📌 Esta política aplica a la aplicación web www.cuentaycocina.app. Para la política del sitio web de marketing (cuentaycocina.com), consulta la sección correspondiente.
1. Responsable del Tratamiento
| Nombre | Cuenta & Cocina |
| Actividad | Cuenta & Cocina |
| Dirección | Girona, Cataluña, España |
| [email protected] | |
| Web | cuentaycocina.com |
2. Datos que Recopilamos
2.1 Datos de cuenta
- Dirección de correo electrónico (obligatorio)
- Nombre completo (opcional)
- Contraseña (almacenada como hash cifrado — nunca en texto plano)
- Fecha y hora de registro · Preferencia de idioma
2.2 Datos del restaurante
- Nombre del restaurante
- Configuración: IVA por defecto, objetivo de coste alimentario, moneda
2.3 Datos operativos
- Ingredientes: nombre, marca, precio, cantidad, unidad, categoría, IVA
- Platos del menú: nombre, precio de venta, receta, coste calculado, margen
- Facturas escaneadas: fecha, proveedor, nombre del archivo, hash SHA-256. El archivo original y el texto OCR nunca se almacenan.
- Historial de compras: nombre del ingrediente, cantidad, precio unitario, fecha
2.4 Datos de uso y sesión
- Número de escaneos utilizados · Plan activo · Estado del periodo de prueba
- Dirección IP y user agent (almacenados temporalmente por Supabase Auth)
- Tokens de sesión activos
2.5 Datos de pago
- ID de cliente Stripe e ID de suscripción (solo referencias internas)
- Los datos de tarjeta bancaria son procesados exclusivamente por Stripe y nunca son almacenados por Cuenta & Cocina.
2.6 Datos analíticos
Eventos de uso anónimos/pseudoanonimizados a través de PostHog EU. Desactivados por defecto.
3. Base Legal del Tratamiento
| Tratamiento | Base legal |
|---|---|
| Gestión de cuenta y prestación del servicio | Ejecución de contrato (Art. 6.1.b RGPD) |
| Procesamiento de facturas y análisis de menú | Ejecución de contrato (Art. 6.1.b RGPD) |
| Gestión de pagos y suscripciones | Ejecución de contrato (Art. 6.1.b RGPD) |
| Prevención del abuso de periodos de prueba | Interés legítimo (Art. 6.1.f RGPD) |
| Analítica de uso (PostHog) | Consentimiento (Art. 6.1.a RGPD) — opt-out disponible |
| Cumplimiento de obligaciones legales | Obligación legal (Art. 6.1.c RGPD) |
4. Finalidad del Tratamiento
Utilizamos los datos exclusivamente para:
- Prestar el servicio: análisis de costes, escaneo de facturas, gestión de menú y recomendaciones con IA
- Gestionar tu cuenta: autenticación, recuperación de contraseña, gestión de sesiones
- Gestionar suscripciones y pagos: facturación, renovaciones, cambios de plan
- Mejorar el servicio: analítica de uso para entender cómo se utiliza la aplicación
- Seguridad: detección de accesos no autorizados, prevención del fraude
- Comunicaciones de servicio: notificaciones sobre tu cuenta, fin de prueba, fallos de pago
⛔ No utilizamos tus datos para: publicidad de terceros, venta de datos, perfilado automatizado con efectos jurídicos, ni comunicaciones de marketing sin tu consentimiento explícito.
5. Subencargados del Tratamiento
| Proveedor | Servicio | Ubicación | DPA |
|---|---|---|---|
| Supabase | Base de datos y autenticación | EU Frankfurt | Activo |
| Vercel | Alojamiento frontend | EU Frankfurt (fra1) | Activo |
| Render | Alojamiento backend | EU Frankfurt | Activo |
| OpenAI | Análisis IA y recetas | USA (con garantías adecuadas) | Activo |
| Google Cloud Vision | OCR para facturas | EU | Activo |
| Stripe | Pagos | EU/USA | Activo |
| Resend | Emails transaccionales | EU | Activo |
| PostHog | Analítica de uso | EU (eu.posthog.com) | Activo |
| Cloudflare | CDN y seguridad | Global (edge) | Activo |
Las transferencias fuera del EEE (principalmente OpenAI) se realizan bajo Cláusulas Contractuales Tipo conforme al Art. 46 RGPD.
