Legal

Política de Privacidad

Fecha de entrada en vigor: 01 / 01 / 2026 Última actualización: 16 / 05 / 2026

Esta traducción se ofrece solo por comodidad; en caso de discrepancia prevalece la versión en inglés. Te recomendamos consultar a un abogado.

1.Quiénes somos

FoodWeb AI Ltd ("ROA", "nosotros", "nos") es el responsable del tratamiento de los datos personales procesados a través de la aplicación y el sitio web de ROA (roaapp.ai).

  • Domicilio social: 2 Castle Close, London SW19 5NH, Reino Unido
  • Número de empresa: 16018953 (Inglaterra y Gales)
  • Número de IVA: 482681365
  • Contacto para asuntos de privacidad: privacy@roaapp.ai
  • Representante en la UE (Art. 27 RGPD): Arnav Agarwal, privacy@roaapp.ai.
  • Representante en el Reino Unido: no requerido — FoodWeb AI Ltd está establecida en el Reino Unido.
  • Delegado de Protección de Datos: no designado (evaluación del artículo 37 en archivo).

2.Ámbito de aplicación

Esta política describe cómo tratamos los datos personales de los usuarios de ROA (titulares de cuentas, miembros de cocinas), visitantes de roaapp.ai y usuarios que interactúan con nosotros por correo electrónico o mensajería en la aplicación.

3.Qué datos recopilamos y por qué

Identidad de la cuenta
Ejemplos
Correo electrónico, nombre, foto de perfil, identificadores OAuth de Apple / Google
Fuente
Tú (registro), tu proveedor OAuth
Finalidad
Crear y gestionar tu cuenta
Base jurídica
Contrato — Art. 6(1)(b)
Perfil de cocina / negocio
Ejemplos
Nombre de la cocina, dirección, horario, redes sociales, sitio web, tipo
Fuente
Finalidad
Operar el servicio
Base jurídica
Contrato
Membresía y rol
Ejemplos
A qué cocinas perteneces y tu rol
Fuente
Tú / propietario de la cocina
Finalidad
Control de acceso
Base jurídica
Contrato
Datos de contenido
Ejemplos
Recetas, chats, facturas, menús, información de proveedores, documentos analizados y archivos que subes
Fuente
Tú y tu equipo
Finalidad
Proporcionar funciones del producto
Base jurídica
Contrato
Datos de facturación
Ejemplos
ID de cliente de Stripe, dirección de facturación, historial de facturas. Los datos de tarjeta de pago los custodia Stripe, no nosotros.
Fuente
Tú, a través de Stripe Checkout
Finalidad
Suscripciones y registros fiscales
Base jurídica
Contrato; obligación legal (fiscalidad)
Datos del dispositivo
Ejemplos
ID del dispositivo, nombre, plataforma, versión de la app, huella del dispositivo, token push
Fuente
Tu dispositivo
Finalidad
Límites de dispositivos, notificaciones push, seguridad de la cuenta
Base jurídica
Contrato; interés legítimo (seguridad)
Datos técnicos y de uso
Ejemplos
Dirección IP, agente de usuario, informes de errores, trazas de rendimiento; en web, reproducción de sesión opcional si consientes
Fuente
Tu dispositivo, nuestros servidores
Finalidad
Estabilidad, seguridad, prevención de abusos
Base jurídica
Interés legítimo; consentimiento para telemetría no esencial
Soporte / comentarios
Ejemplos
Lo que nos escribes, capturas de pantalla opcionales, tu correo
Fuente
Finalidad
Atención al cliente
Base jurídica
Contrato; interés legítimo
Comunicaciones
Ejemplos
Correos de autenticación, invitaciones, notificaciones transaccionales
Fuente
Tú / tu equipo
Finalidad
Operación del servicio
Base jurídica
Contrato

Datos de categoría especial (artículo 9). El contenido que subes (recetas, chats, notas dietéticas) puede revelar información sobre dieta religiosa, alergias o salud. No te los solicitamos directamente y no los utilizamos para perfilarte. Al subir contenido aceptas que lo almacenaremos y procesaremos como parte del servicio.

