Política de Privacidad

1. Responsable del tratamiento y contacto

ChefSphere OÜ (código de registro estonio 17470129, inscrita en el Departamento de Registro del Tribunal de Condado de Tartu, tarjeta del registro mercantil n.º 1), con dirección de notificaciones c/o E-Residency Hub OÜ, Ahtri tn 12, 10151 Tallinn, Harju maakond, Estonia, es el responsable del tratamiento de todos los datos personales tratados conforme a esta Política.

• Equipo de privacidad: [email protected]
• Delegado de Protección de Datos: [email protected]
• Postal: ChefSphere OÜ, c/o E-Residency Hub OÜ, Ahtri tn 12, 10151 Tallinn, Harju maakond, Estonia

Esta Política se aplica a las apps móviles de ChefSphere en iOS y Android, el sitio web chefsphere.app, el Marketplace de Ebooks, el Marketplace de Herramientas y cualquier canal relacionado que operemos (juntos, el «Servicio»). Los Términos de Servicio y esta Política rigen conjuntamente tu uso del Servicio.

2. Categorías de datos personales que tratamos

Solo tratamos los datos que realmente necesitamos para hacer funcionar el Servicio. Las categorías siguientes enumeran lo que el Servicio puede recoger; no todas las funciones recogen todas las categorías — lo recogido depende de cómo uses el Servicio.

Datos de cuenta

• Dirección de correo electrónico, hash de contraseña (bcrypt), nombre visible, idioma, zona horaria, franja de edad
• Identificadores de autenticación de Google, Facebook o Apple Sign-in, si eliges esas opciones
• Estado de verificación, ajustes de autenticación en dos pasos y sesiones de dispositivo

Datos de perfil y sociales

• Foto de perfil y biografía, preferencias dietéticas, nivel de cocina, alergias e intolerancias
• Composición del hogar (individual, pareja, familia, grupo de amigos), conexiones con pareja/familia/amigos, grafo de seguidores
• Publicaciones, recetas, precios, comentarios, me gusta, reacciones, compartidos y denuncias que creas

Datos de planificación de comidas y cocina

• Planes de comidas generados, recetas que deslizas, das me gusta, super-like, guardas, cocinas o extraes de URLs externas
• Listas de compra, ingredientes personalizados y registros de tienda/precio
• Progreso en modo cocina y valoraciones y reseñas de recetas

Datos de salud y bienestar (artículo 9 RGPD — categoría especial)

• Objetivos e ingesta nutricional, entradas de agua, sueño y entrenamiento, metas y logros
• Cualquier dato de salud que conectes o introduzcas manualmente

Tratamos esta categoría con los controles internos de acceso más estrictos. La base jurídica es tu consentimiento explícito (art. 9(2)(a) RGPD), otorgado al habilitar por primera vez una función de salud. Puedes retirar el consentimiento en cualquier momento en la app; el tratamiento anterior sigue siendo lícito hasta la retirada.

Datos de pago, facturación y verificación de identidad

• Nivel de suscripción, fechas de renovación, últimos 4 dígitos del método de pago, divisa, jurisdicción fiscal, IVA si procede
• Historial de facturas y recibos
• Para vendedores del marketplace y autores de ebooks: resultados de verificación de identidad devueltos por nuestro partner de verificación (no almacenamos el documento de identidad en bruto; solo el resultado «apto/no apto» y un identificador de referencia)

Los datos completos de la tarjeta nunca pasan por nuestros servidores — se introducen en el iframe seguro del procesador de pagos, se tokenizan y nos llegan solo como referencia del método de pago.

Datos de marketplace

• Anuncios que creas, pedidos que realizas, solicitudes de alquiler, mensajes entre comprador y vendedor/arrendador, reseñas y denuncias
• Dirección de envío al comprar una herramienta física; datos de transportista y seguimiento para pedidos enviados
• Archivos de ebook que posees, progreso de lectura, marcadores y subrayados

Datos de emisión en directo (Chef Lives)

• Metadatos de sesión, cifras de audiencia, mensajes de chat, reacciones, entradas de Q&A, grabaciones disponibles para replay y acciones de moderación
• Los flujos de audio y vídeo se enrutan mediante nuestro proveedor de streaming; almacenamos metadatos y artefactos post-show como se describe arriba

Datos de uso de IA

• Mensajes que envías a AI Chef y sus respuestas, imágenes que envías para análisis, cuotas y contadores de uso de IA
• Durante un tiempo limitado podemos conservar entradas y salidas de IA para investigar abusos, mejorar clasificadores de seguridad y cumplir obligaciones legales