6. Retención de Datos
| Tipo de dato | Periodo de retención |
|---|---|
| Datos de cuenta (email, nombre) | Hasta eliminación de cuenta |
| Ingredientes y platos del menú | Borrado lógico inmediato · Borrado físico a los 7 días |
| Restaurantes e inventario | Borrado lógico inmediato · Borrado físico a los 7 días |
| Historial de compras, precios, facturas, ventas | Hasta eliminación de cuenta · Borrado lógico tras 2 años de inactividad |
| Datos de sesión (IP, user agent) | Gestionados por Supabase Auth — sesiones caducadas eliminadas automáticamente |
| Referencias de pago (Stripe) | Hasta eliminación de cuenta |
| Lista de bloqueo de pruebas | Indefinido — interés legítimo (Art. 6.1.f RGPD) |
| Analítica PostHog | 1 año |
| Logs del servidor | Máximo 90 días |
🔄 Sistema de borrado en dos fases: Al eliminar un elemento, se marca como borrado (soft delete) y deja de ser visible. A los 7 días, un proceso automático lo elimina físicamente. Los datos financieros históricos se retienen hasta la cancelación de cuenta.
📄 Sobre las facturas: Cuenta & Cocina nunca almacena el archivo original ni el texto OCR. Solo se guardan los datos estructurados extraídos y un hash SHA-256 para auditoría de integridad.
7. Derechos del Interesado
| Derecho | Cómo ejercerlo |
|---|---|
| Acceso (Art. 15) | Ajustes → Cuenta → "Descargar mis datos" |
| Rectificación (Art. 16) | Editar en la app o contactar [email protected] |
| Supresión (Art. 17) | Ajustes → Cuenta → "Eliminar mi cuenta" |
| Portabilidad (Art. 20) | Exportar en JSON desde Ajustes → Cuenta |
| Oposición (Art. 21) | Contactar [email protected] |
| Limitación (Art. 18) | Contactar [email protected] |
| Retirar consentimiento (Art. 7.3) | Ajustes → Cuenta → "Revocar consentimiento y borrar datos" |
Responderemos en un plazo máximo de 30 días. Si consideras que se vulnera el RGPD, puedes reclamar ante la Agencia Española de Protección de Datos (AEPD).
8. Seguridad
- Cifrado en tránsito: HTTPS/TLS en todas las comunicaciones
- Cifrado en reposo: Bases de datos cifradas en Supabase (AES-256)
- Autenticación: Tokens JWT + refresh tokens. Contraseñas con bcrypt.
- Control de acceso: Row Level Security (RLS) — cada usuario solo accede a sus propios datos
- Minimización de datos: El texto original de facturas nunca se almacena
- Acceso a producción: Solo el responsable del tratamiento
9. Cookies y Seguimiento
| Cookie | Tipo | Finalidad | Duración |
|---|---|---|---|
| sb-* (Supabase) | Esencial | Gestión de sesión | Sesión / 7 días |
| PostHog | Analítica | Análisis de uso anónimo | 1 año |
| Consentimiento cookies | Esencial | Guardar preferencia | 1 año |
Las cookies analíticas de PostHog están desactivadas por defecto. No utilizamos cookies de publicidad ni de seguimiento de terceros.
10. Menores
La aplicación está dirigida exclusivamente a profesionales de la restauración. No está destinada a menores de 16 años. Contacta [email protected] si tienes conocimiento de ello.
11. Cambios en esta Política
Notificaremos cualquier cambio material mediante aviso en la aplicación al iniciar sesión y por email para cambios significativos. La versión actualizada estará siempre disponible en cuentaycocina.com/privacy.html.
12. Contacto
📧 Email: [email protected]
📍 Dirección: Girona, Cataluña, España
🌐 Web: cuentaycocina.com
📌 Aquesta política s'aplica a l'aplicació web www.cuentaycocina.app. Per a la política del lloc web de màrqueting (cuentaycocina.com), consulta la secció corresponent.
1. Responsable del Tractament
| Nom | Cuenta & Cocina |
| Activitat | Cuenta & Cocina |
| Adreça | Girona, Catalunya, Espanya |
| [email protected] | |
| Web | cuentaycocina.com |
2. Dades que Recollim
2.1 Dades de compte
- Adreça de correu electrònic (obligatori)
- Nom complet (opcional)
- Contrasenya (emmagatzemada com a hash xifrat — mai en text pla)
- Data i hora de registre · Preferència d'idioma
2.2 Dades del restaurant
- Nom del restaurant
- Configuració: IVA per defecte, objectiu de cost alimentari, moneda
2.3 Dades operatives
- Ingredients: nom, marca, preu, quantitat, unitat, categoria, IVA
- Plats del menú: nom, preu de venda, recepta, cost calculat, marge
- Factures escanejades: data, proveïdor, nom de l'arxiu, hash SHA-256. L'arxiu original i el text OCR mai s'emmagatzemen.
