Política de privacidad

1. Responsable del tratamiento

ciaobox es un proyecto personal sin ánimo de lucro. El responsable del tratamiento de los datos es el operador del servicio, contactable a través del email indicado en el pie de página o mediante el canal de contacto disponible en la web.

La identidad completa del responsable se publicará en el aviso legal cuando se abra el registro público de usuarios.

2. Datos que recopilamos

  • Email (para autenticación y envío de emails semanales)
  • Selecciones semanales de recetas
  • Votos a recetas y fotos
  • Fotos subidas (UGC)
  • Preferencias de suscripción, dietéticas y número de comensales
  • Mensajes enviados a través del canal de contacto (categoría, texto del mensaje, email indicado si lo dejas) y metadatos técnicos para diagnosticar bugs (URL desde la que escribes, user-agent del navegador, IP).
  • Eventos de uso (analítica de producto) si has dado tu consentimiento a las cookies de analítica (ver §8).

No recopilamos datos sensibles, de localización, ni datos biométricos.

3. Finalidades y bases legales

Cada categoría de datos se trata con una base legal específica:

FinalidadBase legal (RGPD)
Mantener tu cuenta y autenticarteEjecución de contrato (6.1.b)
Enviarte el email semanal con tus selecciones y la lista de la compra (transaccional)Ejecución de contrato + interés legítimo (6.1.b/f) y art. 21.2 LSSI
Personalizar recomendaciones (opcional, si lo activas)Consentimiento (6.1.a)
Mostrar fotos UGC tras moderaciónConsentimiento explícito + contrato (6.1.a/b)
Atender tus mensajes de contactoInterés legítimo (6.1.f)
Analítica de producto (PostHog)Consentimiento (6.1.a)

4. Decisiones automatizadas

El sistema usa un recomendador algorítmico para sugerir recetas en función de tu actividad y preferencias declaradas. Esta personalización no constituye una decisión automatizada significativa en el sentido del art. 22 RGPD: solo afecta a qué recetas se te muestran, no a derechos o intereses sustanciales. En cualquier caso, puedes desactivarla desde tu perfil en cualquier momento.

5. Encargados y terceros

Compartimos datos únicamente con los proveedores necesarios para prestar el servicio. Todos están en la Unión Europea:

  • Oracle Cloud Infrastructure (OCI) — hosting, base de datos y envío de emails transaccionales (OCI Email Delivery).
  • PostHog (eu.i.posthog.com) — analítica de producto y, en su caso, session replay. Solo si has aceptado las cookies de analítica. Recibe eventos de uso y, mediante un pixel transparente embebido en el email semanal, la apertura del correo. Puedes desactivar el seguimiento de email desuscribiéndote desde tu perfil o con el enlace del propio email.
  • Google — únicamente si te autenticas con OAuth Google; recibe los datos que tú mismo le proporcionas al iniciar sesión.

6. Derechos del usuario (RGPD)

Puedes ejercer tus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición. La mayoría son autoservicio desde tu perfil:

  • Acceso y portabilidad: descarga un JSON completo de tus datos desde tu perfil.
  • Rectificación: edita tus preferencias y datos de perfil desde tu perfil.
  • Supresión: inicia el borrado desde tu perfil. Los datos se eliminan completamente en 30 días.
  • Oposición y limitación: desuscríbete del email semanal desde tu perfil o con un click en el email; revoca el consentimiento de cookies desde "Gestionar cookies" en el pie de página; desactiva la personalización desde tu perfil.

Si consideras que el tratamiento de tus datos no cumple con la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

7. Conservación

Por defecto, los datos se conservan mientras tu cuenta esté activa. Tras solicitar la eliminación, se eliminan completamente en un plazo máximo de 30 días.

Plazos específicos:

  • Mensajes del canal de contacto: se conservan mientras sean útiles para soporte. La IP capturada se anonimiza a los 90 días. Si el mensaje se envió sin sesión iniciada, el email indicado se anonimiza a los 18 meses.
  • Logs de envío de email semanal: 24 meses.
  • Eventos de PostHog: según configuración del proveedor (típicamente 12 meses para datos identificables).

8. Cookies

Usamos cookies estrictamente necesarias para autenticación, sesión y para registrar tu decisión sobre cookies. Las cookies de analítica (PostHog) solo se cargan si das tu consentimiento explícito a través del banner. El detalle completo, listado de cookies, finalidad y duración están en la política de cookies.

9. Cambios en esta política

Cualquier cambio sustancial se anunciará en la web. La versión vigente es siempre la publicada en esta página.

Usamos cookies

Usamos cookies estrictamente necesarias para que la web funcione y, con tu consentimiento, cookies de analítica (PostHog) para entender cómo se usa el sitio. Más información.