← eat-healthy.appTerms

Política de privacidad

Última actualización: 2026-05-12

1. Quiénes somos

Eat Healthy ("nosotros", "el sitio") es una plataforma de bienestar para familias, empresas y grupos de amigos, disponible en eat-healthy.app. El responsable del tratamiento es el administrador de la plataforma: info@eat-healthy.app.

2. Qué datos recopilamos

2.1. Al registrarte

  • Usuario, correo, contraseña (con hash bcrypt — nunca vemos el original)
  • Nombre para mostrar, fecha de nacimiento, sexo, país, idioma preferido
  • Altura, peso, nivel de actividad, objetivo (opcional)
  • Puesto y departamento (cuentas de empresa, opcional)
  • Sistema de unidades preferido (métrico / imperial)
  • Código de invitación usado al registrarte — te vincula a la organización de quien invita

2.2. Datos de salud y sensibles (RGPD art. 9)

Estas categorías solo se procesan si las introduces tú. Base legal: tu consentimiento explícito (art. 9.2.a), que puedes retirar en cualquier momento eliminando los registros correspondientes.

  • Cuestionario nutricional — alergias, intolerancias, alimentos evitados, suplementos, condiciones de salud (embarazo, lactancia, diabetes, tiroides, etc.)
  • Seguimiento del ciclo — menstruación, ovulación, SPM, notas (visible SOLO para ti; ni administradores ni nadie más tiene acceso)
  • Medidas corporales — cintura, cadera, pecho, peso, notas
  • Diario de comidas — fotos, descripciones, calorías, macros, notas
  • Registro de hidratación (vasos por día)

2.3. Datos de comportamiento y sociales

  • Recetas favoritas, valoraciones, comentarios (visibles en tu organización)
  • Planes semanales (solo tuyos)
  • Racha de inicio de sesión (días consecutivos)
  • Número de registros a través de tu código de invitación
  • Número de veces que has compartido en redes (solo contador, sin contenido)
  • Logros e insignias conseguidos
  • Tiendas de compra preferidas (por país)

2.4. Datos técnicos

  • Direcciones IP — almacenadas A CORTO PLAZO (hasta 1 hora) para defensa anti brute-force y prevención de abuso. Nunca a largo plazo.
  • Marca de tiempo del último inicio de sesión (para la racha)
  • Versión del token de sesión (para invalidar sesiones antiguas al cambiar contraseña)

2.5. Analítica (first-party)

Para entender cómo se usa la plataforma y qué funciones funcionan, recopilamos eventos analíticos seudónimos. Los datos viven SOLO en nuestra propia base (Upstash KV); sin Google Analytics, sin píxeles de terceros.

  • Vistas de página (ruta, sin parámetros de query)
  • Inicio de sesión (contador de sesiones únicas — sin cookie de tracking)
  • Acciones en la app (login, registro, plan guardado, diario de comida, petición IA, valoración de receta)
  • País y región — derivados del IP al momento de la solicitud; el IP se descarta inmediatamente. Nunca almacenamos IPs brutas.
  • Tipo de dispositivo (móvil/tablet/escritorio), navegador y SO — del encabezado User-Agent
  • Web Vitals (LCP / INP / CLS) — métricas estándar de rendimiento del navegador
  • Latencia de API y conteo de errores — observabilidad del servidor
  • Conteo aproximado de tokens de Anthropic IA — para seguimiento de costes

Lo que NO está en la analítica: contenido de chats, respuestas del cuestionario, fotos de comida, peso/medidas, datos del ciclo, correos, IPs, contraseñas, texto libre, ni nada personal que el usuario haya introducido.

Acceso: solo el administrador de la plataforma (info@eat-healthy.app). Retención: 365 días — borrado automático después.

2.6. Formulario de contacto

Cuando nos escribes en /contact: motivo, asunto, mensaje y (para visitantes no autenticados) el correo que indiques. Reenviamos el contenido vía Resend a info@eat-healthy.app. NO almacenamos los mensajes en nuestra base de datos KV.

