Política de Privacidad

1. Quiénes somos

Supermenu es un producto de Human Brand Firm LLC, una sociedad de responsabilidad limitada de Delaware, con su domicilio principal en 924 N Magnolia Ave, Suite 202 Unit #5014, Orlando, Florida 32803, Estados Unidos. Para consultas sobre privacidad, escríbenos a hello@supermenu.io o llámanos al +1 407 768 4186.

Residentes de la UE/Reino Unido: aún no hemos designado un representante conforme al artículo 27 del GDPR (ni a su equivalente bajo el UK GDPR). Puedes seguir contactándonos directamente con los datos anteriores. Designaremos un representante a medida que crezcan nuestros volúmenes de usuarios en la UE y el Reino Unido.

2. A quién se aplica esta política

Esta política cubre a dos grupos de personas:

• Clientes restauradores — propietarios, gerentes y personal de restaurantes que crean, editan y gestionan menús en Supermenu.
• Comensales — personas que consultan la página de menú pública que alojamos para un restaurante.

Cada grupo recibe un trato distinto a continuación. Si eres comensal, las secciones 4, 10, 11 y 13 son las más relevantes para ti.

3. Datos que recopilamos de los clientes restauradores

Datos de cuenta y perfil:

• Nombre del restaurante, nombre del propietario y rol
• Dirección de correo electrónico y contraseña (las contraseñas se almacenan cifradas; nunca vemos tu contraseña en texto claro)
• Número de teléfono y país
• Plan seleccionado e idioma preferido

Contenido de menú que subes o generas:

• Fotos del menú, archivos PDF o contenido del menú escrito
• Nombres de platos, descripciones, precios, etiquetas e información sobre alérgenos
• Imágenes de platos generadas por IA y cualquier edición que solicites
• Información del Perfil de Empresa de Google vinculado (solo si decides conectarlo)

Datos de facturación (gestionados por Stripe — no almacenamos números de tarjeta completos):

• Marca de la tarjeta, últimos cuatro dígitos y fecha de caducidad (de Stripe)
• Dirección de facturación y registros de facturas

Datos automáticos de uso y dispositivo:

• Dirección IP y ubicación aproximada derivada de ella
• Navegador, tipo de dispositivo y sistema operativo
• Páginas visitadas, acciones realizadas y registros de errores
• Transcripciones del chat en vivo cuando nos contactas a través de Crisp

4. Datos que recopilamos de los comensales

Cuando consultas una página de menú pública que alojamos para un restaurante (por ejemplo, supermenu.io/menu/your-restaurant), solo recopilamos lo mínimo necesario para operar y proteger la página:

• Un recuento anónimo de visitas, sin ningún identificador personal asociado
• El idioma del menú que has elegido, almacenado en una cookie para recordarlo en tu próxima visita
• Dirección IP y encabezados del navegador, registrados por nuestro proveedor de alojamiento (Vercel) con fines de seguridad y prevención de fraude, normalmente conservados hasta 30 días

No creamos perfiles de comensales, no mostramos publicidad y no rastreamos a los comensales en otros sitios web.

5. Cómo y por qué usamos estos datos

Usamos los datos personales para:

• Crear y operar tu cuenta y la página de menú alojada
• Generar imágenes de platos a partir de tu menú mediante IA (ver sección 13)
• Procesar pagos, enviar facturas y prevenir el fraude
• Enviar mensajes transaccionales (enlaces de inicio de sesión, restablecimiento de contraseña, recibos, alertas de servicio)
• Enviar actualizaciones de producto y mensajes de marketing — puedes darte de baja en cualquier momento
• Mejorar Supermenu, depurar incidencias y medir el rendimiento de las funciones
• Cumplir obligaciones legales (fiscales, contables, requerimientos legítimos) y hacer cumplir nuestros Términos de Servicio

Bases legales conforme al GDPR de la UE/Reino Unido y a la LGPD de Brasil: ejecución del contrato para datos de cuenta, menú y pago; intereses legítimos para seguridad, analítica y mejora del producto; consentimiento para correos de marketing y cookies no esenciales (puedes retirar tu consentimiento en cualquier momento); obligación legal para registros fiscales y regulatorios.

