Política de privacidad
Última actualización: [TODO: fecha de publicación].
En VitalChefPal ("nosotros") nos tomamos en serio tu privacidad. Este documento explica, en un lenguaje claro, qué datos recogemos cuando usas la aplicación móvil VitalChefPal o este sitio web, para qué los usamos, con quién los compartimos y cómo puedes controlarlos.
1. Responsable del tratamiento
[TODO: nombre y apellidos del titular],
autónomo (Einzelfirma) con número UID suizo
[TODO: CHE-xxx.xxx.xxx] y domicilio
fiscal en
[TODO: dirección, código postal, ciudad, cantón], Suiza.
Contacto:
vitalchefpal@gmail.com
(provisional; migrará a privacy@vitalchefpal.com cuando
esté operativo el correo de dominio).
1.1 Representante en la Unión Europea
Como el responsable está establecido en Suiza (fuera de la UE/EEE) y ofrecemos la app a residentes en la Unión Europea tratando datos de categoría especial (salud), hemos designado un Representante en la UE conforme al artículo 27 del RGPD. Puedes contactar con él directamente en cualquier idioma oficial de la UE para asuntos relacionados con tus datos:
[TODO: nombre del proveedor de Representante UE — Prighter,
EU-Rep.eu, GDPR-Rep o similar]
[TODO: dirección postal del Representante]
[TODO: email de contacto del Representante]
1.2 Marco normativo aplicable
A este tratamiento le aplican simultáneamente:
- El Reglamento (UE) 2016/679 (RGPD), vía artículo 3.2, por dirigirse la app a personas residentes en la Unión Europea.
- La Ley Federal de Protección de Datos suiza (nLPD) de 1 de septiembre de 2023, por estar el responsable establecido en Suiza.
2. Datos que recogemos
Solo recogemos los datos necesarios para que la app funcione. Lo que introduces tú es opcional salvo que se indique lo contrario.
- Cuenta (obligatorio): correo electrónico y contraseña cifrada, gestionados por Supabase Auth. Identificador de usuario generado automáticamente.
- Perfil personal (opcional): nombre completo, teléfono, biografía y ubicación/dirección que decidas añadir desde la pantalla de edición de perfil.
- Perfil de salud (opcional): fecha de nacimiento, sexo, peso (kg), altura (cm), nivel de actividad, objetivo principal y tipo de dieta.
- Preferencias dietéticas (opcional): alergias, intolerancias y restricciones alimentarias que marques.
- Uso de la app: comidas y recetas registradas, consumo diario de agua, registros de peso, plan de comidas y listas de la compra que creas.
- Contenido que subes (opcional): foto de avatar y otras imágenes que añadas desde el selector del dispositivo.
- Datos técnicos mínimos: registros de conexión y errores que genera Supabase de forma automática (dirección IP temporal, marca temporal, tipo de petición). No usamos SDKs de analítica ni de rastreo.
Hoy la app no recoge: audio, datos de ubicación en segundo plano, datos de salud de HealthKit/Google Fit, contactos, ni información de terceros. Las funcionalidades de asistente conversacional y voz anunciadas en la web estarán disponibles en el futuro; actualizaremos esta política antes de activarlas.
3. Para qué usamos tus datos
- Prestarte el servicio: autenticarte, sincronizar tu perfil entre dispositivos y generar recetas, planes y sugerencias a partir de tus preferencias.
- Mantener la seguridad: detectar accesos indebidos, errores y corregir problemas del servicio.
- Comunicaciones operativas estrictamente necesarias: confirmación de cuenta, avisos de cambios relevantes del servicio o de esta política.
No usamos tus datos para venderlos a terceros, para perfilarte con fines publicitarios, ni para entrenar modelos de IA.
4. Base legal
- Ejecución del contrato (RGPD art. 6.1.b): para prestarte el servicio que solicitaste al registrarte.
- Consentimiento explícito (RGPD art. 9.2.a): para los datos de categoría especial de salud (peso, alergias, restricciones dietéticas). Puedes retirarlo en cualquier momento eliminando tu cuenta o los campos desde ajustes.
- Interés legítimo (RGPD art. 6.1.f): para mantener la seguridad del servicio y corregir errores, siempre que no prevalezcan tus derechos.
- Obligación legal (RGPD art. 6.1.c): cuando una norma nos obliga a conservar o facilitar información (p. ej., requerimientos judiciales).
5. Con quién compartimos tus datos
Solo con los proveedores estrictamente necesarios para operar el servicio, vinculados por contrato de encargo del tratamiento y medidas técnicas adecuadas:
- Supabase (Supabase Inc.) — autenticación, base de datos PostgreSQL y almacenamiento lógico del perfil. Región del proyecto: Frankfurt, Alemania (UE). DPA firmado desde el panel de Supabase.
