Volver a CasamigoÚltima actualización: 2026-05-27

Política de Privacidad

Casamigo AS ("Casamigo", "nosotros") opera la aplicación móvil y el sitio web de Casamigo, que conectan a propietarios en España con proveedores de servicios independientes ("el Servicio"). Esta política explica qué datos personales recopilamos, por qué, y sus derechos bajo el Reglamento General de Protección de Datos (RGPD) de la UE y la Ley Orgánica 3/2018 de Protección de Datos Personales (LOPDGDD).

1. Responsable del tratamiento

Casamigo AS, Noruega (número de empresa pendiente), es el responsable del tratamiento de los datos personales procesados a través del Servicio. Puede contactar con nuestro equipo de privacidad en privacy@casamigo.app.

2. Datos que recopilamos

Proporcionados por usted

  • Cuenta: nombre, correo, teléfono, contraseña (en hash), rol (propietario o proveedor), idioma.
  • Perfil: avatar, biografía, dirección (propietarios) o zona de servicio (proveedores), habilidades, fotos del portafolio.
  • Para proveedores: NIF, condición de autónomo, información de seguro, datos bancarios (gestionados por Stripe — ver §5).
  • Para proveedores Verifactu: certificado digital de firma y apoderamiento notarial (almacenados cifrados en Supabase Vault, región UE), usados para firmar y enviar facturas a la AEAT en su nombre.
  • Para proveedores con seguro RC obligatorio: certificado de seguro (PDF/imagen) con asegurador, número de póliza, cobertura, fecha de inicio/vencimiento y NIF del tomador.
  • Contenido del trabajo: descripciones, fotos que suba, precios, mensajes.
  • Documentos de verificación de identidad (proveedores): cargados vía Stripe Identity.

Recopilados automáticamente

  • Datos del dispositivo: sistema operativo, versión de la app, modelo, idioma, zona horaria.
  • Uso: pantallas vistas, acciones realizadas, registros de fallos.
  • Ubicación: aproximada (ciudad) siempre; GPS preciso solo al hacer check-in en el trabajo, con su consentimiento en el dispositivo.
  • Metadatos GPS de fotos: las fotos antes/después incluyen coordenadas y marca de tiempo; se almacenan con el registro de la reserva.

De terceros

  • Stripe: confirmación de pago, estado de pago al proveedor, resultado de verificación de identidad.
  • Google / Apple: su nombre y correo si inicia sesión con esas cuentas.

3. Por qué usamos sus datos (finalidades y base legal)

  • Prestación del Servicio (contrato, Art. 6(1)(b) RGPD): crear cuentas, emparejar trabajos con proveedores, procesar pagos, facilitar el chat, gestionar disputas.
  • Verificación de identidad y prevención de fraude (obligación legal + interés legítimo, Art. 6(1)(c), (f)): verificar NIF, verificar identidad del proveedor vía Stripe, bloquear cuentas prohibidas de volver a registrarse.
  • Cumplimiento Verifactu (obligación legal, Art. 6(1)(c) RGPD + Real Decreto 1007/2023): cuando un proveedor emite una factura a través de Casamigo, firmamos y enviamos los datos de la factura (NIF del proveedor y del cliente, número, fecha, importe, IVA, IRPF) a la Agencia Estatal de Administración Tributaria (AEAT) usando el certificado digital del proveedor (apoderamiento). La AEAT actúa como autoridad legal receptora, no como encargado del tratamiento.
  • Verificación del seguro de responsabilidad civil (contrato + obligación legal, Art. 6(1)(b), (c)): para ciertas categorías reguladas (electricidad, fontanería, climatización, reformas), la ley exige seguro RC. Almacenamos y verificamos el certificado para cumplir con esta obligación y permitir al proveedor pujar.
  • Informes fiscales según DAC7 (obligación legal, Art. 6(1)(c)): Stripe informa de los ingresos del proveedor a las autoridades fiscales de la UE en nuestro nombre, según la Directiva (UE) 2021/514. Además generamos y conservamos un informe agregado anual.
  • Contabilidad agregada (interés legítimo + obligación legal, Art. 6(1)(c), (f)): exportamos diariamente resúmenes financieros agregados (totales por cuenta contable, sin identificadores de usuario) a nuestro sistema contable Fiken AS (Noruega).
  • Seguimiento técnico de errores (interés legítimo, Art. 6(1)(f)): las trazas de errores y bloqueos se envían a Sentry GmbH (Alemania) para diagnóstico. Configurado sin email/IP del usuario y con limpieza automática de datos sensibles.
  • Analítica de uso (consentimiento, Art. 6(1)(a)): solo si lo activa, Firebase Analytics registra eventos agregados de uso (pantallas vistas, acciones). Puede retirar el consentimiento en cualquier momento desde Ajustes.
  • Atención al cliente y seguridad (interés legítimo, Art. 6(1)(f)): revisar usuarios denunciados, gestionar quejas, hacer cumplir nuestros Términos.
  • Comunicaciones de marketing (consentimiento, Art. 6(1)(a)): solo si opta por recibirlas. Puede retirar el consentimiento en cualquier momento desde la app.

4. Quién ve sus datos

Los proveedores emparejados con usted ven su nombre, foto de perfil, descripción del trabajo y ubicación aproximada antes de que acepte un presupuesto. Su dirección completa se comparte solo con el proveedor cuyo presupuesto acepta. Otros propietarios y proveedores nunca ven sus datos privados.

