1. Responsable del Tratamiento
| Campo | Detalle |
|---|---|
| Responsable | Cuenta & Cocina |
| Dirección | Girona, Cataluña, España |
| info@cuentaycocina.co | |
| Actividad | Software SaaS de gestión de menú y análisis de costes para restaurantes |
2. Datos que Recogemos
2.1 Datos de cuenta
- Email y nombre completo
- Contraseña (almacenada como hash — nunca en texto plano)
2.2 Datos del restaurante
- Nombre del restaurante · País/región · Tipo de cocina
- Objetivo de food cost · Tipo de IVA aplicable
2.3 Datos operativos
- Ingredientes: nombre, marca, precio, unidad, categoría
- Platos y recetas: nombre, precio de venta, composición
- Historial de compras, facturas (metadatos) y ventas
2.4 Datos de uso
- Número de escaneos utilizados · Plan activo · Estado del periodo de prueba
- Eventos de uso anónimos/pseudoanonimizados a través de PostHog EU. Desactivados por defecto.
2.5 Datos de facturación
- Referencias de pago (IDs de Stripe) — nunca almacenamos datos de tarjeta
3. Bases Legales del Tratamiento
| Finalidad | Base legal |
|---|---|
| Gestión de cuenta y autenticación | Ejecución de contrato (Art. 6.1.b RGPD) |
| Prestación del servicio | Ejecución de contrato (Art. 6.1.b RGPD) |
| Gestión de suscripciones y pagos | Ejecución de contrato (Art. 6.1.b RGPD) |
| Comunicaciones transaccionales | Ejecución de contrato (Art. 6.1.b RGPD) |
| Analítica de uso (PostHog) | Consentimiento (Art. 6.1.a RGPD) — opt-out disponible |
| Prevención de abuso de prueba gratuita | Interés legítimo (Art. 6.1.f RGPD) |
4. Subencargados del Tratamiento
Todos los proveedores disponen de DPA vigente incorporado mediante aceptación de sus Términos de Servicio:
| Proveedor | Servicio | Ubicación | DPA |
|---|---|---|---|
| Supabase | Base de datos y autenticación | EU Frankfurt | Activo |
| Vercel | Alojamiento frontend | EU Frankfurt | Activo |
| Render | Alojamiento backend | EU Frankfurt | Activo |
| OpenAI | Análisis IA y recetas | USA (CCT) | Activo |
| Google Cloud Vision | OCR para facturas | EU | Activo |
| Stripe | Pagos y suscripciones | EU/USA (CCT) | Activo |
| Resend | Emails transaccionales | EU | Activo |
| PostHog EU | Analítica de uso | EU (eu.posthog.com) | Activo |
| Cloudflare | CDN y seguridad | Global + EU | Activo |
5. Retención de Datos
| Categoría | Periodo de retención |
|---|---|
| Datos de cuenta | Hasta eliminación de cuenta |
| Restaurantes e inventario | Marcado como eliminado de forma inmediata · Eliminación permanente a los 30 días |
| Historial de compras, facturas, ventas | Hasta cancelación · Borrado lógico tras 2 años de inactividad |
| Texto OCR de facturas | Eliminado inmediatamente en memoria — nunca persiste |
| Referencias de pago (Stripe) | Hasta cancelación de cuenta |
| Historial de compras (metadatos de facturas, ventas) | Se elimina junto con el restaurante · 30 días hasta eliminación permanente |
| Texto OCR de facturas | Nunca se almacena — se elimina de la memoria inmediatamente tras la extracción de datos estructurados |
| Referencias de pago de Stripe (IDs de transacción, importes facturados) | Se conservan 6 años tras la cancelación de cuenta (obligación fiscal, Art. 29 Ley General Tributaria) |
| Datos analíticos anónimos (PostHog) | Eliminación automática a los 12 meses · Eliminación inmediata tras el borrado de cuenta |
🔄 Sistema de eliminación en dos fases: Al eliminar un elemento, se marca como eliminado y deja de ser visible de forma inmediata en toda la aplicación (filtros, exportaciones, informes, búsquedas). A los 30 días, un proceso automático lo elimina permanentemente de la base de datos. Los datos de pago de Stripe se conservan 6 años conforme a la legislación fiscal española. Si se restaura una copia de seguridad cifrada, las solicitudes de eliminación pendientes se volverán a aplicar.
