Política de Privacidad

Última actualización: 4 de mayo de 2026

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de este sitio web y de la aplicación Mucilago Lab (en adelante, "el Servicio") es Gonzalo Escobar, con NIF Z2160956L (NIE) y domicilio fiscal en Calle Jaume I, 10, bajo 46, 12594 Oropesa del Mar (Castellón).

Para cualquier consulta relacionada con la presente Política de Privacidad o con el ejercicio de tus derechos puedes contactar con el responsable a través del correo electrónico contacto@mucilagolab.com o de la web https://www.mucilagolab.com.

La presente política se ha redactado conforme al Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).

2. Datos personales que recopilamos

En función del uso que hagas del Servicio, podemos recopilar y tratar las siguientes categorías de datos:

  • Datos de registro: dirección de correo electrónico, nombre y contraseña (almacenada mediante hash bcrypt en Supabase Auth, nunca en texto claro).
  • Datos de perfil: nombre del catador, rol profesional, nivel de experiencia y empresa o tostador con el que colabora.
  • Datos de cata: información sobre orígenes de café, tuestes, sesiones de cata y evaluaciones, asociados de forma unívoca a tu cuenta de usuario.
  • Datos de pago: cuando contrates una suscripción, los datos de pago serán recogidos y procesados directamente por Stripe Payments Europe Ltd. Mucilago Lab no almacena en sus servidores datos completos de tarjeta bancaria.
  • Datos técnicos: dirección IP, tipo de navegador y user agent, fecha y hora de acceso, páginas visitadas y otros datos de registro generados automáticamente por nuestros servidores.
  • Cookies y tecnologías similares: ver la Política de Cookies para conocer en detalle qué cookies utilizamos y con qué finalidad.

3. Finalidades y base legal del tratamiento

Tratamos tus datos personales con las siguientes finalidades y bases jurídicas:

  • Prestación del Servicio: creación y gestión de tu cuenta, almacenamiento y procesamiento de tus catas y datos asociados. Base legal: ejecución del contrato (art. 6.1.b RGPD).
  • Gestión de pagos y facturación: tramitación de suscripciones, emisión de facturas y control de cobros. Base legal: ejecución del contrato (art. 6.1.b RGPD) y cumplimiento de obligaciones legales (art. 6.1.c RGPD).
  • Comunicaciones de servicio: envío de notificaciones operativas, avisos de seguridad, cambios en condiciones y respuesta a tus consultas. Base legal: interés legítimo y ejecución del contrato.
  • Cumplimiento de obligaciones legales: obligaciones fiscales, contables y de prevención del fraude. Base legal: cumplimiento de obligaciones legales (art. 6.1.c RGPD).
  • Mejora del Servicio: análisis estadístico mediante datos agregados y anonimizados para mejorar funcionalidades y rendimiento. Base legal: interés legítimo (art. 6.1.f RGPD).

4. Plazo de conservación

Los datos se conservarán durante el tiempo estrictamente necesario para las finalidades descritas y, en todo caso, durante los plazos exigidos por la normativa aplicable:

  • Datos de cuenta y catas: mientras la cuenta esté activa. Tras la baja, se conservarán únicamente los datos sujetos a obligaciones legales aplicables, debidamente bloqueados.
  • Datos de pago y facturación: 6 años desde la emisión de la factura, conforme al artículo 30 del Código de Comercio y al artículo 29.2 del Reglamento del IVA.
  • Logs técnicos: un máximo de 12 meses, salvo que la información sea necesaria para investigar incidentes de seguridad o cumplir requerimientos legales.