5. Encargados del tratamiento y destinatarios

Nos apoyamos en los siguientes encargados del tratamiento, todos vinculados por acuerdos de tratamiento de datos (DPA):

  • Supabase Inc. (EE. UU., con regiones UE — Fráncfort) — base de datos, autenticación, almacenamiento (incluido el bucket de certificados de seguro), Vault (certificados digitales de apoderamiento cifrados en reposo), tiempo real. Se aplican las Cláusulas Contractuales Tipo.
  • Stripe Payments Europe Ltd. (Irlanda) — pagos, pagos al proveedor, verificación de identidad, informes fiscales DAC7. Stripe es responsable independiente de los datos que recibe.
  • Fiken AS (Noruega — país EEE con decisión de adecuación) — sistema contable. Recibe únicamente cifras financieras agregadas (totales diarios por cuenta contable), sin identificadores de usuario, NIF ni datos personales.
  • Sentry GmbH (Alemania — UE) — seguimiento de errores y bloqueos. Configurado para no adjuntar email/IP automáticamente; los registros sensibles se filtran en servidor.
  • Google LLC (Firebase Cloud Messaging) (EE. UU./UE) — notificaciones push transaccionales.
  • Google LLC (Firebase Analytics) (EE. UU./UE) — analítica de uso anónima y agregada, activa solo tras su consentimiento explícito en la app.
  • Google LLC (Cloud Translation API) (EE. UU./UE) — traducción automática de mensajes de chat y descripciones de trabajos. Solo se envía a Google el contenido de texto; no se incluyen identificadores de usuario.
  • Google LLC (Maps Platform y Places API) (EE. UU./UE) — renderizado de mapas, búsqueda de direcciones y geocodificación. Cuando busca o selecciona una dirección, su consulta y las coordenadas resultantes se envían a Google.
  • Resend Inc. (EE. UU.) — correos transaccionales (verificación, restablecimiento de contraseña).
  • Apple Inc., Google LLC — distribución de la app, inicio de sesión opcional.
  • Vercel Inc. (EE. UU./UE) — alojamiento web.

Además, los siguientes destinatarios legales (no son encargados del tratamiento, son autoridades públicas a las que estamos obligados a transmitir datos):

  • Agencia Estatal de Administración Tributaria (AEAT, España) — destinataria de las declaraciones Verifactu (NIF del proveedor y del cliente, datos de la factura) conforme al RD 1007/2023 e informes DAC7.

6. Transferencias internacionales

Algunos encargados operan servidores fuera del EEE. Las transferencias están protegidas por el Marco de Privacidad de Datos UE-EE. UU. (Stripe, Google, Vercel, Resend) y/o Cláusulas Contractuales Tipo adoptadas por la Comisión Europea. Las transferencias a Noruega (Fiken) se amparan en la decisión de adecuación EEE.

7. Cuánto tiempo conservamos los datos

  • Datos de cuenta activa: mientras exista su cuenta.
  • Cuentas eliminadas: la mayoría de los datos personales se eliminan o anonimizan en 30 días.
  • Registros de transacciones y facturas Verifactu: conservados 6 años para cumplir con el Código de Comercio (art. 30) y la Ley General Tributaria (art. 70).
  • Informes anuales DAC7: conservados 6 años conforme a la legislación fiscal española y la Directiva (UE) 2021/514.
  • Certificados de seguro RC: hasta 90 días después de que la póliza pase a estado inactivo o expirado; el NIF del tomador se anonimiza al expirar.
  • Certificados digitales de apoderamiento: se eliminan automáticamente al expirar el certificado o al revocar el poder.
  • Coordenadas GPS en fotos de reserva: anonimizadas (null) automáticamente a los 2 años.
  • Pruebas de disputas (fotos, chat): conservadas 2 años tras el cierre de la disputa.
  • Trazas de error (Sentry): 90 días (retención por defecto del producto).
  • Eventos analíticos (Firebase): 14 meses (configurado al mínimo).
  • Copias de seguridad: purgadas en 90 días.

8. Sus derechos

Bajo el RGPD tiene derecho a:

  • Acceder a los datos personales que tenemos sobre usted.
  • Rectificar datos inexactos.
  • Suprimir sus datos (sujeto a obligaciones legales de retención).
  • Limitar u oponerse a ciertos tratamientos.
  • Recibir sus datos en un formato portable (función "Descargar mis datos" en la app).
  • Retirar el consentimiento en cualquier momento.
  • Presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD, www.aepd.es).

Ejerza estos derechos escribiendo a privacy@casamigo.appo usando las opciones "Descargar mis datos" y "Eliminar cuenta" en la app.

9. Eliminación de cuenta

Puede eliminar su cuenta desde su perfil en la app. Esto anonimiza su perfil de inmediato. Algunos datos se conservan para cumplir con obligaciones legales (facturas Verifactu, registros fiscales DAC7) o para proteger los derechos de la otra parte durante una disputa abierta.

10. Menores

El Servicio no está destinado a usuarios menores de 18 años. Verificamos la edad al registrarse mediante fecha de nacimiento (validación a nivel de base de datos). No recopilamos datos de menores a sabiendas.

11. Seguridad

Las contraseñas están en hash. El tráfico está cifrado con TLS. Los datos de la tarjeta de pago nunca pasan por nuestros servidores — los gestiona directamente Stripe. Las reglas de seguridad a nivel de fila restringen el acceso a la base de datos al propietario de cada registro. Los certificados digitales se almacenan en Supabase Vault con cifrado AES-256.

12. Cookies y rastreo

El sitio web solo usa cookies estrictamente necesarias (sesión, idioma). La app móvil usa un identificador de dispositivo para notificaciones push. No usamos rastreadores publicitarios.

13. Cambios en esta política

Los cambios importantes se anunciarán en la app y por correo. La fecha "Última actualización" en la parte superior refleja la revisión más reciente.

14. Contacto

¿Preguntas sobre privacidad? Escriba a privacy@casamigo.app.