Política de Privacidad
Última actualización: 01 de junio de 2026
1. Responsable del Tratamiento
Denominación social: Carai Melilla SL
NIF: B52021052
Domicilio social: Avda. Cándido Lobera 5, Local 2, 52001 Melilla, España
Correo electrónico: pedidos@lucrapp.com
Tratamiento de datos por cuenta de clientes (encargo de tratamiento)
Cuando un cliente empresarial registra datos de sus empleados o colaboradores en la plataforma, Carai Melilla SL actúa como encargada del tratamiento por cuenta de dicho cliente, quien ostenta la condición de responsable del tratamiento. En este contexto, el tratamiento se rige por el contrato de encargo de tratamiento suscrito entre las partes. Si desea obtener el modelo de DPA (Data Processing Agreement), puede solicitarlo en pedidos@lucrapp.com.
2. Ámbito de Aplicación
La presente Política de Privacidad es de aplicación tanto al sitio web pedidos.lucrapp.com como a la aplicación móvil LucrApp disponible en App Store (iOS) y Google Play (Android) (en adelante, conjuntamente, “la Plataforma”).
3. Finalidad del Tratamiento
Los datos personales recabados a través de la Plataforma se utilizarán para:
- Gestión contractual: Gestionar la relación contractual y prestar los servicios solicitados, incluyendo el acceso a la plataforma, gestión de proveedores, artículos y listas de compra.
- Facturación y pagos: Gestionar suscripciones y procesar pagos a través de Stripe.
- Comunicaciones transaccionales: Enviar notificaciones de cuenta, confirmaciones de registro, verificación de correo electrónico y alertas del servicio a través de Brevo.
- Comunicaciones comerciales: Enviar información sobre productos y servicios de LucrApp, únicamente si el usuario ha otorgado su consentimiento expreso.
- Analítica web: Análisis estadístico del uso de la Plataforma mediante Vercel Analytics y Vercel Speed Insights (herramientas de analítica de Vercel Inc., con transferencia internacional de datos cubierta por SCCs — ver sección 7). Base jurídica: interés legítimo (art. 6.1.f RGPD) en la mejora continua del servicio. El usuario puede oponerse a este tratamiento en cualquier momento contactando en pedidos@lucrapp.com.
- Procesamiento de facturas mediante IA: Si el usuario utiliza la funcionalidad de escaneo de facturas, el contenido de la imagen o PDF se transmite a la API de Anthropic para su procesamiento automatizado (ver sección 9).
4. Legitimación
El tratamiento de los datos personales se basa en:
- Art. 6.1.b RGPD — Ejecución de un contrato: Para la prestación de los servicios solicitados, gestión de la cuenta y facturación.
- Art. 6.1.a RGPD — Consentimiento: Para el envío de comunicaciones comerciales y para las cookies analíticas no estrictamente necesarias.
- Art. 6.1.c RGPD — Obligación legal: Para el cumplimiento de obligaciones fiscales, mercantiles y contables.
- Art. 6.1.f RGPD — Interés legítimo: Para la analítica de uso de la plataforma y mejora del servicio.
5. Conservación de los Datos
Los datos personales se conservarán durante los siguientes plazos:
- Datos de cuenta y contractuales: Mientras dure la relación contractual y, tras su extinción, durante 5 años (prescripción de acciones personales, art. 1964 CC).
- Datos de facturación y transacciones: 6 años (art. 30 Código de Comercio) o 4 años para obligaciones tributarias (Ley General Tributaria), aplicándose el plazo mayor.
- Datos de analítica web: 14 meses (recomendación AEPD).
- Comunicaciones comerciales: Hasta que el usuario retire su consentimiento.
- Imágenes de facturas procesadas por IA: No se almacenan permanentemente. Se transmiten a Anthropic puntualmente para su procesamiento y no son retenidas por Anthropic para ninguna finalidad adicional.
6. Destinatarios y Encargados del Tratamiento
Para la prestación de los servicios, Carai Melilla SL comparte datos con los siguientes encargados del tratamiento, con quienes mantiene los contratos de tratamiento de datos exigidos por el art. 28 RGPD:
- Supabase Inc. (EE. UU.) — Proveedor de base de datos, autenticación y almacenamiento. Los servidores de datos de producción están ubicados en la Unión Europea (West EU / Frankfurt). Las transferencias internacionales están cubiertas por Cláusulas Contractuales Tipo (SCCs). Política de privacidad: supabase.com/privacy.
- Stripe Inc. (EE. UU. / Irlanda) — Procesador de pagos y gestión de suscripciones. Stripe procesa datos de pago y facturación. Certificado PCI-DSS nivel 1. Entidad europea: Stripe Payments Europe Ltd. (Dublín). Política de privacidad: stripe.com/privacy.
- Brevo SAS (Francia, UE) — Proveedor de correos electrónicos transaccionales (notificaciones de cuenta, confirmaciones, alertas). Los datos transferidos se limitan al correo electrónico del destinatario y el contenido del mensaje. Política de privacidad: brevo.com/legal/privacypolicy.
