Política de Privacidad
Última actualización: 18 de junio de 2026
La presente política de privacidad describe cómo LocalPatron recopila, utiliza y protege los datos personales de los usuarios de la plataforma localpatron.app, de conformidad con el Reglamento General de Protección de Datos (RGPD — UE 2016/679).
1. Responsable del Tratamiento
Fabrice Dal Maso — LocalPatron
Autónomo · NIF: Z0414929Z
Calle Zurbaran 22, 03187 Los Montesinos, Alicante, España
[email protected]
2. Datos Recopilados
| Categoría | Datos | Fuente |
|---|---|---|
| Cuenta de usuario | Dirección de correo electrónico, contraseña (hash — nunca en claro) | Directamente por el usuario |
| Establecimiento | Nombre, ciudad, sector, palabras clave SEO, tono preferido, descripción (opcional) | Directamente por el usuario |
| Reseñas de Google | Autor (nombre público de Google), puntuación, contenido, fecha — datos públicos de su ficha | API de Google Business Profile (tras conexión OAuth) |
| Token OAuth de Google | Token de acceso y actualización OAuth 2.0 (cifrado AES-256-GCM, solo servidor) | API de Google al conectarse |
| Respuestas generadas | Contenido de las respuestas, puntuación SEO, estado (borrador / validado / publicado), fechas | Generado por el servicio de IA a partir de las reseñas |
| Uso | Acciones realizadas, número de generaciones de IA utilizadas | Automáticamente durante el uso |
| Pago | Identificador de cliente Stripe (nunca almacenamos datos de tarjeta bancaria) | Stripe |
2bis. Datos de colaboradores en Workspaces
LocalPatron permite la gestión multi-establecimiento mediante Workspaces con roles diferenciados (Admin / Manager / Viewer). Cuando el titular de una cuenta (Admin) invita a colaboradores, se recopilan los datos siguientes:
- Dirección de correo electrónico (para la invitación y autenticación)
- Acciones realizadas en el Workspace (logs de uso — base legal: interés legítimo, art. 6.1.f RGPD)
Responsabilidad: LocalPatron actúa como encargado del tratamiento respecto a los datos de los colaboradores invitados. El Admin es responsable de informar a sus colaboradores de este tratamiento.
Los colaboradores invitados disponen de los mismos derechos RGPD que el titular de la cuenta (acceso, rectificación, supresión, portabilidad) y pueden ejercerlos en [email protected]. Sus datos se eliminan al cierre de la cuenta del Admin o al ser eliminados del Workspace, lo que ocurra primero.
3. Finalidades y Bases Legales
| Finalidad | Base legal (RGPD art. 6) |
|---|---|
| Prestación del servicio (generación de sugerencias, publicación tras validación) | Ejecución del contrato (art. 6.1.b) |
| Transmisión del contenido de reseñas al servicio de IA para crear sugerencias | Ejecución del contrato (art. 6.1.b) |
| Gestión de suscripciones y facturación | Ejecución del contrato (art. 6.1.b) |
| Seguridad y prevención del fraude | Interés legítimo (art. 6.1.f) |
| Notificaciones push (si están activadas) | Consentimiento explícito (art. 6.1.a) |
| Mejora del servicio (logs de uso anonimizados) | Interés legítimo (art. 6.1.f) |
Nota sobre los servicios de generación de IA: LocalPatron utiliza Groq Inc. (modelo llama-3.3-70b-versatile, proveedor principal), Anthropic PBC (modelos claude-haiku-4-5-20251001 y claude-sonnet-4-6, failover automático y tareas especializadas) y Google LLC (Gemini 2.0 Flash, análisis visual de imágenes, traducción multilingüe y detección de fraude en reseñas). Los datos transmitidos son mínimos: contenido de la reseña (anonimizado), sector, palabras clave, nombre del establecimiento. Ninguno de estos proveedores utiliza los datos transmitidos para entrenar sus modelos de IA.
3.1 Módulo de enmascaramiento de identificadores directos
Antes de cualquier transmisión de contenido textual a las APIs de inteligencia artificial, LocalPatron aplica automáticamente un interceptor que detecta y enmascara los siguientes identificadores directos: direcciones de correo electrónico, números de teléfono, números IBAN y números de tarjeta bancaria. Los nombres de autores de reseñas (datos públicos de Google) no son enmascarados. Este tratamiento es automático y previo a todo envío a los servicios de IA.