- Historial de compres: nom de l'ingredient, quantitat, preu unitari, data
2.4 Dades d'ús i sessió
- Nombre d'escanejos utilitzats · Pla actiu · Estat del període de prova
- Adreça IP i user agent (emmagatzemats temporalment per Supabase Auth)
- Tokens de sessió actius
2.5 Dades de pagament
- ID de client Stripe i ID de subscripció (només referències internes)
- Les dades de targeta bancària són processades exclusivament per Stripe i mai s'emmagatzemen per Cuenta & Cocina.
2.6 Dades analítiques
Esdeveniments d'ús anònims/pseudoanonimitzats a través de PostHog EU. Desactivats per defecte.
3. Base Legal del Tractament
| Tractament | Base legal |
|---|---|
| Gestió de compte i prestació del servei | Execució de contracte (Art. 6.1.b RGPD) |
| Processament de factures i anàlisi de menú | Execució de contracte (Art. 6.1.b RGPD) |
| Gestió de pagaments i subscripcions | Execució de contracte (Art. 6.1.b RGPD) |
| Prevenció de l'abús de períodes de prova | Interès legítim (Art. 6.1.f RGPD) |
| Analítica d'ús (PostHog) | Consentiment (Art. 6.1.a RGPD) — opt-out disponible |
| Compliment d'obligacions legals | Obligació legal (Art. 6.1.c RGPD) |
4. Finalitat del Tractament
Fem servir les dades exclusivament per a:
- Prestar el servei: anàlisi de costos, escaneig de factures, gestió de menú i recomanacions amb IA
- Gestionar el teu compte: autenticació, recuperació de contrasenya, gestió de sessions
- Gestionar subscripcions i pagaments: facturació, renovacions, canvis de pla
- Millorar el servei: analítica d'ús per entendre com s'utilitza l'aplicació
- Seguretat: detecció d'accessos no autoritzats, prevenció del frau
- Comunicacions de servei: notificacions sobre el teu compte, fi de prova, fallades de pagament
⛔ No fem servir les teves dades per a: publicitat de tercers, venda de dades, perfilat automatitzat amb efectes jurídics, ni comunicacions de màrqueting sense el teu consentiment explícit.
5. Subcontractistes del Tractament
| Proveïdor | Servei | Ubicació | DPA |
|---|---|---|---|
| Supabase | Base de dades i autenticació | EU Frankfurt | Actiu |
| Vercel | Allotjament frontend | EU Frankfurt (fra1) | Actiu |
| Render | Allotjament backend | EU Frankfurt | Actiu |
| OpenAI | Anàlisi IA i receptes | USA (amb garanties adequades) | Actiu |
| Google Cloud Vision | OCR per a factures | EU | Actiu |
| Stripe | Pagaments | EU/USA | Actiu |
| Resend | Correus transaccionals | EU | Actiu |
| PostHog | Analítica d'ús | EU (eu.posthog.com) | Actiu |
| Cloudflare | CDN i seguretat | Global (edge) | Actiu |
Les transferències fora de l'EEE (principalment OpenAI) es realitzen sota Clàusules Contractuals Tipus conforme a l'Art. 46 RGPD.
6. Retenció de Dades
| Tipus de dada | Període de retenció |
|---|---|
| Dades de compte (email, nom) | Fins a l'eliminació del compte |
| Ingredients i plats del menú | Eliminació lògica immediata · Eliminació física als 7 dies |
| Restaurants i inventari | Eliminació lògica immediata · Eliminació física als 7 dies |
| Historial de compres, preus, factures, vendes | Fins a l'eliminació del compte · Eliminació lògica als 2 anys d'inactivitat |
| Dades de sessió (IP, user agent) | Gestionats per Supabase Auth — sessions caducades eliminades automàticament |
| Referències de pagament (Stripe) | Fins a l'eliminació del compte |
| Llista de bloqueig de proves | Indefinit — interès legítim (Art. 6.1.f RGPD) |
| Analítica PostHog | 1 any |
| Registres del servidor | Màxim 90 dies |
🔄 Sistema d'eliminació en dues fases: En eliminar un element, es marca com a eliminat (soft delete) i deixa de ser visible. Als 7 dies, un procés automàtic l'elimina físicament. Les dades financeres històriques es retenen fins a la cancel·lació del compte.
