Política de Privacidad – CARTAQR.EU

Última actualización: 20 de enero de 2026

En CARTAQR.EU (en adelante, “la Plataforma”), nos tomamos muy en serio la privacidad y la protección de los datos personales. Esta Política de Privacidad explica cómo recopilamos, utilizamos y protegemos tus datos, de conformidad con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

1. Responsable del tratamiento

Responsable: Javier Benítez Merino
NIF: 54059715D
Domicilio: Av. Trinidad, N49, La Laguna, Tenerife, España
Email de contacto: contacto@hawser.es
Dominio: cartaqr.eu

2. Datos personales que tratamos

Según tu interacción con la Plataforma, podemos tratar las siguientes categorías:

a) Datos de identificación y contacto

  • Nombre y apellidos (si los facilitas)

  • Email

  • Teléfono (si lo facilitas)

  • Empresa / nombre comercial (si lo facilitas)

b) Datos de cuenta y uso

  • Credenciales de acceso (por ejemplo, email y contraseña cifrada/hasheada)

  • Preferencias, idioma, configuración

  • Registros de actividad (por ejemplo, fecha/hora de acceso, acciones dentro de la Plataforma)

  • Datos técnicos (IP, navegador, sistema operativo, logs de seguridad)

c) Contenido que subes o generas

  • Información incluida en las cartas/menús (por ejemplo, nombres de productos, descripciones, precios, alérgenos, imágenes, etc.)

  • Códigos QR generados y configuraciones asociadas

d) Datos de facturación (si contratas un plan de pago)

  • Datos fiscales y/o de facturación (nombre/razón social, NIF/CIF, dirección)

  • Información de transacciones (importe, fecha, estado del pago)

Importante: CARTAQR.EU no almacena datos completos de tarjetas (número de tarjeta, CVV, etc.). Los pagos se gestionan a través de Stripe, que actúa como proveedor de servicios de pago.

e) Datos tratados al usar el chat online (si lo utilizas)
En la web puede existir un chat de asistencia que utiliza tecnología de OpenAI (ChatGPT) para responder consultas.

  • Podremos tratar el contenido que escribas en el chat para atender tu solicitud.

  • Te recomendamos no introducir datos sensibles (por ejemplo: datos de salud, información bancaria completa, contraseñas u otra información especialmente protegida).

3. Finalidades del tratamiento

Tratamos tus datos para:

  • Prestar el servicio: crear y gestionar tu cuenta, permitir la creación/edición/publicación de cartas QR y su alojamiento.

  • Gestión administrativa y de facturación: alta de suscripciones, cobros, facturas, control contable y obligaciones legales.

  • Soporte y atención al cliente: responder consultas, incidencias y solicitudes (incluyendo, si procede, el uso del chat online).

  • Seguridad y prevención de fraude: proteger la Plataforma, detectar usos indebidos, mejorar mecanismos de autenticación y auditoría.

  • Mejora del producto: análisis interno del funcionamiento para mejorar rendimiento y funcionalidades (preferentemente con datos agregados o seudonimizados).

  • Comunicaciones relacionadas con el servicio: avisos técnicos, cambios relevantes, comunicaciones operativas (no marketing intrusivo).

  • Marketing (si procede y con base legal adecuada): envío de comunicaciones comerciales, novedades o promociones cuando exista consentimiento o relación previa y derecho de oposición.

4. Base jurídica (legitimación)

La base legal para el tratamiento puede ser:

  • Ejecución de un contrato (art. 6.1.b RGPD): para prestar el servicio al registrarte o contratar un plan.

  • Cumplimiento de obligaciones legales (art. 6.1.c RGPD): facturación, obligaciones fiscales, seguridad, atención a derechos.

  • Interés legítimo (art. 6.1.f RGPD): seguridad, prevención del fraude, mejoras del servicio, comunicaciones operativas.

  • Consentimiento (art. 6.1.a RGPD): por ejemplo, marketing, o cookies no necesarias cuando aplique.

5. Conservación de los datos

Conservamos los datos durante el tiempo necesario para las finalidades indicadas:

  • Datos de cuenta: mientras mantengas la cuenta activa.

  • Datos del contenido (cartas/QR): mientras esté publicado y/o asociado a tu cuenta; se eliminará o anonimizará tras baja, salvo copias de seguridad por un periodo limitado.

  • Datos de facturación: durante los plazos exigidos por normativa fiscal/contable (normalmente 6 años en España, según normativa mercantil/tributaria aplicable).

