Política de Privacidad

Esta política de privacidad regula el tratamiento de los datos personales de las personas usuarias del software Balles Hosteleros (en adelante, «el Software»), accesible desde https://software.balleshosteleros.com y operado en https://sistema.balleshosteleros.com.

1. Responsable del tratamiento

• Razón social: Complejos Hosteleros Gourmet S.L.
• CIF: B56558109
• Domicilio social: C/ Arte Plateresco 3, 28905 Getafe, Madrid, España
• Teléfono: 91 999 41 41
• Email de contacto en materia de protección de datos: balleshosteleros@gmail.com

2. Datos que tratamos y finalidades

Tratamos las siguientes categorías de datos personales, exclusivamente con las finalidades indicadas:

2.1 Datos de cuenta y perfil

• Datos identificativos: nombre, apellidos, correo electrónico, teléfono, fotografía de perfil y rol dentro de la organización.
• Finalidad: crear y mantener la cuenta de usuario, autenticación, asignación de permisos y comunicaciones operativas del servicio.
• Base legal: ejecución del contrato de servicio.

2.2 Datos laborales y de explotación del negocio del cliente

• Datos: información de empleados (contratos, nóminas, fichajes, turnos), proveedores, productos, escandallos, registros de APPCC, facturas y documentación operativa aportada por la empresa cliente.
• Finalidad: prestar las funcionalidades del Software contratado.
• Base legal: ejecución del contrato con la empresa cliente, que actúa como responsable del tratamiento respecto a sus empleados. Balles Hosteleros actúa en este caso como encargado del tratamiento en los términos del artículo 28 del RGPD.

2.3 Datos técnicos y de uso

• Datos: dirección IP, identificador de sesión, agente de navegador, registros de acceso, métricas de uso de funcionalidades y registros de auditoría.
• Finalidad: seguridad del Software, prevención del fraude, trazabilidad de acciones y mejora del servicio.
• Base legal: interés legítimo en proteger el sistema y cumplir obligaciones legales.

3. Uso de APIs de Google

El Software ofrece, de forma opcional, la conexión a la cuenta de Google del usuario para integrar las funcionalidades de Gmail, Google Calendar y Google Contacts dentro de la propia aplicación. Esta conexión es enteramente voluntaria, requiere consentimiento explícito del usuario mediante el flujo OAuth de Google, y puede revocarse en cualquier momento desde la propia aplicación o desde https://myaccount.google.com/permissions.

3.1 Permisos solicitados y para qué los usamos

• Gmail (https://mail.google.com/ y gmail.settings.basic): mostrar el correo del usuario dentro de la app, permitirle leer, enviar, responder, archivar y etiquetar mensajes desde la interfaz del Software, y leer la firma corporativa configurada en Gmail para utilizarla en los envíos.
• Google Calendar (calendar y calendar.events): mostrar la agenda diaria del usuario, crear eventos y reuniones de Google Meet desde la propia aplicación.
• Google Contacts (contacts.readonly y contacts.other.readonly): resolver la fotografía y el nombre del remitente de los correos por su dirección de email, mostrándolos junto al mensaje en la bandeja de entrada integrada.
• Email y perfil básico (email, profile): identificar qué cuenta de Google está conectada y mostrar el nombre y la imagen del usuario en la aplicación.

3.2 Cumplimiento de las políticas de Google

El uso que Balles Hosteleros hace de la información recibida desde las APIs de Google se ajusta íntegramente a la Google API Services User Data Policy, incluyendo los Limited Use Requirements. En particular declaramos que:

• No usamos los datos de Google para publicidad propia ni de terceros, ni para construir perfiles publicitarios.
• No vendemos ni cedemos los datos obtenidos de las APIs de Google.
• No permitimos que personas humanas lean los datos de Google del usuario, salvo que el propio usuario lo solicite expresamente para soporte, o que la lectura sea necesaria por motivos de seguridad o cumplimiento legal, o cuando los datos hayan sido agregados y anonimizados.
• Solo usamos los datos para las finalidades descritas en el apartado 3.1 anterior.

