Política de privacidad

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es:

No estamos obligados a designar un Delegado de Protección de Datos (DPD) conforme al artículo 38 de la BDSG, ya que menos de 20 personas participan regularmente en el tratamiento automatizado de datos personales. Para todas las consultas sobre protección de datos, contáctanos a través de los datos indicados anteriormente.

2. Datos que recopilamos

Recopilamos las siguientes categorías de datos personales:

• Datos de cuenta: nombre, dirección de correo electrónico, número de teléfono, contraseña (cifrada con hash)
• Datos del negocio: nombre de la panadería, ubicaciones, información del personal
• Datos operativos: pedidos, registros de inventario, recetas, registros de clientes
• Datos de uso: marcas de tiempo de inicio de sesión, uso de funciones, tipo de navegador
• Datos técnicos: dirección IP, información del dispositivo, identificadores de sesión

No recopilamos datos personales sensibles (ej., datos de salud, datos biométricos) a menos que los proporciones explícitamente en tus registros comerciales.

Recopilación indirecta de datos (Art. 14 RGPD): Cuando utilizas el Servicio para gestionar tu panadería, puedes introducir datos personales de tus propios clientes, empleados y proveedores (por ejemplo, nombres, datos de contacto, direcciones de entrega). Tratamos estos datos en tu nombre como encargado del tratamiento en virtud del Acuerdo de Procesamiento de Datos (DPA). Tú, como responsable del tratamiento, eres responsable de informar a estas personas sobre el tratamiento de sus datos personales y de obtener los consentimientos necesarios. No utilizamos estos datos recopilados indirectamente para ningún fin distinto de la prestación del Servicio.

Proporcionar tus datos de cuenta (nombre, correo electrónico, contraseña) es un requisito contractual necesario para crear tu cuenta y prestar el Servicio. Sin estos datos, no podemos ofrecerte acceso a BakeWind. Todos los demás datos que introduzcas en el Servicio (datos comerciales, registros de clientes, pedidos) se proporcionan voluntariamente como parte de tu uso de la plataforma.

3. Cómo usamos tus datos y base legal (RGPD)

Tratamos tus datos personales para los fines que se indican a continuación. Cada finalidad está asociada a su base legal conforme al RGPD:

• Proporcionar y mantener el Servicio — Ejecución del contrato (Art. 6(1)(b))
• Procesar tu suscripción y facturación — Ejecución del contrato (Art. 6(1)(b))
• Enviar correos transaccionales (verificación de cuenta, restablecimiento de contraseña, notificaciones de pedidos) — Ejecución del contrato (Art. 6(1)(b))
• Brindar soporte al cliente — Ejecución del contrato (Art. 6(1)(b))
• Mejorar el Servicio y corregir errores basándonos en patrones de uso agregados — Interés legítimo (Art. 6(1)(f)): nuestro interés en mantener y mejorar un servicio fiable
• Garantizar la seguridad, prevenir el fraude y detectar accesos no autorizados — Interés legítimo (Art. 6(1)(f)): nuestro interés en proteger el Servicio y a sus usuarios
• Conservar registros de facturación y facturas — Obligación legal (Art. 6(1)(c)): legislación fiscal alemana (§ 147 AO, § 14b UStG)
• Comunicaciones de marketing (boletines, actualizaciones de producto) — Consentimiento (Art. 6(1)(a)), que puedes retirar en cualquier momento. Actualmente no enviamos correos de marketing; si se introducen, requerirán tu consentimiento explícito

4. Derecho de oposición (Art. 21 RGPD)

Cuando tratemos tus datos basándonos en el interés legítimo (Art. 6(1)(f)), tienes derecho a oponerte en cualquier momento por motivos relacionados con tu situación particular. Tras recibir tu oposición, cesaremos el tratamiento a menos que podamos demostrar motivos legítimos imperiosos que prevalezcan sobre tus intereses, derechos y libertades, o el tratamiento sea necesario para el establecimiento, ejercicio o defensa de reclamaciones legales.

Para ejercer tu derecho de oposición, contáctanos en privacy@bakewind.com.

5. Compartir datos

No vendemos tus datos personales. Compartimos datos solo con:

• Hetzner Online GmbH (Falkenstein, Alemania) — Alojamiento de infraestructura y almacenamiento de datos. Todos los datos se alojan dentro de la Unión Europea.
• Stripe, Inc. (Estados Unidos / Unión Europea) — Procesamiento de pagos y facturación de suscripciones (conforme a PCI DSS). Stripe también actúa como responsable independiente del tratamiento para sus propias obligaciones de prevención del fraude y cumplimiento normativo conforme a su propia política de privacidad.
• Mailtrap / Railsware Products, Inc. (Estados Unidos) — Envío de correo electrónico transaccional (verificación de cuenta, restablecimiento de contraseña, notificaciones).
• Autoridades legales — Cuando lo requiera la ley, una orden judicial o una solicitud regulatoria

Todos los encargados del tratamiento externos están vinculados por Acuerdos de Procesamiento de Datos (DPA) en cumplimiento con el artículo 28 del RGPD. Para más información sobre subencargados y transferencias internacionales de datos, consulta nuestro Acuerdo de Procesamiento de Datos.

6. Cookies y análisis

BakeWind utiliza Umami, una herramienta de análisis de código abierto, respetuosa con la privacidad y autoalojada en nuestra propia infraestructura dentro de la UE. Umami no usa cookies, no rastrea usuarios entre sitios web y no almacena datos personales. Las direcciones IP se procesan transitoriamente para geolocalización, pero no se almacenan ni registran.