  • Registros de seguridad: el tiempo estrictamente necesario para detectar incidentes y cumplir obligaciones de seguridad.

  • Datos del chat: se tratarán para atender tu solicitud y mejorar el soporte; en su caso, se conservarán el tiempo estrictamente necesario para la gestión de incidencias y control de calidad.

Si solicitas la supresión, podrás perder acceso a las cartas/QR y a recursos asociados (salvo los datos que debamos conservar por obligación legal).

6. Destinatarios y encargados del tratamiento (versión integrada con Complianz)

Tus datos podrán ser comunicados o tratados por terceros únicamente cuando sea necesario para prestar el servicio y siempre con contratos y garantías adecuadas (art. 28 RGPD):

  • Sered (hosting e infraestructura): la web y parte de la infraestructura de la Plataforma se alojan en servidores de Sered. Esto puede implicar el tratamiento de datos técnicos (por ejemplo, IP y logs) necesarios para la prestación y seguridad del servicio.

  • Sered (correo transaccional): utilizamos Sered también para el envío de correos operativos y transaccionales (por ejemplo, verificación de cuenta, notificaciones del servicio). Se tratan la dirección email y metadatos imprescindibles para el envío y entrega.

  • Supabase (base de datos y backend): utilizamos Supabase para servicios de base de datos y funcionalidades técnicas asociadas, lo que puede implicar el tratamiento de datos de cuenta, preferencias, contenido de cartas/menús y configuraciones necesarias para operar la Plataforma.

  • Stripe (pagos y suscripciones): para gestionar cobros, suscripciones, facturación asociada y prevención del fraude utilizamos Stripe. CARTAQR.EU no almacena datos completos de tarjeta (PAN) ni CVV; la información de pago se introduce y procesa directamente por Stripe. CARTAQR.EU puede recibir información de estado de pago y transacciones (importe, fecha, estado).

  • OpenAI / ChatGPT (chat online): la web puede incluir un chat de asistencia que utiliza tecnología de OpenAI (ChatGPT) para responder consultas. El contenido que el usuario escriba en el chat puede tratarse para atender la solicitud. Recomendamos no introducir datos sensibles (por ejemplo, datos bancarios completos, contraseñas o datos de salud).

  • Google Analytics (analítica web): utilizamos Google Analytics para medir y analizar el uso de la web con fines de mejora del servicio. Este tratamiento puede implicar el uso de cookies/identificadores y datos de navegación, que se activarán o no según el consentimiento configurado por el usuario a través del sistema de gestión de cookies.

  • Complianz (gestión de consentimiento de cookies): utilizamos el plugin Complianz para informar y gestionar el consentimiento del usuario respecto al uso de cookies y tecnologías similares, permitiendo aceptar, rechazar o configurar categorías de cookies según corresponda.

  • Asesoría/gestoría: para cumplimiento fiscal y contable, cuando sea necesario.

  • Autoridades públicas: cuando exista obligación legal.

En todos los casos, exigimos medidas de seguridad razonables y aplicamos el principio de minimización de datos, limitando el acceso y tratamiento a lo estrictamente necesario.

7. Transferencias internacionales

Si utilizamos proveedores ubicados fuera del Espacio Económico Europeo (EEE), o que traten datos fuera del EEE, lo haremos con garantías adecuadas, por ejemplo:

  • Decisión de adecuación de la Comisión Europea, o

  • Cláusulas Contractuales Tipo (SCC) y medidas complementarias cuando proceda.

Dado que algunos proveedores tecnológicos (por ejemplo, servicios de IA) pueden implicar tratamientos fuera del EEE, se aplicarán las garantías legalmente exigibles cuando corresponda.

8. Derechos de las personas usuarias

Puedes ejercer los siguientes derechos:

  • Acceso a tus datos

  • Rectificación de datos inexactos

  • Supresión (derecho al olvido)

  • Oposición al tratamiento

  • Limitación del tratamiento

  • Portabilidad de tus datos

  • Retirar el consentimiento en cualquier momento (si el tratamiento se basaba en consentimiento)

Para ejercerlos, escribe a contacto@hawser.es indicando:

  • Derecho que deseas ejercer

  • Email asociado a la cuenta (si aplica)

  • Información necesaria para identificarte

También tienes derecho a presentar una reclamación ante la autoridad de control competente:
Agencia Española de Protección de Datos (AEPD).