-
Google Cloud Storage (Google Ireland Ltd.) —
almacenamiento de archivos en dos buckets:
cdn.vitalchefpal.com(imágenes generadas por IA, sin datos personales) yvault.vitalchefpal.com(contenido privado del usuario, p. ej. fotos subidas, servido mediante URLs firmadas con caducidad). Región: Frankfurt, Alemania (UE). DPA: Cloud Data Processing Addendum de Google Cloud. - n8n (instancia auto-hospedada por nosotros) — automatización interna de flujos (procesamiento de formularios, orquestación de tareas). Ejecutado en nuestro propio servidor (VPS), sin proveedor SaaS de terceros. Ubicación física del servidor: [TODO: confirmar región del datacenter de la VPS — UE/EEE esperado].
No cedemos datos a terceros con fines comerciales. Hoy la app no integra SDK de analítica, crash reporting, notificaciones push, publicidad, asistente conversacional de IA, generación de imágenes ni pasarela de pago. Cuando se activen esas funcionalidades —algunas anunciadas como "Próximamente" en nuestra web— actualizaremos esta política antes de procesar el primer dato y, si procede, recabaremos tu consentimiento explícito.
6. Transferencias internacionales
El responsable del tratamiento está establecido en Suiza, país que cuenta con decisión de adecuación de la Comisión Europea (Decisión 2000/518/CE, vigente). Por tanto, cuando datos personales recogidos en la UE se procesan o consultan desde Suiza, no se considera transferencia internacional y no se requieren garantías adicionales.
Los proveedores que hoy almacenan tus datos (Supabase y Google Cloud Storage) alojan los datos en su región de Frankfurt (Alemania, UE), por lo que tampoco hay transferencia fuera del Espacio Económico Europeo. La instancia de n8n reside en nuestro propio servidor [TODO: confirmar región UE de la VPS].
Si en el futuro contratamos proveedores en países sin nivel adecuado de protección (por ejemplo, Estados Unidos para pasarelas de pago, o servicios de IA generativa fuera del EEE), aplicaremos las garantías exigidas por el RGPD —Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, evaluación de impacto de la transferencia (TIA) y medidas técnicas suplementarias— y actualizaremos esta sección identificando al proveedor, el país de destino y la base legal de la transferencia antes de empezar a usarlo.
7. Cuánto tiempo guardamos tus datos
- Mientras tu cuenta esté activa.
- Si eliminas tu cuenta: hasta 30 días para recuperación accidental, luego borrado definitivo salvo que una ley exija conservarlos más tiempo.
- Registros técnicos de acceso y error: hasta 90 días para fines de seguridad.
8. Tus derechos
Puedes ejercer tus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad, así como retirar tu consentimiento al tratamiento de los datos de salud, escribiendo a vitalchefpal@gmail.com. También puedes eliminar tu cuenta directamente desde la app (Ajustes → Cuenta). Si lo prefieres, puedes contactar directamente con nuestro Representante en la UE en los datos indicados en la sección 1.1.
Si consideras que tratamos tus datos de forma indebida, tienes derecho a presentar una reclamación ante:
- La autoridad de protección de datos de tu país de residencia en la UE/EEE. Lista completa en edpb.europa.eu. Ejemplos: Agencia Española de Protección de Datos (www.aepd.es), CNIL (Francia), BfDI (Alemania), Garante (Italia), CNPD (Portugal).
- El Preposé federal de protección de datos suizo (FDPIC / EDÖB), competente en virtud de la nLPD: www.edoeb.admin.ch.
9. Cookies y almacenamiento local
Este sitio web no usa cookies de terceros ni rastreo publicitario. Podemos emplear localStorage para recordar preferencias básicas (por ejemplo, modo oscuro).
La app móvil utiliza almacenamiento local propio
(shared_preferences) para guardar preferencias del
usuario en el dispositivo. Supabase Auth emite tokens de sesión
necesarios para mantenerte conectado.
10. Seguridad
Aplicamos cifrado en tránsito (HTTPS/TLS), cifrado en reposo en los servicios gestionados (Supabase y Google Cloud Storage), control de accesos por roles y copias de seguridad periódicas. Ningún sistema es 100 % infalible, pero nos comprometemos a actuar con diligencia y a notificarte sin dilación indebida cualquier incidente que te afecte, conforme a los artículos 33 y 34 del RGPD.
11. Menores
VitalChefPal no está dirigida a menores de 16 años. Si detectamos una cuenta de un menor sin consentimiento de sus tutores, la eliminaremos.
12. Cambios en esta política
Si hacemos cambios importantes te avisaremos desde la app o por correo. La fecha de la última actualización aparece al principio de este documento.
13. Idiomas y versión vinculante
La versión en español de esta política es la legalmente vinculante. Cualquier traducción a otros idiomas (inglés, francés, alemán, italiano, portugués…) se publica únicamente con fines informativos para facilitar su lectura. En caso de discrepancia, contradicción o ambigüedad entre la versión en español y cualquier traducción, prevalecerá siempre la versión en español.