Datos de referidos y afiliación

• Código de referido, estado del referido e identidad del usuario que refiere y el referido
• Para la prevención de fraude: hashes SHA-256 unidireccionales de tu dirección IP y de una huella de dispositivo derivada de señales del navegador o dispositivo (tamaño de pantalla, zona horaria, renderizador WebGL). No almacenamos direcciones IP sin procesar ni identificadores de dispositivo reversibles.
• Puntuación de fraude calculada a partir de patrones de IP, reutilización de dispositivo y señales temporales
• Para Creadores (afiliados): nombre de visualización, bio, sitio web, enlaces de redes sociales, nombre comercial, NIF, identificador de cuenta Stripe Connect, historial de comisiones y pagos, nivel de tier y datos de saldo

Datos técnicos y de dispositivo

• Modelo de dispositivo y versión de SO, versión de app, diagnósticos de fallos y rendimiento
• Dirección IP, información de red gruesa (por ejemplo operador o ASN), ubicación aproximada derivada de IP para seguridad, estadísticas DSA y idiomas por defecto
• Ubicación precisa solo cuando habilitas explícitamente la geo-búsqueda del Marketplace de Herramientas para encontrar herramientas cercanas
• Tokens de notificación push, si aceptas
• Cookies y tecnologías similares en el sitio web — consulta la Política de Cookies

Datos de comunicaciones

• Correos, mensajes in-app y tickets de soporte que nos envíes, y nuestras respuestas

3. Por qué tratamos tus datos y sobre qué base jurídica

Finalidad	Categorías de datos	Base jurídica (RGPD art. 6 / 9)
Crear tu cuenta, autenticarte y mantener la seguridad del Servicio	Cuenta, dispositivo, comunicaciones	Contrato (art. 6(1)(b)), interés legítimo en la seguridad (6(1)(f))
Proveer funciones esenciales: swipe, plan de comidas, lista de compra, modo cocina, feed comunitario, grafo de seguidores	Perfil, comida, social	Contrato (6(1)(b))
Proveer funciones de seguimiento de salud	Salud (art. 9)	Tu consentimiento explícito (9(2)(a)), retirable en cualquier momento
Proveer AI Chef, visión del frigorífico, emparejamiento de preferencias, generación de planes, extracción de recetas	Uso de IA, perfil	Contrato (6(1)(b)); detalles en la Divulgación de IA
Procesar suscripciones y compras en la tienda y llevar los registros contables	Pago, facturación	Contrato (6(1)(b)), obligación legal (6(1)(c) — Ley de Contabilidad de Estonia, conservación 10 años)
Operar el Marketplace de Herramientas y de Ebooks, incluidas publicación, pedidos, mensajería, valoración y KYC cuando proceda	Marketplace, resultado de verificación de identidad	Contrato (6(1)(b)), obligación legal para KYC/AML (6(1)(c))
Ejecutar Chef Lives, chat en tiempo real, notificaciones	Live, perfil	Contrato (6(1)(b))
Operar el Programa de Referidos y el Programa de Creadores: rastrear referidos, prevenir fraude, calcular recompensas, procesar comisiones de afiliación y pagos	Referidos, dispositivo, pago	Contrato (6(1)(b)) para participación en el programa, interés legítimo en la prevención de fraude (6(1)(f)); ver Condiciones del Programa de Referidos y Condiciones del Programa de Creadores
Moderar contenido de usuario, investigar abusos, aplicar la Política de Uso Aceptable y cumplir con la Ley de Servicios Digitales de la UE y otras leyes aplicables	Todas las categorías pertinentes	Obligación legal (6(1)(c)), interés legítimo en un Servicio seguro (6(1)(f))
Enviar correos transaccionales (recibos, restablecimientos de contraseña, alertas de seguridad)	Cuenta, comunicaciones	Contrato (6(1)(b)), obligación legal (6(1)(c))
Enviar correos de marketing opcionales, newsletters y novedades	Cuenta, dispositivo	Tu consentimiento (6(1)(a)), retirable en cualquier momento
Informes de fallos y analítica para corregir errores y mejorar la usabilidad	Dispositivo, eventos de uso gruesos	Interés legítimo (6(1)(f)), equilibrado con tus expectativas razonables
Responder a solicitudes legales, ejercer o defender reclamaciones	Todas las categorías pertinentes	Obligación legal (6(1)(c)), interés legítimo (6(1)(f))

No tomamos decisiones totalmente automatizadas con efectos jurídicos o significativos análogos en el sentido del art. 22 RGPD. Las decisiones automatizadas de moderación que resulten en acción sobre tu contenido o cuenta están sujetas a revisión humana a petición — consulta la Política de Uso Aceptable y el Aviso DSA de la UE.

4. De dónde proceden tus datos

La mayoría son datos que nos das directamente (al crear una cuenta, rellenar un perfil, subir una receta, comprar o mandar un mensaje). Algunos se generan automáticamente durante el uso (dispositivo, uso, informes de fallos). Otros proceden de terceros — por ejemplo, proveedores de autenticación que confirman un inicio de sesión, App Store y Google Play confirmando una compra, procesadores de pago confirmando un cargo, o tu pareja/familia invitándote a un plan compartido.

