Política de Privacidad

Última actualización: junio 2025

Este documento cumple con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD). Para ejercer tus derechos o hacer cualquier consulta de privacidad, escríbenos a privacy@linktray.app.

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es:

Linktray
Correo electrónico de contacto: privacy@linktray.app
Correo legal: legal@linktray.app
Web: linktray.app

Nota: Linktray es actualmente un servicio en fase de lanzamiento. Los datos de la entidad legal (CIF/NIF, domicilio social registrado) se publicarán en esta página antes del lanzamiento comercial.

2. Datos que tratamos

2.1 Clientes (usuarios que envían propinas)

Identificación: correo electrónico, nombre, foto de perfil (opcional)
Actividad: historial de propinas enviadas, reseñas publicadas
Técnicos: dirección IP, tipo de dispositivo, versión de app
Opcionales con consentimiento: números de teléfono de contactos (hashes temporales, no almacenados)

2.2 Camareros (usuarios que reciben propinas)

Identificación: correo electrónico, nombre completo, foto de perfil, foto de portada
Identidad: número de documento (DNI/NIE/Pasaporte) cifrado con pgp_sym_encrypt, fecha de nacimiento
Financiero: IBAN cifrado en base de datos, nombre titular cuenta
Laboral: lugar de trabajo, experiencia, certificaciones, redes sociales (campos opcionales)
Puntuaciones: medias de proactividad, eficiencia y servicialidad; comentarios de clientes
Técnicos: dirección IP, tipo de dispositivo, versión de app

2.3 Visitantes del sitio web

Datos técnicos de navegación: dirección IP, navegador, páginas visitadas
Cookies esenciales necesarias para el funcionamiento (ver sección 10)

3. Finalidad del tratamiento y base jurídica

Tratamos tus datos únicamente para las finalidades descritas a continuación. Para cada actividad indicamos la base jurídica conforme al art. 6 RGPD:

Actividad	Datos	Base jurídica	Plazo
Creación y gestión de cuenta	Correo electrónico, contraseña (hash), nombre, foto de perfil	Art. 6(1)(b) RGPD — ejecución del contrato	Hasta solicitud de eliminación + 30 días de gracia
Recepción y envío de propinas (camarero)	IBAN cifrado, nombre titular, historial de transacciones	Art. 6(1)(b) RGPD — ejecución del contrato; Art. 6(1)(c) — obligación legal (LGT)	4 años (Ley General Tributaria art. 66)
Verificación de identidad KYC (camarero)	DNI/NIE/Pasaporte (imagen + número cifrado), fecha de nacimiento, selfie biométrico	Art. 6(1)(c) RGPD — obligación legal (PBC/FT)	Documento eliminado tras verificación; número cifrado 4 años
Sistema de puntuación y reseñas	Puntuaciones (proactividad, eficiencia, servicialidad), comentarios	Art. 6(1)(b) RGPD — funcionalidad esencial del servicio	Mientras la cuenta esté activa; eliminados al borrar cuenta
Notificaciones push	Token de dispositivo, contenido de notificación	Art. 6(1)(a) RGPD — consentimiento expreso previo	90 días; token eliminado al revocar permiso
Sugerencias de contactos conocidos	Hashes SHA-256 de números de teléfono de la agenda (no almacenados)	Art. 6(1)(a) RGPD — consentimiento expreso previo	No almacenado — procesado en tiempo real y descartado
Envío de SMS de verificación	Número de teléfono, código OTP	Art. 6(1)(b) RGPD — ejecución del contrato	Código expira en 10 minutos; número 90 días
Detección de fraude y seguridad	Dirección IP, eventos de acceso, actividad inusual	Art. 6(1)(f) RGPD — interés legítimo (seguridad del servicio)	90 días
Emails transaccionales	Correo electrónico, nombre, contenido del evento (propina recibida, etc.)	Art. 6(1)(b) RGPD — ejecución del contrato	Registros de entrega: 30 días
Monitorización de errores y estabilidad de la app (Sentry)	Trazas de pila (stack traces), versión de app, modelo de dispositivo, versión de SO, ruta de navegación anonimizada. Sin dirección IP, sin nombre de usuario, sin datos de pago.	Art. 6(1)(f) RGPD — interés legítimo (garantizar la estabilidad y seguridad del servicio)	90 días (política de retención de Sentry)

