Política de Privacidad de Button

Última actualización: 4 de noviembre de 2025

1) Quién es el responsable del tratamiento

Find The Button S.L. (“Button”, “nosotros”)
NIF: B22790406
Domicilio: Paseo de la Castellana, 116, 10-A, 28046, Madrid (España)
Contacto: privacy@findthebutton.xyz
No se ha designado Delegado/a de Protección de Datos (DPO) a fecha de publicación.

2) Ámbito y a quién aplica

Esta Política explica cómo tratamos los datos personales de las personas que usan la App Button en España. Si publicamos cambios sustanciales, lo notificaremos dentro de la App (ver §14).

3) Categorías de datos que tratamos

  • Datos de cuenta y perfil: nombre (si lo indicas), alias/usuario, email, contraseña (hash), idioma, ajustes (incluida privacidad de visitas y reseñas).
  • Relaciones sociales en la App: lista de amigos, invitaciones/solicitudes.
  • Contenido generado por el usuario (UGC): reseñas, valoraciones, fotos, comentarios.
  • Visitas, check-ins y preferencias: fecha y lugar del check-in, categoría del restaurante, tiempo aproximado de estancia, gustos inferidos (platos/bebidas favoritos).
  • Tickets escaneados: imagen (foto/PDF) y datos extraídos (fecha, líneas de productos, precios, totales, impuestos, propinas si figuran, medio de pago si figura, etc.).
  • Modelo de recomendaciones: vectores/segmentos de preferencias; solo finalidad de personalización y mejora del servicio.
  • Datos de uso y técnicos: logs de sesión, identificadores de dispositivo, IP/país aproximado, sistema operativo, versión de la App, métricas de rendimiento, eventos de error.
  • Logs de acceso en restauración: registro de accesos a tu ficha por parte de restaurantes (quién, cuándo, qué se consultó), con fines de seguridad y auditoría.
  • Soporte y comunicaciones: mensajes con soporte, incidencias, formularios.

4) Finalidades y bases legales (art. 6 RGPD)

  • Prestación del servicio y funcionalidades sociales (mostrar visitas y reseñas a tus amigos por defecto, desactivable): ejecución del contrato.
  • Gestión de cuenta y seguridad (autenticación, prevención de fraude/abusos, logs, integridad): interés legítimo y, en su caso, obligación legal.
  • Escaneo de tickets, extracción de datos y recomendaciones: ejecución del contrato.
  • Mejora del servicio/IA y analítica agregada (optimizar modelos, extracción, recomendaciones, métricas y tests): interés legítimo; con pseudonimización y sin PII hacia terceros de IA; si hubiera usos ampliados, consentimiento.
  • Datos visibles para restaurantes (modo básico): ejecución del contrato e interés legítimo.
  • Mejora de personalización (modo ampliado): consentimiento explícito y revocable.
  • Comunicaciones opcionales (promos, novedades): consentimiento.
  • Atención al usuario/soporte: ejecución del contrato.
  • Cumplimiento normativo, ejercicio/defensa de reclamaciones: obligación legal e interés legítimo.

5) ¿Quiénes reciben tus datos?

Proveedores tecnológicos (encargados del tratamiento): alojamiento y operación en Google Cloud Platform (GCP); frontends y edge en Vercel; base de datos gestionada en MongoDB (MongoDB Atlas); servicios de IA para mejoras del servicio (OpenAI u otros), sin PII y con pseudonimización previa. Estos proveedores actúan bajo contrato conforme al art. 28 RGPD.

Restaurantes (durante tu interacción con ellos):

  • Modo básico (sin consentimiento ampliado): promedios (ticket medio, gasto 90 días, estancia) y tus últimos 5 check-ins/visitas con importe pero sin nombres de otros restaurantes (solo categoría).
  • Modo ampliado (con consentimiento): además, nombres concretos y tickets de hasta 5 visitas. Acceso solo a través de la App y para personalizar tu experiencia. No se permite exportación/almacenamiento fuera de la App ni uso para marketing externo.

Autoridades y terceros cuando exista obligación legal o para la defensa de derechos.

6) IA/LLMs, pseudonimización y transferencias

  • Pseudonimización/Minimización: removemos identificadores directos (nombre, email, teléfono) y sustituimos por IDs internos; limitamos el contenido a lo necesario (ítems, totales, marcas temporales, categorías) y filtramos texto libre para evitar PII.
  • Sin PII a LLMs: no enviamos PII de usuarios a modelos de IA.
  • Ubicación y transferencias: alojamos en GCP preferentemente en la UE/EEE. Si algún subencargado procesa fuera del EEE, aplicaremos garantías adecuadas (Cláusulas Contractuales Tipo, etc.) y medidas complementarias cuando proceda. Puedes solicitar el listado actualizado de proveedores/subencargados.