6. Cómo compartimos los datos

No vendemos datos personales y no los compartimos para publicidad conductual entre contextos. Solo compartimos datos con proveedores de servicios verificados sujetos a contratos de tratamiento de datos:

• Supabase — base de datos, autenticación y almacenamiento de archivos, alojados en AWS en Estados Unidos. También entrega los correos de inicio de sesión y restablecimiento de contraseña.
• Vercel — alojamiento de la aplicación y registros de solicitudes (Estados Unidos).
• Stripe — procesamiento de pagos (Estados Unidos y Unión Europea). Nunca recibimos ni almacenamos tu número de tarjeta completo.
• Google LLC — OCR del menú y generación de imágenes de platos con IA mediante la API de Gemini, además de analítica de tráfico agregada a través de Google Analytics 4.
• fal.ai — ediciones de imágenes con IA mediante el modelo FLUX (Estados Unidos).
• Crisp — widget de chat en vivo para soporte al cliente (Francia, Unión Europea).
• Klaviyo — envío de correos de producto y marketing (Estados Unidos).

También podemos divulgar datos personales: (a) a asesores profesionales como abogados, auditores y contables; (b) en relación con una fusión, adquisición, reorganización o venta de activos (te notificaremos cualquier cambio en el responsable del tratamiento); y (c) a autoridades de cumplimiento de la ley, tribunales o reguladores cuando estemos obligados por un proceso legal válido, o cuando consideremos razonablemente que la divulgación es necesaria para proteger nuestros derechos, a nuestros usuarios o al público.

7. Transferencias internacionales de datos

Supermenu opera desde Estados Unidos. Si accedes al Servicio desde el Espacio Económico Europeo, el Reino Unido, Brasil, Israel o cualquier otro lugar fuera de Estados Unidos, tus datos personales serán transferidos y tratados en Estados Unidos y en otros países donde operan nuestros proveedores de servicios. Para las transferencias desde el EEE y el Reino Unido, nos basamos en las Cláusulas Contractuales Tipo de la Comisión Europea (y en el Adenda del Reino Unido cuando proceda). Para las transferencias desde Brasil, nos basamos en las salvaguardas del artículo 33 de la LGPD. Para las transferencias desde Israel, nos basamos en protecciones contractuales equivalentes coherentes con la Ley de Protección de la Privacidad de Israel. Hay copias de las salvaguardas disponibles bajo solicitud.

8. Durante cuánto tiempo conservamos los datos

Conservamos los datos personales únicamente durante el tiempo necesario para los fines anteriores:

• Datos de cuenta y menú: mientras tu cuenta esté activa, y luego se eliminan en un plazo de 30 días tras el cierre de la cuenta, salvo que la ley exija una conservación más prolongada.
• Registros de facturación (facturas de Stripe): 7 años, para cumplir con las normas fiscales y contables de Estados Unidos.
• Analítica (Google Analytics 4): 14 meses, tras los cuales Google los elimina automáticamente.
• Transcripciones del chat de soporte (Crisp): 24 meses desde el último mensaje.
• Registros de seguridad y de acceso: hasta 90 días.
• Historial de correos de marketing (Klaviyo): hasta que te des de baja; tras eso conservamos tu correo en una lista de supresión para respetar tu exclusión voluntaria.

9. Seguridad

Protegemos los datos personales mediante cifrado en tránsito (HTTPS/TLS), cifrado en reposo para las bases de datos de producción, contraseñas cifradas, control de acceso a nivel de fila dentro de nuestra base de datos, el principio de menor privilegio para el acceso del personal, autenticación multifactor en cuentas con privilegios y copias de seguridad periódicas. Ningún sistema es totalmente seguro. Si tomamos conocimiento de una violación de datos personales que pueda afectar a tus derechos, te lo notificaremos a ti y a las autoridades reguladoras correspondientes de conformidad con el GDPR, el UK GDPR, la LGPD de Brasil, las leyes estatales aplicables de Estados Unidos sobre notificación de violaciones, y cualquier otra ley que resulte de aplicación.

10. Tus derechos de privacidad

Según el lugar donde residas, tendrás los derechos enumerados a continuación. Honramos estos derechos con independencia de la ubicación cuando sea razonable hacerlo.

Si te encuentras en el Espacio Económico Europeo o en el Reino Unido (GDPR / UK GDPR):

• Acceder a los datos personales que conservamos sobre ti
• Solicitar la corrección de datos inexactos o incompletos
• Solicitar la eliminación de tus datos (el "derecho al olvido")
• Restringir u oponerte a determinados tratamientos, incluido el marketing directo
• Recibir tus datos en un formato estructurado y legible por máquina (portabilidad)
• Retirar el consentimiento en cualquier momento, cuando el tratamiento se base en él
• Presentar una reclamación ante tu autoridad nacional de control

Si te encuentras en Brasil (LGPD):

• Confirmación de que tratamos tus datos y acceso a los mismos
• Corrección de datos incompletos, inexactos o desactualizados
• Anonimización, bloqueo o eliminación de datos innecesarios o excesivos
• Portabilidad a otro proveedor de servicios
• Eliminación de los datos tratados con tu consentimiento
• Información sobre las entidades públicas y privadas con las que compartimos tus datos
• Revocación del consentimiento
• Presentación de una petición ante la Autoridad Nacional de Protección de Datos de Brasil (ANPD)

