Política de Privacidad

El responsable del tratamiento de tus datos personales es [Nombre legal de la empresa], con identificación [CIF / RFC / NIT] y domicilio en [Dirección postal completa].

Para asuntos de privacidad y protección de datos: privacidad@costoreceta.com. Hemos designado un punto de contacto para protección de datos (DPO/encargado) al que puedes escribir en dpo@costoreceta.com.

Esta política aplica a:

• Usuarios registrados y visitantes de costoreceta.com.
• Personas que interactúan con nuestros emails, soporte o redes sociales.
• Colaboradores invitados a un tenant (cuenta de organización) por un usuario principal.

Esta política está diseñada para cumplir con el RGPD (UE), la CCPA (California, EE. UU.), la LFPDPPP (México), la Ley 1581 de 2012 (Colombia), la Ley 25.326 (Argentina) y normativas equivalentes. Los derechos específicos que te corresponden dependen de tu residencia.

Recogemos los datos estrictamente necesarios para operar el servicio:

• Cuenta: nombre, email, contraseña cifrada, país, divisa, idioma, rol (usuario, colaborador, administrador).
• Contenido culinario: recetas, ingredientes, fichas técnicas, precios, mermas, fotografías de platos, notas y descripciones que tú creas.
• Voz: cuando usas el dictado, capturamos el audio temporalmente para transcribirlo. Por defecto el audio se elimina inmediatamente tras la transcripción.
• Interacciones con IA: los prompts que envías a Ask IA, las preguntas, las respuestas generadas y feedback (pulgar arriba/abajo) para mejorar el producto.
• Uso: páginas visitadas, acciones realizadas, errores técnicos (sin fingerprinting ni datos personales de terceros).
• Pagos: Stripe procesa los pagos. Nosotros solo almacenamos el identificador de cliente Stripe, últimos 4 dígitos de la tarjeta y país. No almacenamos números de tarjeta completos.
• Comunicaciones: emails y mensajes que nos envías a soporte y los metadatos asociados.
• Dispositivo: tipo de dispositivo, sistema operativo, navegador, idioma y zona horaria (recopilado automáticamente).
• Consentimiento: registro inmutable de cada decisión sobre cookies y preferencias (IP anonimizada, fecha/hora, versión de la política).

Usamos los datos para:

• Prestar y mejorar el servicio (cuentas, recetas, costeo, IA).
• Procesar pagos y emitir facturas.
• Enviarte notificaciones operativas (cambios de plan, alertas, errores).
• Detectar abuso, fraude y vulnerar la seguridad de la plataforma o de terceros.
• Cumplir obligaciones legales (fiscales, contables, regulatorias).
• Comunicarte novedades del producto y contenido educativo (solo si das consentimiento o aplica interés legítimo, con opt-out fácil en cada email).
• Estadísticas agregadas y anonimizadas para mejorar la plataforma (no identificables).

• Ejecución del contrato (Art. 6.1.b): gestionar tu cuenta, recetas, ingredientes, facturación, soporte.
• Consentimiento (Art. 6.1.a): cookies opcionales, marketing, guardado opcional de audio, procesamiento opcional de datos de salud o preferencias dietéticas.
• Obligación legal (Art. 6.1.c): conservación de registros fiscales, requerimientos de autoridades.
• Interés legítimo (Art. 6.1.f): seguridad de la plataforma, prevención de fraude, mejora del producto basada en métricas agregadas. Siempre evaluamos que tus derechos no prevalezcan sobre estos intereses.

Cuando usas el dictado de recetas u otras funciones de voz, tu audio se procesa en los siguientes pasos:

1. El audio se transmite cifrado (TLS 1.3) a nuestro servidor.
2. Se reenvía a un proveedor de speech-to-text (ver sección 9 — Encargados de tratamiento) que devuelve la transcripción.
3. El audio se elimina inmediatamente después de la transcripción. Conservamos únicamente la transcripción en texto, asociada a tu cuenta.
4. Si activas explícitamente el guardado opcional de audio (para revisión interna), el audio se cifra en reposo y se conserva por el periodo que indiques en Ajustes. Puedes eliminarlo en cualquier momento.

No usamos tus grabaciones para entrenar modelos de voz, ni se ceden a terceros para tales fines.

Las funcionalidades inteligentes (Ask IA, estructuración de recetas, sugerencias, sustituciones, auditoría) utilizan modelos de IA proporcionados por proveedores externos:

• Cuando interactúas con la IA, enviamos al proveedor del modelo únicamente la información necesaria para generar la respuesta (prompt, contexto, formato deseado).
• Negociamos con nuestros proveedores acuerdos de tratamiento de datos (DPA) que prohíben usar tu contenido para entrenar sus modelos generales.
• Conservamos un registro de prompts y respuestas asociado a tu cuenta para: permitirte revisar el historial, mejorar nuestro propio producto (con datos desidentificados cuando sea posible) y resolver incidencias de soporte.
• Puedes eliminar el historial de interacciones IA desde Ajustes → Privacidad.

Importante: las salidas de IA son estimaciones automáticas y no constituyen asesoramiento profesional. Consulta los Términos y Condiciones para detalles sobre limitaciones.

Usamos cookies estrictamente necesarias para el funcionamiento del servicio y cookies opcionales (analíticas, marketing) que solo se activan con tu consentimiento. Detalle completo en la Política de Cookies.