3.2 Datos procedentes de Google Business Profile (Avis publics)
LocalPatron trata los textos de reseñas públicas procedentes de Google Business Profile, importados manualmente o a través de la API oficial de Google, con la finalidad exclusiva de análisis semántico anónimo (detección de sentimientos, velocidad de reseñas, identificación de temas recurrentes, detección de spam semántico) por cuenta de sus usuarios.
Estos datos se tratan de la siguiente manera:
- Almacenamiento: Los contenidos de las reseñas y los nombres de autores (información públicamente accesible en Google Maps) se conservan exclusivamente en la cuenta del usuario que los importó. Nunca se comparten entre cuentas, no se revenden ni se explotan con fines comerciales propios de LocalPatron.
- Análisis semánticos: Los resultados de análisis (tendencias, puntuaciones de sentimiento, alertas de satisfacción) son datos agregados y anonimizados. No permiten identificar individualmente a los autores de las reseñas.
- Supresión: Las reseñas se conservan durante la vigencia de la suscripción activa — constituyen el dato central del servicio. Se eliminan en cascada al cierre de la cuenta. El usuario puede solicitar la eliminación anticipada desde su cuenta o a través de [email protected].
Logs de consentimiento (consent_logs): Para cada publicación en Google Business Profile, LocalPatron registra la dirección IP y el user-agent del usuario como prueba de validación humana, de conformidad con el artículo 50 del Reglamento UE de IA. Estos registros se conservan durante la vigencia del contrato + 5 años.
Logs de auditoría GBP (gbp_api_logs): Datos técnicos exclusivamente (IDs de respuesta, códigos HTTP, duraciones en ms) — ningún dato personal. Conservación: 90 días, eliminación automática mensual.
Trabajos de importación masiva (import_jobs): Los payloads de reseñas importadas en lote se eliminan automáticamente 30 días tras la finalización del trabajo.
3.3 Reciclaje automático de posts
Nota específica — Reciclaje automático de posts: Un tratamiento automatizado mensual (ejecutado por una tarea cron programada) identifica las publicaciones publicadas con más de 6 meses de antigüedad y las envía a los servicios de IA (Groq/Anthropic) para su reescritura con diversidad textual. El resultado se almacena sistemáticamente en estado borrador y se somete a validación explícita del usuario antes de cualquier publicación. Ninguna publicación automática se realiza sin acción humana.
3.4 Transparencia sobre el contenido generado por IA (Reglamento UE de IA — art. 50)
De conformidad con el artículo 50 del Reglamento europeo sobre inteligencia artificial (Reglamento (UE) 2024/1689), LocalPatron informa a sus usuarios de que las sugerencias de respuestas, descripciones de fotos, publicaciones y descripciones de servicios son generados por sistemas de inteligencia artificial. Estos contenidos se señalan como tales en la interfaz antes de cualquier validación. El usuario conserva el control total y es el único responsable del contenido que decida publicar.
4. Plazos de Conservación
| Dato | Plazo |
|---|---|
| Cuenta de usuario activa | Duración de la suscripción + 30 días tras la cancelación |
| Cuenta en pausa estacional | Igual que cuenta activa — los datos se conservan íntegramente durante el período de pausa (1 a 3 meses). No se efectúa ninguna eliminación. |
| Token OAuth de Google | Duración de la conexión activa — eliminación inmediata al desconectarse |
| Reseñas de Google importadas | Duración de la suscripción activa — eliminación en cascada al cierre de la cuenta |
| Logs de uso (usage_logs) | 12 meses (eliminación automática mensual) |
| Logs de auditoría GBP (gbp_api_logs) | 90 días (eliminación automática mensual) |
| Trabajos de importación (import_jobs) | 30 días tras finalización (eliminación automática mensual) |
| Logs de consentimiento (consent_logs) | Duración de la suscripción activa + 5 años tras la cancelación (prueba legal EU AI Act art. 50 — prescripción de acciones contractuales en derecho español, art. 1964 CC) |