5. Con quién compartimos los datos

No vendemos tus datos personales. Solo los compartimos con las siguientes categorías de destinatarios y solo en la medida necesaria para las finalidades indicadas.

• Proveedores de alojamiento en la nube y almacenamiento de objetos — para alojar el Servicio y almacenar los archivos subidos
• Proveedores de CDN y seguridad en el borde — para servir medios rápido y bloquear ataques
• Procesadores de pago y facturación de suscripciones — para cobrarte suscripciones y paquetes en la web
• Facturación de App Store y Google Play — cuando compras una suscripción o complemento dentro de la app iOS o Android
• Proveedores de pago y verificación de identidad para marketplace — para pagar a autores y vendedores y cumplir con KYC/AML
• Proveedores de envío de correo transaccional — para enviarte recibos, restablecimientos y avisos
• Pasarelas de notificaciones push — para entregar notificaciones in-app y del sistema
• Proveedores de mensajería en tiempo real y WebSocket — para chats, reacciones en vivo y presencia
• Proveedores de streaming de vídeo y audio en directo — para Chef Lives
• Proveedores de modelos de IA / machine learning (texto, imagen, visión) — para las funciones de IA descritas en la Divulgación de IA
• Proveedores de moderación automatizada de texto e imagen — para detectar contenido ilegal, nocivo o prohibido antes y después de la publicación
• Proveedores de envío, logística y seguimiento de paquetes — solo para pedidos enviados del Marketplace de Herramientas
• Proveedores de monitorización de errores, rendimiento y observabilidad — para detectar, investigar y corregir errores

Todo destinatario interviene como encargado del tratamiento conforme a un contrato escrito que exige confidencialidad, seguridad, limitación de finalidad, control de subencargados, asistencia en derechos de los interesados y supresión o devolución de los datos al finalizar el servicio. Cuando un destinatario sea corresponsable (por ejemplo, facturación de App Store y Google Play para compras in-app), distribuimos las responsabilidades conforme a los términos publicados de la tienda y puedes pedirnos un resumen en lenguaje claro.

Apple App Tracking Transparency (ATT) y equivalentes en Android. La app de ChefSphere para iOS no realiza «seguimiento» (tracking) según lo define el marco App Tracking Transparency de Apple — no vinculamos los datos personales recopilados en nuestra app con datos de terceros con fines publicitarios dirigidos o de medición publicitaria, y no compartimos identificadores de dispositivo (IDFA / AAID / Firebase Instance ID) con intermediarios de datos ni con redes publicitarias. Por tanto, la solicitud ATT no se muestra en la app. La app para Android presenta la misma declaración negativa en la sección Seguridad de los Datos de Google Play — sin seguimiento entre apps, sin recopilación de identificadores publicitarios para segmentación, sin compartición con redes publicitarias. Si alguna de estas posturas cambia, añadiremos la solicitud ATT en iOS, actualizaremos la declaración de Seguridad de los Datos en Android y modificaremos esta Política con antelación.

También podemos compartir datos con autoridades, tribunales o reguladores cuando la ley lo exija, o cuando sea necesario para ejercer o defender derechos o proteger los intereses, la propiedad o la seguridad de ChefSphere, nuestros usuarios o el público.

Si ChefSphere forma parte de una fusión, adquisición, reorganización o venta de activos, los datos personales pueden transferirse a la entidad receptora, sujeto a las protecciones de esta Política y a la ley aplicable. Los usuarios afectados serán informados con antelación cuando sea factible.

6. Transferencias internacionales

Algunos encargados operan fuera del EEE (por ejemplo, en el Reino Unido, Estados Unidos u otras regiones). Cuando transferimos datos personales fuera del EEE nos apoyamos, en este orden:

1. Decisiones de adecuación de la Comisión Europea. Para el Reino Unido nos basamos en la Decisión (UE) 2021/1772 (adecuación del RGPD del Reino Unido). Para Estados Unidos nos basamos en el Marco de privacidad de datos UE–EEUU (DPF), Decisión de ejecución (UE) 2023/1795, cuando el encargado estadounidense está autocertificado al DPF y la transferencia entra en el ámbito de su certificación. La lista de encargados ChefSphere autocertificados al DPF está disponible a petición en [email protected].
2. Cláusulas contractuales tipo (CCT). Cuando ninguna decisión de adecuación cubre el país de destino o el flujo concreto, nos basamos en las CCT adoptadas por la Comisión en la Decisión (UE) 2021/914 (módulos 2 y 3 para transferencias responsable–encargado y encargado–encargado), complementadas —cuando proceda— por una evaluación de impacto de la transferencia («TIA») conforme a las Recomendaciones 01/2020 del EDPB. La TIA documenta la legislación del tercer Estado que afecta a la transferencia, las medidas técnicas (cifrado en tránsito y en reposo, minimización, seudonimización), las medidas organizativas (control de accesos, respuesta a incidentes) y cualquier compromiso contractual adicional del importador (en particular, el compromiso de impugnar solicitudes gubernamentales desproporcionadas de acceso bajo el FISA §702 o regímenes análogos de inteligencia extranjera).
3. Excepciones del Capítulo V. Solo en los casos estrechos permitidos por el art. 49 del RGPD (p. ej., consentimiento informado explícito para una transferencia determinada, ejecución de un contrato solicitado por el interesado).

