Política de Privacidad

Esta Política de Privacidad describe cómo el sitio web de Aipa Plate en aipaplate.com (el «Sitio Web») y la aplicación móvil Aipa Plate (la «App», conjuntamente el «Servicio») tratan los datos personales. Buscamos ser específicos en lugar de aspiracionales: qué recopilamos, para qué, con qué base legal y qué puede hacer al respecto.

Al usar el Servicio, usted confirma que ha leído esta política. Si no está de acuerdo con la forma en que procesamos sus datos, le pedimos que deje de usar el Servicio.

Términos definidos

Nosotros, nos, nuestro.Aipa Plate, el servicio operado por Maria Prodan como fundadora y propietaria del proyecto. Cuando corresponda, la entidad legal detrás de Aipa Plate actúa como responsable del tratamiento de los datos personales descritos a continuación. Puede comunicarse con el responsable a través de los datos de contacto de la sección «Contacto».

Usted, usuario.Cualquier persona física que visite el Sitio Web, descargue la App, cree una cuenta o interactúe de cualquier otra forma con el Servicio.

Datos personales.Cualquier información relacionada con una persona física identificada o identificable, tal como la define el Reglamento General de Protección de Datos de la UE (RGPD), la Ley de Privacidad del Consumidor de California en su versión modificada por la CPRA, la Ley de Protección de Datos del Reino Unido y la Ley Federal No. 152-FZ «Sobre Datos Personales» de la Federación de Rusia.

Tratamiento.Cualquier operación realizada sobre datos personales: recopilación, almacenamiento, uso, divulgación, eliminación, etc.

Aipa Plate es el responsable del tratamiento de los datos personales procesados a través del Servicio. Como responsable, decidimos por qué y cómo se procesan sus datos, y somos responsables de ello.

Si usted se encuentra en la Unión Europea, el Espacio Económico Europeo o el Reino Unido, también tiene derecho a presentar una reclamación ante la autoridad supervisora nacional. Listamos las autoridades más comunes en la sección «Sus derechos» más abajo.

Procuramos recopilar únicamente lo necesario para operar el Servicio y ofrecer las funciones que usted usa. Los datos personales se dividen en las siguientes categorías.

Datos de la cuenta

• Dirección de correo electrónico.
• Nombre para mostrar (puede elegir cualquier nombre).
• Contraseña cifrada si se registra con correo y contraseña. Nunca almacenamos su contraseña en formato legible.
• Identificadores de autenticación de Apple Sign-In o Google Sign-In si decide iniciar sesión con esos proveedores. Recibimos un identificador estable y la dirección de correo electrónico que usted autorizó al proveedor a compartir.

Contenido que usted envía

• Registros de comidas, valoraciones de hambre en una escala del 1 al 10, notas de saciedad, etiquetas de estado de ánimo y contexto que decida registrar en la App.
• Fotografías de alimentos que suba en la App.
• Notas de texto libre que añada a sus comidas o a su reflexión diaria.
• Respuestas a encuestas, comentarios y mensajes que nos envíe.

Datos técnicos y de uso

• Dirección IP, ubicación aproximada derivada de la IP (nivel de ciudad o región) y zona horaria.
• Modelo del dispositivo, sistema operativo, versión de la aplicación, tipo y versión del navegador, idioma y configuración regional.
• Páginas y pantallas que visita, funciones con las que interactúa, fecha y hora de esos eventos, y diagnósticos de fallos.
• Un identificador de instalación seudónimo usado únicamente dentro de nuestros sistemas de analítica para contar sesiones únicas sin identificarlo por su nombre.

Datos de pago

• Estado de suscripción, plan, fechas de renovación, país de compra, identificadores de transacción.
• No vemos, almacenamos ni procesamos los datos de su tarjeta de pago. Las suscripciones en iOS se gestionan a través de Apple In-App Purchase, y utilizamos Adapty únicamente para conciliar derechos.
• Información fiscal que la plataforma comparte con nosotros para cumplir nuestras obligaciones contables.

Comunicaciones

• El contenido de correos electrónicos, tickets de soporte y cualquier otro mensaje que nos envíe, incluidos los archivos adjuntos.
• Si usted da su consentimiento, su dirección de correo electrónico para actualizaciones del producto y contenido educativo.