9. Medidas de seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger los datos, incluyendo (según aplique):

  • Cifrado en tránsito (HTTPS/TLS)

  • Controles de acceso y segregación de permisos

  • Registro de eventos y monitorización de seguridad

  • Copias de seguridad

  • Buenas prácticas de gestión de credenciales

Ningún sistema es 100% invulnerable, pero trabajamos para minimizar riesgos y responder ante incidentes.

10. Datos de terceros incluidos en las cartas

Si en tus cartas/menús incluyes datos personales de terceros (por ejemplo, nombres de empleados, teléfonos, emails, imágenes con personas identificables), declaras que dispones de base legal para hacerlo y que has informado adecuadamente a dichas personas. CARTAQR.EU actúa como proveedor de la Plataforma y no es responsable de la licitud del contenido que publiques.

11. Menores de edad

La Plataforma no está dirigida a menores de 14 años. Si detectamos registros de menores sin autorización válida, podremos proceder al bloqueo/eliminación de la cuenta.

12. Enlaces a terceros

La Plataforma puede contener enlaces a webs o servicios de terceros. No nos responsabilizamos de sus políticas o prácticas de privacidad. Recomendamos revisarlas antes de aportar datos.

13. Cambios en esta Política

Podremos actualizar esta Política para reflejar cambios legales, técnicos u operativos. Publicaremos la versión vigente en cartaqr.eu indicando la fecha de “Última actualización”. Si el cambio es relevante, podremos notificarlo por medios razonables (por ejemplo, email o aviso en la cuenta).

 

Resumen de proveedores (encargados del tratamiento)

Para poder prestar el servicio, CARTAQR.EU utiliza proveedores tecnológicos que pueden tratar datos por cuenta del responsable, siempre bajo contrato y con medidas de seguridad adecuadas (art. 28 RGPD):

1) Hosting, infraestructura y correo (Sered)

  • Proveedor: Sered

  • Finalidad: alojamiento de la web, infraestructura y servicios asociados; envío de correos electrónicos transaccionales (por ejemplo, verificación de cuenta, notificaciones del servicio).

  • Datos tratados: datos técnicos (por ejemplo, IP, logs de acceso/seguridad) y datos necesarios para prestar el servicio; en el caso del correo, dirección email y metadatos imprescindibles para el envío/entrega.

2) Base de datos y backend (Supabase)

  • Proveedor: Supabase

  • Finalidad: servicios de base de datos y funcionalidades técnicas necesarias para la operativa del SaaS (por ejemplo, almacenamiento de información de cuenta, cartas/menús, configuraciones y datos relacionados).

  • Datos tratados: datos de cuenta, preferencias, contenido de cartas/menús, configuraciones y registros técnicos necesarios para el servicio.

3) Pagos y suscripciones (Stripe)

  • Proveedor: Stripe

  • Finalidad: gestión de cobros, suscripciones, facturación asociada, prevención de fraude y seguridad en transacciones.

  • Datos tratados: datos de facturación y transacción (importe, estado, fecha) y datos necesarios para procesar el pago.

  • Aclaración importante: CARTAQR.EU no almacena datos completos de tarjeta (PAN completo) ni CVV. La información de pago se introduce y procesa directamente en el entorno de Stripe.

4) Chat online con IA (OpenAI / ChatGPT)

  • Proveedor tecnológico: OpenAI (tecnología ChatGPT integrada en el chat del frontend)

  • Finalidad: atención automatizada y soporte informativo a través del chat de la web.

  • Datos tratados: el contenido que el usuario escriba en el chat y, en su caso, datos técnicos mínimos necesarios para prestar el servicio.

  • Recomendación al usuario: no introducir información sensible (por ejemplo, datos bancarios completos, contraseñas, datos de salud u otra información especialmente protegida).

5) Analítica web (Google Analytics)

  • Proveedor: Google (Google Analytics)

  • Finalidad: medición y análisis del uso de la web para mejorar rendimiento, experiencia y contenidos.

  • Datos tratados: datos de navegación y eventos (por ejemplo, páginas visitadas, interacción, dispositivo/navegador) y identificadores/cookies según configuración.

  • Base legal: normalmente consentimiento del usuario para cookies no necesarias, mediante el banner/configuración de cookies, salvo que se configure y aplique un régimen distinto conforme a normativa vigente.

El listado de proveedores puede variar por motivos técnicos u operativos. CARTAQR.EU mantendrá actualizada esta información en la versión vigente de la Política de Privacidad cuando el cambio sea relevante.