Política de Privacidad

Última actualización: 18 de abril de 2026

Responsable del tratamiento de datos

GelatoMaps actúa como responsable del tratamiento de datos personales conforme al Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD). El responsable es:

• Nombre: Desiderio Llinares Nogales
• Email: hola@gelatomaps.com

Datos personales que recopilamos

GelatoMaps recopila únicamente los datos necesarios para proporcionar el servicio:

Datos de cuenta (obligatorios para usuarios registrados)

• Nombre de usuario o nombre completo
• Dirección de correo electrónico
• Información del perfil (foto, biografía breve)
• Datos de autenticación (contraseña hasheada, tokens JWT)

Datos de actividad en plataforma

• Votaciones y puntuaciones de heladerías (1 a 3 bolas)
• Comentarios y reseñas de usuarios
• Historial de búsquedas y filtros aplicados

Datos de ubicación (opcional)

• Ubicación geográfica proporcionada voluntariamente por el usuario
• Esta información es completamente opcional y el usuario puede deshabilitarla en cualquier momento

Datos de autenticación social (si aplica)

• Si utiliza Google OAuth, recopilamos tu identificador de Google y email verificado
• No almacenamos tu contraseña de Google

Datos técnicos y de navegación

• Dirección IP (registrada en logs de servidor)
• Tipo de navegador y versión
• Sistema operativo
• Páginas visitadas y tiempo de permanencia (analytics opcional)

Fotografías subidas por usuarios y heladeros

• Fotos de perfil, fotos de producto y fotos de vitrinas aportadas voluntariamente
• Se almacenan en Cloudflare R2 (proveedor de almacenamiento de objetos con servidores en la Unión Europea)
• El usuario puede eliminar sus fotos en cualquier momento desde su panel

Datos de heladeros y proveedores (si reclamas un perfil)

• Datos de contacto comercial (email de la heladería, teléfono, dirección del local)
• Información de la empresa (CIF/NIF, razón social) solo si contrata servicios Premium con facturación
• Documentación aportada para verificar la titularidad del local (claim)
• Panel de gestión (owner.html) y, en el caso de proveedores B2B, panel de HeladoPro (proveedor-panel.html)

Datos de pago (solo si contratas Premium)

• Procesados directamente por Stripe (Stripe Payments Europe, Ltd.) — GelatoMaps no almacena números de tarjeta
• Recibimos de Stripe únicamente el ID de suscripción, el estado (activa/cancelada) y los últimos 4 dígitos de la tarjeta para visualización en tu panel
• Datos de facturación (razón social, CIF, dirección fiscal) para generar facturas conforme a obligaciones AEAT

Datos de votación (DragCream anti-fraude)

• Voto emitido (0-3 bolas) y timestamp
• ID del código QR escaneado dentro de la heladería (para validar presencia física)
• Identificador de usuario asociado al voto
• Estas referencias se anonimizan si solicitas el borrado de cuenta, preservando el voto agregado en el ranking

Propósito del tratamiento de datos

Tratamos tus datos personales para los siguientes propósitos:

• Proporcionar, mantener y mejorar el servicio de plataforma de heladerías
• Crear y mantener tu cuenta de usuario
• Procesar tus votaciones, puntuaciones y contenido generado
• Comunicarnos contigo sobre cambios en la plataforma, actualizaciones de seguridad o soporte técnico
• Cumplir con obligaciones legales bajo legislación española y europea
• Prevenir fraude, abuso y garantizar la seguridad de la plataforma
• Mejora de experiencia de usuario y análisis de uso (analytics opcional)

Base legal para el tratamiento

El tratamiento de tus datos se fundamenta en:

• Ejecución del contrato: Necesario para proporcionar el servicio (artículo 6.1.b RGPD)
• Consentimiento: Para datos opcionales como ubicación y analytics (artículo 6.1.a RGPD)
• Cumplimiento legal: Para retención de logs y datos de seguridad requerida por ley (artículo 6.1.c RGPD)
• Interés legítimo: Para mejorar la seguridad, prevenir fraude y optimizar la plataforma (artículo 6.1.f RGPD)

Períodos de retención de datos

Retenemos tus datos personales durante los períodos siguientes:

• Datos de cuenta: Mientras tu cuenta esté activa. Si solicitas la eliminación, anonimización inmediata y borrado completo en un máximo de 30 días
• Votaciones DragCream: Se conservan asociadas a la heladería (sin identificación personal) para preservar la integridad del ranking. El user_id queda nulificado al eliminar la cuenta
• Fotografías subidas a R2: Se eliminan del bucket Cloudflare R2 al borrar el contenido que las referencia o al eliminar la cuenta
• Facturación y pagos (Stripe): 6 años desde la última transacción, conforme a la obligación legal del Código de Comercio y la Ley General Tributaria (AEAT)
• Logs de servidor e IP: Máximo 90 días, conforme a políticas de seguridad estándar
• Cookies de sesión: Se eliminan al cerrar sesión o tras 30 días de inactividad
• JWT tokens: Expiran después de 14 días de inactividad
• Claims (reclamaciones de perfil): Archivados durante 2 años tras la resolución para auditoría editorial
• Mensajes editoriales (chat admin↔heladero): Retenidos durante la vida del claim y 2 años tras su cierre
• Analytics (opcional): Se conservan durante 12 meses
• Cumplimiento legal: Algunos datos pueden retenerse más tiempo si legalmente requerido

Derechos del usuario (Derechos ARCO + RGPD)

Conforme a la legislación europea y española, tienes los siguientes derechos:

Derecho de acceso

Puedes solicitar acceso a todos los datos personales que GelatoMaps posee sobre ti, incluyendo una copia en formato legible (JSON). Lo más rápido: desde el Centro de Privacidad en tu perfil, botón "Descargar mis datos".