Si eres residente de California, Florida u otro estado de Estados Unidos con una ley de privacidad del consumidor (incluidas la CCPA/CPRA y la Florida Digital Bill of Rights):

• Saber qué categorías y qué piezas concretas de datos personales recopilamos, usamos y divulgamos
• Eliminar los datos personales que tenemos sobre ti
• Corregir datos personales inexactos
• Optar por excluirte de la venta de datos personales o del intercambio para publicidad conductual entre contextos — no hacemos ninguna de las dos cosas, pero el derecho existe
• Limitar el uso y la divulgación de datos personales sensibles
• No sufrir discriminación por ejercer tus derechos de privacidad

Si te encuentras en Israel (Ley de Protección de la Privacidad, 5741-1981):

• Inspeccionar los datos personales que conservamos sobre ti
• Solicitar la corrección o eliminación de datos inexactos, incompletos o desactualizados
• Optar por excluirte de las comunicaciones de marketing directo

Para ejercer cualquiera de estos derechos, escribe a hello@supermenu.io desde la dirección asociada a tu cuenta, o a la dirección postal de la sección 1. Responderemos dentro del plazo exigido por la ley aplicable (en general, 30 días bajo el GDPR, la CCPA/CPRA y la FDBR; 15 días para la LGPD en Brasil). Es posible que necesitemos verificar tu identidad antes de actuar sobre una solicitud, y si rechazamos una solicitud te explicaremos el motivo. No serás objeto de discriminación por ejercer ninguno de estos derechos.

11. Cookies y tecnologías similares

Utilizamos las cookies y elementos de almacenamiento local que se enumeran a continuación. Estamos preparando un banner de consentimiento para las cookies no esenciales; hasta que esté disponible, puedes desactivar las cookies no esenciales mediante la configuración de tu navegador o rechazando el widget de chat.

Estrictamente necesarias (no requieren consentimiento):

• Cookie de sesión de autenticación de Supabase — te mantiene conectado/a
• Cookie NEXT_LOCALE — recuerda tu elección de idioma entre visitas
• Cookies de seguridad y balanceo de carga de Vercel — protegen el Servicio frente a abusos

Analítica (requieren consentimiento en el EEE, el Reino Unido y Brasil):

• Cookies de Google Analytics 4 (_ga, _ga_*) — estadísticas de uso agregadas y no identificativas

Soporte (requieren consentimiento en el EEE, el Reino Unido y Brasil):

• Cookie del chat en vivo de Crisp — recuerda tu sesión de chat si escribes a nuestro equipo de soporte

12. Menores

Supermenu es un producto B2B destinado a propietarios de restaurantes y a su personal. No está dirigido a menores y no recopilamos a sabiendas datos personales de menores de 16 años (menores de 13 años en Estados Unidos bajo COPPA; menores de 14 años en Brasil bajo la LGPD). Si crees que un menor nos ha facilitado datos personales, contáctanos en hello@supermenu.io y los eliminaremos sin demora.

13. Tratamiento mediante IA y decisiones automatizadas

Cuando subes un menú, enviamos el texto y cualquier foto que aportes a nuestros subprocesadores de IA (Google Gemini y fal.ai) para que extraigan los nombres de los platos y generen imágenes. La IA no toma decisiones que produzcan efectos jurídicos o efectos de relevancia similar para ti — tú revisas y apruebas cada imagen generada antes de que se publique en tu página de menú pública, y puedes eliminar cualquier imagen generada desde tu panel en cualquier momento.

14. Cambios en esta política

Es posible que actualicemos esta política de vez en cuando. La fecha de "última actualización" en la parte superior de esta página siempre refleja la revisión más reciente. Para los cambios materiales, notificaremos a los usuarios registrados por correo electrónico al menos 14 días antes de que el cambio entre en vigor, y destacaremos el cambio en nuestra página de inicio para que los comensales también queden informados.

15. Ley aplicable y contacto

Esta Política de Privacidad se rige por las leyes del Estado de Delaware, Estados Unidos, sin atender a sus principios de conflicto de leyes. Los derechos imperativos de protección al consumidor disponibles para ti en tu país de residencia siguen siendo aplicables y no se renuncian a ellos en virtud de esta sección.

¿Preguntas o solicitudes sobre esta política? Escríbenos a hello@supermenu.io o por correo postal a Human Brand Firm LLC, 924 N Magnolia Ave, Suite 202 Unit #5014, Orlando, Florida 32803, EE. UU. Teléfono: +1 407 768 4186.