DOCUMENTO LEGAL · v1.1 · 2026-05-25
Política de privacidad
En cumplimiento del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), Jose Miguel Casas Pagan informa a los usuarios sobre el tratamiento de sus datos personales.
Esta política se aplica al tratamiento de datos por parte de Recuacomo responsable. Los datos que las empresas usuarias del servicio (transportistas) cargan sobre sus propios conductores, clientes finales o firmantes son tratados por Recua en condición de encargado del tratamiento, según se detalla en el Acuerdo de Encargo.
1. Responsable del tratamiento
- Jose Miguel Casas Pagan
- NIF: 23065880P
- Calle Jaime Balmes 1A, 4D, 30700 Torre Pacheco, Murcia (Espana)
- Email para asuntos de privacidad: privacidad@recua.app
Por el volumen actual de tratamiento, Recua no está obligado a designar un Delegado de Protección de Datos (DPO) según el art. 37 RGPD. En caso de superar los umbrales aplicables, se nombrará y comunicará en esta página.
2. Datos que tratamos y finalidades
| Categoría | Datos | Finalidad | Base legal |
|---|---|---|---|
| Cuenta de admin | Email, contraseña (hash), nombre, datos de la empresa | Prestar el servicio SaaS, autenticación, soporte, facturación | Ejecución de contrato (art. 6.1.b RGPD) |
| Datos de uso | Logs de acceso, eventos de la app, telemetría técnica | Mantener seguridad, prevenir fraude, mejorar el servicio | Interés legítimo (art. 6.1.f RGPD) |
| Solicitudes de demo / contacto | Nombre, email, teléfono, mensaje | Responder a la solicitud comercial | Consentimiento + interés legítimo (art. 6.1.a/f RGPD) |
| Cookies y tecnologías similares | Identificadores de sesión, preferencias | Funcionamiento del sitio y, si se autorizan, analítica básica | Consentimiento (art. 22 LSSI-CE) salvo cookies estrictamente necesarias |
| Datos de pago | Identificador de cliente Stripe (no tarjeta) | Cobro de la suscripción | Ejecución de contrato |
| Comunicaciones transaccionales | Email del admin, eventos del servicio (avisos uso, vencimientos) | Operación del servicio contratado | Ejecución de contrato |
| Geolocalización GPS del conductor | Latitud, longitud, velocidad, rumbo y timestamp capturados por la app móvil del conductor mientras el porte está activo (cargando, en tránsito o descargando), aproximadamente cada 60 segundos | Visibilidad operativa del porte para el transportista (responsable): saber dónde está la mercancía, calcular ETA, dar respuesta a clientes y resolver incidencias. Se trata como encargado por cuenta del transportista; el conductor recibe aviso expreso en la app antes de la primera captura | Interés legítimo del transportista en el control objetivo del servicio prestado (art. 6.1.f RGPD), conforme al art. 20.3 del Estatuto de los Trabajadores y a la Guía AEPD 2022 sobre dispositivos de geolocalización en el ámbito laboral |
3. Plazos de conservación
- Cuenta activa: mientras la suscripción esté vigente y hasta 12 meses tras su finalización para cubrir reclamaciones.
- Datos fiscales (facturas, liquidaciones): 6 años desde su emisión. Se aplica el plazo más amplio entre los exigidos por la Ley General Tributaria (Ley 58/2003, art. 70: 4 años para fines tributarios) y el Código de Comercio (art. 30: 6 años para libros y documentos mercantiles).
- Documentos de transporte (cartas de porte y firmas): mínimo 4 años por la prescripción de acciones derivadas del transporte, ampliable a 5 años conforme al art. 222 del Reglamento de Ordenación de los Transportes Terrestres (ROTT).
- Geolocalización GPS del conductor (porte_pings): 90 días desde la captura. Pasado ese plazo, los registros se eliminan automáticamente cada día por un job programado en base de datos. La traza ya no estará disponible para la oficina.
- Solicitudes de demo no convertidas: 12 meses.
- Logs de acceso técnicos: 12 meses.