Lo que NO recopilamos:

  • Números de tarjeta de pago (los custodia Stripe directamente).
  • Datos de seguimiento con fines publicitarios.
  • Datos biométricos.

4.Fuentes

La mayoría de los datos provienen directamente de ti cuando te registras y usas el servicio. Algunos provienen de tu equipo. Otros provienen de terceros cuando los utilizas para iniciar sesión (Apple, Google).

5.Cuánto tiempo los conservamos

  • Cuentas activas: mientras exista la cuenta.
  • Cuentas eliminadas: eliminadas de producción en un plazo de 30 días; las copias de seguridad desaparecen en 30–35 días.
  • Facturas de Stripe: conservadas durante al menos 10 años para cumplimiento fiscal.
  • Registros del servidor: 30–90 días.
  • Telemetría de Sentry: 30–90 días, según la configuración del proyecto en Sentry.

6.Con quién los compartimos (subencargados)

Principales subencargados: Supabase (base de datos, autenticación), Google Cloud (alojamiento, almacenamiento de archivos, inferencia de IA mediante Vertex AI), Stripe (pagos), Sentry (monitorización de errores), MailerSend (correo transaccional), Notion (tickets de soporte), Neo4j Aura (grafo de ingredientes), Expo (notificaciones push móviles). Notificamos a los usuarios los cambios materiales antes de que entren en vigor.

7.Transferencias internacionales

ROA opera con residencia de datos exclusivamente en la UE: infraestructura principal en europe-west1 (Bélgica), Sentry en la región UE (de.sentry.io), MailerSend procesa en la UE, inferencia de Vertex AI vinculada a regiones de la UE. Cuando los datos se transfieren fuera del EEE / Reino Unido, nos amparamos en el Marco de Privacidad de Datos UE → EE. UU. cuando el destinatario está certificado y/o en las Cláusulas Contractuales Tipo de la Comisión Europea (2021/914) y, para transferencias del Reino Unido, el Addendum Internacional de Transferencia de Datos del Reino Unido.

8.Tus derechos

  • Acceso a los datos personales que conservamos sobre ti (Art. 15).
  • Rectificación de datos inexactos (Art. 16).
  • Supresión de tus datos (Art. 17). De forma autónoma en Configuración → Cuenta.
  • Limitación u oposición al tratamiento (Art. 18, 21).
  • Portabilidad de datos (Art. 20).
  • Retirada del consentimiento en cualquier momento, cuando el tratamiento se base en el consentimiento.
  • Presentar una reclamación ante tu autoridad de control. Nuestra autoridad de control principal es el ICO del Reino Unido, ico.org.uk.

Respondemos en el plazo de un mes (ampliable a tres para solicitudes complejas, con previo aviso).

9.Decisiones automatizadas

Utilizamos modelos de IA (Google Gemini y Anthropic Claude mediante Google Vertex AI) para analizar documentos y recetas subidos. Estos modelos no toman decisiones que produzcan efectos jurídicos o significativamente similares sobre ti en el sentido del Art. 22.

10.Seguridad

TLS en tránsito, cifrado de disco en reposo, seguridad a nivel de fila en la base de datos, acceso de mínimos privilegios para el personal de ROA, certificaciones de proveedores (SOC 2 / ISO 27001 donde corresponda).

11.Menores

ROA no está dirigido a menores de 16 años. No recopilamos conscientemente datos personales de personas menores de 16 años.

12.Cambios en esta política

Publicamos los cambios materiales aquí y, cuando proceda, te notificamos en la aplicación o por correo electrónico al menos 30 días antes de que entren en vigor.

13.Contacto

privacy@roaapp.ai — nos comprometemos a responder en un plazo de 5 días hábiles.