📄 Sobre les factures: Cuenta & Cocina mai emmagatzema l'arxiu original ni el text OCR. Només es guarden les dades estructurades extretes i un hash SHA-256 per a auditoria d'integritat.
7. Drets de l'Interessat
| Dret | Com exercir-lo |
|---|---|
| Accés (Art. 15) | Ajustos → Compte → "Descarregar les meves dades" |
| Rectificació (Art. 16) | Editar a l'app o contactar [email protected] |
| Supressió (Art. 17) | Ajustos → Compte → "Eliminar el meu compte" |
| Portabilitat (Art. 20) | Exportar en JSON des d'Ajustos → Compte |
| Oposició (Art. 21) | Contactar [email protected] |
| Limitació (Art. 18) | Contactar [email protected] |
| Retirar consentiment (Art. 7.3) | Ajustos → Compte → "Revocar consentiment i esborrar dades" |
Respondrem en un termini màxim de 30 dies. Si consideres que es vulnera el RGPD, pots reclamar a l'Agència Espanyola de Protecció de Dades (AEPD).
8. Seguretat
- Xifrat en trànsit: HTTPS/TLS en totes les comunicacions
- Xifrat en repòs: Bases de dades xifrades a Supabase (AES-256)
- Autenticació: Tokens JWT + refresh tokens. Contrasenyes amb bcrypt.
- Control d'accés: Row Level Security (RLS) — cada usuari només accedeix a les seves pròpies dades
- Minimització de dades: El text original de les factures mai s'emmagatzema
- Accés a producció: Només el responsable del tractament
9. Cookies i Seguiment
| Cookie | Tipus | Finalitat | Durada |
|---|---|---|---|
| sb-* (Supabase) | Essencial | Gestió de sessió | Sessió / 7 dies |
| PostHog | Analítica | Anàlisi d'ús anònim | 1 any |
| Consentiment cookies | Essencial | Guardar preferència | 1 any |
Les cookies analítiques de PostHog estan desactivades per defecte. No fem servir cookies de publicitat ni de seguiment de tercers.
10. Menors
L'aplicació està dirigida exclusivament a professionals de la restauració. No està destinada a menors de 16 anys. Contacta [email protected] si en tens coneixement.
11. Canvis en aquesta Política
Notificarem qualsevol canvi material mitjançant avís a l'aplicació en iniciar sessió i per correu electrònic per a canvis significatius. La versió actualitzada estarà sempre disponible a cuentaycocina.com/privacy.html.
12. Contacte
📧 Email: [email protected]
📍 Adreça: Girona, Catalunya, Espanya
🌐 Web: cuentaycocina.com
📌 This policy applies to the web application www.cuentaycocina.app. For the marketing website policy (cuentaycocina.com), please refer to the relevant section.
1. Data Controller
| Name | Cuenta & Cocina |
| Business | Cuenta & Cocina |
| Address | Girona, Catalonia, Spain |
| [email protected] | |
| Web | cuentaycocina.com |
2. Data We Collect
2.1 Account data
- Email address (required)
- Full name (optional)
- Password (stored as encrypted hash — never in plain text)
- Registration date and time · Language preference
2.2 Restaurant data
- Restaurant name
- Settings: default VAT, food cost target, currency
2.3 Operational data
- Ingredients: name, brand, price, quantity, unit, category, VAT
- Menu items: name, sale price, recipe, calculated cost, margin
- Scanned invoices: date, supplier, file name, SHA-256 hash. The original file and OCR text are never stored.
- Purchase history: ingredient name, quantity, unit price, date
2.4 Usage and session data
- Number of scans used · Active plan · Trial status
- IP address and user agent (stored temporarily by Supabase Auth)
- Active session tokens
2.5 Payment data
- Stripe customer ID and subscription ID (internal references only)
- Bank card data is processed exclusively by Stripe and is never stored by Cuenta & Cocina.
2.6 Analytics data
Anonymous/pseudonymised usage events via PostHog EU. Disabled by default.