🕐 Cuentas inactivas: Tras 2 años de inactividad, enviaremos un aviso por email. Si no hay respuesta en 30 días, la cuenta se marca como eliminada. Transcurridos 30 días adicionales, los datos se eliminan permanentemente.
📄 Sobre las facturas: Cuenta & Cocina nunca almacena el archivo original ni el texto OCR. Solo se guardan los datos estructurados extraídos.
6. Derechos de los Usuarios (Art. 15-21 RGPD)
| Derecho | Cómo ejercerlo |
|---|---|
| Acceso (Art. 15) | Ajustes → Cuenta → "Descargar mis datos" (JSON) |
| Rectificación (Art. 16) | Editar en la app o contactar info@cuentaycocina.co |
| Supresión (Art. 17) | Ajustes → Cuenta → "Eliminar mi cuenta" |
| Portabilidad (Art. 20) | Ajustes → Cuenta → "Descargar mis datos" |
| Oposición (Art. 21) | Contactar info@cuentaycocina.co |
| Limitación (Art. 18) | Contactar info@cuentaycocina.co |
Puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.
7. Seguridad
- Cifrado en reposo: AES-256 (Supabase)
- Cifrado en tránsito: TLS/HTTPS en todas las comunicaciones
- Control de acceso por filas (RLS) — cada usuario solo accede a sus propios datos
- Contraseñas almacenadas como hash bcrypt
- Eliminación automatizada mediante pg_cron
8. Transferencias Internacionales
La mayoría de los datos se procesan en la UE. Las transferencias a USA (OpenAI, Stripe) se realizan bajo Cláusulas Contractuales Tipo (CCT) conforme al Art. 46 RGPD.
9. Cookies y Seguimiento
| Cookie | Tipo | Finalidad | Duración |
|---|---|---|---|
| sb-* (Supabase) | Esencial | Gestión de sesión | Sesión / 7 días |
| cc-cookie-consent | Esencial | Guardar preferencia de cookies | 1 año |
| PostHog (ph_*) | Analítica | Análisis de uso anónimo | 1 año |
Las cookies analíticas de PostHog están desactivadas por defecto. No utilizamos cookies de publicidad. Para más información y para gestionar tus preferencias, consulta nuestra Política de Cookies.
10. Menores de Edad
La aplicación está dirigida exclusivamente a profesionales de la restauración. No está destinada a menores de 16 años. Contacta info@cuentaycocina.co si tienes conocimiento de ello.
11. Notificación de Brechas de Seguridad
En caso de una brecha de seguridad que afecte a datos personales, Cuenta & Cocina:
- Notificará a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde el conocimiento de la brecha (Art. 33 RGPD).
- Si la brecha supone un alto riesgo para los derechos y libertades de los usuarios afectados, les notificará sin dilación indebida por email, indicando la naturaleza de la brecha, los datos afectados, las medidas adoptadas y las recomendaciones para mitigar los posibles efectos (Art. 34 RGPD).
- Documentará internamente todas las brechas, incluidas las que no requieran notificación, conforme al principio de responsabilidad proactiva.
12. Decisiones Automatizadas
Cuenta & Cocina utiliza procesamiento automatizado para las siguientes funcionalidades:
- Clasificación BCG de platos: Algoritmo que clasifica los platos del menú en categorías (Estrella, Caballo de Batalla, Enigma, Perro) basándose en los datos de coste y venta introducidos por el usuario.
- Recomendaciones de IA: Sugerencias generadas por OpenAI para optimizar el menú, basadas exclusivamente en los datos operativos del usuario.
- Alertas de precio: Notificaciones automáticas cuando los precios de ingredientes superan umbrales configurados por el usuario.