Usamos cookies de primera parte estrictamente necesarias solo para autenticación. Estas cookies están exentas de consentimiento conforme al artículo 25(2) de la TTDSG y la Directiva ePrivacy porque son esenciales para el funcionamiento del Servicio. Las cookies específicas que establecemos son:

• bw_access — Finalidad: autenticación (token de acceso JWT). Duración: 15 minutos. Tipo: httpOnly, secure, sameSite: lax, primera parte.
• bw_refresh — Finalidad: renovación de sesión (token de actualización JWT). Duración: 7 días cuando se selecciona "recordarme", de lo contrario solo sesión (expira al cerrar el navegador). Tipo: httpOnly, secure, sameSite: lax, primera parte.

No usamos cookies publicitarias, scripts de seguimiento de terceros ni ninguna cookie que requiera el consentimiento del usuario.

7. Tus derechos (RGPD)

Bajo el RGPD, tienes los siguientes derechos respecto a tus datos personales:

• Derecho de acceso (Art. 15): Solicitar una copia de tus datos personales
• Derecho de rectificación (Art. 16): Corregir datos inexactos o incompletos
• Derecho de supresión (Art. 17): Solicitar la eliminación de tus datos ("derecho al olvido")
• Derecho de restricción del tratamiento (Art. 18): Restringir el tratamiento en determinadas circunstancias
• Derecho a la portabilidad de datos (Art. 20): Recibir tus datos en un formato estructurado y legible por máquina (JSON o CSV)
• Derecho de oposición (Art. 21): Oponerte al tratamiento basado en interés legítimo — consulta la Sección 4 para más detalles
• Derecho a retirar el consentimiento (Art. 7(3)): Retirar tu consentimiento en cualquier momento sin afectar la licitud del tratamiento previo
• Derecho a no ser objeto de decisiones automatizadas (Art. 22): No utilizamos decisiones automatizadas ni elaboración de perfiles que produzcan efectos jurídicos o efectos significativos similares sobre ti
• Derecho a presentar una reclamación (Art. 77): Presentar una reclamación ante una autoridad de control — consulta la Sección 12 a continuación

Para ejercer cualquiera de tus derechos, contáctanos en privacy@bakewind.com. Responderemos sin dilación indebida y, en todo caso, dentro del plazo de un mes desde la recepción de tu solicitud, conforme al Art. 12(3) del RGPD. Este plazo podrá ampliarse dos meses más cuando sea necesario, teniendo en cuenta la complejidad y el número de solicitudes.

8. Retención de datos

Retenemos tus datos personales mientras tu cuenta esté activa o sea necesario para proporcionar el Servicio. Después de la terminación de la cuenta:

• Datos de cuenta y negocio: Eliminados dentro de 30 días de la terminación de la cuenta
• Registros de facturación (facturas, referencias de pago): Retenidos por 10 años según la legislación fiscal alemana (§ 147 AO, § 14b UStG). Solo se conservan datos financieros; los datos personales asociados se minimizan.
• Datos de uso (marcas de tiempo de inicio de sesión, uso de funciones): Retenidos durante la vigencia de la cuenta. Eliminados dentro de 30 días de la terminación de la cuenta.
• Registros de seguridad (eventos de autenticación, registros de acceso): Retenidos por 90 días para prevención de fraude y monitoreo de seguridad
• Datos técnicos (direcciones IP, identificadores de sesión): Retenidos por 90 días y luego purgados automáticamente
• Respaldos: Los respaldos cifrados siguen un ciclo de retención de 7 diarios, 4 semanales y 12 mensuales. Después de que los datos se eliminen del sistema en producción, pueden persistir en respaldos existentes hasta que estos se roten — hasta un máximo de 12 meses para el respaldo mensual más antiguo. Los respaldos están cifrados y con acceso restringido.

9. Seguridad de datos

Implementamos medidas técnicas y organizativas apropiadas para proteger tus datos, incluyendo:

• Cifrado AES-256-GCM para datos sensibles en reposo
• Cifrado TLS/HTTPS para todos los datos en tránsito
• Contraseñas cifradas con hash bcrypt y salt rounds
• Control de acceso basado en roles con principio de mínimo privilegio
• Auditorías de seguridad regulares y evaluaciones de vulnerabilidades
• Listas negras y rotación de tokens para gestión de sesiones

10. Transferencias internacionales de datos

Tus datos se alojan principalmente en servidores ubicados dentro de la Unión Europea (Hetzner, Falkenstein, Alemania). Algunos subencargados (Stripe, Mailtrap) pueden transferir datos limitados a Estados Unidos para procesamiento de pagos y envío de correo electrónico. Estas transferencias están protegidas por Cláusulas Contractuales Tipo (CCT) y, en el caso de Stripe, por la certificación bajo el Marco de Privacidad de Datos UE-EE. UU. Para detalles completos sobre los mecanismos de transferencia por subencargado, consulta nuestro Acuerdo de Procesamiento de Datos (Sección 8).

11. Cambios en esta política

Podemos actualizar esta Política de privacidad de vez en cuando. Te notificaremos de cambios materiales por correo electrónico o mediante un aviso dentro del Servicio al menos 30 días antes de que los cambios entren en vigor.

La última versión de esta política siempre está disponible en nuestro sitio web.

12. Contacto y reclamaciones

Para preguntas, inquietudes o para ejercer tus derechos de protección de datos, contáctanos en:

Si consideras que tus derechos de protección de datos han sido violados, tienes el derecho de presentar una queja ante una autoridad de supervisión. La autoridad competente para Berlín es: