Política de Privacidad
Última actualización: 21 de marzo de 2026
1. Responsable del tratamiento
- Denominación: OVERNU
- Correo electrónico: privacidad@overnu.com
- Web: https://overnu.com
2. Datos que recopilamos
Recopilamos únicamente los datos estrictamente necesarios para la prestación del servicio:
2.1. Datos proporcionados por el usuario
- Registro: nombre de usuario, nombre, apellidos, dirección de correo electrónico y contraseña (almacenada con hash criptográfico seguro; nunca en texto plano).
- Perfil: datos opcionales como avatar y preferencias de visualización.
- Pagos: las transacciones se procesan por Stripe, Inc. Los datos de tarjeta nunca pasan ni se almacenan en nuestros servidores; solo conservamos el identificador de cliente y suscripción de Stripe.
2.2. Datos generados por el uso del servicio
- Recetas guardadas en favoritos, menús creados, historial de búsquedas (asociados a la cuenta del usuario).
- Tokens de sesión (JWT) y tokens de refresco necesarios para la autenticación.
2.3. Datos técnicos recogidos automáticamente
- Dirección IP, tipo de navegador, sistema operativo — registrados en logs del servidor con fines de seguridad.
- Cookies técnicas estrictamente necesarias para el funcionamiento (ver Política de Cookies).
3. Base jurídica y finalidades
| Finalidad | Base jurídica (RGPD) |
|---|---|
| Gestión de la cuenta y autenticación | Art. 6.1.b — Ejecución de contrato |
| Prestación del servicio (favoritos, menús, búsquedas) | Art. 6.1.b — Ejecución de contrato |
| Proceso de pagos y suscripciones | Art. 6.1.b — Ejecución de contrato |
| Envío de comunicaciones sobre el servicio | Art. 6.1.b — Ejecución de contrato |
| Seguridad, prevención de fraude, logs | Art. 6.1.f — Interés legítimo |
| Publicidad de terceros (Google AdSense) | Art. 6.1.a — Consentimiento |
| Cumplimiento de obligaciones legales | Art. 6.1.c — Obligación legal |
4. Destinatarios de los datos
Los datos personales podrán ser comunicados a:
- Stripe, Inc. (EE. UU.) — procesamiento de pagos. Amparado por las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea y el Data Privacy Framework (DPF).
- Google LLC (EE. UU.) — servicio AdSense para mostrar publicidad (solo si el usuario acepta cookies publicitarias). Amparado por SCC y DPF.
- Proveedor de alojamiento — los servidores donde se almacenan los datos. Ubicados en la UE siempre que sea posible.
- Autoridades públicas — cuando exista obligación legal.
No se venden, alquilan ni ceden datos personales a terceros con fines comerciales propios.
5. Transferencias internacionales
En caso de que los datos se transfieran fuera del Espacio Económico Europeo (EEE), nos aseguramos de que existan garantías adecuadas: decisión de adecuación de la Comisión Europea, Cláusulas Contractuales Tipo (SCC) o participación del destinatario en el Data Privacy Framework UE-EE. UU.
6. Conservación de los datos
- Datos de cuenta: mientras la cuenta permanezca activa. Tras la solicitud de baja, se eliminan o anonimizan en un plazo máximo de 30 días, salvo obligación legal de conservación.
- Datos de facturación: los datos necesarios para cumplir las obligaciones fiscales se conservarán durante los plazos legales (mín. 4 años según la LGT).
- Logs de seguridad: máximo 12 meses.
- Tokens de sesión: caducan según la configuración técnica (access token: 15 min; refresh token: 30 días).
7. Derechos del usuario
Conforme al RGPD y la LOPD-GDD, el usuario tiene derecho a:
- Acceso — conocer si se tratan sus datos y obtener una copia.
- Rectificación — corregir datos inexactos o incompletos.
- Supresión («derecho al olvido») — solicitar la eliminación de sus datos.
- Limitación del tratamiento — solicitar que se limiten determinados tratamientos.
- Portabilidad — recibir sus datos en un formato estructurado y de uso común.
- Oposición — oponerse al tratamiento en determinadas circunstancias.
- Retirada del consentimiento — en cualquier momento, sin afectar a la licitud del tratamiento previo.
- No ser objeto de decisiones automatizadas — incluida la elaboración de perfiles.
Para ejercer estos derechos, envíe un correo electrónico a privacidad@overnu.com indicando su nombre, correo asociado a la cuenta y el derecho que desea ejercer. Responderemos en un plazo máximo de 30 días.
Si considera que sus derechos no han sido debidamente atendidos, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).
8. Seguridad
Implementamos medidas técnicas y organizativas apropiadas para proteger los datos personales: cifrado en tránsito (HTTPS/TLS), hash seguro de contraseñas, control de acceso por roles, limitación de intentos de inicio de sesión, y auditoría de accesos.
9. Menores
El servicio no está dirigido a menores de 16 años (o la edad mínima que establezca la legislación de su país). No recopilamos datos de menores de forma consciente. Si detectamos que hemos recogido datos de un menor sin consentimiento parental, los eliminaremos de inmediato.
10. Cambios en esta política
Nos reservamos el derecho a modificar esta Política de Privacidad. Toda modificación sustancial se comunicará mediante aviso visible en el Sitio Web. La fecha de última actualización figura al inicio de esta página.