Estas funcionalidades son de carácter orientativo y no producen efectos jurídicos ni decisiones vinculantes. El usuario mantiene el control total sobre las decisiones de su negocio. Puedes desactivar las notificaciones automáticas desde Ajustes en cualquier momento.
13. Delegado de Protección de Datos
Dada la naturaleza y escala de nuestro tratamiento de datos, Cuenta & Cocina no está obligada a designar un Delegado de Protección de Datos (DPD) conforme al artículo 37 del RGPD. Para cualquier consulta relacionada con la privacidad, puedes contactarnos directamente en info@cuentaycocina.co.
14. Mecanismo de Consentimiento de Cookies
Al visitar nuestra aplicación por primera vez, se muestra un banner de cookies que te permite aceptar o rechazar las cookies analíticas. Las cookies esenciales (necesarias para la autenticación) no requieren consentimiento. Puedes modificar tus preferencias en cualquier momento desde nuestra Política de Cookies o mediante el botón de gestión de cookies disponible en la configuración.
15. Contacto
📧 Email: info@cuentaycocina.co
📍 Dirección: Girona, Cataluña, España
🌐 Web: cuentaycocina.com
1. Responsable del Tractament
| Camp | Detall |
|---|---|
| Responsable | Cuenta & Cocina |
| Adreça | Girona, Catalunya, Espanya |
| Correu | info@cuentaycocina.co |
| Activitat | Programari SaaS de gestió de menú i anàlisi de costos per a restaurants |
2. Dades que Recollim
2.1 Dades de compte
- Correu electrònic i nom complet
- Contrasenya (emmagatzemada com a hash — mai en text pla)
2.2 Dades del restaurant
- Nom del restaurant · País/regió · Tipus de cuina
- Objectiu de food cost · Tipus d'IVA aplicable
2.3 Dades operatives
- Ingredients: nom, marca, preu, unitat, categoria
- Plats i receptes: nom, preu de venda, composició
- Historial de compres, factures (metadades) i vendes
2.4 Dades d'ús
- Nombre d'escanejos · Pla actiu · Estat del període de prova
- Esdeveniments d'ús anònims via PostHog EU. Desactivats per defecte.
2.5 Dades de facturació
- Referències de pagament (IDs de Stripe) — mai emmagatzemem dades de targeta
3. Bases Legals del Tractament
| Finalitat | Base legal |
|---|---|
| Gestió de compte i autenticació | Execució de contracte (Art. 6.1.b RGPD) |
| Prestació del servei | Execució de contracte (Art. 6.1.b RGPD) |
| Gestió de subscripcions i pagaments | Execució de contracte (Art. 6.1.b RGPD) |
| Comunicacions transaccionals | Execució de contracte (Art. 6.1.b RGPD) |
| Analítica d'ús (PostHog) | Consentiment (Art. 6.1.a RGPD) — opt-out disponible |
| Prevenció d'abús de prova gratuïta | Interès legítim (Art. 6.1.f RGPD) |
4. Subcontractistes del Tractament
| Proveïdor | Servei | Ubicació | DPA |
|---|---|---|---|
| Supabase | Base de dades i autenticació | EU Frankfurt | Actiu |
| Vercel | Allotjament frontend | EU Frankfurt | Actiu |
| Render | Allotjament backend | EU Frankfurt | Actiu |
| OpenAI | Anàlisi IA i receptes | USA (CCT) | Actiu |
| Google Cloud Vision | OCR per a factures | EU | Actiu |
| Stripe | Pagaments i subscripcions | EU/USA (CCT) | Actiu |
| Resend | Correus transaccionals | EU | Actiu |
| PostHog EU | Analítica d'ús | EU (eu.posthog.com) | Actiu |
| Cloudflare | CDN i seguretat | Global + EU | Actiu |
5. Retenció de Dades
| Categoria | Període de retenció |
|---|---|
| Dades de compte | Fins a eliminació del compte |
| Restaurants i inventari | Marcat com a eliminat de forma immediata · Eliminació permanent als 30 dies |
