Política de privacidad
En vigor desde: abril 2026 · Versión 1.0
1. Responsable del tratamiento
Keptt está operado por Keptt Limited (registro CRO en trámite), con domicilio social en 56 Boroimhe Aspen, Fosterstown North, Swords, Co. Dublin, K67 Y381, Irlanda. Esta Política de Privacidad explica cómo recopilamos, usamos, almacenamos y protegemos tus datos personales cuando usas la plataforma Keptt, conforme al Reglamento General de Protección de Datos (UE) 2016/679 ("RGPD") y a la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales ("LOPDGDD").
2. Datos personales que recopilamos
Recopilamos las siguientes categorías de datos personales:
Datos de cuenta
Nombre completo, email, contraseña cifrada, país y preferencia de idioma — facilitados al registrarte.
Datos de organización
Nombre del restaurante/negocio, país y configuración regional — facilitados durante la configuración.
Datos de sesión y técnicos
Dirección IP, user agent y tokens de sesión (cookies HTTP-only) — registrados durante la autenticación.
Datos operativos APPCC
Todos los datos operativos vinculados a tu ID de usuario y organización: registros de temperatura, lotes, completados de limpieza, incidencias de no conformidad, preparaciones, registros de formación, registros de cocción, registros de calibración, registros de control de plagas, proveedores y productos.
Datos de interacción con IA
Imágenes de etiquetas enviadas a la IA para extraer datos (procesadas de forma efímera, no almacenadas por el proveedor de IA). Conversaciones de chat almacenadas en la base de datos de tu organización. Recuento de escaneos IA para control de cuotas.
Datos de pago
ID de cliente de Stripe, ID de suscripción, ID de precio y estado de suscripción almacenados localmente. Los datos de la tarjeta los gestiona íntegramente Stripe y nunca pasan por los servidores de Keptt.
Datos de notificaciones push
URL del endpoint de suscripción push del navegador y claves de cifrado, almacenados en servidor y vinculados a tu ID de usuario.
Registros de auditoría
Tipo de acción, tipo e ID de entidad, snapshot del cambio (JSON), marca de tiempo e ID de usuario. Los registros de auditoría son inmutables y solo se añaden, nunca se modifican.
3. Cómo usamos tus datos
Tratamos tus datos con fines específicos y bases legales claras:
| Finalidad | Base legal |
|---|---|
| Prestar el servicio Keptt | Ejecución del contrato (Art. 6(1)(b)) |
| Procesar pagos a través de Stripe | Ejecución del contrato (Art. 6(1)(b)) |
| Escaneo IA de etiquetas y asistente por chat | Ejecución del contrato (Art. 6(1)(b)) |
| Emails transaccionales (invitaciones, recuperación de contraseña) | Ejecución del contrato (Art. 6(1)(b)) |
| Notificaciones push (recordatorios, alertas) | Consentimiento (Art. 6(1)(a)) |
| Mantener registro de auditoría para el cumplimiento | Interés legítimo (Art. 6(1)(f)) |
| Seguridad y prevención del fraude | Interés legítimo (Art. 6(1)(f)) |
No usamos tus datos para publicidad, perfilado comercial, venta a terceros, entrenamiento de modelos de IA ni seguimiento del comportamiento.
4. Encargados del tratamiento
Compartimos datos con los siguientes encargados, todos vinculados por acuerdos de tratamiento de datos:
| Encargado | Finalidad | Ubicación |
|---|---|---|
| Anthropic (Claude IA) | Extracción de etiquetas, asistente de chat (procesamiento efímero) | Estados Unidos |
| Stripe | Procesamiento de pagos, gestión de suscripciones | Estados Unidos / UE |
| Resend | Envío de emails transaccionales | Estados Unidos |
| Autenticación OAuth (opcional) | Estados Unidos | |
| DigitalOcean | Infraestructura de servidores, hospedaje de base de datos (cifrados) | Ámsterdam, Países Bajos (UE) |
5. Transferencias internacionales
Tus datos pueden transferirse a encargados del tratamiento ubicados en Estados Unidos. Estas transferencias están protegidas mediante las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, complementadas con medidas adicionales cuando proceda, garantizando el cumplimiento del Capítulo V del RGPD. Una copia de las CCT está disponible bajo solicitud.
6. Conservación de datos
Conservamos tus datos según el siguiente calendario:
| Tipo de datos | Periodo de conservación |
|---|---|
| Datos de cuenta y operativos | Mientras la cuenta esté activa; se eliminan a petición |
| Registros de auditoría | Mientras la cuenta esté activa (cumplimiento normativo) |
| Conversaciones de chat IA | Mientras la cuenta esté activa; se eliminan con la cuenta |
| Registros de pago | 7–10 años (normativa fiscal/contable) |
| Suscripciones a notificaciones push | Se eliminan al darse de baja o al eliminar la cuenta |
7. Tus derechos (RGPD)
Como interesado en la UE/Reino Unido tienes los siguientes derechos en virtud de los Artículos 15–22 del RGPD:
- Acceso (Art. 15) — Solicitar una copia de tus datos personales
- Rectificación (Art. 16) — Corregir datos personales inexactos
- Supresión (Art. 17) — Eliminar tus datos personales
- Limitación (Art. 18) — Limitar el tratamiento de tus datos
- Portabilidad (Art. 20) — Recibir los datos en formato legible por máquina
- Oposición (Art. 21) — Oponerte al tratamiento basado en interés legítimo
- Decisiones automatizadas (Art. 22) — No ser objeto de decisiones basadas únicamente en tratamiento automatizado
Para ejercer tus derechos, escribe a nuestro equipo de protección de datos. Responderemos en los 30 días que exige el RGPD.
8. Cookies y gestión de sesión
Keptt usa una única cookie de sesión HTTP-only para la autenticación. Sin cookies analíticas, píxeles de seguimiento ni cookies de publicidad de terceros. Consulta nuestra Política de cookies para más detalles.
9. Seguridad de los datos
Aplicamos cifrado en tránsito (TLS 1.3), cifrado en reposo, hash criptográfico de contraseñas, aislamiento multi-tenant, control de acceso basado en roles, validación de entrada con Zod, consultas parametrizadas mediante Prisma ORM, verificación de firma de webhooks de Stripe y registros de auditoría inmutables.
10. Menores
Keptt es un servicio profesional no dirigido a menores de 16 años. No recopilamos conscientemente datos de menores de 16 años.
11. Cambios en esta política
Los cambios sustanciales se notificarán por email con al menos 30 días de antelación. El uso continuado tras la fecha de entrada en vigor implica la aceptación.
12. Contacto
Para consultas sobre privacidad o ejercicio de derechos, contacta con nuestro equipo de protección de datos en [email protected]. Asimismo, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6, 28001 Madrid, https://www.aepd.es/.