar la limitación en determinadas circunstancias (Art. 18)
- **Portabilidad de datos** - puedes recibir los datos en un formato estructurado (Art. 20)
- **Oposición** - puedes oponerte al tratamiento basado en el interés legítimo (Art. 21)
- **Retirada del consentimiento** - puedes retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento anterior a la retirada (Art. 7.3)
Puedes dirigir tus solicitudes a: **info@gastrobridge.com**. Responderemos en un plazo de 30 días.
Reclamación ante la autoridad de control
Tienes derecho a presentar una reclamación ante la autoridad islandesa de protección de datos:
**Persónuvernd** Rauðarárstígur 10, 105 Reykjavík, Islandia www.personuvernd.is
Si estás establecido en otro Estado del EEE, también puedes presentar una reclamación ante la autoridad de control de tu país.
8. Seguridad de los datos
Aplicamos las siguientes medidas de protección:
- Cifrado en tránsito (TLS/HTTPS)
- Cifrado en reposo (encryption at rest)
- Control de acceso basado en roles (RBAC)
- Contraseñas almacenadas exclusivamente como hashes criptográficos (Firebase Auth)
- Copias de seguridad periódicas
- Monitorización y actualizaciones de seguridad
9. Cookies
9.1 Esenciales (no requieren consentimiento)
| Cookie | Finalidad | Duración |
|---|---|---|
| __session | Mantenimiento de la sesión de usuario | Sesión |
| gb_cookie_consent | Almacenamiento de preferencias de cookies | 12 meses |
9.2 Analíticas (requieren consentimiento)
| Cookie | Finalidad | Duración |
|---|---|---|
| _ga | Google Analytics - identificación de usuario | 14 meses |
| _ga_[ID] | Google Analytics - estado de sesión | 14 meses |
Las cookies analíticas se cargan únicamente tras otorgar el consentimiento a través del banner de cookies. Puedes cambiar tus preferencias en cualquier momento haciendo clic en "Configuración de cookies" en el pie de página.
10. Datos de menores
El servicio GastroBridge es una plataforma B2B destinada a entidades comerciales. No está dirigido a personas menores de 16 años y no recopilamos datos de dichas personas de forma consciente.
11. Cambios en la Política de privacidad
Nos reservamos el derecho a modificar esta Política. Te informaremos de los cambios sustanciales mediante:
- Notificación en el Servicio
- Correo electrónico a la dirección asociada a tu cuenta
Los cambios sustanciales (p. ej., nuevas finalidades de tratamiento, nuevos destinatarios) pueden requerir un nuevo consentimiento. El uso continuado del Servicio tras la entrada en vigor de cambios editoriales menores implica su aceptación.
La versión actual de la Política está siempre disponible en: [URL]/privacy
12. Contacto
**GastroBridge** Correo electrónico: **info@gastrobridge.com**