| Historial de compres, factures, vendes | Fins a cancel·lació · Eliminació lògica als 2 anys d'inactivitat |
| Text OCR de factures | Eliminat immediatament en memòria — mai persisteix |
| Referències de pagament (Stripe) | Fins a cancel·lació del compte |
| Historial de compres (metadades de factures, vendes) | S'elimina juntament amb el restaurant · 30 dies fins a eliminació permanent |
| Text OCR de factures | Mai no s'emmagatzema — s'elimina de la memòria immediatament després de l'extracció de dades estructurades |
| Referències de pagament de Stripe (IDs de transacció, imports facturats) | Es conserven 6 anys (obligació fiscal, Art. 29 Llei General Tributària) |
| Dades analítiques anònimes (PostHog) | Eliminació automàtica als 12 mesos · Eliminació immediata en esborrar el compte |
🔄 Sistema d'eliminació en dues fases: En eliminar un element, es marca com a eliminat i deixa de ser visible de forma immediata a tota l'aplicació. Als 30 dies, un procés automàtic l'elimina permanentment. Les dades de pagament de Stripe es conserven 6 anys conforme a la legislació fiscal espanyola. Si es restaura una còpia de seguretat xifrada, les sol·licituds d'eliminació pendents es tornaran a aplicar.
🕐 Comptes inactius: Després de 2 anys d'inactivitat, enviarem un avís per email. Si no hi ha resposta en 30 dies, el compte es marca com a eliminat. Transcorreguts 30 dies addicionals, les dades s'eliminen permanentment.
📄 Sobre les factures: Cuenta & Cocina mai emmagatzema l'arxiu original ni el text OCR. Només es guarden les dades estructurades extretes.
6. Drets dels Usuaris (Art. 15-21 RGPD)
| Dret | Com exercir-lo |
|---|---|
| Accés (Art. 15) | Configuració → Compte → "Descarregar les meves dades" (JSON) |
| Rectificació (Art. 16) | Editar a l'app o contactar info@cuentaycocina.co |
| Supressió (Art. 17) | Configuració → Compte → "Eliminar el meu compte" |
| Portabilitat (Art. 20) | Configuració → Compte → "Descarregar les meves dades" |
| Oposició (Art. 21) | Contactar info@cuentaycocina.co |
| Limitació (Art. 18) | Contactar info@cuentaycocina.co |
Pots presentar una reclamació davant l'AEPD a www.aepd.es.
7. Seguretat
- Xifratge en repòs: AES-256 (Supabase)
- Xifratge en trànsit: TLS/HTTPS
- Control d'accés per files (RLS)
- Contrasenyes emmagatzemades com a hash bcrypt
- Eliminació automatitzada mitjançant pg_cron
8. Transferències Internacionals
La majoria de les dades es processen a la UE. Les transferències als USA es realitzen sota Clàusules Contractuals Tipus (CCT) conforme a l'Art. 46 RGPD.
9. Cookies i Seguiment
| Cookie | Tipus | Finalitat | Durada |
|---|---|---|---|
| sb-* (Supabase) | Essencial | Gestió de sessió | Sessió / 7 dies |
| cc-cookie-consent | Essencial | Guardar preferència | 1 any |
| PostHog (ph_*) | Analítica | Anàlisi d'ús anònim | 1 any |
Les cookies analítiques de PostHog estan desactivades per defecte. Per gestionar les teves preferències, consulta la nostra Política de Galetes.
10. Menors d'Edat
L'aplicació està dirigida exclusivament a professionals de la restauració. No està destinada a menors de 16 anys. Contacta info@cuentaycocina.co si en tens coneixement.
11. Notificació de Bretxes de Seguretat
En cas d'una bretxa de seguretat que afecti dades personals, Cuenta & Cocina:
- Notificarà l'Agència Espanyola de Protecció de Dades (AEPD) en un termini màxim de 72 hores (Art. 33 RGPD).
- Si la bretxa suposa un alt risc, notificarà els usuaris afectats sense dilació indeguda per email (Art. 34 RGPD).