2.7. Lo que NO recopilamos

  • Sin cookies de seguimiento de terceros
  • Sin anuncios ni venta de datos a anunciantes
  • Sin compartir datos fuera de los procesadores indicados
  • Sin retención de IP a largo plazo
  • Sin perfilado conductual para marketing

3. Base legal del tratamiento

  • Ejecución del contrato (RGPD art. 6.1.b) — para prestar el servicio que solicitas
  • Interés legítimo (art. 6.1.f) — seguridad, antispam, optimización
  • Consentimiento (art. 6.1.a / art. 9.2.a para datos de salud) — correos informativos y de celebración (cumpleaños, aniversario) y categorías sensibles

4. Tratamiento con IA

Al usar las funciones de IA, los siguientes datos se envían a Anthropic PBC (EE.UU., con cláusulas contractuales tipo):

  • Chat IA — tus preguntas más datos de perfil (nombre, sexo, edad, peso, altura, calorías diarias estimadas)
  • Análisis de foto de comida — la propia foto más un prompt de texto
  • Estimación de producto — nombre y marca del producto que tú introduzcas
  • Traducción de receta — el texto de la receta
  • Generación de menú semanal — IDs de recetas de nuestro catálogo más tus preferencias

Anthropic no usa estos datos para entrenar sus modelos (por sus términos comerciales). NO enviamos a Anthropic contraseñas, datos financieros, direcciones IP, datos del ciclo, medidas corporales ni contenido del formulario de contacto.

5. Quién procesa tus datos

  • Vercel Inc. (hosting + Vercel Blob para fotos de comidas) — EE.UU., residencia UE
  • Upstash Inc. (Redis para perfil, recetas, progreso) — región UE
  • Resend (envío de correos — verificación, reset, cumpleaños, contacto) — región UE (Irlanda)
  • Anthropic PBC (servicios de IA — ver sección 4) — EE.UU., con SCC
  • Open Food Facts — base de datos abierta de productos consultada al escanear un código de barras. Solo les enviamos el código, ningún dato personal.

6. Compartir dentro de tu organización

Cuando perteneces a una organización (familia, empresa o grupo de amigos), otros miembros pueden ver:

  • Tu nombre de pantalla, avatar y país
  • Las insignias que has conseguido (para la clasificación local)
  • Tus valoraciones y comentarios de recetas

Datos personales como fotos de comidas, peso, ciclo, cuestionario y planes semanales NO son visibles para nadie, ni siquiera para los administradores de la organización.

Puedes pertenecer a más de una organización a la vez. Puedes abandonar cualquier organización en cualquier momento (contacta al admin de la organización o a nosotros).

7. Plazo de conservación

  • Cuentas activas — hasta que las borres
  • Cuentas borradas — eliminación completa en 30 días (incluyendo fotos en Blob y registros en KV)
  • Tokens de verificación de correo — 24 horas
  • Tokens de reset de contraseña — 1 hora
  • Direcciones IP (claves de rate-limit) — máximo 1 hora
  • Códigos de invitación — hasta agotarse o eliminarse manualmente

8. Tus derechos (RGPD)

  • Acceso — solicita una copia de tus datos
  • Rectificación — corrige errores en Configuración o escríbenos
  • Supresión ("derecho al olvido") — escribe al admin
  • Portabilidad — exportación JSON bajo solicitud
  • Retirar consentimiento — las categorías sensibles (cuestionario, ciclo, peso) se pueden borrar individualmente desde sus secciones
  • Oposición al tratamiento
  • Reclamación ante la autoridad local (España: aepd.es; Bulgaria: cpdp.bg)

9. Cookies

Solo cookies estrictamente necesarias:

  • eh_session — autenticación JWT (HttpOnly, Secure, SameSite=Lax, 30 días)
  • eh_lang — preferencia de idioma (1 año)

Sin cookies de analítica o marketing.

10. Seguridad

  • Contraseñas con hash bcrypt (cost 12)
  • Sesiones HTTP-only firmadas con HMAC-SHA256
  • JWT con "tokenVersion" — cambiar la contraseña invalida toda sesión existente
  • Tráfico TLS 1.3
  • Cabeceras de seguridad: HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff, Content-Security-Policy
  • Rate limiting en login, registro, reset y formulario de contacto
  • Defensa CSRF: cookies SameSite=Lax + comprobación de Origin / Sec-Fetch-Site
  • Copias de seguridad en Upstash

11. Correos automáticos

En tu cumpleaños (a partir de la fecha que indicaste) y en cada aniversario de tu registro, te enviamos un correo de felicitación — uno al año. Puedes darte de baja desde el enlace del correo o escribiéndonos.

12. Menores

La plataforma la usan familias con niños. Los menores de 13 años solo pueden tener cuenta si los añade un padre/tutor que acepte esta política en su nombre. Para adolescentes recomendamos que los padres revisen periódicamente los datos introducidos.

13. Cambios en la política

Los cambios sustanciales se notifican por correo y en el siguiente inicio de sesión. La línea "última actualización" se modifica en cada revisión.

14. Contacto

Para preguntas sobre datos: info@eat-healthy.app o vía /contact.