Puedes solicitar una copia de la referencia a la decisión de adecuación, el anexo a las CCT o un resumen de la TIA para un flujo concreto escribiendo a [email protected]. ChefSphere no se basa en transferencias a países sometidos a sanciones abarcadoras de la UE.

7. Cuánto tiempo conservamos los datos

Solo conservamos datos personales el tiempo necesario para los fines por los que se recogieron, más cualquier periodo adicional exigido por ley o por nuestra defensa legítima frente a reclamaciones.

• Datos de cuenta activa: mientras exista tu cuenta y hasta 12 meses tras el cierre, para gestionar disputas y reembolsos. Los acuses de lectura y datos básicos del grafo social se borran antes al cerrar la cuenta.
• Datos de salud (art. 9 RGPD): se conservan mientras mantengas activa la función; se eliminan en los 30 días siguientes a la retirada del consentimiento, salvo un agregado anonimizado necesario para evitar reintroducir contenido borrado (por ejemplo, desde copias de seguridad, que rotan en 30 días).
• Registros transaccionales (facturas, documentos fiscales, pistas de auditoría de pago): diez (10) años desde el cierre del ejercicio, según la Ley de Contabilidad de Estonia.
• Resultados de KYC / verificación de identidad: cinco (5) años tras la última transacción, conforme a las normas AML de la UE; luego eliminados.
• Registros de moderación y confianza y seguridad: hasta dos (2) años para casos regulares; más cuando sea necesario para cumplir los deberes de transparencia DSA o prevenir reincidencias.
• Registros de consentimiento de marketing: hasta la retirada del consentimiento, más tres (3) años para acreditar su recogida.
• Copias de seguridad: las copias rotativas se sobrescriben en 30 días desde la eliminación en producción.

8. Seguridad

Aplicamos medidas técnicas y organizativas proporcionales al riesgo, alineadas con las familias de controles ISO/IEC 27001 y SOC 2 y con los principios de seguridad del tratamiento del art. 32 del RGPD:

• Cifrado en tránsito — TLS 1.2+ (TLS 1.3 preferido) en cada endpoint público, con HSTS en la interfaz web y certificate pinning en flujos sensibles de la app móvil.
• Cifrado en reposo — AES-256 para almacenamiento de objetos; cifrado por columna para campos sensibles de base de datos; cifrado de sobre para secretos.
• Control de acceso — control de acceso basado en roles con principio de mínimo privilegio, elevación break-glass limitada en el tiempo y autenticación en dos pasos obligatoria para todo acceso privilegiado.
• Segmentación de red — separación de entornos de desarrollo, staging y producción; WAF gestionado, mitigación DDoS y de bots en el borde.
• Auditoría y detección — registro de auditoría centralizado y a prueba de manipulaciones; detección de anomalías y alertas sobre acciones privilegiadas y eventos de autenticación.
• Gestión de vulnerabilidades — escaneo continuo de dependencias, escaneos de infraestructura programados y una prueba de penetración independiente anual; los hallazgos críticos se remedian conforme a los SLA de la Política de Divulgación de Vulnerabilidades.
• Divulgación responsable — una Política de Divulgación de Vulnerabilidades publicada con declaración de puerto seguro y SLA de respuesta definidos.
• Respuesta a incidentes — un procedimiento interno documentado de respuesta a incidentes que cumple el plazo de notificación de 72 horas del RGPD (art. 33) y las obligaciones de notificación independientes a los interesados afectados (art. 34) cuando proceda.
• Copias de seguridad y continuidad — copias de seguridad rotativas cifradas con pruebas de restauración y un plan documentado de continuidad de negocio / recuperación ante desastres.
• Personal — obligaciones de confidencialidad en cada contrato laboral y de colaboración; formación de seguridad al incorporarse; actualizaciones periódicas de concienciación; formación obligatoria en alfabetización IA para el personal que opera funciones de IA (AI Act art. 4).

Ningún sistema es perfectamente seguro. Te pedimos que uses una contraseña fuerte y única, actives la autenticación en dos pasos donde esté disponible y reportes sin demora cualquier sospecha de compromiso de cuenta a [email protected] o vulnerabilidades de la plataforma conforme a la Política de Divulgación de Vulnerabilidades.