- Documentarà internament totes les bretxes conforme al principi de responsabilitat proactiva.
12. Decisions Automatitzades
Cuenta & Cocina utilitza processament automatitzat per a:
- Classificació BCG de plats: Algoritme que classifica els plats del menú en categories basant-se en les dades de cost i venda.
- Recomanacions d'IA: Suggeriments generats per OpenAI per optimitzar el menú.
- Alertes de preu: Notificacions automàtiques quan els preus superen llindars configurats.
Aquestes funcionalitats són orientatives i no produeixen efectes jurídics. L'usuari manté el control total sobre les decisions del seu negoci.
13. Delegat de Protecció de Dades
Donada la naturalesa i escala del nostre tractament de dades, Cuenta & Cocina no està obligada a designar un Delegat de Protecció de Dades (DPD) conforme a l'article 37 del RGPD. Per a qualsevol consulta relacionada amb la privadesa, pots contactar-nos directament a info@cuentaycocina.co.
14. Mecanisme de Consentiment de Galetes
En visitar la nostra aplicació per primera vegada, es mostra un bàner de galetes que et permet acceptar o rebutjar les galetes analítiques. Les galetes essencials no requereixen consentiment. Pots modificar les teves preferències des de la nostra Política de Galetes.
15. Contacte
📧 Correu: info@cuentaycocina.co
📍 Adreça: Girona, Catalunya, Espanya
🌐 Web: cuentaycocina.com
1. Data Controller
| Field | Detail |
|---|---|
| Controller | Cuenta & Cocina |
| Address | Girona, Catalonia, Spain |
| Activity | SaaS menu management and cost analysis software for restaurants |
2. Data We Collect
2.1 Account data
- Email address and full name
- Password (stored as a hash — never in plain text)
2.2 Restaurant data
- Restaurant name · Country/region · Cuisine type
- Food cost target · Applicable VAT type
2.3 Operational data
- Ingredients: name, brand, price, unit, category
- Dishes and recipes: name, selling price, composition
- Purchase history, invoice metadata and sales data
2.4 Usage data
- Number of scans used · Active plan · Trial status
- Anonymous/pseudonymised usage events via PostHog EU. Disabled by default.
2.5 Billing data
- Payment references (Stripe IDs) — we never store card data
3. Legal Bases for Processing
| Purpose | Legal basis |
|---|---|
| Account management and authentication | Contract performance (Art. 6.1.b GDPR) |
| Service delivery | Contract performance (Art. 6.1.b GDPR) |
| Subscription and payment management | Contract performance (Art. 6.1.b GDPR) |
| Transactional communications | Contract performance (Art. 6.1.b GDPR) |
| Usage analytics (PostHog) | Consent (Art. 6.1.a GDPR) — opt-out available |
| Prevention of free trial abuse | Legitimate interest (Art. 6.1.f GDPR) |
4. Sub-processors
| Provider | Service | Location | DPA |
|---|---|---|---|
| Supabase | Database and authentication | EU Frankfurt | Active |
| Vercel | Frontend hosting | EU Frankfurt | Active |
| Render | Backend hosting | EU Frankfurt | Active |
| OpenAI | AI analysis and recipes | USA (SCCs) | Active |
| Google Cloud Vision | Invoice OCR | EU | Active |
| Stripe | Payments and subscriptions | EU/USA (SCCs) | Active |
| Resend | Transactional emails | EU | Active |
| PostHog EU | Usage analytics | EU (eu.posthog.com) | Active |
| Cloudflare | CDN and security | Global + EU | Active |
5. Data Retention
| Category | Retention period |
|---|---|
| Account data | Until account deletion |
| Restaurant and inventory data | Marked as removed immediately · Permanently deleted after 30 days |
| Purchase history (invoice metadata, sales) | Deleted with restaurant · 30 days until permanent deletion |
| Invoice OCR text | Never stored — deleted from memory immediately after structured data extraction |
| Stripe payment references (transaction IDs, billed amounts) | Retained for 6 years after account cancellation (Spanish tax obligation, Art. 29 Ley General Tributaria) |
| Anonymous analytics data (PostHog) | Automatic deletion after 12 months · Immediate deletion upon account deletion |
🔄 Two-phase deletion system: When you delete an item, it is marked as removed and becomes invisible immediately across the entire application (filters, exports, reports, search). After 30 days, an automated process permanently deletes it from the database. Stripe payment data is retained for 6 years in accordance with Spanish tax law. If an encrypted database backup is restored, pending deletion requests will be re-applied.