| Historial de emails (user_email_history) | Duración de la cuenta — eliminación en cascada al cierre. Protección contra reutilización abusiva de períodos de prueba. |
| Emails de prueba utilizados (trial_used_emails) | Hash con sal (SHA-256, e-mail nunca almacenado en claro) — 24 meses desde el último uso, después eliminación automática — base legal: interés legítimo (prevención del fraude en pruebas gratuitas, art. 6.1.f RGPD), al amparo de la excepción del art. 17.3 RGPD. |
| Datos de facturación | 6 años (obligación contable española — Código de Comercio art. 30) |
5. Subencargados del Tratamiento
| Proveedor | Función | Localización |
|---|---|---|
| Supabase Inc. | Base de datos y autenticación | EE. UU. — Cláusulas Contractuales Tipo (SCC) |
| Groq Inc. | Proveedor de IA principal | EE. UU. — Cláusulas Contractuales Tipo (SCC) |
| Anthropic PBC | Proveedor de IA en failover y tareas especializadas | EE. UU. — Cláusulas Contractuales Tipo (SCC) |
| Google LLC / Gemini 2.0 Flash | Análisis visual de imágenes (fotos de establecimiento), traducción multilingüe (Mirror-Editing) y detección avanzada de fraude en reseñas. No conserva los datos tras la generación. No entrena sus modelos con los datos transmitidos. | EE. UU. — DPF certificado |
| PostHog Inc. | Análisis estadísticos de uso — cargado únicamente previo consentimiento explícito a través del banner de cookies; desactivado por defecto. Ningún cookie analítico sin consentimiento. Servidores UE (eu.i.posthog.com). | Unión Europea (Frankfurt) — sin transferencia |
| Google LLC (API Business Profile) | Publicación de respuestas validadas | EE. UU. — DPF certificado |
| Stripe Inc. | Pagos y suscripciones | EE. UU. / Irlanda — DPF certificado |
| Cloudflare Inc. | Alojamiento de la aplicación (Cloudflare Workers) | EE. UU. — DPF certificado |
| Resend Inc. | Envío de correos electrónicos transaccionales | EE. UU. — DPF certificado |
| LogSnag Inc. | Monitoring de eventos de negocio (upgrade, downgrade, conexión GBP, 1ª respuesta, crisis). Datos transmitidos: tipo de evento e identificador de workspace anonimizado — ningún dato personal. | EE. UU. — sin datos personales (SCC en su defecto) |
| Google LLC (Maps Geocoding API) | Geocodificación de la dirección del establecimiento (latitud/longitud) para la función de fotos con GPS — dato transmitido: nombre de la ciudad únicamente (información pública). Sin datos personales. | EE. UU. — DPF certificado |
| Web Push API (navegador) | Envío de notificaciones push PWA al navegador del usuario (recordatorios Drip-Feed, alertas de avis). Dato transmitido: clave pública VAPID + endpoint de suscripción del navegador. Sin datos personales adicionales. | Procesado localmente en el navegador — sin transferencia internacional |
6. Datos de Google Business Profile y Token OAuth
El scope OAuth solicitado es: https://www.googleapis.com/auth/business.manage. LocalPatron no accede a su correo Gmail, contactos, calendario ni ningún otro dato de Google ajeno a su ficha de Google Business Profile.
Su token de acceso está cifrado en reposo (AES-256-GCM), almacenado solo en el servidor, renovado automáticamente antes de su expiración y eliminado inmediatamente al desconectarse.
Conformidad con la Google API Services User Data Policy: El uso por parte de LocalPatron de la información recibida a través de las APIs de Google cumple la Google API Services User Data Policy, incluidos los requisitos de uso limitado. Disponible en developers.google.com/terms/api-services-user-data-policy.
7. Sus Derechos
De conformidad con el RGPD, usted dispone de los siguientes derechos: acceso, rectificación, supresión («derecho al olvido»), portabilidad, oposición y limitación del tratamiento, y retirada del consentimiento. Para ejercer estos derechos: [email protected]. También puede presentar una reclamación ante la AEPD (Agencia Española de Protección de Datos): www.aepd.es.
El derecho de supresión no afecta a los hash de prevención de fraude (trial_used_emails), conservados conforme al art. 17.3 RGPD; estos no permiten identificarle directamente y se eliminan automáticamente a los 24 meses del último uso.
