Política de privacidad

Esta política de privacidad de VPX Consult srl (editor de la aplicación Allergio) describe cómo recogemos, utilizamos y protegemos sus datos personales cuando utiliza la aplicación móvil Allergio («Servicios»).

Para cualquier consulta o para ejercer sus derechos, contáctenos en privacy@allergio.net.

Resumen de los puntos clave

• Datos que tratamos: cuenta (correo, nombre, foto), perfiles de alergia (nombre, apellido, foto, listas de alérgenos), invitaciones, registros de envío de correos, token de notificaciones, tipo de suscripción.
• Datos de salud: las listas de alérgenos son datos de salud; los tratamos únicamente para prestar el servicio (escaneo, compartición de perfiles) y sobre la base del contrato y su consentimiento.
• Compartición: con encargados del tratamiento (Google/Firebase, Mailgun, OpenFoodFacts para productos, Apple/Google para suscripciones); no vendemos sus datos.
• Sus derechos: acceso, rectificación, supresión, limitación, portabilidad, oposición, reclamación ante la autoridad de protección de datos (Bélgica). Contacto: privacy@allergio.net. Plazo de respuesta: 1 mes.

Índice

• 1. Responsable del tratamiento
• 2. ¿Qué datos recogemos?
• 3. Datos de salud (alérgenos)
• 4. Finalidades y bases legales
• 5. Destinatarios y encargados
• 6. Inicio de sesión con Google (API Google)
• 7. Transferencias fuera del EEE
• 8. Plazo de conservación
• 9. Seguridad de los datos
• 10. Sus derechos
• 11. Menores
• 12. Decisiones automatizadas
• 13. Actualizaciones de la política
• 14. Contacto

1. Responsable del tratamiento

VPX Consult srl
Número de empresa (BCE): 1011.667.933
IVA: BE 1011.667.933
9 Route du Lion, 1420 Braine-l\’Alleud, Bélgica
Correo: privacy@allergio.net

2. ¿Qué datos recogemos?

En resumen: recogemos los datos necesarios para la creación de la cuenta, la gestión de perfiles de alergia, las invitaciones y el correcto funcionamiento del servicio.

Datos que nos facilita:

• Cuenta: dirección de correo, contraseña (almacenada de forma segura por Firebase Auth), nombre para mostrar, foto de perfil (opcional).
• Perfiles de alergia: nombre, apellido, foto, listas de alérgenos por perfil.
• Invitaciones: direcciones de correo de las personas que invita a acceder a un perfil.

Datos recogidos automáticamente o generados:

• Identificador de cuenta y fechas (creación, último acceso); tipo de suscripción y fechas de prueba.
• Registros de envío de correos (invitaciones, restablecimiento de contraseña): tipo, estado, fecha y, en caso de error, información técnica (sin contenido del mensaje).
• Token de notificaciones push (Firebase Cloud Messaging) si acepta las notificaciones.

Las compras dentro de la aplicación (suscripciones) las gestionan Google Play y la App Store; no recibimos datos de tarjeta. Solo registramos el tipo de suscripción y las fechas asociadas para desbloquear las funciones.

En las búsquedas de productos (código de barras o texto) solo enviamos los términos de búsqueda a OpenFoodFacts; no se transmite ningún dato personal (correo, nombre, alérgenos) a OpenFoodFacts.

3. Datos de salud (alérgenos)

En resumen: las listas de alérgenos son datos de salud. Los tratamos únicamente para el servicio (verificación de productos, compartición de perfiles) y sobre una base legal adecuada.

La información sobre alérgenos que introduce en los perfiles son datos de salud en el sentido del RGPD. Los tratamos solo para: (1) prestar el servicio de escaneo y mostrar los alérgenos peligrosos para cada perfil; (2) permitir la compartición de perfiles (invitaciones). No los utilizamos para otros fines (publicidad, reventa, etc.). La base legal es la ejecución del contrato y, cuando la ley lo exija, su consentimiento explícito para el tratamiento de datos de salud.

4. Finalidades y bases legales

En resumen: tratamos sus datos para prestar el servicio, gestionar cuentas e invitaciones, garantizar la seguridad y cumplir la ley.

• Ejecución del contrato: creación y gestión de la cuenta, perfiles, invitaciones, escaneo de productos, suscripciones.
• Interés legítimo: registros técnicos y limitación del número de correos enviados (antiabuso), seguridad de los sistemas.
• Consentimiento: notificaciones push, foto de perfil (cuando es opcional).
• Obligaciones legales: conservación de pruebas o respuesta a una solicitud legal.

5. Destinatarios y encargados del tratamiento

En resumen: recurrimos a prestadores que tratan sus datos por cuenta nuestra, en el marco de contratos y compromisos de confidencialidad.