Derecho de rectificación

Puedes corregir datos inexactos o incompletos. Puedes actualizar muchos datos directamente en tu perfil.

Derecho de supresión ("derecho al olvido")

Puedes solicitar la eliminación de tus datos personales en cualquier momento. La opción más rápida es el Centro de Privacidad (botón 🔒 en tu perfil): pulsa "Eliminar mi cuenta" y se ejecutará la anonimización de forma inmediata. Completaremos el borrado en un máximo de 30 días naturales, con las únicas excepciones legalmente obligatorias (facturación AEAT, registros fiscales, obligaciones judiciales).

Derecho de limitación

Puedes solicitar que limitemos el tratamiento de tus datos en determinadas circunstancias.

Derecho de portabilidad

Tienes derecho a recibir tus datos en formato estructurado e interoperable (JSON, CSV).

Derecho de oposición

Puedes oponerte al tratamiento de tus datos para analytics y marketing.

Derechos relacionados con toma de decisiones automatizada

GelatoMaps no realiza perfilado automático ni toma decisiones automatizadas que afecten derechos legales.

Cómo ejercer tus derechos

Para ejercer cualquiera de tus derechos ARCO o RGPD, envía una solicitud a: hola@gelatomaps.com

Incluye:

• Tu nombre completo y email de registro
• El derecho específico que deseas ejercer (acceso, rectificación, supresión, etc.)
• Copia de tu DNI o pasaporte (para verificación de identidad)

Responderemos dentro de 30 días naturales conforme a la legislación vigente.

Compartición de datos y proveedores (Encargados del tratamiento)

GelatoMaps no vende ni alquila datos personales. Utilizamos los siguientes proveedores de servicio (encargados del tratamiento, art. 28 RGPD), todos ellos con garantías de protección de datos (DPA firmado y/o Cláusulas Contractuales Tipo):

• Railway (hosting): Servidores en UE (Amsterdam). Aloja backend, base de datos PostgreSQL y backups cifrados
• Cloudflare R2 (almacenamiento de fotos): Servidores en UE. Aloja imágenes subidas por usuarios y heladeros
• Stripe (pagos): Procesa suscripciones Premium. Recibe datos de facturación (nombre, email, NIF/CIF si empresa) y datos de tarjeta (que no tocamos ni almacenamos). Cumple PCI-DSS nivel 1
• Resend (email transaccional): Entrega emails de login, confirmaciones y notificaciones. Recibe tu email y el contenido del mensaje
• Listmonk (newsletter): Gestión de newsletter opcional. Solo si te suscribes expresamente
• PostHog (analytics): Analítica anónima de uso (opcional, requiere consentimiento). Self-hosted vía proxy en la UE
• Google (OAuth): Solo tu ID de Google y email verificado, exclusivamente para autenticación
• Hostinger (email corporativo): Buzón hola@gelatomaps.com para atención al usuario
• Obligaciones legales: Podremos facilitar datos si una autoridad judicial, AEPD o fuerzas de seguridad lo requieren conforme a la ley

Todos los proveedores anteriores operan bajo la LOPDGDD y el RGPD, con servidores prioritariamente en la Unión Europea. Para consultar el Registro de Actividades de Tratamiento (RAT) completo: hola@gelatomaps.com.

Centro de Privacidad (ejercicio directo de derechos)

Para facilitarte el ejercicio de tus derechos RGPD sin necesidad de escribir un email, hemos habilitado un Centro de Privacidad dentro de tu perfil:

• Accede a mi perfil estando logueado
• Pulsa el botón 🔒 Privacidad en la cabecera
• Desde allí puedes descargar una copia de tus datos (derecho de acceso, art. 15) o eliminar tu cuenta (derecho al olvido, art. 17), con un solo clic

La eliminación desde el Centro de Privacidad es inmediata: anonimizamos tu cuenta (email, nombre, foto, biografía) en menos de 24 horas y el resto de referencias en un plazo máximo de 30 días naturales, conservando únicamente los mínimos legales (facturación: 6 años AEAT; logs de seguridad: 90 días).

Seguridad de datos

Implementamos medidas de seguridad técnicas y organizativas para proteger tus datos:

• Encriptación de contraseñas mediante bcrypt
• Transmisión segura HTTPS/TLS
• Autenticación mediante JWT tokens
• Acceso restringido a sistemas internos
• Auditorías de seguridad regulares

Sin embargo, ningún sistema es 100% seguro. Si sospechas una brecha de datos, contáctanos inmediatamente.

Cambios en esta política

Podemos actualizar esta política de privacidad ocasionalmente. Los cambios significativos serán comunicados a través de la plataforma o por email. Tu continuación en el uso de GelatoMaps implica aceptación de los cambios.

Contacto para privacidad

Para preguntas, solicitudes de derechos o consultas sobre privacidad: hola@gelatomaps.com