1. Información general
Esta Política de Privacidad regula el tratamiento de datos personales que se lleva a cabo a través del sitio web scandallo.com y de la aplicación web/PWA Scan-Dallo (en adelante, "el Servicio").
El tratamiento se ajusta al Reglamento (UE) 2016/679 (RGPD), a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y a la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
La identidad y los datos de contacto del responsable del tratamiento se detallan en el apartado 15 de este documento.
2. Datos que tratamos
Según el uso que hagas del Servicio, podemos tratar las siguientes categorías de datos personales:
a) Datos de cuenta y autenticación. Dirección de correo electrónico y contraseña (almacenada de forma cifrada — la contraseña nunca es legible por nosotros). Si inicias sesión con Google, recibimos de Google tu nombre, dirección de correo y el identificador interno de tu cuenta de Google. No accedemos a contactos, calendarios ni otros datos de tu cuenta de Google.
b) Datos del negocio. Nombre del establecimiento, tipo (restaurante, bar, pastelería, catering, otro) y, si lo facilitas, NIF/CIF.
c) Datos de uso y de contenido. Facturas y albaranes que subes (imágenes JPEG/PNG o PDF), ingredientes, recetas, proveedores, precios, mermas, configuración de planes y cualquier otra información que introduzcas dentro del Servicio.
d) Datos de facturación y pago. Razón social, NIF/CIF, dirección fiscal y datos de la suscripción. Los datos de tarjeta de crédito se procesan exclusivamente por Stripe, Inc. y no son almacenados por Scan-Dallo en ningún momento.
e) Datos técnicos. Dirección IP, identificador del dispositivo, idioma del navegador, tipo de navegador, sistema operativo, hora de acceso, páginas visitadas y eventos básicos imprescindibles para la seguridad y el correcto funcionamiento del Servicio.
f) Datos de comunicaciones. Cualquier consulta que nos envíes por correo electrónico u otros canales de soporte (contenido del mensaje, datos identificativos del emisor y metadatos asociados).
g) Datos de analítica (opcional). Eventos agregados de uso del Servicio (qué pantallas visitas, qué acciones realizas), únicamente si has prestado tu consentimiento expreso a través del banner de cookies.
3. Finalidades del tratamiento y bases jurídicas
Cada finalidad se ampara en una base jurídica concreta del artículo 6.1 RGPD:
| Finalidad | Base jurídica |
|---|---|
| Creación de la cuenta, autenticación y prestación del Servicio (carga y procesamiento de facturas, cálculo de escandallos, gestión de recetas e ingredientes). | Ejecución de un contrato (art. 6.1.b RGPD). |
| Gestión de la suscripción, facturación y cobros. | Ejecución de un contrato (art. 6.1.b RGPD). |
| Comunicaciones transaccionales imprescindibles (confirmación de cuenta, recordatorios de pago, avisos de servicio, restablecimiento de contraseña). | Ejecución de un contrato (art. 6.1.b RGPD). |
| Cumplimiento de obligaciones contables, fiscales y mercantiles (conservación de facturas emitidas y recibidas, atención a requerimientos de autoridades). | Obligación legal (art. 6.1.c RGPD; Código de Comercio art. 30; Ley General Tributaria art. 66). |
| Garantía de la seguridad del Servicio, prevención del fraude y abuso, registro de incidencias. | Interés legítimo del responsable (art. 6.1.f RGPD). |
| Mejora del Servicio mediante analítica agregada de uso. | Consentimiento del interesado (art. 6.1.a RGPD), prestado a través del banner de cookies. Revocable en cualquier momento. |
| Atención a tus consultas y reclamaciones. | Consentimiento del interesado (art. 6.1.a RGPD) al iniciar tú mismo el contacto. |
No realizamos comunicaciones comerciales salvo que nos prestes tu consentimiento expreso y separado para ello. En cualquier momento podrás darte de baja desde el propio email o escribiéndonos.
4. Plazos de conservación
Conservamos cada categoría de datos durante el tiempo estrictamente necesario para las finalidades descritas:
- Datos de cuenta y de contenido (recetas, ingredientes, facturas digitalizadas, etc.): mientras tu cuenta permanezca activa. Si cancelas la cuenta, se eliminan en un plazo máximo de 90 días naturales.
- Datos de facturación y registros contables: durante un plazo de 6 años desde el cierre del ejercicio, según el artículo 30 del Código de Comercio, y los plazos de prescripción tributaria de la Ley General Tributaria.
- Datos analíticos consentidos: un máximo de 14 meses desde la fecha del evento, según las directrices de la AEPD.
- Datos técnicos de seguridad (registros de acceso, IP): entre 6 y 12 meses, salvo que sean necesarios para resolver un incidente concreto.