4. Destinatarios y subprocesadores
Para prestar el servicio, Recua utiliza los siguientes proveedores que pueden tratar datos personales por cuenta y bajo instrucciones del responsable:
| Proveedor | Servicio prestado | Ubicación | Garantías |
|---|---|---|---|
| Supabase, Inc. | Base de datos, autenticación, almacenamiento | UE (Frankfurt) | Hosting en UE |
| Vercel, Inc. | Hosting de la aplicación web | UE + edge global | EU-US Data Privacy Framework |
| Resend, Inc. | Envío de emails transaccionales | EE.UU. | EU-US Data Privacy Framework |
| Anthropic, PBC | OCR opcional de cartas de porte y tickets (solo cuando el responsable lo activa) | EE.UU. | Sin uso para entrenamiento; cláusulas contractuales tipo |
| Google LLC (FCM) | Notificaciones push a la app conductor | EE.UU. | EU-US Data Privacy Framework |
| Stripe Payments Europe | Procesamiento de pagos de suscripción | Irlanda (UE) | Hosting en UE |
| Sentry, Inc. | Telemetría de errores técnicos del backend y la web. Se aplican filtros para descartar tokens y datos sensibles antes de enviar | EE.UU. | EU-US Data Privacy Framework |
| Cloudflare, Inc. | DNS, CDN y túnel para el motor de rutas Valhalla autohospedado | Global (red de borde) | EU-US Data Privacy Framework |
Para transferencias a terceros países se aplican las garantías legales apropiadas (DPF, cláusulas contractuales tipo). Si una garantía decayera, Recua notificaría con antelación razonable y ofrecería alternativas con sede en la UE.
5. Derechos del interesado
El usuario puede ejercer en cualquier momento los siguientes derechos:
- Acceso a sus datos personales
- Rectificación de datos inexactos o incompletos
- Supresión cuando los datos ya no sean necesarios
- Limitación u oposición al tratamiento
- Portabilidad de los datos a otro responsable
- No ser objeto de decisiones automatizadas con efectos jurídicos
- Retirar el consentimiento prestado, sin efectos retroactivos
Para ejercerlos basta con un email a privacidad@recua.app adjuntando un documento que acredite la identidad. Recuaresponderá en un plazo máximo de un mes (art. 12.3 RGPD).
Si el usuario considera que su solicitud no ha sido atendida puede reclamar ante la Agencia Española de Protección de Datos (www.aepd.es).
6. Datos de empresas clientes y sus terceros
Cuando un transportista contrata Recua, carga datos de sus propios conductores, clientes finales y firmantes. Recua actúa como encargado del tratamiento y solo trata esos datos para prestar el servicio. La gestión de derechos de esos terceros corresponde al transportista responsable. El detalle del tratamiento se encuentra en el Acuerdo de Encargo de Tratamiento.
7. Medidas de seguridad
Recua aplica medidas técnicas y organizativas razonables:
- Cifrado en tránsito (HTTPS/TLS 1.2+)
- Cifrado en reposo en base de datos y almacenamiento de archivos
- Aislamiento por inquilino mediante Row Level Security en Postgres
- Contraseñas almacenadas con bcrypt
- Tokens JWT firmados con HMAC y caducidad limitada
- Backups automáticos diarios del proveedor
- Acceso restringido a personas autorizadas y registrado
Estas medidas se revisan periódicamente. Sin perjuicio de ello, ningún sistema es invulnerable: en caso de brecha de seguridad que afecte a datos personales, Recua la notificará a la AEPD en el plazo de 72 horas y a los interesados cuando proceda (art. 33-34 RGPD).
8. Decisiones automatizadas
Recua no toma decisiones automatizadas ni elabora perfiles que produzcan efectos jurídicos en los usuarios. Las funciones de OCR (extracción de texto de imágenes) son herramientas de asistencia que siempre requieren validación humana.
9. Modificaciones
Esta política puede actualizarse para adaptarla a cambios normativos o de la operativa. Las modificaciones sustanciales se notificarán con antelación razonable a los usuarios registrados.