7) Cómo funciona la visibilidad para restaurantes

  • Por defecto (sin consentimiento ampliado): con una interacción legítima (check-in/visita), el restaurante accede a: ticket medio, gasto 90 días, estancia media, preferencias; y a tus últimos 5 check-ins/visitas con importe pero sin nombres (solo categoría).
  • Con consentimiento ampliado: verá también nombres concretos y tickets de hasta 5 visitas.
  • Revocación: si revocas, se degrada automáticamente al modo básico.
  • Seguridad: control de acceso por rol, ventana temporal ligada a la interacción y logs para auditoría.

8) Gestión de consentimientos y configuración

Puedes otorgar o revocar consentimientos desde Ajustes de la App:

  • Visibilidad social (amigos) → puedes desactivar visitas y/o reseñas.
  • “Mejora de personalización” en restaurantes.
  • Comunicaciones comerciales.

La retirada del consentimiento no afecta a la licitud del tratamiento previo, pero aplica de forma prospectiva.

9) Plazos de conservación

  • Imagen del ticket (foto/PDF): 12 meses.
  • Datos extraídos del ticket: durante la vigencia de la cuenta; y anonimización en 90 días tras el cierre (salvo obligaciones legales).
  • Reseñas/UGC: hasta su borrado o cierre de cuenta.
  • Datos de cuenta, amigos y configuración: mientras la cuenta esté activa.
  • Logs de acceso de restaurantes: 12–24 meses para seguridad y auditoría.
  • Soporte/atención: 24 meses desde la última comunicación, salvo obligación legal.
  • Datos agregados/anonimizados: conservación indefinida (sin reidentificación razonable).

10) Derechos de las personas usuarias

Tienes derecho a acceso, rectificación, supresión, oposición, limitación, portabilidad y a retirar el consentimiento.

Cómo ejercerlos: escribe a privacy@findthebutton.xyz indicando el derecho que deseas ejercer y, si es necesario, adjunta prueba de identidad. Respondemos en un mes (prorrogable dos meses en casos complejos).

Si consideras que no hemos tratado tus datos conforme a la normativa, puedes reclamar ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.

11) Menores de edad

La App no está dirigida a menores de 16 años. Si detectamos cuentas de menores de 16, podremos desactivarlas y suprimir los datos conforme a la ley.

12) Seguridad

Aplicamos medidas técnicas y organizativas apropiadas, incluyendo cifrado en tránsito, controles de acceso por rol, registro de accesos de restaurantes, pruebas periódicas y principio de mínimos privilegios. No obstante, ningún sistema es totalmente infalible.

13) Decisiones automatizadas y perfiles

Realizamos perfiles para recomendaciones y personalización. No adoptamos decisiones exclusivamente automatizadas que produzcan efectos jurídicos o te afecten significativamente (art. 22 RGPD). Puedes solicitar explicación de la lógica general y revisión humana.

14) Cambios en esta Política

Si actualizamos esta Política, lo notificaremos en la App al abrirla y mostraremos la fecha de última actualización. Si el cambio fuera sustancial, podremos solicitar nueva aceptación cuando corresponda.

15) Contacto

Dudas o ejercicio de derechos: privacy@findthebutton.xyz
Soporte y reportes de abuso: help@findthebutton.xyz

Nota sobre cookies/SDKs (apps móviles)

La App puede integrar SDKs y herramientas equivalentes a cookies (p. ej., analítica, rendimiento, crashes, mensajería/push). Te mostraremos las opciones de consentimiento/ajustes cuando sea necesario y podrás modificarlas después desde la App.

Resumen rápido de claves

  • Amigos pueden ver tus visitas y reseñas por defecto (sin importes); puedes desactivarlo en ajustes.
  • Los restaurantes ven datos agregados y los últimos 5 check-ins/visitas con importe pero sin nombres; verán nombres concretos + tickets solo si aceptas y podrás revocar.
  • Para IA de terceros, no enviamos PII y aplicamos pseudonimización/minimización.
  • Puedes borrar tu cuenta y ejercer tus derechos escribiendo a privacy@findthebutton.xyz.