🕐 Inactive accounts: After 2 years of inactivity, we will send a warning by email. If there is no response within 30 days, the account is marked as removed. After a further 30 days, data is permanently deleted.
📄 On invoices: Cuenta & Cocina never stores the original invoice file or OCR text. Only structured extracted data is saved.
6. User Rights (Art. 15-21 GDPR)
| Right | How to exercise it |
|---|---|
| Access (Art. 15) | Settings → Account → "Download my data" (JSON) |
| Rectification (Art. 16) | Edit in the app or contact email |
| Erasure (Art. 17) | Settings → Account → "Delete my account" |
| Portability (Art. 20) | Settings → Account → "Download my data" |
| Objection (Art. 21) | Contact email |
| Restriction (Art. 18) | Contact email |
You may also lodge a complaint with the AEPD at www.aepd.es.
7. Security
- Encryption at rest: AES-256 (Supabase)
- Encryption in transit: TLS/HTTPS
- Row-Level Security (RLS) — each user accesses only their own data
- Passwords stored as bcrypt hash
- Automated deletion via pg_cron
8. International Transfers
Most data is processed within the EU. Transfers to the USA (OpenAI, Stripe) are carried out under Standard Contractual Clauses (SCCs) per Art. 46 GDPR.
9. Cookies and Tracking
| Cookie | Type | Purpose | Duration |
|---|---|---|---|
| sb-* (Supabase) | Essential | Session management | Session / 7 days |
| cc-cookie-consent | Essential | Save cookie preference | 1 year |
| PostHog (ph_*) | Analytics | Anonymous usage analysis | 1 year |
PostHog analytics cookies are disabled by default. We do not use advertising cookies. For more information, see our Cookie Policy.
10. Minors
The application is intended exclusively for restaurant professionals. It is not intended for users under 16 years of age. Contact info@cuentaycocina.co if you become aware of this.
11. Data Breach Notification
In the event of a personal data breach, Cuenta & Cocina will:
- Notify the Spanish Data Protection Authority (AEPD) within 72 hours of becoming aware of the breach (Art. 33 GDPR).
- If the breach poses a high risk to the rights and freedoms of affected users, notify them without undue delay by email, specifying the nature of the breach, the data affected, the measures taken, and recommendations to mitigate potential effects (Art. 34 GDPR).
- Internally document all breaches, including those not requiring notification, in accordance with the accountability principle.
12. Automated Decision-Making
Cuenta & Cocina uses automated processing for the following features:
- BCG dish classification: An algorithm that classifies menu items into categories (Star, Workhorse, Puzzle, Dog) based on cost and sales data entered by the user.
- AI recommendations: Suggestions generated by OpenAI to optimise the menu, based solely on the user's operational data.
- Price alerts: Automatic notifications when ingredient prices exceed thresholds configured by the user.
These features are advisory only and do not produce legal effects or binding decisions. The user retains full control over all business decisions. You can disable automatic notifications from Settings at any time.
13. Data Protection Officer
Given the nature and scale of our data processing, Cuenta & Cocina is not required to appoint a Data Protection Officer (DPO) under Article 37 of the GDPR. For any privacy-related enquiries, you can contact us directly at info@cuentaycocina.co.
14. Cookie Consent Mechanism
When you first visit our application, a cookie banner is displayed allowing you to accept or reject analytics cookies. Essential cookies (required for authentication) do not require consent. You can change your preferences at any time from our Cookie Policy or via the cookie management button in settings.
15. Contact
📧 Email: email
📍 Address: Girona, Catalonia, Spain
🌐 Web: cuentaycocina.com