- Caché temporal de OCR: las imágenes que subes para su procesamiento se almacenan en el bucket privado durante el tiempo de uso de tu cuenta; el caché técnico de respuestas del modelo de IA se asocia a un hash criptográfico de la imagen y no contiene datos identificativos del usuario.
- Comunicaciones de soporte: durante un máximo de 2 años desde la resolución de la consulta, salvo que un asunto continúe abierto.
Una vez expirados estos plazos, los datos se eliminan o se anonimizan de forma irreversible.
5. Encargados del tratamiento
Para prestar el Servicio confiamos en proveedores que actúan como encargados del tratamiento y han firmado los correspondientes contratos previstos en el artículo 28 RGPD:
| Proveedor | Finalidad | Sede de tratamiento |
|---|---|---|
| Supabase Inc. | Base de datos, autenticación y almacenamiento de archivos. | Espacio Económico Europeo (región Frankfurt) y EE. UU. (organización matriz). |
| Vercel Inc. | Alojamiento y entrega del frontend, gestión de dominios. | EE. UU. con CDN global; región preferente Frankfurt. |
| Stripe Payments Europe Ltd. | Procesamiento de pagos y facturación. | Irlanda, con tratamiento técnico también en EE. UU. |
| Anthropic PBC | Procesamiento por IA de las imágenes de factura (OCR). | EE. UU. |
| Resend, Inc. | Envío de correos transaccionales. | EE. UU. con infraestructura en EEE. |
| Functional Software, Inc. (Sentry) | Monitorización de errores técnicos. | EE. UU. con almacenamiento en EEE bajo el régimen "EU Data Residency". |
| PostHog Inc. | Analítica de producto (solo con tu consentimiento expreso). | EEE (región Frankfurt). |
La lista se mantiene actualizada. Cuando incorporemos o sustituyamos un encargado, lo reflejaremos en esta misma sección con la fecha indicada en el encabezado.
6. Transferencias internacionales de datos
Algunos de los encargados anteriores tratan datos fuera del Espacio Económico Europeo (principalmente en Estados Unidos). En esos casos, las transferencias se amparan en:
- Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914).
- En el caso de proveedores establecidos en EE. UU., adicionalmente en su adhesión al EU-U.S. Data Privacy Framework cuando aplique.
- Medidas técnicas y organizativas suplementarias como el cifrado en tránsito (TLS 1.2 o superior) y en reposo, controles de acceso por roles y minimización de datos enviados.
Puedes solicitar más información sobre las garantías concretas escribiendo a la dirección de contacto que figura en el apartado 15.
7. Decisiones automatizadas y uso de IA
El Servicio utiliza un modelo de inteligencia artificial (Claude, de Anthropic) para leer automáticamente el contenido de las facturas que tú decides subir. Esa operación es asistida por IA pero no produce decisiones automatizadas con efectos jurídicos sobre ti ni te afecta significativamente, en el sentido del artículo 22 RGPD:
- El resultado del OCR es una propuesta editable que tú revisas y confirmas antes de que se guarde.
- No realizamos perfiles de ti ni de tus clientes.
- No tomamos decisiones automatizadas sobre tu suscripción, precios o acceso al Servicio.
Si en el futuro implementáramos algún tratamiento automatizado que sí encaje en el artículo 22 RGPD, lo comunicaríamos de forma expresa y solicitaríamos tu consentimiento previo cuando proceda.
8. Seguridad
Aplicamos medidas técnicas y organizativas razonables y proporcionadas para garantizar la seguridad de tus datos, conforme al artículo 32 RGPD. Sin limitación, esto incluye:
- Cifrado TLS 1.2/1.3 para todas las comunicaciones entre tu dispositivo y nuestros servidores.
- Cifrado en reposo en bases de datos y almacenamiento de archivos.
- Row Level Security (RLS) en la base de datos para garantizar el aislamiento entre cuentas: ningún usuario puede ver datos de otra cuenta.
- Autenticación con contraseñas almacenadas mediante funciones de hashing robustas y, opcionalmente, inicio de sesión federado con Google.
- Copias de seguridad cifradas y registros de auditoría.
- Acceso interno limitado al personal estrictamente necesario y bajo deber de confidencialidad.
Ningún sistema es completamente invulnerable. En caso de violación de seguridad que afecte a tus datos personales y que entrañe un riesgo para tus derechos, te lo notificaremos sin dilación indebida tal y como exige el artículo 34 RGPD, y notificaremos a la AEPD en el plazo de 72 horas.
9. Tus derechos
En cualquier momento puedes ejercer los siguientes derechos reconocidos por el RGPD:
- Acceso (art. 15 RGPD): saber qué datos tuyos tratamos y obtener una copia.
