Política de privacidad

1. Quiénes somos

Presupuestero está operado por Art Formula Consulting SL (NIF B16593774), con domicilio social en Camí Sa Vinya 25, 07157 Port d'Andratx, Illes Balears, España. Somos el responsable del tratamiento de los datos personales procesados a través de la plataforma. Para contactar con nosotros sobre privacidad, escribe a hola@presupuestero.com.

2. Qué recogemos

Presupuestero atiende a tres roles de usuario y trata datos distintos según el lado del marketplace que utilices:

2.1 Autónomo (prestador de servicios)

Datos de cuenta — dirección de email, nombre, identidad de Google opcional, tokens de autenticación.
Datos del espacio de trabajo y fiscales — nombre comercial, NIF, domicilio fiscal, email de contacto, teléfono, logo, color de marca, IVA por defecto, identificador de cuenta Stripe Connect (para los pagos en custodia).
Datos del perfil público — handle público, categorías de oficio, zona de servicio / ciudad, fotos de portfolio (y sus categorías derivadas por IA), tarifas. Consulta §7 para ver qué se publica por defecto.
Teléfono verificado — número de teléfono verificado por SMS (Twilio) para mostrar la insignia de “verificado” en tu perfil.
Contenido del espacio de trabajo — clientes que creas, líneas de presupuesto, fotos y notas de voz adjuntas, presupuestos que envías.
Actividad en el marketplace — ofertas que envías sobre solicitudes de consumidores, mensajes dentro de la plataforma, registros de custodia, confirmaciones de finalización, reseñas bilaterales (dadas y recibidas), saldo y movimientos del ledger de PP.

2.2 Consumidor (cliente / vecino)

Datos de la solicitud — lo que publicaste en /solicitar: descripción en texto y/o voz del trabajo, fotos opcionales, ubicación (ciudad dentro de Mallorca), urgencia, tu teléfono de contacto.
Transcripción de voz — si usaste el agente de voz en tiempo real, el audio se envía a OpenAI para transcripción en vivo y no se conserva por nosotros más allá del borrador estructurado resultante (ver §6).
Datos de cuenta (vecinos) — nombre, idioma, handle público opcional, relación de referido si te registraste a través de un enlace ?ref=.
Acceso por token — los clientes acceden a su solicitud mediante un token de un solo uso en la URL; no requerimos crear cuenta para recibir ofertas.
Suscripción push — si activas notificaciones push, el endpoint push de tu navegador se guarda asociado al token de la solicitud.
Preferencias de notificación — tus elecciones sobre qué eventos disparan WhatsApp, SMS, email o push.
Actividad en el marketplace — ofertas recibidas, mensajes dentro de la plataforma, registros de custodia, confirmaciones de finalización, reseñas que dejas.

2.3 Todos (técnico)

Eventos de uso — eventos de presupuesto / oferta / custodia capturados para auditoría de facturación, aplicación de límites de plan y prevención de abusos.
Datos técnicos — dirección IP, navegador, metadatos de petición capturados por nuestros proveedores de hosting y tracking de errores.
Embeddings de imagen — para las fotos de portfolio, fotos de solicitudes y tarifas computamos y guardamos un vector de embedding multimodal (1408 dimensiones). El embedding se usa para búsqueda por similitud visual y matching entre espacios de trabajo. El vector no es directamente reversible a la imagen original pero deriva de ella.

3. Por qué los tratamos

Tratamos tus datos para:

prestar el Servicio (almacenamiento, recuperación, renderizado de PDF, matching);
transcribir notas de voz, extraer ítems estructurados de fotos, categorizar contenidos de portfolio y ejecutar búsqueda por similitud visual (Google Vertex AI y OpenAI — ver §6);
enviar correos transaccionales (inicio de sesión, presupuesto aceptado, presupuesto rechazado, notificaciones de oferta) vía Resend;
enviar notificaciones de marketplace por WhatsApp y SMS usando Twilio (avisos de respuesta del consumidor, actualizaciones de custodia, recordatorios de expiración);
cobrar, mantener en custodia y desembolsar pagos a los autónomos usando Stripe Connect, y cumplir las obligaciones de conservación financiera asociadas;
aplicar límites de plan, prevenir fraude y abuso, y proteger la integridad de las reseñas, los PP y el ranking del directorio;
monitorizar errores e incidentes de seguridad (Sentry).