5. Destinatarios — terceros con los que compartimos datos

Para prestar el Servicio compartimos determinados datos con proveedores que actúan como encargados del tratamiento, siempre bajo contrato y con garantías adecuadas:

  • Supabase, Inc. (Estados Unidos, con Cláusulas Contractuales Tipo y DPA firmado) — proveedor de base de datos, autenticación y almacenamiento.
  • Stripe Payments Europe Ltd. (Irlanda) — procesamiento de pagos y gestión de suscripciones.
  • Vercel Inc. (Estados Unidos, con Cláusulas Contractuales Tipo) — hosting y entrega de la aplicación web.
  • Anthropic PBC (Estados Unidos, con Cláusulas Contractuales Tipo) — únicamente para las funciones de inteligencia artificial activadas previa aceptación expresa por tu parte.

No vendemos, alquilamos ni cedemos tus datos personales a terceros con finalidades comerciales.

6. Transferencias internacionales

Algunos de nuestros proveedores están ubicados fuera del Espacio Económico Europeo (EEE). En estos casos, las transferencias se realizan amparadas por las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, junto con medidas técnicas y organizativas adicionales (cifrado en tránsito y en reposo, control de acceso, anonimización cuando es posible).

En el caso concreto de Anthropic, los datos solo se transfieren cuando el usuario activa explícitamente las funciones de inteligencia artificial y otorga su consentimiento informado para ese tratamiento.

7. Tus derechos

Como titular de los datos puedes ejercer los siguientes derechos reconocidos por el RGPD y la LOPDGDD:

  • Derecho de acceso (art. 15 RGPD): conocer qué datos tenemos sobre ti.
  • Derecho de rectificación (art. 16 RGPD): corregir datos inexactos o incompletos.
  • Derecho de supresión o "derecho al olvido" (art. 17 RGPD): eliminar tus datos cuando ya no sean necesarios. Esta opción está disponible directamente desde tu perfil.
  • Derecho a la limitación del tratamiento (art. 18 RGPD).
  • Derecho a la portabilidad de los datos (art. 20 RGPD).
  • Derecho de oposición (art. 21 RGPD).
  • Derecho a no ser objeto de decisiones automatizadas con efectos jurídicos (art. 22 RGPD): no aplicamos decisiones automatizadas ni elaboración de perfiles que afecten significativamente a los usuarios.

Para ejercer cualquiera de estos derechos puedes escribir a contacto@mucilagolab.com incluyendo una copia de tu documento de identidad o medio equivalente que acredite tu identidad.

8. Reclamaciones ante la AEPD

Si consideras que el tratamiento de tus datos no se ajusta a la normativa, tienes derecho a presentar una reclamación ante la autoridad de control competente, que en España es la Agencia Española de Protección de Datos (AEPD), accesible en https://www.aepd.es.

No obstante, te animamos a contactar primero con nosotros para intentar resolver la cuestión de forma ágil.

9. Seguridad

Aplicamos medidas técnicas y organizativas apropiadas para proteger tus datos personales frente al acceso no autorizado, la alteración, la divulgación o la destrucción accidental o ilícita. Entre otras medidas:

  • Cifrado HTTPS/TLS en todas las comunicaciones.
  • Almacenamiento de contraseñas mediante funciones hash seguras (bcrypt).
  • Row Level Security (RLS) en la base de datos para aislar los datos de cada usuario.
  • Cabeceras HSTS y Content Security Policy (CSP) para mitigar ataques web.
  • Copias de seguridad periódicas y cifradas.
  • Control y registro de accesos del personal autorizado.

10. Menores de edad

El Servicio está dirigido a personas mayores de 14 años, de conformidad con el artículo 7 de la LOPDGDD. Si eres menor de 14 años no debes utilizar el Servicio sin el consentimiento expreso de tus padres o tutores legales. Si detectamos el registro de un menor sin dicho consentimiento, procederemos a la eliminación de la cuenta y de los datos asociados.

11. Cambios en esta política

Podemos actualizar esta Política de Privacidad para reflejar cambios legales, técnicos o de servicio. Notificaremos por correo electrónico cualquier modificación sustancial. La fecha de la última actualización aparece al inicio del documento. El uso continuado del Servicio tras la notificación implica la aceptación de la versión vigente.