8.1 Notificación de violaciones de seguridad

Si tenemos conocimiento de una violación de datos personales que pueda suponer un alto riesgo para tus derechos y libertades, te lo notificaremos directamente sin demora indebida conforme al art. 34 del RGPD, en lenguaje claro y sencillo, describiendo la naturaleza de la violación, las consecuencias probables y las medidas adoptadas o propuestas. El mismo compromiso se aplica conforme a las normas equivalentes de los estados de EE. UU. (p. ej. Cal. Civ. Code §§1798.82 y ss., WA RCW 19.255, NY Gen. Bus. Law §899-aa, y estatutos similares de notificación de violaciones) y a la obligación de notificación a la Inspección de Protección de Datos de Estonia en un plazo de 72 horas, conforme al art. 33 del RGPD.

8.2 Evaluaciones de Impacto sobre la Protección de Datos (art. 35 del RGPD)

Para las actividades de tratamiento que puedan implicar un alto riesgo para los interesados — en particular la activación de funcionalidades de salud (art. 9 del RGPD), la moderación asistida por IA a gran escala, el tratamiento de datos de menores con flujos de consentimiento parental y las transmisiones en directo de contenido comunitario — mantenemos una Evaluación de Impacto sobre la Protección de Datos revisada al menos anualmente y en cada cambio material de la función. Los resúmenes de las EIPD están disponibles para las autoridades de protección de datos competentes previa solicitud motivada a [email protected]. Cuando una EIPD identifique un riesgo alto residual que no pueda mitigarse, efectuaremos una consulta previa con la autoridad de control, conforme al art. 36 del RGPD, antes de iniciar el tratamiento.

9. Tus derechos

Si ChefSphere trata tus datos personales, tienes derecho a:

• Acceso — confirmar el tratamiento y obtener una copia de tus datos (RGPD art. 15)
• Rectificación — corregir datos inexactos o incompletos (art. 16)
• Supresión / «derecho al olvido» — solicitar la supresión cuando la base jurídica ya no aplique (art. 17)
• Limitación — limitar nuestro tratamiento en situaciones concretas (art. 18)
• Portabilidad — recibir tus datos en formato estructurado, de uso común y legible por máquina y, cuando sea técnicamente posible, transmitirlos a otro responsable (art. 20)
• Oposición — oponerte al tratamiento basado en interés legítimo, incluida la elaboración de perfiles (art. 21)
• Retirar el consentimiento — para cualquier tratamiento basado en el consentimiento, sin afectar al tratamiento anterior (art. 7(3))
• No ser objeto de decisiones totalmente automatizadas con efectos jurídicos o significativos análogos (art. 22)
• Presentar una reclamación — ante la Autoridad de Protección de Datos de Estonia (Andmekaitse Inspektsioon, https://www.aki.ee) o ante la autoridad del país de la UE/EEE donde residas, trabajes o donde se alegue la infracción

9.1 Cómo ejercer tus derechos (canales de solicitudes de interesados)

Puedes ejercer cualquiera de los derechos anteriores por cualquiera de los siguientes canales — todos activan el mismo plazo de respuesta de un mes del art. 12(3) del RGPD:

• Autoservicio in-app — Ajustes → Privacidad → Controles de privacidad en iOS, Android y web. El botón Descargar mis datos activa una exportación conforme al art. 15 / 20 y entrega un archivo ZIP con tu perfil, planes de comidas, actividad en marketplaces y peticiones a la IA en formato estructurado y legible por máquina. El botón Eliminar mi cuenta activa el flujo de supresión del art. 17 descrito en la Política Infantil y de Edad y el Aviso DSA.
• API autenticada — los mismos flujos están disponibles en endpoints autenticados bajo /api/v1/compliance/privacy/* (exportación, supresión, rectificación, limitación, oposición, historial de consentimiento). Estos endpoints tienen limitación de frecuencia, registro de auditoría y requieren un token de sesión válido; están documentados en el portal para desarrolladores de ChefSphere.
• Correo electrónico — escribe a [email protected] (solicitudes de interesados) o [email protected] (consultas al Delegado de Protección de Datos).
• Correo postal — c/o E-Residency Hub OÜ, Ahtri tn 12, 10151 Tallinn, Harju maakond, Estonia, a la atención de «Protección de datos».

Podemos necesitar confirmar tu identidad antes de actuar. Si tenemos dudas razonables sobre la identidad del solicitante, podemos pedir información adicional estrictamente necesaria para ese fin (art. 12(6) del RGPD); los datos de identificación se usan solo para tramitar la solicitud y se eliminan inmediatamente después.

Respondemos sin dilación indebida y en el plazo de un (1) mes, prorrogable dos (2) meses en casos complejos conforme al art. 12(3) RGPD. Para hacer una solicitud, escribe a [email protected] o usa las herramientas de privacidad in-app. Podemos necesitar confirmar tu identidad antes de actuar — los datos de confirmación se utilizan solo para ese fin y se eliminan después.

