1. Responsable del Tratamiento
| Campo | Detalle |
|---|---|
| Responsable | Cuenta & Cocina |
| Dirección | Girona, Cataluña, España |
| correo | |
| Actividad | Software SaaS de gestión de menú y análisis de costes para restaurantes |
2. Datos que Recogemos
2.1 Datos de cuenta
- Email y nombre completo
- Contraseña (almacenada como hash — nunca en texto plano)
2.2 Datos del restaurante
- Nombre del restaurante · País/región · Tipo de cocina
- Objetivo de food cost · Tipo de IVA aplicable
2.3 Datos operativos
- Ingredientes: nombre, marca, precio, unidad, categoría
- Platos y recetas: nombre, precio de venta, composición
- Historial de compras, facturas (metadatos) y ventas
2.4 Datos de uso
- Número de escaneos utilizados · Plan activo · Estado del periodo de prueba
- Eventos de uso anónimos/pseudoanonimizados a través de PostHog EU. Desactivados por defecto.
2.5 Datos de facturación
- Referencias de pago (IDs de Stripe) — nunca almacenamos datos de tarjeta
3. Bases Legales del Tratamiento
| Finalidad | Base legal |
|---|---|
| Gestión de cuenta y autenticación | Ejecución de contrato (Art. 6.1.b RGPD) |
| Prestación del servicio | Ejecución de contrato (Art. 6.1.b RGPD) |
| Gestión de suscripciones y pagos | Ejecución de contrato (Art. 6.1.b RGPD) |
| Comunicaciones transaccionales | Ejecución de contrato (Art. 6.1.b RGPD) |
| Analítica de uso (PostHog) | Consentimiento (Art. 6.1.a RGPD) — opt-out disponible |
| Prevención de abuso de prueba gratuita | Interés legítimo (Art. 6.1.f RGPD) |
4. Subencargados del Tratamiento
Todos los proveedores disponen de DPA vigente incorporado mediante aceptación de sus Términos de Servicio:
| Proveedor | Servicio | Ubicación | DPA |
|---|---|---|---|
| Supabase | Base de datos y autenticación | EU Frankfurt | Activo |
| Vercel | Alojamiento frontend | EU Frankfurt | Activo |
| Render | Alojamiento backend | EU Frankfurt | Activo |
| OpenAI | Análisis IA y recetas | USA (CCT) | Activo |
| Google Cloud Vision | OCR para facturas | EU | Activo |
| Stripe | Pagos y suscripciones | EU/USA (CCT) | Activo |
| Resend | Emails transaccionales | EU | Activo |
| PostHog EU | Analítica de uso | EU (eu.posthog.com) | Activo |
| Cloudflare | CDN y seguridad | Global + EU | Activo |
5. Retención de Datos
| Categoría | Periodo de retención |
|---|---|
| Datos de cuenta | Hasta eliminación de cuenta |
| Restaurantes e inventario | Borrado lógico inmediato · Borrado físico a los 7 días |
| Historial de compras, facturas, ventas | Hasta cancelación · Borrado lógico tras 2 años de inactividad |
| Texto OCR de facturas | Eliminado inmediatamente en memoria — nunca persiste |
| Referencias de pago (Stripe) | Hasta cancelación de cuenta |
| Analítica PostHog | 1 año |
🔄 Sistema de borrado en dos fases: Al eliminar un elemento, se marca como borrado (soft delete) y deja de ser visible. A los 7 días, un proceso automático lo elimina físicamente. Los datos financieros se retienen hasta la cancelación de cuenta. Si se restaura una copia de seguridad cifrada de la base de datos, las solicitudes de eliminación pendientes se volverán a aplicar.
📄 Sobre las facturas: Cuenta & Cocina nunca almacena el archivo original ni el texto OCR. Solo se guardan los datos estructurados extraídos.
6. Derechos de los Usuarios (Art. 15-21 RGPD)
| Derecho | Cómo ejercerlo |
|---|---|
| Acceso (Art. 15) | Ajustes → Cuenta → "Descargar mis datos" (JSON) |
| Rectificación (Art. 16) | Editar en la app o contactar correo |
| Supresión (Art. 17) | Ajustes → Cuenta → "Eliminar mi cuenta" |
| Portabilidad (Art. 20) | Ajustes → Cuenta → "Descargar mis datos" |
| Oposición (Art. 21) | Contactar correo |
| Limitación (Art. 18) | Contactar correo |
Puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.