4. Base jurídica

Nos basamos en las siguientes bases jurídicas del artículo 6 del RGPD:

Contrato (art. 6.1.b) — para proporcionar las funciones que contratas, mantener la custodia en tu nombre, ejecutar el matching entre solicitudes y autónomos (incluida la búsqueda por similitud visual sobre los embeddings descritos en §2.3), enviar notificaciones transaccionales y pagar a los autónomos.
Obligación legal (art. 6.1.c) — para conservar registros de pagos, custodia y facturación conforme al Código de Comercio, a la Ley 10/2010 de prevención del blanqueo de capitales y a la normativa fiscal aplicable.
Interés legítimo (art. 6.1.f) — para prevención de fraude, monitorización de seguridad, mitigación de abusos, rate-limiting anónimo y mejora de producto basada en métricas de uso agregadas. Puedes oponerte al tratamiento basado en interés legítimo usando el contacto del §8.
Consentimiento (art. 6.1.a) — para canales opt-in (notificaciones push y mensajes de plantilla de WhatsApp), para el uso del agente de voz en tiempo real de /solicitar (al activar el micrófono y empezar a hablar autorizas la transmisión del audio a OpenAI en EE. UU. para su transcripción) y para cualquier futura función opcional de analítica o marketing. Puedes retirar el consentimiento en cualquier momento usando el contacto del §8 sin que ello afecte a la licitud del tratamiento anterior.

5. Almacenamiento y conservación

Datos de cuenta, espacio de trabajo y fiscales — se conservan mientras exista tu cuenta, más 6 años tras la cancelación por cumplimiento contable (Código de Comercio art. 30).
Notas de voz (uso interno autónomo) — se eliminan automáticamente 90 días después de subirlas.
Audio del agente de voz en tiempo real (lado consumidor) — se transmite a OpenAI para transcripción en vivo; no se conserva por nosotros. La conservación por parte de OpenAI del audio de la Realtime API se rige por sus condiciones empresariales de tratamiento de datos.
Fotos subidas por consumidores en solicitudes — se conservan durante la vida de la solicitud y de cualquier trabajo resultante; se borran cuando expira la solicitud o cuando la borras tú, con las prevalencias por custodia / disputas.
Contenidos de portfolio (autónomo) — se conservan hasta que los borres de tu portfolio. Los embeddings se borran en el mismo evento.
Embeddings de imagen — se conservan mientras exista la imagen origen; se refrescan si se actualiza el modelo.
Mensajes dentro de la plataforma — se conservan durante la vida de la solicitud/trabajo relacionado y al menos 24 meses después, para soportar la resolución de disputas y la integridad de las reseñas.
Reseñas — las reseñas bilaterales son públicas y persisten más allá de la vida de la cuenta de cualquiera de las partes para que sigan siendo significativas para la otra parte. Podemos anonimizar el lado de la parte borrada.
Registros de custodia y pago — se conservan 10 años desde la finalización de la relación con el cliente, conforme al art. 25 de la Ley 10/2010 de prevención del blanqueo de capitales. Los justificantes contables asociados se conservan 6 años (art. 30 del Código de Comercio). Estos registros pueden sobrevivir a una solicitud de supresión porque la base de obligación legal (§4) prevalece sobre la supresión.
Logs de auditoría y seguridad — se conservan durante la vida del espacio de trabajo.

6. Subencargados del tratamiento

Compartimos datos con:

Supabase (Frankfurt, eu-central-1) — base de datos PostgreSQL y almacenamiento de objetos. Todos los datos persistentes permanecen dentro de la UE.
Vercel — hosting de aplicación y CDN.
Stripe (Stripe Payments Europe Ltd., Irlanda) — procesamiento de pagos y custodia vía Stripe Connect.
Google Cloud / Vertex AI — transcripción de voz, extracción de fotos y búsqueda por similitud visual usando la familia de modelos Gemini. La transcripción de voz y la extracción de fotos corren en el endpoint global de Vertex AI de Google, lo que significa que cada petición puede procesarse en cualquier región mundial de Google Cloud y Google no garantiza procesamiento dentro de la UE para ese endpoint. La categorización, detección de PII, extracción de tarifas y búsqueda por similitud visual corren dentro de la UE en europe-west1. El audio, imagen y contenido documental enviado a inferencia no es retenido por Google para entrenamiento. Las transferencias internacionales derivadas del endpoint global se amparan en el Google Cloud Data Processing Addendum (cloud.google.com/terms/data-processing-addendum), que incorpora las Cláusulas Contractuales Tipo de la UE (Decisión de Ejecución (UE) 2021/914, Módulo 2 Responsable→Encargado), y en la certificación de Google bajo el EU–U.S. Data Privacy Framework.
OpenAI (OpenAI, L.L.C., EE. UU.) — agente de voz en tiempo real usado en /solicitar para consumidores. El audio se transmite en tiempo real al endpoint Realtime API de OpenAI (región US) y se usa únicamente para transcribir la descripción hablada del usuario en un borrador estructurado de solicitud. Hemos desactivado el uso de los datos para entrenamiento de modelos. Esta transferencia a tercer país se ampara en el OpenAI Data Processing Addendum (openai.com/policies/data-processing-addendum), que incorpora las Cláusulas Contractuales Tipo de la UE, y en la certificación de OpenAI bajo el EU–U.S. Data Privacy Framework. El uso del agente de voz es opt-in: requiere que pulses para hablar y autorices el micrófono, lo que constituye consentimiento expreso a esta transferencia (§4).
Twilio (Twilio Ireland Ltd. como responsable contratante para clientes UE; Twilio Inc. en EE. UU. para entrega) — entrega de WhatsApp Business y SMS. Enviamos tu número de teléfono, el cuerpo del mensaje y una URL de callback de entrega. WhatsApp es operado por Meta Platforms Ireland Ltd. y es a su vez subencargado de Twilio para la WhatsApp Business Platform. Las transferencias se rigen por el Twilio Data Protection Addendum (twilio.com/legal/data-protection-addendum), que incorpora las Cláusulas Contractuales Tipo de la UE, complementadas por la certificación de Twilio bajo el EU–U.S. Data Privacy Framework. La lista actualizada de subencargados de Twilio está en twilio.com/legal/sub-processors.
Resend (Resend Inc.) — entrega de email transaccional.
Sentry — tracking de errores y monitorización de rendimiento.

Cada subencargado dispone de un Acuerdo de Tratamiento de Datos (DPA) público que aceptamos al darnos de alta: Supabase (supabase.com/legal/dpa), Vercel (vercel.com/legal/dpa), Stripe (stripe.com/legal/dpa), Google Cloud (cloud.google.com/terms/data-processing-addendum), OpenAI (openai.com/policies/data-processing-addendum), Twilio (twilio.com/legal/data-protection-addendum), Resend (resend.com/legal/dpa) y Sentry (sentry.io/legal/dpa).

7. Qué es público por defecto

Algunos datos en Presupuestero son intencionalmente públicos para que el marketplace funcione. Puedes ver, antes de publicar nada, exactamente qué quedará expuesto:

Perfil público del autónomo — handle público, nombre visible, categorías de oficio, ciudad de servicio, fotos de portfolio, ítems de tarifa que elijas publicar y tu trustScore. Visible en /[publicHandle] e indexado por el directorio.
Reseñas bilaterales — texto y puntuación que dejas o recibes. Las reseñas permanecen visibles después de que cualquiera de las partes deje la plataforma.
Superficie pública del vecino — nombre visible y (opcionalmente) ciudad. Las solicitudes de vecinos no son públicas; solo las ven los autónomos invitados / matcheados.

8. Tus derechos

Conforme al RGPD tienes derecho a acceder, rectificar, suprimir, limitar y portar tus datos, así como a oponerte al tratamiento basado en interés legítimo. Algunos de estos derechos están limitados cuando conservamos los datos por obligación legal (registros de custodia / contables) o cuando los datos son parte de un artefacto público y bilateral (p. ej. una reseña que dejaste a otra persona). Para ejercer cualquiera de ellos, escribe a hola@presupuestero.com. También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

9. Cambios

Actualizaremos esta política a medida que evolucione el servicio. Los cambios materiales se notificarán por email y en esta página. La fecha de “última revisión” a continuación registra las revisiones.

Última revisión: 23 May 2026