Categorías sensibles. Los datos de hambre, saciedad y patrones de alimentación no son formalmente datos de salud según el RGPD, pero son similares en naturaleza. Los tratamos con la misma cautela que los datos de «categoría especial» del Artículo 9, y solo los procesamos con base en su consentimiento explícito (la creación de una cuenta y el uso de la App) y únicamente para prestarle el Servicio.

Procesamos datos personales para finalidades claramente definidas. Cada finalidad está vinculada a una base legal conforme al Artículo 6 del RGPD (y los fundamentos equivalentes del RGPD del Reino Unido y el Artículo 6 de la Ley Federal No. 152-FZ de la Federación de Rusia).

Para prestar el Servicio

Crear y mantener su cuenta, autenticarle, almacenar sus comidas y notas, generar insights, sincronizar datos entre la App y el Sitio Web, y gestionar su suscripción. Base legal: ejecución de un contrato con usted (RGPD, Artículo 6(1)(b)). Sin estos datos no podemos prestar el Servicio que usted contrató.

Para mantener la seguridad y fiabilidad del Servicio

Detectar fraudes, prevenir abusos, aplicar límites de uso, depurar fallos y mejorar la estabilidad. Base legal: interés legítimo en proteger a nuestros usuarios y nuestra infraestructura (RGPD, Artículo 6(1)(f)).

Para mejorar el Servicio

Analizar el uso agregado de funciones para corregir lo que no funciona y priorizar lo que sí funciona. En la medida de lo posible, utilizamos datos seudónimos o agregados para esta finalidad. Base legal: interés legítimo en la mejora del producto y su consentimiento para analítica no esencial en jurisdicciones donde se requiere consentimiento.

Para comunicarnos con usted

Responder a sus solicitudes de soporte, enviar avisos esenciales del servicio (alertas de seguridad, cambios importantes en esta política) y — únicamente si usted da su consentimiento — enviar contenido educativo y de marketing. Base legal: ejecución del contrato para avisos de servicio, consentimiento para marketing e interés legítimo para respuestas de soporte.

Para cumplir con la ley

Obligaciones fiscales y contables, respuesta a requerimientos legales de autoridades públicas y aplicación de nuestros Términos. Base legal: cumplimiento de una obligación legal (RGPD, Artículo 6(1)(c)) y, cuando corresponda, nuestro interés legítimo en la defensa de reclamaciones legales.

Compartimos datos personales únicamente con proveedores de servicios cuidadosamente seleccionados, solo en la medida en que lo necesiten para realizar una tarea específica en nuestro nombre y siempre bajo un acuerdo escrito de procesamiento de datos. Las categorías a continuación resumen los terceros involucrados en la operación del Servicio hoy en día.

Alojamiento, autenticación y base de datos

• Google LLC (Firebase Hosting, Firebase Authentication, Cloud Firestore, Cloud Functions, Firebase Analytics) — infraestructura principal del Sitio Web y la App. Los servidores operan en Estados Unidos y la Unión Europea.
• Apple Inc. — distribución en App Store, Apple Sign-In si lo utiliza, analítica de App Store Connect.

Suscripciones

• Apple Inc. — procesamiento de pagos In-App Purchase.
• Adapty — gestión de suscripciones y conciliación de derechos.

Comunicaciones y correo electrónico

• Proveedores de servicios de correo electrónico utilizados para enviar correos transaccionales (recuperación de cuenta, recibos) y, si usted da su consentimiento, correos de marketing.

Autoridades públicas

Divulgamos datos personales a tribunales, reguladores y autoridades policiales únicamente cuando estamos legalmente obligados a hacerlo o cuando la divulgación es necesaria para proteger los derechos, la propiedad o la seguridad de los usuarios, de Aipa Plate o del público.

Transferencias empresariales

Si Aipa Plate participa en una fusión, adquisición, financiamiento o venta de activos, sus datos personales pueden transferirse como parte de esa transacción. Le notificaremos con anticipación y usted conservará todos los derechos descritos en esta política.

Procesamiento con IA

Utilizamos proveedores externos de modelos de lenguaje e imagen exclusivamente para nuestra producción interna de contenido (redacción de artículos públicos, generación de imágenes ilustrativas para el Sitio Web). Los datos de su cuenta, registros de comidas, fotografías, valoraciones de hambre y notas no se envían a esos proveedores.