10. Residentes de California (CCPA / CPRA)

Si vives en California dispones de derechos adicionales en virtud de la California Consumer Privacy Act en su versión modificada por la California Privacy Rights Act («CCPA/CPRA»), incluidos:

• Derecho a conocer qué información personal hemos recopilado, las categorías de fuentes, los fines comerciales y las categorías de terceros con quienes la compartimos.
• Derecho a suprimir la información personal que hayamos recopilado sobre ti, con sujeción a las excepciones legales.
• Derecho a corregir información personal inexacta.
• Derecho a la portabilidad — recibir tu información personal en formato portátil.
• Derecho a no participar en la «venta» o «compartición» de información personal (para publicidad conductual entre contextos).
• Derecho a limitar el uso y la divulgación de Información Personal Sensible a los fines necesarios para prestar los servicios o permitidos por Cal. Civ. Code §1798.121.
• Derecho a no sufrir discriminación por ejercer tus derechos de privacidad.

«Venta» y «compartición» — nuestra posición declarada. ChefSphere no vende información personal, y ChefSphere no «comparte» información personal para publicidad conductual entre contextos, conforme a las definiciones del CCPA/CPRA. No hemos vendido ni compartido información personal en los últimos doce (12) meses y no tenemos intención de hacerlo. Si esto cambia, esta Política se actualizará con antelación y se añadirá un enlace visible «No vender ni compartir mi información personal» en el pie de página público antes de que comience cualquier tratamiento de este tipo.

Información Personal Sensible (SPI) que tratamos conforme al CPRA. Dado que algunos usuarios optan por activar funciones de salud, tratamos las siguientes categorías de SPI según el CPRA: geolocalización precisa (solo al optar por la búsqueda geográfica en el Marketplace de Herramientas), credenciales de inicio de sesión, contenido de correo, email y mensajes de texto cuando no somos el destinatario previsto (limitado a DMs in-app y tickets de soporte) y datos de salud (solo al activar el seguimiento de salud). Usamos SPI únicamente para los fines listados en la Sección 3 anterior — no usamos ni divulgamos SPI para inferir características sobre ti. No obstante, puedes ejercer tu derecho a limitar su uso escribiendo a [email protected]; la limitación se aplica prospectivamente en un plazo de 15 días hábiles desde la solicitud.

Global Privacy Control (GPC). Nuestro sitio web público en chefsphere.app reconoce la señal del navegador Global Privacy Control (Sec-GPC: 1) como señal válida de preferencia de exclusión conforme a Cal. Code Regs. tit. 11, §7025 para residentes de California. Dado que no vendemos ni compartimos información personal, la señal GPC no tiene efecto adicional sobre nuestro tratamiento más allá de las protecciones ya descritas; la respetamos como confirmación categórica de que el visitante ha optado por excluirse de cualquier futura venta o compartición, si alguna vez introdujéramos dicho tratamiento.

Cómo ejercer derechos CCPA/CPRA. Usa los controles in-app en Ajustes → Privacidad → Controles de privacidad o escribe a [email protected]. Respondemos a solicitudes verificables del consumidor en un plazo de 45 días naturales, prorrogable una vez por 45 días cuando sea razonablemente necesario, e informamos de la prórroga antes de tomarla. No cobramos tarifa ni exigimos creación de cuenta para ejercer estos derechos. Un agente autorizado puede presentar una solicitud en tu nombre con permiso escrito verificable por nosotros.

Métricas. Cuando apliquen los umbrales legales de Cal. Code Regs. tit. 11, §7102, las métricas anuales de solicitudes CCPA de ChefSphere se publican como parte de nuestro Informe de Transparencia DSA o a petición en [email protected].

10.1 Derechos de privacidad en otros estados de EE. UU.

ChefSphere aplica las protecciones descritas en esta Sección 10 — acceso, corrección, supresión, portabilidad, exclusión de venta/compartición, limitación de uso de SPI, no discriminación y la señal universal de exclusión — a los residentes de cada estado de EE. UU. con una ley integral de privacidad del consumidor en vigor, incluyendo: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Iowa (ICDPA), Montana (MCDPA), Texas (TDPSA), Oregón (OCPA), Delaware (DPDPA), Nuevo Hampshire (NHPA), Nueva Jersey (NJDPA), Kentucky (KCDPA), Maryland (MODPA), Minnesota (MCDPA), Rhode Island (RIDTPPA), Tennessee (TIPA) e Indiana (ICDPA). Para ejercer derechos conforme a la ley del estado donde resides, escribe a [email protected] e indica tu estado; nuestro plazo de respuesta es el mayor entre el requerido por la ley de tu estado o 45 días. Puedes apelar una decisión adversa escribiendo a [email protected]; respondemos a las apelaciones en 60 días e informamos del canal de apelación independiente disponible en tu estado (normalmente el Fiscal General del estado).

10.2 Derechos sobre datos de salud del consumidor (MHMDA de Washington + SB 370 de Nevada)

Si eres residente del estado de Washington, la My Health My Data Act (RCW 19.373) te otorga derechos específicos sobre los datos relacionados con la salud que tratamos — objetivos e ingesta nutricional, agua, sueño y entrenamiento; cualquier dato de salud que conectes; y cualquier dato que pueda indicar un intento de buscar, obtener o recibir servicios sanitarios. ChefSphere trata todo ello como «datos de salud del consumidor» conforme a la MHMDA.

