Política de Privacidad de BagOut
Última actualización: 11 de mayo de 2026
1. Responsable del tratamiento
| Campo | Valor |
|---|---|
| Titular | Andres Khawam (autónomo) |
| NIF | 18479784C |
| Domicilio fiscal | Calle Oeste 13, 26005 Logroño, La Rioja, España |
| Email de contacto | soporte@bagout.es |
| Web | https://bagout.es |
2. Qué datos recogemos y por qué
2.1 Datos de cuenta (todos los usuarios)
| Dato | Finalidad | Base legal |
|---|---|---|
| Identificación, recuperación de contraseña, comunicaciones esenciales | Ejecución del contrato (art. 6.1.b GDPR) | |
| Contraseña (hasheada) | Autenticación | Ejecución del contrato |
| Nombre y apellido | Identificación entre clientes y trashers, generación de tickets fiscales | Ejecución del contrato |
| Teléfono | Coordinación entre cliente y trasher durante la recogida | Ejecución del contrato |
| Dirección | Asignar trashers cercanos, recogida de basura en domicilio | Ejecución del contrato |
| Foto de perfil (opcional) | Identificación visual entre cliente y trasher | Consentimiento (art. 6.1.a GDPR) |
| Geolocalización (cuando usas la app) | Autocompletar tu dirección y mostrar pedidos cercanos a los trashers | Consentimiento explícito al activar el permiso de ubicación |
2.2 Datos de pago
| Dato | Finalidad | Base legal |
|---|---|---|
| Últimos 4 dígitos de tarjeta | Identificar la tarjeta guardada en pantalla | Ejecución del contrato |
| ID de método de pago de Stripe | Cobrar recogidas en futuras compras sin re-introducir datos | Ejecución del contrato |
| Historial de transacciones | Generar tickets, gestión de devoluciones, contabilidad | Obligación legal (art. 6.1.c GDPR — facturación) |
⚠️ El número completo de la tarjeta, fecha de caducidad y CVV NO se almacenan en nuestros servidores. Son procesados directamente por Stripe (PCI-DSS Level 1).
2.3 Datos específicos de trashers
| Dato | Finalidad | Base legal |
|---|---|---|
| Foto del DNI/NIE | Verificación de identidad antes de activar el rol trasher | Obligación legal de KYC + interés legítimo (seguridad clientes) |
| IBAN | Abonar los importes ganados por las recogidas | Ejecución del contrato |
| Declaración alta RETA / autónomos | Cumplimiento normativa fiscal española | Obligación legal |
| Valoraciones recibidas | Mostrar reputación a clientes | Interés legítimo |
2.4 Datos generados por uso
| Dato | Finalidad |
|---|---|
| Foto de bolsas (subida por el cliente) | Identificar las bolsas para que el trasher las reconozca |
| Foto de confirmación (subida por el trasher tras tirar) | Prueba de entrega para el cliente |
| Hora de creación, aceptación y completado | Trazabilidad del servicio |
| Valoraciones (1-5 estrellas) | Reputación cruzada cliente↔trasher |
| Token de notificaciones push (FCM) | Envío de notificaciones (nueva recogida, cambios, completado) |
3. Quién accede a tus datos
Compartimos datos estrictamente con los siguientes proveedores que actúan como encargados de tratamiento:
| Proveedor | Servicio | Sede | Garantías |
|---|---|---|---|
| Google Ireland Ltd. | Firebase Auth, Firestore (base de datos), FCM (push notifications), Crashlytics, App Check | Irlanda (datos en Bélgica / EE.UU.) | Cláusulas Contractuales Tipo (SCC) + Acuerdo de Tratamiento de Datos (DPA) firmado |
| Stripe Payments Europe Ltd. | Procesamiento de pagos con tarjeta | Irlanda | PCI-DSS Level 1, SCC, DPA |
| Resend (Resend, Inc.) | Envío de emails transaccionales (verificación, recuperación de contraseña) | EE.UU. | SCC + DPA |
| Google LLC (Google Maps API) | Autocompletar direcciones, mapas, cálculo de rutas | EE.UU. | SCC + DPA |
Entre clientes y trashers compartimos sólo los datos necesarios para la recogida: - El trasher ve: nombre + inicial apellido, dirección de recogida, número y foto de bolsas, valoración del cliente - El cliente ve: nombre + inicial apellido del trasher, valoración del trasher, foto de perfil (si la tiene)
4. Transferencias internacionales
Algunos proveedores (Google, Stripe, Resend) procesan datos fuera del Espacio Económico Europeo. Estas transferencias se amparan en las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914).
5. Cuánto conservamos tus datos
| Categoría | Plazo |
|---|---|
| Datos de cuenta y perfil | Mientras la cuenta esté activa. Tras solicitud de eliminación: borrado en 30 días |
| Datos fiscales (facturación, IBAN, transacciones) | 6 años desde el ejercicio fiscal, por obligación legal (art. 30 Código de Comercio) |
| Fotos de recogida (bolsas, confirmación) | 1 año desde el completado del pedido, después se eliminan |
| Tokens de push notifications | Mientras la app esté instalada en el dispositivo |
| Datos para resolución de disputas | Hasta cierre de la disputa + 5 años |
6. Tus derechos
Tienes derecho a: - Acceder a tus datos personales que tratamos - Rectificar datos incorrectos o incompletos - Suprimir tus datos ("derecho al olvido"), salvo obligaciones legales - Limitar el tratamiento - Portabilidad de los datos en formato estructurado (JSON) - Oponerte al tratamiento basado en interés legítimo - Retirar consentimiento en cualquier momento (para los tratamientos consentidos) - Presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es)
Cómo ejercer estos derechos: escribe a soporte@bagout.es indicando el derecho a ejercitar, adjuntando copia de tu DNI/NIE.
7. Seguridad
Aplicamos las medidas técnicas y organizativas razonables: - Cifrado HTTPS/TLS en todas las comunicaciones - Datos sensibles cifrados en reposo (Firebase Firestore con encriptación AES-256) - Reglas de acceso por usuario en la base de datos (Firestore Security Rules) - Autenticación multi-factor disponible en cuentas administrativas - Monitorización continua de errores con Firebase Crashlytics - Verificación de identidad de la app con Firebase App Check
8. Menores de edad
BagOut está dirigido exclusivamente a mayores de 18 años. No recogemos conscientemente datos de menores. Si crees que un menor nos ha proporcionado datos, contáctanos en soporte@bagout.es y los eliminaremos.
9. Cookies y tecnologías similares
BagOut no es una aplicación web. La app móvil no usa cookies. Usamos los siguientes identificadores técnicos: - Identificador de instalación de Firebase - Token de Firebase Cloud Messaging (push) - Token de App Check (anti-fraude)
Estos identificadores son técnicamente necesarios y no se utilizan con fines publicitarios.
10. Modificaciones de esta política
Podemos actualizar esta política. Las versiones materialmente diferentes serán notificadas en la app y por email. La fecha de "Última actualización" en la cabecera refleja la versión vigente.
Esta política cumple con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).