Nuestra infraestructura es operada por Google y Apple, lo que significa que sus datos personales pueden procesarse fuera de su país de residencia — principalmente en Estados Unidos y la Unión Europea. Nos apoyamos en las siguientes garantías.

Transferencias desde la UE/EEE, el Reino Unido y Suiza

• Cláusulas Contractuales Estándar (CCE) aprobadas por la Comisión Europea, incluido el Adéndum del Reino Unido cuando aplica el RGPD del Reino Unido y el Adéndum Suizo cuando aplica la FADP.
• Amparo en el Marco de Privacidad de Datos UE–EE.UU. cuando el receptor está autocertificado y la transferencia queda dentro del alcance certificado.
• Medidas técnicas complementarias, como el cifrado en tránsito y en reposo.

Transferencias desde la Federación de Rusia

La Ley Federal No. 152-FZ «Sobre Datos Personales» de la Federación de Rusia exige que los datos personales de ciudadanos rusos se registren, sistematicen y almacenen inicialmente en bases de datos ubicadas en la Federación de Rusia. El Servicio se apoya en la infraestructura de Google y Apple operada fuera de la Federación de Rusia. Si usted es ciudadano ruso y elige usar el Servicio, otorga su consentimiento informado y por escrito a la transferencia transfronteriza de sus datos personales conforme al Artículo 12 de la Ley Federal No. 152-FZ. Puede revocar ese consentimiento en cualquier momento eliminando su cuenta y escribiéndonos a la dirección de la sección «Contacto».

Transferencias a otros países

Las transferencias a cualquier otro país se realizan únicamente cuando existe una base legal válida (una decisión de adecuación, CCE o su consentimiento explícito) y cuando el destino ofrece un nivel de protección esencialmente equivalente.

Conservamos los datos personales únicamente durante el tiempo necesario para el fin por el que fueron recopilados, más cualquier período mínimo de retención legal.

• Datos de cuenta — durante la vigencia de su cuenta, eliminados en un plazo de 30 días tras la eliminación de la cuenta, excepto los elementos que debemos conservar por ley (por ejemplo, registros fiscales).
• Registros de comidas, fotografías y notas — almacenados durante la vigencia de su cuenta; puede eliminar entradas individuales en cualquier momento.
• Datos técnicos y de analítica — los datos seudónimos se conservan hasta 26 meses y luego se eliminan o agregan adicionalmente.
• Comunicaciones — conservadas hasta 3 años después de la última interacción para poder responder preguntas de seguimiento y defender reclamaciones legales.
• Metadatos de pago con relevancia fiscal — conservados durante el período exigido por la legislación fiscal de la jurisdicción correspondiente (normalmente entre 4 y 10 años).

Cuando concluye un período de retención, eliminamos los datos o los anonimizamos de forma que ya no puedan vincularse a usted.

Usted tiene derechos significativos sobre sus datos personales. Algunos aplican en cualquier lugar. Otros dependen de dónde viva. Los respetamos todos, sin costo alguno, dentro de los plazos legales.

Derechos bajo el RGPD y el RGPD del Reino Unido

• Derecho de acceso (Artículo 15) — recibir una copia de los datos personales que conservamos sobre usted.
• Derecho de rectificación (Artículo 16) — solicitarnos que corrijamos datos inexactos o incompletos.
• Derecho de supresión (Artículo 17) — solicitarnos que eliminemos sus datos cuando aplique alguno de los fundamentos legales.
• Derecho a la limitación del tratamiento (Artículo 18) — solicitarnos que limitemos el uso de sus datos mientras se resuelve una solicitud.
• Derecho a la portabilidad de datos (Artículo 20) — recibir sus datos en un formato estructurado y legible por máquina y que se transmitan a otro responsable cuando sea técnicamente factible.
• Derecho de oposición (Artículo 21) — oponerse al tratamiento basado en nuestros intereses legítimos, incluido el marketing.
• Derecho a no ser objeto de decisiones individuales automatizadas que produzcan efectos jurídicos o igualmente significativos (Artículo 22).
• Derecho a retirar el consentimiento en cualquier momento, sin afectar la licitud del tratamiento anterior.
• Derecho a presentar una reclamación ante una autoridad supervisora — puede encontrar un listado en edpb.europa.eu y en ico.org.uk para el Reino Unido.

