1. Responsable del tratamiento
El responsable del tratamiento de tus datos personales es:
AGdev (empresa individual francesa)
SIRET: 822 262 531 00020
11 rue de la Présentation, 75011 París, Francia
Contacto: contact@getfama.app
Para cualquier pregunta relativa al tratamiento de tus datos o al ejercicio de tus derechos, escríbenos a contact@getfama.app. Nos comprometemos a responder en un plazo máximo de 30 días.
2. Datos recogidos y finalidades
Solo recogemos los datos estrictamente necesarios para el funcionamiento del servicio. Ningún dato se vende a terceros.
| Categoría | Datos | Finalidad | Base jurídica |
|---|---|---|---|
| Identidad | Nombre, apellido, email, foto de perfil de Google | Creación y gestión de la cuenta | Ejecución del contrato (art. 6.1.b RGPD) |
| Conexión | Token de acceso Google OAuth (cifrado) | Sincronización de las reseñas de Google Business Profile | Ejecución del contrato (art. 6.1.b) |
| Establecimiento | Nombre, dirección, identificador Google de tu ficha | Visualización y gestión de los establecimientos | Ejecución del contrato (art. 6.1.b) |
| Reseñas | Reseñas de Google recuperadas, autores, valoraciones, respuestas publicadas | Visualización, sugerencias de IA, estadísticas | Ejecución del contrato (art. 6.1.b) |
| Pago | Estado de la suscripción, identificadores Stripe | Facturación, gestión de la suscripción | Ejecución del contrato + obligación legal (art. 6.1.b y c) |
| Notificaciones | Endpoint push (token VAPID anónimo) | Envío de avisos de reseñas | Consentimiento (art. 6.1.a) |
| Conexión técnica | Dirección IP, user-agent, registros de error | Seguridad, depuración, prevención de fraude | Interés legítimo (art. 6.1.f) |
| Registro de actividad | Acciones realizadas (publicación, invitaciones, cambios de equipo), autor, hora, dirección IP | Trazabilidad de las acciones del equipo, auditoría de seguridad, cumplimiento RGPD | Interés legítimo (art. 6.1.f) — transparencia y auditabilidad del equipo |
3. Plazos de conservación
- Cuenta activa: mientras tu suscripción esté activa
- Tras la baja: 30 días para una eventual reactivación, después borrado total de los datos de usuario
- Facturas: 10 años (obligación legal contable)
- Logs técnicos: 12 meses como máximo
- Reseñas Google sincronizadas: borradas al mismo tiempo que la cuenta
- Registro de actividad: se conserva durante todo el tiempo de uso de tu cuenta (este registro permite, a ti y a los demás miembros de tu equipo con permisos suficientes, trazar quién ha hecho qué en tu establecimiento). Se anonimiza al borrar una cuenta de usuario — las acciones históricas se mantienen pero ya no están ligadas a un nombre identificable.
4. Encargados del tratamiento
Para hacer funcionar el servicio, transmitimos algunos datos a encargados del tratamiento seleccionados con cuidado. Cada uno está vinculado por un contrato de encargo conforme al artículo 28 del RGPD.
| Encargado | Finalidad | Ubicación | Garantías |
|---|---|---|---|
| Render | Alojamiento de la aplicación | Fráncfort (UE) | DPA, alojamiento en la UE |
| Supabase | Base de datos | París (UE) | DPA, alojamiento en la UE, cifrado en reposo |
| Stripe | Procesamiento de pagos | Irlanda + Estados Unidos | Cláusulas Contractuales Tipo UE-EE. UU., certificación DPF |
| Google (Business Profile API) | Recuperación y publicación de reseñas | UE + Estados Unidos | Cláusulas Contractuales Tipo, certificación DPF |
| Anthropic (Claude) | Generación de sugerencias de respuesta a partir del texto de las reseñas | Estados Unidos | Cláusulas Contractuales Tipo UE-EE. UU., datos no utilizados para entrenar modelos |
| Resend | Envío de correos transaccionales | Estados Unidos | Cláusulas Contractuales Tipo UE-EE. UU. |
| Sentry | Seguimiento de errores (depuración) | Estados Unidos | Cláusulas Contractuales Tipo, filtrado de datos personales |
5. Uso de los datos de Google API (Limited Use)
Fama utiliza la API de Google Business Profile para sincronizar las reseñas de tu ficha y publicar las respuestas que apruebes. El uso, almacenamiento y compartición de los datos obtenidos a través de las API de Google se rige por la Google API Services User Data Policy, incluidas sus exigencias Limited Use. En concreto, nos comprometemos a:
- Usar los datos obtenidos por las API de Google únicamente para ofrecer las funciones expuestas al usuario: mostrar tus reseñas en Fama, avisarte en cuanto llega una nueva reseña, sugerirte una respuesta, publicar en tu ficha de Google la respuesta que has aprobado.