- Rectificación (art. 16 RGPD): corregir datos inexactos o incompletos.
- Supresión o "derecho al olvido" (art. 17 RGPD): solicitar que borremos tus datos cuando proceda.
- Limitación del tratamiento (art. 18 RGPD).
- Portabilidad (art. 20 RGPD): recibir tus datos en un formato estructurado, de uso común y lectura mecánica (te los entregamos en formato JSON/CSV).
- Oposición (art. 21 RGPD), incluido el tratamiento basado en interés legítimo.
- Revocación del consentimiento prestado, en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.
- No ser objeto de decisiones automatizadas con efectos significativos (art. 22 RGPD).
Cómo ejercerlos: envía un correo a la dirección de contacto indicada en el apartado 15, especificando el derecho que ejerces y aportando una copia de un documento que acredite tu identidad si lo consideramos necesario para protegerte frente a accesos no autorizados.
Atendemos las solicitudes en el plazo máximo de un mes (prorrogable a dos meses adicionales en casos complejos, comunicándotelo).
Si entiendes que no hemos atendido correctamente tu solicitud, tienes derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD), con sede en C/ Jorge Juan, 6, 28001 Madrid, o a través de su sede electrónica en www.aepd.es.
10. Cookies y tecnologías similares
El Servicio utiliza:
- Cookies técnicas e imprescindibles para la autenticación, el correcto funcionamiento y la seguridad. No requieren consentimiento previo conforme al art. 22 LSSI-CE.
- Cookies de analítica, únicamente si las aceptas expresamente a través de nuestro banner de cookies. Puedes revocar el consentimiento en cualquier momento desde el enlace "Gestionar cookies" disponible en el pie de página.
- No utilizamos cookies publicitarias, de perfilado de comportamiento ni de marketing.
Para más detalle, consulta nuestra Política de Cookies, accesible desde el pie de página del sitio.
11. Menores de edad
El Servicio está dirigido exclusivamente a profesionales de la hostelería y restauración mayores de edad. No recogemos datos de menores de 14 años de forma consciente. Si detectamos que se ha creado una cuenta a nombre de un menor sin contar con el consentimiento del titular de la patria potestad o tutela, procederemos a su cancelación inmediata.
Si eres padre, madre o tutor y crees que un menor a tu cargo nos ha facilitado datos personales, escríbenos a la dirección del apartado 15 y los suprimiremos.
12. Enlaces a terceros
El Servicio puede contener enlaces a sitios web de terceros. Esta política se refiere únicamente al tratamiento que realiza Scan-Dallo. Cuando salgas del Servicio a través de un enlace, te recomendamos consultar la política de privacidad del sitio destino. No nos hacemos responsables de los tratamientos de datos llevados a cabo por terceros.
13. Cambios en esta política
Podemos actualizar esta Política de Privacidad para reflejar cambios normativos, técnicos, organizativos o del propio Servicio. Cuando un cambio sea sustancial, te lo notificaremos:
- Por correo electrónico a la dirección registrada, con antelación razonable.
- Mediante un aviso destacado dentro del Servicio.
La versión vigente será siempre la publicada en scandallo.com/privacidad, indicando la fecha de "Última actualización" en el encabezado. Las versiones anteriores se conservan a disposición de los usuarios que lo soliciten.
14. Reclamaciones y contacto
Si tienes cualquier duda, consulta o reclamación sobre el tratamiento de tus datos personales, puedes escribirnos a:
Procuraremos resolver tu solicitud a la mayor brevedad. Recuerda que también puedes acudir directamente a la Agencia Española de Protección de Datos como autoridad de control.
15. Datos identificativos del responsable del tratamiento
A efectos del art. 13 RGPD y del art. 10 LSSI-CE, el responsable del tratamiento de los datos personales recogidos a través de Scan-Dallo es:
- Titular: Alberto Monzón García (empresario individual / autónomo)
- NIF: 52418590A
- Domicilio fiscal: Calle Alemania 3, viv. 8, 11408 Jerez de la Frontera, Cádiz (España)
- Correo electrónico de contacto: admin@scandallo.com
- Sitio web: https://scandallo.com
Delegado de Protección de Datos (DPD/DPO): dada la naturaleza, alcance y volumen del tratamiento, no concurren las circunstancias del art. 37 RGPD ni del art. 34 LOPDGDD que obliguen a su designación. Para cualquier cuestión relativa a protección de datos puedes dirigirte directamente al responsable a través del correo indicado.
Documento elaborado conforme al RGPD (Reglamento (UE) 2016/679), a la Ley Orgánica 3/2018 (LOPDGDD) y a la Ley 34/2002 (LSSI-CE). Para reclamaciones puedes acudir a la Agencia Española de Protección de Datos (www.aepd.es).