Política de Privacidad
Última actualización: 30 de mayo de 2026
La presente Política de Privacidad aplica al sitio web areacacao.com y a todos sus subdominios y servicios asociados, tanto los actuales como los que se incorporen en el futuro bajo el mismo dominio raíz.
1. Responsable del tratamiento
El responsable del tratamiento de sus datos personales es Contenfo LLC (en adelante, "nosotros", "nuestro" o "AreaCacao"), empresa desarrolladora y operadora del servicio AreaCacao.
Dirección: 1309 Coffeen Avenue STE 1200, Sheridan, WY 82801, United States.
Para cualquier cuestión relacionada con la protección de sus datos personales, puede contactarnos en privacy@areacacao.com. Para consultas generales sobre el producto, puede escribirnos a hola@areacacao.com.
1.1. Representante en la Unión Europea
De conformidad con el art. 27 del RGPD y el art. 13 del Reglamento (UE) 2022/2065 (DSA), Contenfo LLC ha designado como su representante en la Unión Europea a Data Protection Representative Limited (que opera como DataRep), sociedad registrada en Irlanda con el número 616588.
Para ejercer sus derechos de protección de datos (RGPD) puede contactar con el representante por email en datarequest@datarep.com (indicando "AreaCacao" en el asunto) o mediante el formulario web www.datarep.com/data-request. DataRep mantiene puntos de contacto en todos los Estados miembros de la UE, además de Noruega e Islandia, para que pueda dirigirse a un representante en su propio país; el directorio de direcciones postales está disponible a petición en privacy@areacacao.com. La correspondencia postal debe dirigirse a "DataRep", no a "AreaCacao".
Para asuntos relacionados con el DSA, consulte el Aviso Legal.
1.2. Delegado de Protección de Datos y Representante en la UE
Contenfo LLC no ha designado un Delegado de Protección de Datos, al no concurrir ninguno de los supuestos del art. 37 del RGPD (no somos autoridad u organismo público y nuestra actividad principal no consiste en la observación habitual y sistemática a gran escala de los interesados ni en el tratamiento a gran escala de categorías especiales de datos). Puede dirigir cualquier consulta sobre protección de datos a privacy@areacacao.com.
El Representante en la Unión Europea (art. 27 RGPD y art. 13 DSA) sí ha sido designado: véase la sección 1.1.
2. Datos que recopilamos
En el marco de la prestación del servicio, recopilamos las siguientes categorías de datos personales:
2.1. Datos de registro
Al crear una cuenta en AreaCacao recabamos su nombre, dirección de correo electrónico y, según el método de acceso, una contraseña o un identificador de proveedor externo (por ejemplo, Google). Las contraseñas se almacenan exclusivamente en formato hasheado (cifrado irreversible) y nunca en texto plano.
2.2. Datos de facturación
Si se suscribe a un plan de pago, recopilamos los datos necesarios para emitir factura: razón social o nombre, dirección fiscal e identificador fiscal. Los datos financieros (número de tarjeta, detalles bancarios) son procesados directamente por nuestros proveedores de pago certificados; AreaCacao no almacena números de tarjeta ni credenciales bancarias completas.
2.3. Datos de uso
Recopilamos de forma automática información técnica relativa a su interacción con el servicio, incluyendo dirección IP, tipo de navegador, identificadores de dispositivo, registros (logs) de acceso y actividad general en la plataforma.
2.4. Contenido creado por el usuario
Como chocolatero o negocio registrado, usted introduce en el servicio información profesional propia: recetas, ingredientes (incluyendo ingredientes personalizados que pueda añadir), formulaciones, costes, precios, proveedores, inventario, pedidos, fichas técnicas y cualquier otro contenido asociado a la gestión de su obrador. Este contenido se procesa para prestarle el servicio.
2.5. Archivos opcionales para importación con IA
De forma opcional, puede subir fotografías de cuaderno de recetas o archivos PDF para que el servicio extraiga automáticamente la receta mediante inteligencia artificial. Estos archivos se procesan para generar la receta estructurada asociada a su cuenta y se tratan conforme a lo descrito en el apartado 5.
3. Finalidad del tratamiento
Los datos personales se utilizan para las siguientes finalidades:
- Prestación del servicio: creación y operación de la cuenta, acceso a las funcionalidades contratadas (formulador, validación técnica, dashboard de costes, alérgenos, fichas PDF, asistente de costes con IA, etc.).