Para operar el servicio compartimos datos con proveedores cualificados:

• Supabase / PostgreSQL: hosting de base de datos y auth (UE/EE. UU.).
• Cloudflare: CDN, protección anti-DDoS y edge functions (global).
• Stripe: procesamiento de pagos (EE. UU., con SCCs).
• Google / OpenAI / Anthropic: proveedores de modelos de IA y speech-to-text (EE. UU., con SCCs y DPA que prohíben entrenamiento sobre tus datos).
• Resend / proveedor de email: envío de emails transaccionales (UE/EE. UU.).
• Google Analytics 4 (opcional, solo con consentimiento): analytics agregadas.
• Soporte y monitorización: herramientas internas (Sentry, similares) con datos desidentificados cuando es posible.

Todos los encargados firman contratos de tratamiento conformes con el Art. 28 RGPD. Lista detallada y actualizada disponible bajo solicitud a privacidad@costoreceta.com.

Tus datos se almacenan preferentemente en la Unión Europea. Algunos proveedores pueden procesar datos en EE. UU. u otros países. En esos casos aplicamos las salvaguardas exigidas por el RGPD:

• Cláusulas Contractuales Estándar (SCCs) aprobadas por la Comisión Europea.
• Adhesión al EU-US Data Privacy Framework cuando el proveedor está certificado.
• Decisiones de adecuación cuando existen para el país de destino.
• Medidas técnicas y organizativas adicionales (cifrado, pseudonimización, control de acceso).

Puedes solicitar una copia de las salvaguardas aplicadas a transferencias específicas a privacidad@costoreceta.com.

• Datos de cuenta y contenido: mientras tu cuenta esté activa y hasta 90 días tras la cancelación, para permitir reactivación. Pasados 90 días se anonimizan o eliminan.
• Audio de dictado: eliminado inmediatamente tras transcripción (salvo guardado opcional explícito).
• Transcripciones e interacciones IA: vinculadas a tu cuenta mientras esté activa, eliminables a voluntad.
• Facturación y registros fiscales: 4-10 años según jurisdicción (LGT España, CFF México, etc.).
• Logs de seguridad y acceso: 12 meses, conforme a LSSI y buenas prácticas.
• Registros de consentimiento: hasta 3 años tras la última modificación, como evidencia de cumplimiento.

Independientemente de tu jurisdicción, te garantizamos los siguientes derechos:

• Acceso: solicitar copia de tus datos personales.
• Rectificación: corregir datos inexactos desde Ajustes → Perfil.
• Eliminación / derecho al olvido: solicitar la eliminación de tu cuenta y datos asociados.
• Portabilidad: exportar tus datos en formato legible por máquina (JSON + CSV).
• Oposición: oponerte a tratamientos basados en interés legítimo.
• Limitación: suspender temporalmente ciertos tratamientos.
• Retirar consentimiento: en cualquier momento, sin afectar la licitud previa.
• No discriminación: no aplicaremos peor servicio ni precios por ejercer tus derechos.

Residentes en California (CCPA / CPRA): adicionalmente tienes derecho a saber qué categorías de información personal recolectamos, vendemos o compartimos, derecho a opt-out de "venta" o "compartición" (no vendemos datos personales en el sentido CCPA), y derecho a limitar el uso de información personal sensible.

Residentes en LATAM: puedes ejercer derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) conforme a la normativa local aplicable.

Para ejercer cualquier derecho: privacidad@costoreceta.com o desde Ajustes → Privacidad. Respondemos dentro de los plazos legales (30 días en la UE, 45 en California, extensible justificadamente).

Si crees que tratamos tus datos incorrectamente, puedes reclamar ante la autoridad de control competente: AEPD (España), CNIL (Francia), CNPD (Portugal), INAI (México), SIC (Colombia), AAIP (Argentina), California Privacy Protection Agency (EE. UU.) o la que corresponda en tu país.

Aplicamos medidas técnicas y organizativas razonables:

• Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
• Control de acceso por roles, RLS (Row Level Security) a nivel de base de datos, separación de tenants.
• Autenticación robusta, hashing de contraseñas (bcrypt/argon2), 2FA opcional.
• Auditoría de cambios sensibles, monitorización de anomalías.
• Pruebas periódicas, revisiones de código y actualizaciones de dependencias.
• Backups cifrados con rotación regular.

Ningún sistema es 100% seguro. En caso de brecha de seguridad notificable, cumpliremos los plazos legales (72 horas en RGPD, sin demora indebida en CCPA) y te avisaremos directamente cuando proceda.

Costo Receta no está dirigido a menores de 16 años. No recogemos a sabiendas datos de menores. Si descubrimos que hemos recogido datos de un menor sin consentimiento de los tutores, los eliminaremos.

No tomamos decisiones puramente automatizadas que produzcan efectos legales o significativos sobre ti (Art. 22 RGPD). Las salidas de IA son sugerencias o estimaciones que revisas y editas — no se ejecutan automáticamente sobre tu cuenta, pagos ni datos sensibles sin tu intervención.

Cuando actualicemos esta política te avisaremos por email y/o con un aviso destacado en la plataforma. Cuando el cambio sea material, el aviso será con al menos 30 días de antelación. Puedes consultar versiones anteriores escribiendo a privacidad@costoreceta.com.

• Privacidad / DPO: privacidad@costoreceta.com
• Soporte: soporte@costoreceta.com
• Dirección postal: [Dirección postal completa]