7. Seguridad
- Cifrado en reposo: AES-256 (Supabase)
- Cifrado en tránsito: TLS/HTTPS en todas las comunicaciones
- Control de acceso por filas (RLS) — cada usuario solo accede a sus propios datos
- Contraseñas almacenadas como hash bcrypt
- Eliminación automatizada mediante pg_cron
8. Transferencias Internacionales
La mayoría de los datos se procesan en la UE. Las transferencias a USA (OpenAI, Stripe) se realizan bajo Cláusulas Contractuales Tipo (CCT) conforme al Art. 46 RGPD.
9. Cookies y Seguimiento
| Cookie | Tipo | Finalidad | Duración |
|---|---|---|---|
| sb-* (Supabase) | Esencial | Gestión de sesión | Sesión / 7 días |
| cc-cookie-consent | Esencial | Guardar preferencia de cookies | 1 año |
| PostHog (ph_*) | Analítica | Análisis de uso anónimo | 1 año |
Las cookies analíticas de PostHog están desactivadas por defecto. No utilizamos cookies de publicidad. Para más información y para gestionar tus preferencias, consulta nuestra Política de Cookies.
10. Menores de Edad
La aplicación está dirigida exclusivamente a profesionales de la restauración. No está destinada a menores de 16 años. Contacta correo si tienes conocimiento de ello.
11. Delegado de Protección de Datos
Dada la naturaleza y escala de nuestro tratamiento de datos, Cuenta & Cocina no está obligada a designar un Delegado de Protección de Datos (DPD) conforme al artículo 37 del RGPD. Para cualquier consulta relacionada con la privacidad, puedes contactarnos directamente en info@cuentaycocina.co.
12. Mecanismo de Consentimiento de Cookies
Al visitar nuestra aplicación por primera vez, se muestra un banner de cookies que te permite aceptar o rechazar las cookies analíticas. Las cookies esenciales (necesarias para la autenticación) no requieren consentimiento. Puedes modificar tus preferencias en cualquier momento desde nuestra Política de Cookies o mediante el botón de gestión de cookies disponible en la configuración.
13. Contacto
📧 Email: correo
📍 Dirección: Girona, Cataluña, España
🌐 Web: cuentaycocina.com
1. Responsable del Tractament
| Camp | Detall |
|---|---|
| Responsable | Cuenta & Cocina |
| Adreça | Girona, Catalunya, Espanya |
| Correu | correo |
| Activitat | Programari SaaS de gestió de menú i anàlisi de costos per a restaurants |
2. Dades que Recollim
2.1 Dades de compte
- Correu electrònic i nom complet
- Contrasenya (emmagatzemada com a hash — mai en text pla)
2.2 Dades del restaurant
- Nom del restaurant · País/regió · Tipus de cuina
- Objectiu de food cost · Tipus d'IVA aplicable
2.3 Dades operatives
- Ingredients: nom, marca, preu, unitat, categoria
- Plats i receptes: nom, preu de venda, composició
- Historial de compres, factures (metadades) i vendes
2.4 Dades d'ús
- Nombre d'escanejos · Pla actiu · Estat del període de prova
- Esdeveniments d'ús anònims via PostHog EU. Desactivats per defecte.
2.5 Dades de facturació
- Referències de pagament (IDs de Stripe) — mai emmagatzemem dades de targeta
3. Bases Legals del Tractament
| Finalitat | Base legal |
|---|---|
| Gestió de compte i autenticació | Execució de contracte (Art. 6.1.b RGPD) |
| Prestació del servei | Execució de contracte (Art. 6.1.b RGPD) |
| Gestió de subscripcions i pagaments | Execució de contracte (Art. 6.1.b RGPD) |
| Comunicacions transaccionals | Execució de contracte (Art. 6.1.b RGPD) |
| Analítica d'ús (PostHog) | Consentiment (Art. 6.1.a RGPD) — opt-out disponible |
| Prevenció d'abús de prova gratuïta | Interès legítim (Art. 6.1.f RGPD) |
4. Subcontractistes del Tractament
| Proveïdor | Servei | Ubicació | DPA |
|---|---|---|---|
| Supabase | Base de dades i autenticació | EU Frankfurt | Actiu |
| Vercel | Allotjament frontend | EU Frankfurt | Actiu |
| Render | Allotjament backend | EU Frankfurt | Actiu |
| OpenAI | Anàlisi IA i receptes | USA (CCT) | Actiu |
| Google Cloud Vision | OCR per a factures | EU | Actiu |
| Stripe | Pagaments i subscripcions | EU/USA (CCT) | Actiu |
| Resend | Correus transaccionals | EU | Actiu |
| PostHog EU | Analítica d'ús | EU (eu.posthog.com) | Actiu |
| Cloudflare | CDN i seguretat | Global + EU | Actiu |
5. Retenció de Dades
| Categoria | Període de retenció |
|---|---|
| Dades de compte | Fins a eliminació del compte |
| Restaurants i inventari | Eliminació lògica immediata · Eliminació física als 7 dies |
| Historial de compres, factures, vendes | Fins a cancel·lació · Eliminació lògica als 2 anys d'inactivitat |
| Text OCR de factures | Eliminat immediatament en memòria — mai persisteix |
| Referències de pagament (Stripe) | Fins a cancel·lació del compte |
| Analítica PostHog | 1 any |
🔄 Sistema d'eliminació en dues fases: En eliminar un element, es marca com a eliminat (soft delete) i deixa de ser visible. Als 7 dies, un procés automàtic l'elimina físicament. Si es restaura una còpia de seguretat xifrada, les sol·licituds d'eliminació pendents es tornaran a aplicar.