- Facturación y gestión contractual: emisión de facturas, gestión de suscripciones, renovaciones y cancelaciones.
- Mejora del servicio: análisis de uso agregado, detección y corrección de errores técnicos y optimización del rendimiento del producto.
- Comunicaciones: envío de correos transaccionales (confirmación de registro, cambios de contraseña, avisos de facturación, notificaciones del sistema y actualizaciones relevantes del servicio).
- Seguridad: prevención de fraude, detección de actividades sospechosas y protección frente a accesos no autorizados.
4. Base legal del tratamiento
El tratamiento se fundamenta en las siguientes bases jurídicas, conforme al Reglamento General de Protección de Datos de la Unión Europea (RGPD) y normativa equivalente en Latinoamérica y Estados Unidos:
- Ejecución del contrato: el tratamiento necesario para prestarle el servicio contratado (alta de cuenta, operación del servicio, facturación, soporte).
- Interés legítimo: determinados tratamientos se realizan en virtud del interés legítimo de AreaCacao, en particular el análisis de uso agregado, la garantía de la seguridad del servicio y la prevención de actividades fraudulentas.
- Consentimiento: para tratamientos opcionales no necesarios para la prestación del servicio, como la instalación de cookies analíticas o de marketing, se solicita su consentimiento previo y explícito. Puede revocar este consentimiento en cualquier momento sin afectar a la licitud del tratamiento previo.
- Cumplimiento de obligaciones legales: determinados tratamientos se realizan para cumplir obligaciones legales aplicables a Contenfo LLC (por ejemplo, conservación de facturas a efectos fiscales).
5. Uso del contenido y proveedores de servicios
5.1. Tratamiento del contenido del usuario
El contenido que usted introduce en AreaCacao (recetas, ingredientes, formulaciones, costes, archivos subidos) no se utiliza para entrenar modelos de inteligencia artificial de propósito general, ni se comparte con terceros con dicha finalidad. Su contenido se utiliza exclusivamente para prestarle el servicio contratado: almacenamiento, procesamiento, indexación, cálculo y generación de resultados (fichas, validaciones, costes, sugerencias de la IA) dentro del espacio aislado asociado a su cuenta.
5.2. Categorías de proveedores
Para la prestación del servicio, AreaCacao trabaja con proveedores externos que pueden acceder a determinados datos personales en función de su rol. Las categorías utilizadas son las siguientes:
- Autenticación e identidad: servicios de gestión de cuentas, sesiones e inicio de sesión con proveedores externos (por ejemplo, Google Sign-In).
- Infraestructura y base de datos: servicios de alojamiento y gestión de datos en la nube donde residen los datos del servicio.
- Almacenamiento de archivos: servicios de almacenamiento para los archivos subidos por los usuarios (fotografías, PDFs, exportaciones).
- Inteligencia artificial: servicios de modelos de lenguaje y visión para la extracción de recetas desde foto/PDF y el asistente de costes con IA.
- Pagos y facturación: proveedores de pago certificados que procesan los cobros recurrentes y emiten los recibos asociados a su suscripción.
- Email transaccional: servicios de envío de correo electrónico para notificaciones, confirmaciones y recordatorios.
- Analítica y monitorización: servicios de monitorización de errores y disponibilidad técnica. Las herramientas analíticas de marketing, si se activan en el futuro, requerirán su consentimiento previo conforme a lo descrito en nuestra Política de Cookies.
AreaCacao trabaja con proveedores que ofrecen compromisos contractuales y medidas de protección de datos adecuadas, y aplica las salvaguardas legales apropiadas en cada caso. Los datos se almacenan y procesan principalmente en Estados Unidos, aunque determinadas funcionalidades pueden implicar procesamiento en otras jurisdicciones según los proveedores utilizados.
Puede solicitar información adicional sobre las categorías de proveedores escribiéndonos a privacy@areacacao.com.