• Mantenemos una Política de Privacidad de Datos de Salud del Consumidor por escrito — esta Sección 10.2, leída junto con las Secciones 2 (categorías), 3 (fines), 5 (compartición) y 7 (conservación), constituye esa Política.
• No vendemos tus datos de salud del consumidor en el sentido de RCW 19.373.040, y no lo haremos sin la autorización válida separada que exige esa disposición.
• No establecemos geocercas en torno a instalaciones médicas, de salud mental o de salud reproductiva (RCW 19.373.080).
• Tienes derecho a confirmar si tratamos tus datos de salud del consumidor, acceder a una copia, suprimirlos (trasladamos la solicitud de supresión a cualquier encargado que los recibiera) y retirar el consentimiento para cualquier tratamiento futuro escribiendo a [email protected] o usando los Ajustes → Privacidad → Controles de privacidad de la app.
• El tratamiento se basa en tu consentimiento opt-in explícito prestado al activar por primera vez una función de salud, conforme al §3 anterior y al art. 9(2)(a) RGPD.

Los residentes de Nevada disponen de derechos comparables conforme a SB 370 (codificado en NRS 603A.300 y ss.), aplicable a los datos de salud del consumidor desde el 31 de marzo de 2024. Los residentes de Nevada pueden ejercer esos derechos por los mismos canales que los de Washington; respondemos en 45 días naturales.

Las reclamaciones pueden dirigirse a la Fiscalía General del Estado de Washington (División de Protección del Consumidor) o a la Fiscalía General de Nevada, respectivamente.

10.3 Tecnología de Toma de Decisiones Automatizadas (ADMT de California — desde el 1 de enero de 2026)

Las regulaciones ADMT de la California Privacy Protection Agency (Cal. Code Regs. tit. 11 §§7200–7221, en vigor desde el 1 de enero de 2026) imponen un marco de aviso previo al uso, opción de exclusión y derecho de acceso a cualquier tecnología de toma de decisiones automatizada usada para tomar una decisión significativa que afecte a un residente de California. La presencia de ADMT en ChefSphere es deliberadamente acotada, y esta Sección 10.3 se publica para cumplir la obligación de aviso previo al uso del §7220 con independencia de que alguna función concreta alcance el umbral legal de «decisión significativa».

ADMT que operamos.

• Clasificadores de contenido previos a la publicación (texto e imagen) que analizan los envíos en busca de las categorías graves descritas en la Política de Uso Aceptable y la Divulgación IA. No son «decisiones significativas» en el sentido del §7200(c) — afectan a la disponibilidad de un elemento de contenido individual, no al empleo, la vivienda, los servicios financieros, la educación, los servicios sanitarios, los bienes o servicios esenciales u otro dominio del §7200(c) — y se acogen a la excepción de seguridad del §7221(b) (necesarias para garantizar la seguridad física o la integridad de la seguridad de la información del Servicio).
• Sistemas de recomendación para el descubrimiento por swipe, la ordenación del feed comunitario, la ordenación del marketplace de ebooks y herramientas, y la generación de planes de comidas. Ordenan elementos para su presentación; no toman decisiones significativas en el sentido del §7200(c), por lo que no resulta aplicable el derecho de exclusión del §7221(d). Aun así puedes influir indirectamente en el ranking mediante los filtros, las categorías de contenido y la retroalimentación explícita (me gusta / no me gusta / denunciar) de cada superficie de recomendación; los parámetros principales de cada recomendador se documentan en el Aviso sobre el DSA de la UE §14.
• Funciones de IA (AI Chef, visión de nevera, coincidencia de preferencias, extracción de URL de recetas) descritas en la Divulgación IA. Producen resultado informativo y no toman decisiones sobre ti.

ADMT que no operamos. ChefSphere no utiliza toma de decisiones automatizada para aprobar, denegar, fijar precios, clasificar o afectar de forma significativa el acceso de un usuario al empleo, al crédito, a la vivienda, al seguro, a la educación, a los servicios sanitarios, a los servicios gubernamentales esenciales o a servicios públicos esenciales. No utilizamos ADMT con fines de vigilancia pública, inferencia de características protegidas ni elaboración de perfiles de menores.

Tus derechos ADMT en California.