Interés legítimo (art. 6(1)(f) RGPD): Cuando nos basamos en interés legítimo, hemos realizado un test de ponderación y concluido que tus intereses y derechos fundamentales no prevalecen sobre dicho interés. Puedes solicitar una copia de ese análisis en privacy@linktray.app.

4. Decisiones automatizadas (Art. 22 RGPD)

Atención — camareros: Linktray calcula tu puntuación de perfil de forma totalmente automatizada. Esta puntuación puede afectar a tu visibilidad en la plataforma y a la propensión de los clientes a dejarte propinas.

Cómo se calcula la puntuación

La puntuación global es la media aritmética de tres criterios evaluados por los clientes: Proactividad, Eficiencia y Servicialidad, cada uno en escala 1–10. No se aplica ninguna ponderación adicional ni factor oculto.

Fórmula: (Proactividad + Eficiencia + Servicialidad) / 3, redondeado a un decimal.

Tus derechos frente a la decisión automatizada

Obtener explicación de cómo se calculó tu puntuación en un momento concreto
Solicitar revisión humana de tu puntuación si crees que es incorrecta o injusta
Impugnar la decisión si consideras que se basa en reseñas fraudulentas o incorrectas

Para ejercer cualquiera de estos derechos, escríbenos a legal@linktray.app indicando «Revisión de puntuación» en el asunto.

5. Destinatarios y transferencias internacionales

Compartimos datos únicamente con los proveedores necesarios para operar el servicio. Todos son encargados del tratamiento con los que tenemos (o estamos tramitando) el correspondiente Acuerdo de Encargo del Tratamiento (DPA) exigido por el art. 28 RGPD.

Proveedor	Finalidad	País	Garantía
Supabase Inc.	Base de datos, autenticación, almacenamiento de archivos	EE.UU. (servidores EU)	SCCs (Cláusulas Contractuales Tipo, Decisión 2021/914/UE)
Stripe Inc.	Procesamiento de pagos	EE.UU.	EU–US Data Privacy Framework
Google LLC	Google Maps Platform (mapas en app)	EE.UU.	SCCs
Resend Inc.	Envío de emails transaccionales	EE.UU.	SCCs
SMSPubli / gateway360.com	Envío de SMS de verificación OTP	España	Dentro del EEE
Didit	Verificación de identidad biométrica (KYC)	Por confirmar	DPA pendiente de firma
Sentry Inc.	Monitorización de errores y rendimiento de la app (crash reporting)	EE.UU.	SCCs + sendDefaultPii=false (sin IP ni datos de usuario)

No vendemos, alquilamos ni cedemos tus datos a terceros para fines de marketing.

6. Plazos de conservación

Cuenta activa: datos mantenidos mientras la cuenta esté activa.
Inactividad prolongada (más de 2 años sin acceso): te notificaremos por correo electrónico con 30 días de antelación; si no reactivás la cuenta, los datos de perfil se eliminan.
Solicitud de eliminación de cuenta: 30 días de período de gracia antes de la eliminación definitiva.
Datos financieros y de transacciones (propinas): 4 años conforme al art. 66 de la Ley General Tributaria.
Documentos de identidad (KYC): eliminados tras verificación exitosa; número de documento cifrado conservado 4 años.
Notificaciones push: 90 días, eliminación automática mediante tarea programada diaria.
Logs de seguridad y detección de fraude: 90 días.
Registros de entrega de emails: 30 días.
Hashes de contactos: no se almacenan, procesados en tiempo real y descartados.