6. Categorías de subprocesadores
Para prestar el servicio, AreaCacao recurre a proveedores tecnológicos externos seleccionados con garantías RGPD (Acuerdo de Encargo de Tratamiento firmado + Cláusulas Contractuales Tipo de la Comisión Europea o equivalente cuando aplique). Comunicamos las categorías por transparencia:
| Categoría de subprocesador | País de procesamiento principal | Mecanismo de transferencia internacional |
|---|---|---|
| Procesador de pagos y suscripciones (certificado PCI-DSS) | Unión Europea | Contrato directo UE |
| Plataforma de email transaccional | Unión Europea | Contrato directo UE |
| Hosting de infraestructura del backend y base de datos | Unión Europea | Contrato directo UE |
| Hosting del frontend web | Multi-región (UE preferente) | DPA + Cláusulas Contractuales Tipo |
| Almacenamiento cloud de archivos subidos por el usuario (imágenes, PDFs) | Estados Unidos | DPA + Cláusulas Contractuales Tipo |
| Servicios de modelos de IA (lenguaje y visión) para extracción de recetas y asistencia de costes | Estados Unidos | DPA + Cláusulas Contractuales Tipo + Data Privacy Framework |
| Monitorización técnica de errores | Estados Unidos | DPA + Cláusulas Contractuales Tipo · con eliminación de datos personales antes del envío |
6.1. Listado nominal bajo petición
La lista nominal de subprocesadores específicos (con razón social, dirección y DPAs firmados) está disponible para clientes B2B que la requieran para su propio cumplimiento o due diligence. Solicitarla a privacy@areacacao.com; se entrega bajo Acuerdo de Confidencialidad (NDA) en plazo máximo de 5 días hábiles.
6.2. Notificación de cambios
Cualquier alta, baja o cambio sustancial en una categoría se notificará con 30 días de antelación cuando afecte a datos tratados por cuenta del cliente (módulo Análisis Sensorial) y por email a los clientes afectados cuando afecte a datos de cuenta o facturación.
6.3. Pagos: garantía sobre datos de tarjeta
Ningún subprocesador de AreaCacao almacena datos de tarjeta de crédito. El procesamiento de pagos se realiza íntegramente en la plataforma del proveedor certificado PCI-DSS SAQ-A. AreaCacao nunca tiene acceso al número de tarjeta, código de verificación CVV ni fecha de expiración del cliente.
7. Tratamiento de datos de terceros por cuenta del cliente (módulo Análisis Sensorial)
Algunos clientes profesionales de AreaCacao utilizan el módulo de Análisis Sensorial para realizar catas con panelistas externos (catadores que evalúan muestras de chocolate). En esa relación:
- El cliente (chef profesional, obrador, escuela) actúa como Responsable del Tratamiento de los datos de los panelistas que él mismo invita o registra en su cuenta.
- AreaCacao actúa como Encargado del Tratamiento por cuenta del cliente, siguiendo sus instrucciones documentadas.
- El panelista es el Interesado cuyos datos se procesan.
7.1. Datos de panelistas que la plataforma puede procesar
- Identificación: nombre, email.
- Contacto: teléfono (opcional).
- Demografía: edad, género, idioma (opcional, configurables por el cliente).
- Resultados de evaluaciones sensoriales realizadas en catas del cliente.
7.2. Base legal aplicable al panelista
El cliente DEBE obtener el consentimiento informado del panelista (RGPD Art. 6.1.a) antes de registrarlo en la plataforma o invitarlo a una cata digital. El cliente es responsable de demostrar dicho consentimiento si es requerido por una autoridad o por el propio panelista.
7.3. Obligaciones del cliente como Responsable del Tratamiento
- Informar al panelista del tratamiento (Art. 13).
- Recoger y conservar prueba del consentimiento.
- Atender las solicitudes del panelista (acceso, supresión, etc.) o retransmitirlas a AreaCacao para su ejecución material en plataforma.
- No introducir datos de menores de 16 años sin autorización parental documentada.
7.4. Obligaciones de AreaCacao como Encargado del Tratamiento
- Procesar los datos solo conforme a las instrucciones del cliente.
- Aplicar medidas técnicas y organizativas apropiadas (cifrado en tránsito y reposo, control de accesos, registro de auditoría).
- No utilizar los datos del panelista para fines propios ni cederlos a terceros sin instrucción del cliente.
- Devolver o suprimir los datos al finalizar la relación con el cliente, conforme a los plazos descritos en la sección de retención.
- Notificar al cliente cualquier brecha de seguridad que afecte a los datos del panelista en plazo máximo de 72 horas desde su detección.
7.5. Acuerdo de Encargo de Tratamiento (DPA)
Al utilizar el módulo de Análisis Sensorial, el cliente acepta las condiciones del Acuerdo de Encargo de Tratamiento (DPA) conforme al Art. 28 del Reglamento (UE) 2016/679. Mientras el documento no esté publicado, puede solicitarse una copia a privacy@areacacao.com.
7.6. Sub-procesadores autorizados
Los sub-procesadores listados en la sección "Categorías de subprocesadores" de esta política son también sub-procesadores para los datos de panelistas. Cualquier cambio se notificará al cliente con 30 días de antelación.