• Aviso previo al uso. Recibes el aviso exigido por el §7220 al registrarte, en el primer uso de cada superficie de IA (según Divulgación IA §4) y mediante esta Política.
• Acceso — información significativa sobre la lógica. Explicaciones en lenguaje claro de la lógica de cada función de IA están publicadas en la Divulgación IA. Explicaciones en lenguaje claro de los parámetros principales de cada sistema de recomendación están expuestas en /api/v1/legal/tools/ranking y /api/v1/legal/ebooks/ranking, y en contexto mediante el enlace «Cómo se ordena esta lista» junto a cada control de ordenación.
• Exclusión / revisión humana. Para cualquier acción automatizada de moderación que restrinja tu contenido o tu cuenta, puedes solicitar revisión humana conforme a la Política de Uso Aceptable y al Aviso sobre el DSA de la UE §7. Para los sistemas de recomendación, como se explica arriba, el derecho de exclusión del §7221(d) no resulta aplicable porque el ranking no es una decisión significativa en el sentido del §7200(c); nuestro compromiso con la no discriminación del Cal. Civ. Code §1798.125 sigue vigente — no se impone ninguna desventaja a nivel de cuenta por cómo interactúas con nuestros recomendadores o los limitas mediante los filtros, las categorías de contenido y los controles de retroalimentación in-app.
• No se toman decisiones ADMT en el sentido del art. 22 del RGPD / §7200(c) sobre ti — la misma posición declarada en el §3 anterior, reiterada aquí para claridad específica de California.

Auditoría de ciberseguridad CCPA. Cuando se apliquen los umbrales de auditoría anual de ciberseguridad de la CPPA (Cal. Code Regs. tit. 11 §§7120–7125, en vigor desde el 1 de enero de 2026), ChefSphere realizará la auditoría con la cadencia requerida por la norma y conservará la certificación por el periodo estatutario. El informe de auditoría estará a disposición de la CPPA bajo solicitud.

11. Menores

El Servicio no está dirigido a menores de 13. En el EEE y el Reino Unido exigimos que los usuarios con edades entre 13 y 16 menos uno tengan consentimiento verificable de un padre o tutor legal antes de tratar sus datos personales. Más detalles en la Política Infantil y de Edad.

Para usuarios que se conecten desde el Reino Unido, aplicamos los quince estándares del UK Age-Appropriate Design Code publicado por la Information Commissioner's Office — incluida la minimización de datos, configuraciones de privacidad altas por defecto, transparencia adaptada a la edad del menor, ausencia de incitación a una privacidad más débil, ausencia de uso de los datos de los niños en formas perjudiciales para su bienestar, y una Evaluación de Impacto sobre la Protección de Datos antes de cualquier cambio material en una función susceptible de ser accedida por menores.

Para usuarios en Estados Unidos menores de 13 cumplimos con la Children's Online Privacy Protection Act (COPPA, 16 C.F.R. Part 312), incluidas las enmiendas de la FTC de 2025 con cumplimiento pleno desde el 22 de abril de 2026: consentimiento parental verificable separado para la divulgación a terceros (no solo para la recogida); un Programa escrito de Privacidad Infantil y un Programa escrito de Seguridad de la Información (publicados en /legal/security y resumidos en el §8 anterior); límites explícitos de minimización y conservación de datos (publicados en /legal/data-retention); requisitos actualizados de aviso directo y en línea; y la definición ampliada de «información personal» (los identificadores biométricos y de administración pública están ahora cubiertos por defecto — no recogemos ninguno de menores). Nuestra regla base es no aceptar usuarios menores de 13 y, ante la confirmación de una cuenta de menor, eliminarla sin dilación indebida.

Para los menores estadounidenses de 13 a 17 años aplicamos adicionalmente la New York Child Data Protection Act (Gen. Bus. Law §899-ee, vigente desde el 20 de junio de 2025), que prohíbe la recogida, el uso, la compartición o la venta de datos de menores para publicidad dirigida, y las ampliaciones específicas de menores de la Connecticut Data Privacy Act (Public Act 24-27, vigente desde el 1 de octubre de 2024), que exigen consentimiento opt-in para cualquier tratamiento ajeno al servicio principal. ChefSphere no ejecuta publicidad conductual de terceros y trata los datos de menores únicamente para las finalidades estrictamente necesarias enumeradas en el §3 — ambas reglas se cumplen por diseño. Cuando una App Store Accountability Act estatal o federal nos informe de que un usuario es menor, aplicamos además las obligaciones del desarrollador descritas en la Política Infantil y de Edad §11.

12. Cookies y tecnologías similares

El sitio web utiliza un conjunto mínimo de cookies y tecnologías similares. La Política de Cookies explica cada una, cómo retirar el consentimiento y cómo gestionar preferencias.

13. Cambios en esta Política

Podemos actualizar esta Política cuando nuestro Servicio, la ley o nuestros encargados cambien. Si un cambio es material — por ejemplo, añadir una nueva categoría de datos o una nueva finalidad — te avisaremos en la app o por correo al menos 30 días antes de su entrada en vigor, salvo que la ley exija un plazo más corto. Las versiones anteriores están disponibles a petición.

14. Cómo contactarnos

• Privacidad: [email protected]
• Delegado de Protección de Datos: [email protected]
• Legal: [email protected]
• Postal: ChefSphere OÜ, c/o E-Residency Hub OÜ, Ahtri tn 12, 10151 Tallinn, Harju maakond, Estonia