Política de Privacidad
Última actualización: 19 de febrero de 2026
1. Responsable del Tratamiento
El responsable del tratamiento de tus datos personales es:
- Razón social: East Crema Coffee SL
- CIF: B88641238
- Domicilio: Madrid, España
- Email de contacto: clientes@eastcrema.com
- Web: www.eastcrema.com
2. Datos Personales que Recopilamos
2.1. Datos que nos proporcionas directamente
| Categoría | Datos |
|---|---|
| Datos de cuenta | Email, nombre, apellidos, contraseña (cifrada), foto de perfil |
| Datos de contacto | Teléfono, dirección postal, ciudad, código postal, provincia |
| Datos demográficos | Fecha de nacimiento |
| Datos de envío | Nombre completo, dirección, ciudad, código postal (para pedidos con envío) |
2.2. Datos que recopilamos automáticamente
| Categoría | Datos |
|---|---|
| Datos del dispositivo | Plataforma (iOS, Android, Web), token de notificaciones push |
| Datos de ubicación | Coordenadas GPS (solo con tu consentimiento, para notificaciones por proximidad) |
| Datos de uso | Interacciones con la app, notificaciones leídas, retos completados |
| Datos de compra | Historial de pedidos, productos comprados, sellos ganados y canjeados |
2.3. Datos de terceros
Si inicias sesión con Google o Apple, recibiremos tu nombre, email y foto de perfil según lo que hayas autorizado en el proveedor correspondiente.
Si otro usuario te invita mediante el programa de referidos, recibiremos tu email antes de que te registres únicamente para vincular la invitación.
3. Finalidad del Tratamiento
| Finalidad | Datos utilizados | Base legal |
|---|---|---|
| Crear y gestionar tu cuenta | Email, nombre, contraseña | Ejecución del contrato |
| Programa de sellos y recompensas | Sellos, nivel, retos, premios, historial | Ejecución del contrato |
| Monedero digital (wallet) | Saldo, transacciones | Ejecución del contrato |
| Procesar pagos | Datos de pago (vía Stripe) | Ejecución del contrato |
| Enviar pedidos | Dirección de envío | Ejecución del contrato |
| Notificaciones push | Token del dispositivo | Consentimiento |
| Notificaciones por proximidad | Ubicación GPS | Consentimiento |
| Emails transaccionales | Email, nombre | Ejecución del contrato |
| Descuento de cumpleaños | Fecha de nacimiento | Consentimiento |
| Programa de referidos | Código de invitación, email | Consentimiento |
| Pase de Apple/Google Wallet | Nombre, sellos, saldo, nivel | Consentimiento |
| Seguridad de la cuenta | Email, código 2FA | Interés legítimo |
| Prevención de fraude | Datos de uso, IP | Interés legítimo |
4. Compartición de Datos con Terceros
No vendemos tus datos personales. Solo compartimos datos con los siguientes proveedores de servicios que son necesarios para el funcionamiento de la App:
| Proveedor | Datos compartidos | Finalidad | País |
|---|---|---|---|
| Supabase (Hetzner) | Todos los datos de la app | Base de datos y autenticación | Alemania (UE) |
| Stripe | Email, importes de pago | Procesamiento de pagos | EE.UU. (DPF) |
| Firebase (Google) | Token de dispositivo | Notificaciones push | EE.UU. (DPF) |
| Apple (APNs) | Token de dispositivo | Notificaciones push iOS | EE.UU. (DPF) |
| Resend | Email, nombre | Envío de emails transaccionales | EE.UU. (DPF) |
| Vercel | IP, headers | Hosting de la aplicación | EE.UU. (DPF) |
Todos los proveedores ubicados en EE.UU. están adheridos al EU-U.S. Data Privacy Framework (DPF) o cuentan con cláusulas contractuales tipo aprobadas por la Comisión Europea, garantizando un nivel adecuado de protección de datos.
5. Transferencias Internacionales
Tu base de datos principal se aloja en servidores de la Unión Europea (Alemania). Algunos proveedores de servicios auxiliares se encuentran en Estados Unidos. Estas transferencias se realizan al amparo del Data Privacy Framework (DPF) UE-EE.UU. y/o de cláusulas contractuales tipo aprobadas por la Comisión Europea.
6. Período de Conservación
| Datos | Período |
|---|---|
| Datos de cuenta y perfil | Mientras la cuenta esté activa |
| Historial de compras y pedidos | 5 años (obligación fiscal española) |
| Transacciones del wallet | 5 años (obligación fiscal) |
| Datos de pago | Gestionados por Stripe según su política |
| Datos de ubicación | Logs de geofence: 12 meses |
| Códigos de verificación 2FA | Eliminados automáticamente tras 1 hora |
| Notificaciones push | Mientras la cuenta esté activa |
Transcurridos los plazos indicados, los datos se eliminarán o anonimizarán de forma irreversible.
7. Tus Derechos (RGPD)
Como usuario, tienes derecho a:
- Acceso: Solicitar una copia de todos tus datos personales que tratamos.
- Rectificación: Corregir datos inexactos o incompletos.
- Supresión: Solicitar la eliminación de tus datos ("derecho al olvido").
- Portabilidad: Recibir tus datos en un formato estructurado y legible por máquina.
- Oposición: Oponerte al tratamiento de tus datos en determinados supuestos.
- Limitación: Solicitar la restricción del tratamiento de tus datos.
- Retirada del consentimiento: Retirar tu consentimiento en cualquier momento (notificaciones push, ubicación, emails de marketing) sin que ello afecte a la licitud del tratamiento previo.
Para ejercer cualquiera de estos derechos, contacta con nosotros en clientes@eastcrema.com. Responderemos en un plazo máximo de 30 días.
Si consideras que tus derechos no han sido debidamente atendidos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).
8. Cookies y Tecnologías Similares
| Tecnología | Finalidad | Duración |
|---|---|---|
| Cookies de sesión (Supabase) | Autenticación del usuario | Hasta cierre de sesión |
| Cookie 2FA (solo admin) | Verificación de seguridad | 15 días |
| Service Worker (Firebase) | Notificaciones push en segundo plano | Permanente |
La App no utiliza cookies de publicidad ni de seguimiento de terceros.
9. Datos de Menores
La App no está dirigida a menores de 14 años y no recopilamos datos de menores de forma consciente. Si eres padre o tutor y crees que un menor nos ha proporcionado datos personales, contacta con nosotros para que procedamos a su eliminación.
10. Seguridad
Aplicamos medidas técnicas y organizativas para proteger tus datos personales:
- Contraseñas cifradas con algoritmos de hashing seguros.
- Todas las comunicaciones están cifradas mediante SSL/TLS.
- Autenticación de doble factor (2FA) para cuentas de administración.
- Tokens de sesión firmados criptográficamente (HMAC-SHA256).
- Control de acceso por filas (Row Level Security) en la base de datos.
- Procesamiento de pagos conforme al estándar PCI DSS (a través de Stripe).
11. Cambios en esta Política
Nos reservamos el derecho de actualizar esta Política de Privacidad. Cualquier cambio sustancial será notificado a través de la App o por email. La fecha de la última actualización se indica al inicio de este documento.
12. Contacto
Para cualquier consulta relacionada con la protección de tus datos personales:
- Email: clientes@eastcrema.com
- Web: www.eastcrema.com