Política de Privacidad

1. Responsable del Tratamiento

Solid Tech Consulting SL ("SuCafé"), con domicilio social en España. Email de contacto para cuestiones de privacidad: privacy@solidtech.es.

Doble rol: cuando tú (lojista) usas nuestra plataforma, nosotros somos Responsables de tus datos (cuenta, facturación, soporte). Cuando tú recibes datos de tus clientes finales a través de nuestros storefronts, tú eres el Responsable y nosotros somos tu Encargado del Tratamiento.

2. Datos que recopilamos

De los lojistas (Usuarios registrados):

• Email, nombre comercial, NIF/CIF
• Contraseña (almacenada con bcrypt cost 12 — irrecuperable)
• Datos de configuración del comercio (dirección, teléfono, logotipo, menú)
• Datos de facturación (IBAN/cartão tokenizado por Stripe)
• Logs de actividad (IP, user-agent, timestamp de acceso) — 90 días

De los clientes finales (usuarios de los storefronts):

• Nombre (al hacer un pedido)
• Email opcional (para fidelización)
• Número de mesa
• Contenido del pedido, importe, método de pago
• Datos de pago tokenizados por Redsys/Stripe (nunca almacenamos el PAN)

3. Base legal del tratamiento

• Ejecución de contrato (Art. 6.1.b RGPD): cuenta del lojista, procesamiento de pedidos
• Obligación legal (Art. 6.1.c RGPD): conservación de facturas (6 años — Ley 58/2003)
• Interés legítimo (Art. 6.1.f RGPD): prevención de fraude, seguridad
• Consentimiento (Art. 6.1.a RGPD): cookies analíticas, comunicaciones de marketing

4. Con quién compartimos datos

• Proveedores de infraestructura: Google Cloud Platform (hosting, Cloud SQL — UE, región europe-west1)
• Pasarelas de pago: Redsys (España), Stripe Payments Europe (Irlanda) — procesamiento de transacciones
• Email: Google Workspace SMTP Relay (transaccionales)
• Administración fiscal: AEAT vía Fiskaly (facturación VeriFACTU, obligación legal)

No vendemos tus datos. No los usamos para publicidad de terceros. Todos los proveedores están sujetos a acuerdos de tratamiento de datos (DPA) conforme al RGPD.

5. Transferencias internacionales

Todos los datos se almacenan en la UE (Google Cloud europe-west1 — Bélgica). Stripe puede realizar procesamiento en EE.UU. bajo su certificación de Cláusulas Contractuales Tipo (CCT/SCC) aprobadas por la Comisión Europea.

6. Tiempo de conservación

• Cuentas activas: durante la vida de la cuenta + 90 días tras cancelación
• Facturas fiscales: 6 años (obligación legal española)
• Logs de seguridad: 90 días
• Consentimientos de cookies: 12 meses (re-solicitamos al expirar)

7. Tus derechos (RGPD)

Puedes ejercer en cualquier momento, escribiendo a privacy@solidtech.es:

• Acceso a tus datos (Art. 15)
• Rectificación (Art. 16)
• Supresión / "derecho al olvido" (Art. 17)
• Limitación del tratamiento (Art. 18)
• Portabilidad (Art. 20) — exportación de tus datos en formato JSON
• Oposición (Art. 21)
• Retirada de consentimientos (Art. 7.3)

También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD)si consideras que tus derechos no son atendidos: www.aepd.es.

8. Cookies

Usamos tres categorías de cookies:

• Técnicas/esenciales: auth_token, csrf_token, NEXT_LOCALE. No requieren consentimiento.
• Funcionales: recordar preferencias de UI. Requieren consentimiento.
• Analíticas: métricas de uso agregadas y anonimizadas. Requieren consentimiento.

Puedes revisar y cambiar tus preferencias de cookies en cualquier momento desde el banner inferior.

9. Seguridad

• Cifrado en tránsito: TLS 1.2+ obligatorio
• Cifrado en reposo: AES-256 (Cloud SQL + credenciales OAuth)
• Contraseñas hasheadas con bcrypt cost 12
• Segregación multi-tenant a nivel aplicación (RLS en roadmap)
• Backups diarios automáticos con retención de 7 días
• Pruebas de seguridad periódicas (gosec, trufflehog en CI)

10. Contacto

Delegado de Protección de Datos (DPO): dpo@solidtech.es
Email general: privacy@solidtech.es