Compartimos sus datos solo con los siguientes prestadores, que actúan en nuestro nombre y según nuestras instrucciones:

• Google (Firebase): autenticación, base de datos (Firestore), almacenamiento de fotos (Storage), funciones backend (Cloud Functions), notificaciones (FCM). Política de privacidad de Google.
• Mailgun: envío de correos (invitaciones, restablecimiento de contraseña). Tratamiento en la UE. Política de privacidad de Mailgun.
• OpenFoodFacts: búsqueda de productos por código de barras o texto. No les transmitimos datos personales. Condiciones de uso de OpenFoodFacts.
• Apple (App Store) y Google (Play Store): gestión de compras en la aplicación; sus políticas se aplican a los pagos. Política de Apple, Política de Google.

No vendemos sus datos personales.

6. Inicio de sesión con Google (API Google)

Si utiliza el inicio de sesión con una cuenta de Google, nuestro uso de los datos de las API de Google cumple la Política de datos de usuario de los servicios de API de Google, incluidas las exigencias de «uso limitado».

7. Transferencias fuera del EEE

En resumen: algunos prestadores (en particular Google) están situados en Estados Unidos. Enmarcamos estas transferencias con garantías adecuadas.

Sus datos pueden ser tratados por prestadores situados fuera del Espacio Económico Europeo (EEE), en particular en Estados Unidos (Google/Firebase). Nos aseguramos de que existan garantías adecuadas, como las Cláusulas contractuales tipo de la Comisión Europea (o equivalente), para que sus datos estén protegidos conforme al derecho europeo. Puede solicitar una copia de estas garantías en privacy@allergio.net.

8. Plazo de conservación

En resumen: conservamos sus datos mientras existan su cuenta y sus perfiles, y luego durante un breve período tras la supresión; los registros de correos se conservan de forma limitada.

• Cuenta y perfiles: hasta la supresión de su cuenta (o del perfil correspondiente), luego 30 días antes de la supresión definitiva en copias de seguridad, salvo obligación legal de conservación.
• Registros de envío de correos: 12 meses, luego supresión o anonimización.
• Invitaciones: hasta la expiración o revocación de la invitación, luego supresión conforme a las reglas anteriores.

9. Seguridad de los datos

En resumen: aplicamos medidas técnicas y organizativas para proteger sus datos; sin embargo, ninguna transmisión ni almacenamiento es totalmente invulnerable.

Establecemos medidas de seguridad razonables (acceso restringido, cifrado, contratos con encargados) para proteger sus datos personales. No obstante, ninguna transmisión por Internet ni almacenamiento electrónico es totalmente seguro. No podemos garantizar que no se produzca nunca un acceso no autorizado, pérdida o modificación; nos comprometemos a reaccionar ante cualquier incidencia y a informarle cuando la ley lo exija.

10. Sus derechos

En resumen: tiene derecho de acceso, rectificación, supresión, limitación, portabilidad y oposición; puede retirar su consentimiento y presentar una reclamación ante la autoridad de control.

Tiene los siguientes derechos sobre sus datos personales:

• Acceso: obtener la confirmación de que tratamos sus datos y una copia de los mismos.
• Rectificación: hacer corregir datos inexactos o incompletos.
• Supresión: solicitar la eliminación de sus datos en los casos previstos por el RGPD.
• Limitación: solicitar la limitación del tratamiento en determinadas situaciones.
• Portabilidad: recibir sus datos en un formato estructurado y de uso común.
• Oposición: oponerse al tratamiento basado en el interés legítimo.
• Retirada del consentimiento: cuando el tratamiento se base en el consentimiento, puede retirarlo en cualquier momento sin afectar a la licitud del tratamiento anterior.

Para ejercer estos derechos, contáctenos en privacy@allergio.net o en la dirección postal del § 1. Nos comprometemos a responder en un plazo de un mes.

Tiene derecho a presentar una reclamación ante la autoridad de protección de datos de su país. En Bélgica: Autoridad de protección de datos (APD).

11. Menores

Los perfiles pueden concernir a menores (por ejemplo un perfil «niño» gestionado por un padre). No fijamos una edad mínima para el uso del servicio. Si se crea un perfil de un menor o se facilitan datos que le conciernen, partimos de que el titular de la cuenta (padre o tutor) consiente el tratamiento. Le rogamos que no cree una cuenta o perfil para un menor sin autoridad parental sin asegurarse del consentimiento adecuado.

12. Decisiones automatizadas

No tomamos decisiones que produzcan efectos jurídicos o efectos similares significativos sobre usted basándonos únicamente en un tratamiento automatizado (no hay tal perfilado).

13. Actualizaciones de la política

Podemos actualizar esta política para reflejar cambios en nuestras prácticas o en la normativa. La fecha de «Última actualización» al inicio del documento se modificará en consecuencia. En caso de cambio importante, le informaremos mediante una notificación en la aplicación o por correo. Le invitamos a consultar esta página con regularidad.

14. Contacto

Para cualquier consulta sobre esta política o para ejercer sus derechos:

VPX Consult srl
9 Route du Lion, 1420 Braine-l\’Alleud, Bélgica
Correo: privacy@allergio.net