- Vercel Inc. (EE. UU.) — Proveedor de infraestructura de hosting para la plataforma web. Incluye Vercel Analytics y Vercel Speed Insights, que recopilan métricas de navegación anonimizadas. Las transferencias están cubiertas por SCCs. Política de privacidad: vercel.com/legal/privacy-policy.
- Anthropic PBC (EE. UU.) — Proveedor del modelo de inteligencia artificial Claude, utilizado exclusivamente para la funcionalidad de escaneo automatizado de facturas. Las imágenes se procesan puntualmente y Anthropic no las utiliza para el entrenamiento de modelos en virtud de las condiciones de uso de su API. Las transferencias están cubiertas por SCCs. Política de privacidad: anthropic.com/privacy.
No se realizan cesiones de datos a terceros con fines propios, salvo obligación legal o requerimiento de autoridades competentes.
7. Transferencias Internacionales de Datos
Algunos de nuestros proveedores de servicios tienen su sede o procesan datos fuera del Espacio Económico Europeo (EEE). En todos los casos, nos aseguramos de que existan garantías adecuadas conforme al art. 46 RGPD, concretamente mediante Cláusulas Contractuales Tipo (SCCs) adoptadas por la Comisión Europea (Decisión de Ejecución 2021/914):
- Supabase Inc. (EE. UU.) — SCCs vigentes. Datos de producción alojados en West EU (Frankfurt).
- Stripe Inc. (EE. UU.) — SCCs vigentes. Entidad europea: Stripe Payments Europe Ltd. (Dublín, Irlanda).
- Vercel Inc. (EE. UU.) — SCCs vigentes.
- Anthropic PBC (EE. UU.) — SCCs vigentes. Las imágenes de facturas se transmiten puntualmente para su procesamiento y no son retenidas por Anthropic para entrenamiento.
Puede solicitar información sobre las SCCs aplicables contactando en pedidos@lucrapp.com.
8. Derechos del Usuario
El usuario tiene derecho a:
- Acceso: Acceder a sus datos personales y obtener confirmación de si se están tratando.
- Rectificación: Solicitar la corrección de datos inexactos o incompletos.
- Supresión: Solicitar la eliminación de sus datos cuando, entre otros motivos, ya no sean necesarios para los fines para los que fueron recogidos.
- Oposición: Oponerse al tratamiento de sus datos, en particular para fines de comunicaciones comerciales o analítica basada en interés legítimo.
- Limitación: Solicitar la limitación del tratamiento en determinadas circunstancias.
- Portabilidad: Recibir sus datos en un formato estructurado, de uso común y lectura mecánica.
Para ejercer estos derechos, puede enviar una solicitud a pedidos@lucrapp.com, adjuntando una copia de su DNI o documento equivalente. Responderemos en el plazo máximo de 30 días.
Si considera que el tratamiento de sus datos personales no se ajusta a la normativa vigente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), Calle Jorge Juan 6, 28001 Madrid — www.aepd.es.
9. Tratamiento de Datos mediante Inteligencia Artificial
LucrApp ofrece una funcionalidad de escaneo automatizado de facturas mediante Inteligencia Artificial (plan Premium). Cuando el usuario utiliza esta funcionalidad:
- La imagen o PDF de la factura se transmite a la API de Anthropic PBC (EE. UU.), proveedor del modelo de IA Claude, para su procesamiento y extracción automatizada de datos (nombre del proveedor, artículos, precios, CIF, email de contacto).
- Anthropic procesa la imagen de forma puntual para generar la respuesta y no utiliza los datos transmitidos para el entrenamiento de sus modelos en virtud de las condiciones de uso de su API.
- La extracción es automatizada y puede contener errores; el usuario siempre podrá revisar y corregir los datos extraídos antes de guardarlos.
- Si la factura contiene datos personales de terceros (empleados del proveedor, por ejemplo), el usuario, en su condición de responsable del tratamiento de dichos datos en el contexto de su actividad empresarial, es responsable de disponer de la base legal adecuada para su tratamiento.
Base jurídica: Ejecución del contrato (art. 6.1.b RGPD) e interés legítimo del usuario en automatizar la gestión de sus facturas (art. 6.1.f RGPD).
10. Seguridad de los Datos
Carai Melilla SL adopta las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteración, pérdida, tratamiento o acceso no autorizado. Entre las medidas implementadas se incluyen: cifrado en tránsito (TLS/HTTPS), control de accesos basado en roles, autenticación segura mediante Supabase Auth y auditorías periódicas de seguridad.
En caso de brecha de seguridad que afecte a datos personales, Carai Melilla SL notificará a la AEPD en un plazo de 72 horas desde su conocimiento y, cuando sea probable que entrañe un alto riesgo para los derechos de los interesados, también se notificará a los afectados sin dilación indebida.
11. Cambios en la Política de Privacidad
Carai Melilla SL se reserva el derecho de modificar la presente Política de Privacidad. Para cambios sustanciales, se notificará a los usuarios registrados con al menos 30 días de antelación mediante correo electrónico. Los cambios menores se publicarán en esta página con la fecha de actualización.
Si tiene alguna pregunta sobre nuestra Política de Privacidad, contáctenos en pedidos@lucrapp.com.