3.3 Almacenamiento de los datos de Google

Los datos recibidos desde las APIs de Google se procesan en tiempo real para mostrarlos al usuario. No se almacenan en nuestras bases de datos. Únicamente conservamos:

• El refresh token de OAuth necesario para mantener la sesión conectada, cifrado y asociado al usuario.
• Caches efímeras de duración inferior a 5 minutos para reducir llamadas a las APIs (contadores de correos no leídos, eventos del día).

4. Destinatarios de los datos

No cedemos datos personales a terceros con fines comerciales. Para prestar el servicio, utilizamos los siguientes proveedores que actúan como encargados del tratamiento bajo contrato:

• Vercel Inc. (EE. UU.) — alojamiento web y CDN. Datos transferidos al amparo de las Cláusulas Contractuales Tipo de la Comisión Europea.
• Supabase Inc. (EE. UU., con regiones de datos en Europa) — base de datos y autenticación. Datos alojados en región europea.
• Google LLC (EE. UU.) — APIs de Gmail, Calendar y Contacts, exclusivamente cuando el usuario conecta su cuenta voluntariamente.
• Mailgun Technologies Inc. (EE. UU. / UE) — envío de correo transaccional.
• SiteGround Spain S.L. (España) — alojamiento de correo y SMTP.
• OpenRouter (proveedores de IA) — procesamiento puntual y opcional de textos generados por el usuario para funcionalidades de redacción asistida. Los datos no se utilizan para entrenar modelos.

5. Transferencias internacionales

Algunos proveedores indicados se encuentran fuera del Espacio Económico Europeo. En todos los casos, las transferencias se realizan al amparo de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, o bajo marcos de adecuación equivalentes, garantizando un nivel de protección adecuado.

6. Plazo de conservación

• Datos de cuenta: mientras la relación contractual esté activa, y hasta 6 años después por obligaciones legales de conservación documental.
• Datos de explotación del negocio: mientras dure el contrato. Tras su finalización, se entregarán al cliente y se eliminarán de nuestros sistemas en un plazo máximo de 90 días, salvo obligación legal de conservación.
• Tokens de Google: se eliminan inmediatamente al desconectar la cuenta o al cerrar la cuenta del Software.
• Registros de auditoría y seguridad: hasta 12 meses.

7. Derechos del usuario

Como interesado puedes ejercer en cualquier momento los siguientes derechos:

• Acceso a tus datos personales.
• Rectificación de datos inexactos o incompletos.
• Supresión («derecho al olvido»).
• Oposición al tratamiento.
• Limitación del tratamiento.
• Portabilidad de los datos.
• Retirada del consentimiento, sin efectos retroactivos.

Para ejercerlos, envía un correo a balleshosteleros@gmail.com indicando el derecho que deseas ejercer y acreditando tu identidad. Atenderemos la solicitud en el plazo máximo de un mes desde su recepción.

Si consideras que el tratamiento no se ajusta a la normativa, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), www.aepd.es.

8. Cómo desconectar Google y revocar permisos

Puedes desconectar tu cuenta de Google del Software en cualquier momento:

• Desde la aplicación, en el menú de tu cuenta > Desconectar Google.
• Desde tu cuenta de Google: https://myaccount.google.com/permissions, localizando «Balles Hosteleros» y revocando el acceso.

9. Medidas de seguridad

Aplicamos medidas técnicas y organizativas apropiadas: cifrado en tránsito (HTTPS/TLS), cifrado en reposo en bases de datos, autenticación multifactor disponible, control de accesos por rol, registros de auditoría, copias de seguridad cifradas y formación periódica del equipo en materia de protección de datos.

10. Cookies

Para información detallada sobre el uso de cookies, consulta nuestra Política de Cookies.

11. Cambios en esta política

Esta política puede actualizarse para reflejar cambios legales, técnicos u operativos. La fecha de última actualización figura al inicio del documento. Si los cambios son sustanciales, lo comunicaremos a los usuarios por correo electrónico con al menos 15 días de antelación.

12. Legislación aplicable

Esta política se rige por el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).