Legal

Política de privacidad

Última actualización: junio 2026 · Conforme al RGPD (UE) 2016/679 y la LOPDGDD 3/2018

1. Responsable del tratamiento

Responsable: [COMPLETAR: Nombre completo o Razón Social], con NIF/CIF [COMPLETAR: NIF/CIF], domiciliado en [COMPLETAR: dirección], que opera bajo la marca comercial Repliq(en adelante, “Repliq” o “nosotros”).

Contacto para protección de datos: dsbusiness.global@gmail.com

Repliq no está obligada a designar un Delegado de Protección de Datos (DPD) con arreglo al art. 37 del RGPD, dado que no realiza tratamientos de datos personales a gran escala ni trata categorías especiales de forma sistemática. Las solicitudes relativas al ejercicio de derechos o consultas sobre privacidad deben dirigirse a la dirección de correo indicada.

2. Datos que recopilamos

  • Datos de cuenta: email, nombre y contraseña (cifrada por Supabase Auth conforme a bcrypt).
  • Datos de negocio: nombre del establecimiento, dirección, zona horaria y categoría.
  • Tokens de Google OAuth: cifrados con AES-256-GCM en reposo; solo accesibles por el servidor.
  • Reseñas de Google Maps: importadas mediante la API oficial de Google Business Profile.
  • Datos de facturación: gestionados íntegramente por Stripe Inc. y Stripe Payments Europe Ltd. No almacenamos datos de tarjeta en nuestros servidores.
  • Logs de IA: prompt, respuesta, modelo y tokens consumidos por cada reseña procesada (para auditoría y mejora).
  • Logs técnicos: IP, user-agent, timestamps de acceso (conservados 30 días para seguridad).

3. Finalidad y base legal

Tratamos tus datos para las siguientes finalidades y bases legales:

  • Prestación del servicio contratado (art. 6.1.b RGPD — ejecución de contrato): gestión de cuenta, generación de borradores con IA, publicación de respuestas en Google.
  • Facturación y obligaciones fiscales (art. 6.1.c RGPD — obligación legal): emisión y conservación de facturas.
  • Mejora del servicio y seguridad (art. 6.1.f RGPD — interés legítimo): análisis agregado de uso, prevención de fraude, auditoría.
  • Comunicaciones transaccionales (art. 6.1.b RGPD): notificaciones operativas del servicio (no comerciales).

No vendemos datos a terceros. No los usamos para perfilado publicitario. No realizamos transferencias internacionales fuera del EEE salvo las indicadas en el apartado 5.

4. Conservación de los datos

Conservamos los datos mientras mantengas una cuenta activa. Al eliminar tu cuenta, los datos personales se suprimen en un plazo máximo de 30 días, salvo los que deban conservarse por obligación legal:

  • Datos de facturación: 6 años (art. 30 Código de Comercio y art. 70 Ley General Tributaria).
  • Logs técnicos de acceso y seguridad: 90 días, salvo que sean necesarios para la investigación de incidentes de seguridad o por requerimiento de autoridad competente.
  • Logs de IA (audit trail): 12 meses para auditoría y cumplimiento.
  • Tokens OAuth de Google: se eliminan inmediatamente al revocar la autorización o eliminar la cuenta.

5. Encargados del tratamiento y transferencias internacionales

Compartimos datos estrictamente necesarios con los siguientes encargados del tratamiento. Todos ellos han suscrito el correspondiente acuerdo de encargo de tratamiento (DPA) y ofrecen garantías suficientes conforme al art. 28 RGPD:

  • Supabase Inc. (base de datos y autenticación) — Servidores en la UE (región eu-west-1). Acuerdo DPA suscrito. Sin transferencia fuera del EEE.
  • Vercel Inc. (alojamiento de la aplicación y analítica de uso agregada, cookieless, vía Vercel Web Analytics — no se instalan cookies de seguimiento ni se genera un identificador persistente por visitante) — Infraestructura en la UE/EEE. DPA suscrito. Sin transferencia fuera del EEE para datos personales.
  • Resend (envío de emails transaccionales y de alerta: confirmación de cuenta, recuperación de contraseña, avisos de reseñas críticas) — Con sede en EE.UU. Transferencia internacional amparada en las Cláusulas Contractuales Tipo (CCT) adoptadas por Decisión de la Comisión Europea 2021/914.
  • Stripe Payments Europe Ltd. (procesamiento de pagos) — Entidad europea con sede en Irlanda. Cumple PCI-DSS Nivel 1. Transferencias a EE.UU. bajo Cláusulas Contractuales Tipo (CCT) de la Comisión Europea.
  • OpenAI, LLC (modelos de lenguaje para generación de borradores de respuesta) — Con sede en EE.UU. Transferencia internacional amparada en las Cláusulas Contractuales Tipo (CCT) adoptadas por Decisión de la Comisión Europea 2021/914. OpenAI no utiliza los datos procesados a través de la API para entrenar sus modelos (API Data Usage Policy, configuración empresarial). Solo se transfieren los textos de las reseñas y el prompt de generación; no se transfieren datos identificativos del usuario final más allá de lo estrictamente necesario.
  • Google LLC (API de Business Profile) — Acceso exclusivamente mediante OAuth 2.0 oficial y para la finalidad autorizada por el usuario. Google actúa como responsable independiente respecto a sus propios servicios. El acceso puede revocarse en cualquier momento desde myaccount.google.com/permissions.

Puedes solicitar copia de los acuerdos de encargo de tratamiento suscritos con los proveedores anteriores dirigiéndote a nuestro correo de contacto.

6. Seguridad

Implementamos medidas técnicas y organizativas conforme al art. 32 RGPD: cifrado TLS 1.3 en tránsito, AES-256-GCM para tokens OAuth en reposo, Row-Level Security (RLS) en base de datos, acceso por rol mínimo, hashing bcrypt para contraseñas, validación HMAC en webhooks, monitorización y auditoría. Los tokens de Google se pueden revocar en cualquier momento desde tu cuenta de Google. El plan de base de datos actual no incluye copias de seguridad con recuperación punto-en-el-tiempo (PITR); estamos evaluando activar esta capacidad a medida que crece el volumen de datos gestionado.

7. Tus derechos

Como titular de los datos puedes ejercer en cualquier momento los derechos reconocidos por el RGPD y la LOPDGDD:

  • — Acceso, rectificación, supresión, oposición, limitación y portabilidad.
  • — Retirada del consentimiento sin efectos retroactivos.
  • — No ser objeto de decisiones automatizadas con efectos jurídicos significativos.

Escríbenos a dsbusiness.global@gmail.com para ejercerlos. Si consideras que tu derecho no ha sido atendido correctamente, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es).

8. Cookies

Utilizamos únicamente cookies estrictamente necesarias para la autenticación y el funcionamiento de la aplicación (sesión, CSRF). No utilizamos cookies de seguimiento ni de publicidad. Usamos Vercel Web Analytics para medir uso agregado del producto (ver sección 5); es cookieless: no instala cookies ni genera un identificador persistente por visitante. Por ello no requerimos banner de consentimiento conforme al art. 22.2 LSSI-CE.

9. Menores de edad

El servicio está dirigido a profesionales y empresas. No recopilamos conscientemente datos de menores de 14 años. Si detectamos uno, procederemos a su supresión inmediata.

10. Cambios en esta política

Podemos actualizar esta política por motivos legales u operativos. Los cambios sustanciales se notificarán por email con al menos 15 días de antelación. La fecha de última actualización aparece al inicio de este documento.