📄 Sobre les factures: Cuenta & Cocina mai emmagatzema l'arxiu original ni el text OCR. Només es guarden les dades estructurades extretes.
6. Drets dels Usuaris (Art. 15-21 RGPD)
| Dret | Com exercir-lo |
|---|---|
| Accés (Art. 15) | Ajustos → Compte → "Descarregar les meves dades" (JSON) |
| Rectificació (Art. 16) | Editar a l'app o contactar correo |
| Supressió (Art. 17) | Ajustos → Compte → "Eliminar el meu compte" |
| Portabilitat (Art. 20) | Ajustos → Compte → "Descarregar les meves dades" |
| Oposició (Art. 21) | Contactar correo |
| Limitació (Art. 18) | Contactar correo |
Pots presentar una reclamació davant l'AEPD a www.aepd.es.
7. Seguretat
- Xifratge en repòs: AES-256 (Supabase)
- Xifratge en trànsit: TLS/HTTPS
- Control d'accés per files (RLS)
- Contrasenyes emmagatzemades com a hash bcrypt
- Eliminació automatitzada mitjançant pg_cron
8. Transferències Internacionals
La majoria de les dades es processen a la UE. Les transferències als USA es realitzen sota Clàusules Contractuals Tipus (CCT) conforme a l'Art. 46 RGPD.
9. Cookies i Seguiment
| Cookie | Tipus | Finalitat | Durada |
|---|---|---|---|
| sb-* (Supabase) | Essencial | Gestió de sessió | Sessió / 7 dies |
| cc-cookie-consent | Essencial | Guardar preferència | 1 any |
| PostHog (ph_*) | Analítica | Anàlisi d'ús anònim | 1 any |
Les cookies analítiques de PostHog estan desactivades per defecte. Per gestionar les teves preferències, consulta la nostra Política de Galetes.
10. Menors d'Edat
L'aplicació està dirigida exclusivament a professionals de la restauració. No està destinada a menors de 16 anys. Contacta correo si en tens coneixement.
11. Delegat de Protecció de Dades
Donada la naturalesa i escala del nostre tractament de dades, Cuenta & Cocina no està obligada a designar un Delegat de Protecció de Dades (DPD) conforme a l'article 37 del RGPD. Per a qualsevol consulta relacionada amb la privadesa, pots contactar-nos directament a info@cuentaycocina.co.
12. Mecanisme de Consentiment de Galetes
En visitar la nostra aplicació per primera vegada, es mostra un bàner de galetes que et permet acceptar o rebutjar les galetes analítiques. Les galetes essencials no requereixen consentiment. Pots modificar les teves preferències des de la nostra Política de Galetes.
13. Contacte
📧 Correu: correo
📍 Adreça: Girona, Catalunya, Espanya
🌐 Web: cuentaycocina.com
1. Data Controller
| Field | Detail |
|---|---|
| Controller | Cuenta & Cocina |
| Address | Girona, Catalonia, Spain |
| Activity | SaaS menu management and cost analysis software for restaurants |
2. Data We Collect
2.1 Account data
- Email address and full name
- Password (stored as a hash — never in plain text)
2.2 Restaurant data
- Restaurant name · Country/region · Cuisine type
- Food cost target · Applicable VAT type
2.3 Operational data
- Ingredients: name, brand, price, unit, category
- Dishes and recipes: name, selling price, composition
- Purchase history, invoice metadata and sales data
2.4 Usage data
- Number of scans used · Active plan · Trial status
- Anonymous/pseudonymised usage events via PostHog EU. Disabled by default.