3. Legal Basis for Processing
| Processing | Legal basis |
|---|---|
| Account management and service delivery | Contract performance (Art. 6.1.b GDPR) |
| Invoice processing and menu analysis | Contract performance (Art. 6.1.b GDPR) |
| Payment and subscription management | Contract performance (Art. 6.1.b GDPR) |
| Prevention of trial abuse | Legitimate interest (Art. 6.1.f GDPR) |
| Usage analytics (PostHog) | Consent (Art. 6.1.a GDPR) — opt-out available |
| Compliance with legal obligations | Legal obligation (Art. 6.1.c GDPR) |
4. Purpose of Processing
We use your data exclusively for:
- Service delivery: cost analysis, invoice scanning, menu management and AI recommendations
- Account management: authentication, password recovery, session management
- Subscription and payment management: billing, renewals, plan changes
- Service improvement: usage analytics to understand how the app is used
- Security: detection of unauthorised access, fraud prevention
- Service communications: notifications about your account, trial expiry, payment failures
⛔ We do not use your data for: third-party advertising, data sales, automated profiling with legal effects, or marketing communications without your explicit consent.
5. Sub-processors
| Provider | Service | Data location | DPA |
|---|---|---|---|
| Supabase | Database and authentication | EU Frankfurt | Active |
| Vercel | Frontend hosting | EU Frankfurt (fra1) | Active |
| Render | Backend hosting | EU Frankfurt | Active |
| OpenAI | AI analysis and recipes | USA (adequate safeguards) | Active |
| Google Cloud Vision | OCR for invoices | EU | Active |
| Stripe | Payment processing | EU/USA | Active |
| Resend | Transactional emails | EU | Active |
| PostHog | Usage analytics | EU (eu.posthog.com) | Active |
| Cloudflare | CDN and security | Global (edge) | Active |
Transfers outside the EEA (primarily OpenAI) are carried out under Standard Contractual Clauses pursuant to Art. 46 GDPR.
6. Data Retention
| Data type | Retention period |
|---|---|
| Account data (email, name) | Until account deletion |
| Ingredients and menu items | Soft delete immediately · Hard delete after 7 days |
| Restaurants and inventory | Soft delete immediately · Hard delete after 7 days |
| Purchase history, prices, invoices, sales | Until account deletion · Soft delete after 2 years of inactivity |
| Session data (IP, user agent) | Managed by Supabase Auth — expired sessions deleted automatically |
| Payment references (Stripe) | Until account deletion |
| Trial block list | Indefinite — legitimate interest (Art. 6.1.f GDPR) |
| PostHog analytics | 1 year |
| Server logs | Maximum 90 days |
🔄 Two-phase deletion system: When a user deletes an item, it is marked as deleted (soft delete) and hidden. After 7 days, an automated process permanently deletes it. Financial and historical data is retained until account cancellation.
📄 On invoices: Cuenta & Cocina never stores the original invoice file or OCR text. Only structured extracted data and a SHA-256 hash for integrity audit are stored.
7. Data Subject Rights
| Right | How to exercise |
|---|---|
| Access (Art. 15) | Settings → Account → "Download my data" |
| Rectification (Art. 16) | Edit in the app or contact [email protected] |
| Erasure (Art. 17) | Settings → Account → "Delete my account" |
| Portability (Art. 20) | Export as JSON from Settings → Account |
| Objection (Art. 21) | Contact [email protected] |
| Restriction (Art. 18) | Contact [email protected] |
| Withdraw consent (Art. 7.3) | Settings → Account → "Revoke consent and delete data" |
We will respond within a maximum of 30 days. If you believe GDPR is being violated, you may lodge a complaint with the Spanish Data Protection Authority (AEPD).
8. Security
- Encryption in transit: HTTPS/TLS on all communications
- Encryption at rest: Encrypted databases in Supabase (AES-256)
- Authentication: JWT tokens + refresh tokens. Passwords hashed with bcrypt.
- Access control: Row Level Security (RLS) — each user can only access their own data
- Data minimisation: Original invoice text is never stored
- Production access: Only the data controller
9. Cookies and Tracking
| Cookie | Type | Purpose | Duration |
|---|---|---|---|
| sb-* (Supabase) | Essential | Session management | Session / 7 days |
| PostHog | Analytics | Anonymous usage analysis | 1 year |
| Cookie consent | Essential | Save preference | 1 year |
PostHog analytics cookies are disabled by default. We do not use advertising or third-party tracking cookies.
10. Minors
The application is intended exclusively for restaurant professionals. It is not intended for users under 16 years of age. Contact [email protected] if you become aware of this.
11. Changes to this Policy
We will notify any material changes via an in-app notice at login and by email for significant changes. The updated version will always be available at cuentaycocina.com/privacy.html.
12. Contact
📧 Email: [email protected]
📍 Address: Girona, Catalonia, Spain
🌐 Web: cuentaycocina.com