8. Transferencias internacionales de datos
Contenfo LLC tiene su sede en Estados Unidos. Los datos personales se procesan principalmente en territorio estadounidense.
Para los usuarios ubicados en la Unión Europea o el Espacio Económico Europeo (EEE), las transferencias internacionales se realizan conforme a las garantías del RGPD, utilizando uno o varios de los siguientes mecanismos según el proveedor:
- Marco de Privacidad de Datos UE-EE. UU. (Data Privacy Framework): cuando el proveedor esté certificado bajo el DPF.
- Cláusulas contractuales tipo (SCCs): aprobadas por la Comisión Europea, incorporadas en los acuerdos con proveedores cuando corresponda.
Para usuarios de Latinoamérica, las transferencias se rigen por los mecanismos equivalentes previstos en las normativas locales (LGPD en Brasil, Ley 1581 en Colombia, LFPDPPP en México, Ley 19.628 en Chile, LPDP en Argentina, entre otras).
9. Retención de datos
Conservamos sus datos durante el tiempo estrictamente necesario para cumplir con las finalidades descritas. Plazos aplicables:
- Datos de cuenta y contenido: se conservan mientras su cuenta permanezca activa. Tras la solicitud de eliminación, los datos asociados a su cuenta se suprimirán en un plazo máximo de 30 días, salvo obligación legal de conservación.
- Datos de facturación: se conservan durante el plazo exigido por la legislación fiscal y mercantil aplicable a Contenfo LLC, con independencia del estado de la cuenta.
- Registros técnicos (logs): se conservan durante un período máximo de 90 días y se eliminan automáticamente transcurrido dicho plazo.
- Archivos movidos a la papelera: se eliminan de forma definitiva transcurridos 30 días desde su envío a la papelera.
10. Tus derechos
Con independencia de la jurisdicción en la que se encuentre, dispone de los siguientes derechos en relación con sus datos personales:
- Acceso: obtener confirmación de si estamos tratando sus datos y, en su caso, acceder a ellos.
- Rectificación: solicitar la corrección de datos personales inexactos o incompletos.
- Supresión ("derecho al olvido"): solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad para la que se recabaron.
- Limitación del tratamiento: solicitar la restricción del tratamiento en los supuestos previstos por la normativa.
- Portabilidad: recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.
- Oposición: oponerse al tratamiento basado en el interés legítimo.
- No ser objeto de decisiones automatizadas: cuando produzcan efectos jurídicos significativos. AreaCacao no realiza perfilado automatizado con efectos legales sobre los usuarios.
- Retirada del consentimiento: en cualquier momento, en los tratamientos basados en consentimiento, sin que ello afecte a la licitud del tratamiento previo.
10.1. Usuarios de la Unión Europea / EEE (RGPD)
Además de los derechos anteriores, puede presentar una reclamación ante la autoridad de control competente en materia de protección de datos de su país. En España, la autoridad es la Agencia Española de Protección de Datos (AEPD).
10.2. Usuarios de Latinoamérica
Los mismos derechos aplican bajo las leyes locales de protección de datos de cada país, entre otras: LGPD (Brasil), LFPDPPP (México), Ley 1581 (Colombia), Ley 19.628 (Chile), LPDP (Argentina). Puede dirigir su solicitud tanto a nosotros como a la autoridad competente de su jurisdicción.
10.3. Usuarios de California (CCPA/CPRA)
Si reside en California, dispone adicionalmente de los derechos reconocidos por la California Consumer Privacy Act (CCPA) y sus modificaciones (CPRA), incluyendo el derecho a saber qué información personal recopilamos, el derecho a su eliminación, el derecho de oposición a la venta o cesión de datos (no realizamos venta de datos personales) y el derecho de no discriminación por ejercer sus derechos.
10.4. Cómo ejercer sus derechos
Para ejercer cualquiera de estos derechos, escríbanos a privacy@areacacao.com indicando claramente el derecho que desea ejercer, acompañando en su caso una copia de un documento que acredite su identidad. Nos comprometemos a responder en un plazo máximo de 30 días desde la recepción de su solicitud. Si la solicitud es especialmente compleja, el plazo podrá ampliarse 30 días adicionales, previa notificación.