2.5 Billing data
- Payment references (Stripe IDs) — we never store card data
3. Legal Bases for Processing
| Purpose | Legal basis |
|---|---|
| Account management and authentication | Contract performance (Art. 6.1.b GDPR) |
| Service delivery | Contract performance (Art. 6.1.b GDPR) |
| Subscription and payment management | Contract performance (Art. 6.1.b GDPR) |
| Transactional communications | Contract performance (Art. 6.1.b GDPR) |
| Usage analytics (PostHog) | Consent (Art. 6.1.a GDPR) — opt-out available |
| Prevention of free trial abuse | Legitimate interest (Art. 6.1.f GDPR) |
4. Sub-processors
| Provider | Service | Location | DPA |
|---|---|---|---|
| Supabase | Database and authentication | EU Frankfurt | Active |
| Vercel | Frontend hosting | EU Frankfurt | Active |
| Render | Backend hosting | EU Frankfurt | Active |
| OpenAI | AI analysis and recipes | USA (SCCs) | Active |
| Google Cloud Vision | Invoice OCR | EU | Active |
| Stripe | Payments and subscriptions | EU/USA (SCCs) | Active |
| Resend | Transactional emails | EU | Active |
| PostHog EU | Usage analytics | EU (eu.posthog.com) | Active |
| Cloudflare | CDN and security | Global + EU | Active |
5. Data Retention
| Category | Retention period |
|---|---|
| Account data | Until account deletion |
| Restaurant and inventory data | Soft delete immediately · Hard delete after 7 days |
| Purchase history, invoice metadata, sales | Until account cancellation · Soft delete after 2 years of inactivity |
| Invoice OCR text | Deleted immediately from memory — never persists |
| Payment references (Stripe) | Until account cancellation |
| PostHog analytics | 1 year |
🔄 Two-phase deletion system: When a user deletes an item, it is marked as deleted (soft delete) and hidden. After 7 days, an automated process permanently deletes it. If an encrypted database backup is restored, deletion requests will be re-applied.
📄 On invoices: Cuenta & Cocina never stores the original invoice file or OCR text. Only structured extracted data is saved.
6. User Rights (Art. 15-21 GDPR)
| Right | How to exercise it |
|---|---|
| Access (Art. 15) | Settings → Account → "Download my data" (JSON) |
| Rectification (Art. 16) | Edit in the app or contact email |
| Erasure (Art. 17) | Settings → Account → "Delete my account" |
| Portability (Art. 20) | Settings → Account → "Download my data" |
| Objection (Art. 21) | Contact email |
| Restriction (Art. 18) | Contact email |
You may also lodge a complaint with the AEPD at www.aepd.es.
7. Security
- Encryption at rest: AES-256 (Supabase)
- Encryption in transit: TLS/HTTPS
- Row-Level Security (RLS) — each user accesses only their own data
- Passwords stored as bcrypt hash
- Automated deletion via pg_cron
8. International Transfers
Most data is processed within the EU. Transfers to the USA (OpenAI, Stripe) are carried out under Standard Contractual Clauses (SCCs) per Art. 46 GDPR.
9. Cookies and Tracking
| Cookie | Type | Purpose | Duration |
|---|---|---|---|
| sb-* (Supabase) | Essential | Session management | Session / 7 days |
| cc-cookie-consent | Essential | Save cookie preference | 1 year |
| PostHog (ph_*) | Analytics | Anonymous usage analysis | 1 year |
PostHog analytics cookies are disabled by default. We do not use advertising cookies. For more information, see our Cookie Policy.
10. Minors
The application is intended exclusively for restaurant professionals. It is not intended for users under 16 years of age. Contact email if you become aware of this.
11. Data Protection Officer
Given the nature and scale of our data processing, Cuenta & Cocina is not required to appoint a Data Protection Officer (DPO) under Article 37 of the GDPR. For any privacy-related enquiries, you can contact us directly at info@cuentaycocina.co.
12. Cookie Consent Mechanism
When you first visit our application, a cookie banner is displayed allowing you to accept or reject analytics cookies. Essential cookies (required for authentication) do not require consent. You can change your preferences at any time from our Cookie Policy or via the cookie management button in settings.
13. Contact
📧 Email: email
📍 Address: Girona, Catalonia, Spain
🌐 Web: cuentaycocina.com