- No vender nunca los datos de Google ni transferirlos a terceros con fines comerciales, publicitarios o de perfilado.
- No usar nunca los datos de Google con fines publicitarios, ya sean personalizados, contextuales o de retargeting.
- No usar nunca los datos de Google para entrenar modelos de IA generalistas, ya sean propios o de terceros.
- Limitar el acceso humano a los datos de Google a los casos en los que tú das tu consentimiento expreso (por ejemplo para una solicitud de soporte), a los casos necesarios por seguridad, o a los exigidos por ley.
Tratamiento por nuestro proveedor de IA (Anthropic)
Para generar las sugerencias de respuesta, el contenido textual de una reseña de Google (el texto de la reseña, el nombre del autor tal como se muestra públicamente en Google, la valoración dada) se envía a Anthropic, que actúa como encargado del tratamiento. Esta transmisión es necesaria para la ejecución del servicio. Conforme a las condiciones comerciales vigentes de Anthropic, estos datos no se utilizan para entrenar los modelos Claude. Ningún otro dato de la API de Google (token OAuth, identificadores de ficha, estadísticas de cuenta, dirección del establecimiento) se envía a Anthropic.
Revocar el acceso de Google
Puedes revocar el acceso de Fama a tu cuenta de Google en cualquier momento, con independencia de tu cuenta Fama, desde myaccount.google.com/permissions. Una vez revocado el acceso, Fama ya no puede sincronizar nuevas reseñas ni publicar respuestas en tu ficha, y el token OAuth asociado se invalida automáticamente.
Conservación de los datos de Google tras la desconexión
Si desconectas una ficha de Google de Fama (Ajustes → Establecimientos) o revocas el acceso desde tu cuenta de Google, las reseñas y respuestas asociadas a esa ficha se conservan durante un máximo de 30 días para permitir una eventual reconexión sin perder tu historial, después se borran de forma definitiva de nuestros servidores. El token OAuth se elimina de inmediato.
6. Transferencias fuera de la Unión Europea
Algunos encargados del tratamiento (Anthropic, Sentry, y parcialmente Stripe y Google) tratan datos desde Estados Unidos. Estas transferencias se rigen por:
- Las Cláusulas Contractuales Tipo adoptadas por la Comisión Europea
- El EU-US Data Privacy Framework para las empresas certificadas
- Compromisos contractuales de cifrado en tránsito y en reposo
7. Tus derechos
Conforme al RGPD, tienes los siguientes derechos en todo momento:
- Derecho de acceso — saber qué datos tenemos sobre ti
- Derecho de rectificación — corregir los datos inexactos
- Derecho de supresión («derecho al olvido») — borrar tus datos
- Derecho de limitación — congelar temporalmente el tratamiento
- Derecho de portabilidad — recuperar tus datos en un formato legible
- Derecho de oposición — rechazar ciertos tratamientos
- Derecho a retirar el consentimiento — en cualquier momento, sin justificación
- Derecho a dar instrucciones post mortem sobre el destino de tus datos
Para ejercer estos derechos, escríbenos a contact@getfama.app indicando tu solicitud y, si procede, adjuntando una copia de un documento de identidad. Respondemos en un plazo máximo de 30 días.
Si resides en España, también tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si consideras que el tratamiento de tus datos no cumple con la normativa: aepd.es/derechos-y-deberes/conoce-tus-derechos/reclamar. También conservas el derecho a reclamar ante la CNIL francesa (autoridad principal puesto que el responsable del tratamiento está establecido en Francia).
8. Seguridad
Implementamos las siguientes medidas técnicas y organizativas:
- Conexión HTTPS obligatoria en todas las páginas
- Contraseñas almacenadas con un algoritmo de hash moderno (bcrypt)
- Tokens OAuth de Google cifrados en base de datos mediante la librería Lockbox
- Copias de seguridad diarias cifradas en Supabase
- Autenticación de dos factores disponible en todas las cuentas de administración
- Logs filtrados para no exponer nunca datos sensibles de los usuarios
- Acceso a los datos restringido a lo estrictamente necesario
En caso de una violación de datos que pueda suponer un riesgo para tus derechos y libertades, nos comprometemos a notificar a la autoridad de control competente en un plazo de 72 horas y a informarte lo antes posible, conforme a los artículos 33 y 34 del RGPD.
9. Cookies
Fama solo utiliza cookies estrictamente necesarias (sesión de autenticación, token CSRF anti-fraude). Sin cookies publicitarias, sin cookies de analítica de terceros, sin cookies de perfilado. Conforme a la directriz 02/2023 del EDPB y a la guía de cookies de la AEPD, estas cookies esenciales no requieren consentimiento previo.
10. Modificaciones
Esta política podrá evolucionar en función de los desarrollos legales y de los cambios de nuestro servicio. Cualquier cambio sustancial se anunciará por correo a los usuarios activos con al menos 30 días de antelación. La versión vigente está siempre accesible en esta dirección.