11. Seguridad
Implementamos medidas técnicas y organizativas diseñadas para proteger sus datos frente a accesos no autorizados, pérdida, alteración o divulgación. Entre ellas:
- Comunicaciones cifradas: todas las comunicaciones entre su navegador y nuestros servidores se realizan a través del protocolo HTTPS (TLS).
- Cifrado de credenciales y secretos: las claves API, tokens y credenciales sensibles se cifran en reposo mediante estándares reconocidos de la industria.
- Aislamiento de datos por cuenta: cada cuenta opera con aislamiento a nivel de base de datos, impidiendo el acceso no autorizado a datos de otras cuentas.
- Control de accesos: acceso restringido al personal autorizado siguiendo el principio de mínimo privilegio.
- Revisiones internas de seguridad: realizamos revisiones internas periódicas orientadas a identificar y corregir posibles vulnerabilidades y a mantener controles técnicos y organizativos adecuados.
12. Notificación de incidentes de seguridad
En caso de violación de la seguridad que afecte a sus datos personales y suponga un riesgo para sus derechos, AreaCacao notificará a las autoridades de control competentes en el plazo legalmente establecido (72 horas conforme al RGPD, plazos equivalentes en otras jurisdicciones) y, cuando dicho riesgo sea alto, notificará directamente a los usuarios afectados sin demora indebida, indicando la naturaleza de la violación, las consecuencias probables y las medidas adoptadas o propuestas para ponerle remedio y mitigar sus posibles efectos adversos.
13. Cookies y tecnologías similares
Utilizamos cookies y tecnologías de almacenamiento local para el funcionamiento del servicio. No cargamos ninguna cookie no esencial antes de que el usuario haya prestado su consentimiento explícito.
Para información detallada sobre las cookies utilizadas, sus finalidades y cómo gestionar sus preferencias, consulte nuestra Política de Cookies.
14. Edad mínima
AreaCacao está destinado a personas mayores de edad con capacidad legal suficiente para contratar y gestionar el servicio, o a representantes autorizados de una organización. Al crear una cuenta, usted declara y garantiza que tiene al menos 18 años o que actúa en representación de una organización con capacidad para aceptar estos términos.
No recopilamos deliberadamente datos personales de menores de 16 años a través del proceso de registro. Si tenemos conocimiento de que un menor ha proporcionado datos personales sin el consentimiento de su representante legal, procederemos a eliminarlos. En tal caso, le rogamos que se ponga en contacto con nosotros en privacy@areacacao.com.
15. Inicio de sesión con Google
Si opta por iniciar sesión con Google, recibimos de Google los siguientes datos: su dirección de correo electrónico, nombre, imagen de perfil y un identificador único (sub ID). Estos datos se utilizan exclusivamente para autenticación e identificación dentro del servicio. No se comparten con terceros para marketing ni se revenden. Puede revocar en cualquier momento el acceso desde la configuración de su cuenta de Google.
16. Contacto
Si tiene alguna pregunta, duda o solicitud relacionada con esta Política de Privacidad o con el tratamiento de sus datos personales, puede ponerse en contacto con nosotros:
- Protección de datos y ejercicio de derechos: privacy@areacacao.com
- Consultas generales sobre el producto: hola@areacacao.com
17. Modificaciones
Nos reservamos el derecho de modificar esta Política de Privacidad en cualquier momento. En caso de cambios sustanciales, se lo notificaremos a través del servicio o por correo electrónico. La fecha de última actualización se indica al inicio de este documento.
18. Historial de cambios
- 30 de mayo de 2026: publicación de los datos del Representante en la Unión Europea (DataRep, sociedad irlandesa nº 616588) con sus canales de contacto para el RGPD; aclaración separada en una nueva sección 1.2 sobre la no designación de Delegado de Protección de Datos (art. 37 RGPD) y la sí designación de Representante UE; eliminación del párrafo legacy que mezclaba ambas figuras en la sección de Transferencias internacionales.
- 28 de mayo de 2026: actualización integral previa al lanzamiento. Incorporación del scope de subdominios y servicios asociados; bloque de Representante en la Unión Europea (Art. 27 RGPD); sección de Categorías de subprocesadores con tabla por país y mecanismo de transferencia, listado nominal bajo NDA y garantía PCI-DSS sobre datos de tarjeta; sección sobre tratamiento de datos de terceros por cuenta del cliente (módulo Análisis Sensorial); sección de Notificación de incidentes de seguridad (Art. 33-34). Renumeración interna del documento.
- 16 de abril de 2026: publicación inicial.
Documentos relacionados: Términos de Servicio · Política de Cookies