Derechos bajo la CCPA/CPRA de California

• Derecho a saber qué información personal hemos recopilado sobre usted, las fuentes, las finalidades y las categorías de destinatarios.
• Derecho a eliminar información personal, con excepciones limitadas.
• Derecho a corregir información personal inexacta.
• Derecho a no participar en la «venta» o el «intercambio» de información personal — nosotros no la vendemos ni la compartimos.
• Derecho a limitar el uso de información personal sensible — no usamos información personal sensible para fines que activen este derecho.
• Derecho a no ser discriminado por ejercer cualquiera de estos derechos.
• Derecho a designar un agente autorizado para hacer una solicitud en su nombre, con la documentación adecuada.

Derechos bajo la Ley Federal No. 152-FZ de la Federación de Rusia

• Derecho a obtener confirmación del tratamiento y a recibir información al respecto (Artículo 14).
• Derecho a exigir la corrección, bloqueo o destrucción de datos personales que sean incompletos, desactualizados, inexactos u obtenidos ilegalmente.
• Derecho a retirar el consentimiento para el tratamiento.
• Derecho a presentar una queja ante Roskomnadzor (autoridad rusa de protección de datos) en rkn.gov.ru o ante un tribunal ruso.

Cómo hacer una solicitud

Envíe su solicitud al correo electrónico de contacto al pie de esta página. Para proteger su cuenta, podemos pedirle que verifique su identidad. Respondemos dentro de un mes calendario para solicitudes RGPD, dentro de 45 días calendario para solicitudes CCPA/CPRA y dentro de 30 días para solicitudes de la Ley Federal No. 152-FZ. Si necesitamos más tiempo, le explicaremos el motivo y la fecha estimada de respuesta.

El Servicio no está dirigido a menores de edad. No recopilamos a sabiendas datos personales de personas menores de las siguientes edades, y eliminaremos dichos datos de inmediato si tomamos conocimiento de ello.

• Menores de 13 años en Estados Unidos, de conformidad con la Ley de Protección de la Privacidad Infantil en Línea (COPPA, por sus siglas en inglés).
• Menores de 16 años en el Espacio Económico Europeo y el Reino Unido, salvo que la ley local establezca una edad inferior (con consentimiento parental válido).
• Menores de 14 años en la Federación de Rusia, salvo que se proporcione consentimiento parental válido conforme a la Ley Federal No. 152-FZ.

Si usted es padre, madre o tutor legal y cree que su hijo o hija ha proporcionado datos personales al Servicio, comuníquese con nosotros para que podamos revisar y eliminar esa información.

Protegemos los datos personales mediante una combinación de medidas técnicas y organizativas adecuadas al riesgo.

• Cifrado en tránsito (TLS 1.2+) y en reposo para bases de datos y copias de seguridad.
• Controles de acceso estrictos — solo el personal autorizado accede a los sistemas de producción y el acceso queda registrado.
• Contraseñas cifradas con hash y sal para cuentas de correo electrónico y contraseña.
• Revisiones periódicas de dependencias, procesadores externos y configuraciones de seguridad.
• Copias de seguridad, procedimientos de respuesta ante incidentes y un flujo de trabajo documentado de notificación de brechas.

Si una brecha de datos personales conlleva un riesgo probable para sus derechos y libertades, notificaremos a la autoridad supervisora competente en un plazo de 72 horas y, cuando así lo exija la ley, le notificaremos a usted directamente.

La App genera insights personalizados a partir de las comidas, valoraciones de hambre y notas que usted registra. Estos insights son de carácter educativo y no producen ningún efecto jurídico o igualmente significativo sobre usted. No se utilizan para denegar servicios, fijar precios ni restringir el acceso.

Si en algún momento introdujéramos un tratamiento que produzca un efecto jurídico o igualmente significativo, se lo comunicaremos con antelación, solicitaremos su consentimiento explícito cuando sea necesario y ofreceremos las garantías exigidas por el Artículo 22 del RGPD.

Podemos actualizar esta Política de Privacidad para reflejar cambios en la ley, en nuestras prácticas o en el Servicio. La fecha de «Última actualización» al inicio de esta página indica la versión vigente. Las versiones históricas de la política están disponibles previa solicitud.

Los cambios materiales que afecten sus derechos se le comunicarán con anticipación — por correo electrónico, mediante un aviso dentro del producto, o ambos — al menos 30 días antes de que entren en vigor, salvo que la ley exija un período de aviso distinto.