8. Cookies y Rastreadores
LocalPatron utiliza los siguientes rastreadores:
| Rastreador | Finalidad | Base legal |
|---|---|---|
| Cookie de sesión (Supabase) | Autenticación y mantenimiento de la sesión del usuario — estrictamente necesaria para el funcionamiento del Servicio | Necesaria (exenta de consentimiento — art. 22.2 LSSI) |
| PostHog Analytics | Análisis estadísticos de uso: páginas vistas, acciones del usuario, navegación en la interfaz. Sin grabación de sesión. Alojado en servidores UE (eu.i.posthog.com). Desactivado por defecto — cargado únicamente tras su consentimiento explícito. | Consentimiento (art. 6.1.a RGPD) — opt-in únicamente |
| Cloudflare Web Analytics | Datos de rendimiento agregados y anonimizados (Core Web Vitals, tiempos de carga) — ninguna cookie depositada en el terminal | Datos anónimos — fuera del ámbito del RGPD |
Sin cookies publicitarias. Sin rastreadores publicitarios. Sin redes publicitarias. Puede retirar su consentimiento a los análisis PostHog en cualquier momento eliminando la entrada lp_analytics_consent del almacenamiento local (localStorage) de su navegador, o contactándonos en [email protected].
9. Seguridad
- Cifrado en tránsito (HTTPS/TLS 1.3) y en reposo.
- Row Level Security (RLS): cada usuario solo puede acceder a sus propios datos.
- Contraseñas hasheadas (bcrypt) — nunca almacenadas en texto claro.
- Claves API de servidor nunca expuestas en el cliente.
- Tokens de acceso de Google cifrados en reposo (AES-256-GCM) y nunca expuestos en el cliente.
- Rotación automática de tokens de acceso antes de su expiración.
- Registros de auditoría para detectar accesos anómalos.
9bis. Conformidad con las políticas de plataformas terceras
Google API Services: El uso por parte de LocalPatron de la información recibida a través de las APIs de Google cumple la Google API Services User Data Policy, incluidos los requisitos de uso limitado (Limited Use requirements) — disponible en developers.google.com/terms/api-services-user-data-policy. LocalPatron no utiliza los datos de Google con fines publicitarios, no los revende, no los comparte con terceros para fines distintos a los descritos en este documento, y limita estrictamente su uso a las funcionalidades de gestión de reputación descritas en la presente política.
Servicios de generación IA (Groq Inc., Anthropic PBC y Google LLC / Gemini): Los datos transmitidos a nuestros proveedores de generación de respuestas por inteligencia artificial no se utilizan para entrenar modelos de IA. Estos proveedores actúan como encargados del tratamiento en el sentido del RGPD y se comprometen a no conservar los datos más allá del tratamiento necesario para la generación, y a no utilizarlos jamás con fines distintos a la generación de la sugerencia de respuesta solicitada.
9ter. Transparencia sobre los contenidos generados por inteligencia artificial (EU AI Act — artículo 50)
De conformidad con el artículo 50 del Reglamento europeo sobre inteligencia artificial (EU AI Act — Reglamento (UE) 2024/1689), LocalPatron informa a sus usuarios de que las sugerencias de respuestas a reseñas, descripciones de fotos, publicaciones y descripciones de servicios propuestos por la plataforma son generados por sistemas de inteligencia artificial (Groq Inc., Anthropic PBC y Google LLC / Gemini).
Estos contenidos se señalan como tales en la interfaz antes de cualquier validación. El usuario:
- Es informado del carácter IA del contenido propuesto antes de validarlo.
- Conserva el control total del contenido final — puede modificarlo libremente o rechazarlo.
- Es el único responsable del contenido que decida publicar en Google Business Profile.
Ningún contenido generado por IA se publica automáticamente. El proceso de validación en 4 pasos humanos obligatorios descrito en la sección 3 garantiza que todo contenido publicado en Google ha sido revisado y aprobado explícitamente por el usuario.
10. Modificaciones
Cualquier modificación sustancial de esta política será notificada por correo electrónico con al menos 30 días de antelación. La versión vigente siempre está disponible en esta página.
11. Evaluación de Impacto y Delegado de Protección de Datos
LocalPatron ha evaluado los riesgos asociados al tratamiento de datos personales, en particular los relativos al token OAuth de Google y a los logs de consentimiento. A la vista del volumen de datos tratados y del perfil de los usuarios (profesionales B2B), LocalPatron considera que no concurren los supuestos de obligatoriedad de designación de un Delegado de Protección de Datos (DPO) según el art. 37 RGPD. Esta evaluación se revisa anualmente o cuando se introduzcan cambios sustanciales en el tratamiento.