7. Tus derechos

Conforme a los arts. 15–22 del RGPD y los arts. 12–18 de la LOPDGDD, tienes derecho a:

Acceso (art. 15 RGPD)

Obtener confirmación de si tratamos tus datos y una copia de los mismos.

Rectificación (art. 16 RGPD)

Corregir datos inexactos o incompletos.

Supresión / «Derecho al olvido» (art. 17 RGPD)

Solicitar la eliminación de tus datos cuando ya no sean necesarios o hayas retirado el consentimiento. Disponible directamente en la app: Perfil → Eliminar cuenta.

Portabilidad (art. 20 RGPD)

Recibir tus datos en formato estructurado y legible por máquina. Escríbenos a privacy@linktray.app indicando «Portabilidad de datos» para recibir un export en JSON.

Oposición (art. 21 RGPD)

Oponerte al tratamiento basado en interés legítimo (p. ej., detección de fraude) por motivos relacionados con tu situación particular.

Limitación del tratamiento (art. 18 RGPD)

Solicitar que suspendamos temporalmente el tratamiento mientras resolvemos una disputa.

No ser objeto de decisiones automatizadas (art. 22 RGPD)

Ver sección 4 de esta política.

Retirada del consentimiento (art. 7(3) RGPD)

Puedes retirar el consentimiento para notificaciones push o análisis de contactos en cualquier momento desde los ajustes de la app, sin que ello afecte la licitud del tratamiento anterior.

Para ejercer cualquiera de estos derechos, contacta con nosotros en privacy@linktray.app. Responderemos en el plazo máximo de 30 días (art. 12 RGPD).

8. Derecho a reclamar ante la AEPD

Si consideras que el tratamiento de tus datos no es conforme a la normativa, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):

Agencia Española de Protección de Datos
C/ Jorge Juan, 6 — 28001 Madrid
Web: www.aepd.es
Sede electrónica: sedeagpd.gob.es

Te invitamos a contactarnos primero para intentar resolver cualquier queja de forma directa.

9. Menores de edad

Linktray no está dirigido a menores de 18 años. No recopilamos datos de menores de forma consciente. Si detectamos que un usuario es menor, eliminaremos su cuenta y sus datos. Si eres padre/tutor y crees que tu hijo ha creado una cuenta, contáctanos en privacy@linktray.app.

10. Cookies y tecnologías similares

El sitio web linktray.app utiliza únicamente cookies estrictamente necesarias para su funcionamiento. No utilizamos cookies de seguimiento ni publicitarias sin consentimiento. Para información detallada, consulta nuestra Política de Cookies.

11. Medidas de seguridad

Cifrado en tránsito: TLS 1.2+ en todas las comunicaciones.
Cifrado en reposo: IBAN y números de documento cifrados con pgp_sym_encrypt (pgcrypto). Claves almacenadas en Supabase Vault (pgsodium).
Row Level Security (RLS) en todas las tablas de Supabase.
Autenticación de dos factores disponible para cuentas de camarero.
Revisión periódica de permisos de acceso y políticas RLS.
Procedimiento de notificación de brechas: Linktray notificará a la AEPD en un plazo máximo de 72 horas tras detectar una violación de seguridad (art. 33 RGPD), y a los afectados sin dilación indebida si supone riesgo elevado (art. 34 RGPD).

12. Modificaciones de esta política

Podemos actualizar esta política para reflejar cambios en el servicio o en la legislación aplicable. Notificaremos los cambios materiales por correo electrónico o mediante aviso en la app con al menos 30 días de antelación. La fecha de «última actualización» en la parte superior refleja siempre la versión vigente.

13. Contacto

Privacidad y datos personales

privacy@linktray.app

Ejercicio de derechos, consultas RGPD, portabilidad de datos.

Legal y puntuaciones

legal@linktray.app

Revisión humana de puntuación, disputas, asuntos legales.