Política de Privacidade
1. Responsable do Tratamento
Identidade: Iago Vázquez Quiroga, operando baixo a marca comercial "Gandeo".
NIF: 34282369H
Dirección postal: Enriqueta Otero n4 6A, 27002 Lugo
Correo electrónico: soporte@gandeo.com (Delegado de Protección de Datos)
Teléfono: contacto preferente por correo electrónico
2. Finalidade do Tratamento
Gandeo trata os datos persoais que nos facilita coas seguintes finalidades:
| Finalidade | Descrición | Base legal |
|---|---|---|
| Xestión de contas de usuario | Crear, autenticar e xestionar a túa conta de acceso á plataforma. | Execución do contrato (art. 6.1.b RXPD) |
| Prestación do servizo SaaS | Almacenar, organizar e procesar os documentos e datos da túa explotación gandeira conforme ás funcionalidades contratadas. | Execución do contrato (art. 6.1.b RXPD) |
| Extracción documental asistida por IA | Aplicar OCR e intelixencia artificial para propoñer datos estruturados a partir de documentos subidos, sempre como borradores revisables. | Execución do contrato (art. 6.1.b RXPD) |
| Comunicacións operativas | Enviar notificacións técnicas, recordatorios, alertas de stock, confirmacións e mensaxes necesarias para o funcionamento do servizo. | Execución do contrato e interese lexítimo (art. 6.1.b e f RXPD) |
| Comunicacións comerciais | Informar sobre novidades, melloras do produto ou ofertas promocionais, sempre que deas o teu consentimento. | Consentimento do interesado (art. 6.1.a RXPD) |
| Radar de axudas e newsletter | Enviar a clientes activos resumos do Radar propio de Gandeo, activado inicialmente e con baixa sinxela en axustes e en cada email. Non inclúe promocións de terceiros. | Execución da relación contractual e interese lexítimo en informar sobre funcionalidades propias similares (arts. 6.1.b e 6.1.f RXPD; art. 21.2 LSSI-CE) |
| Analítica de uso | Medir visitas, páxinas vistas e accións xerais dentro da web e da app para mellorar o produto, sen enviar a Google datos de explotación, documentos, importes, emails nin identificadores internos. | Consentimento do interesado (art. 6.1.a RXPD) |
| Cumprimento legal | Cumprir obrigas fiscais, contables e de información a requirimento de autoridades competentes. | Cumprimento de obriga legal (art. 6.1.c RXPD) |
| Seguridade e prevención de fraude | Detectar e previr usos non autorizados, abusos ou actividades fraudulentas na plataforma. | Interese lexítimo (art. 6.1.f RXPD) |
| Soporte ao cliente | Atender consultas, resolver incidencias e xestionar reclamacións. | Execución do contrato (art. 6.1.b RXPD) |
3. Datos Persoais que Tratamos
3.1. Datos do usuario (gandeiro / responsable da explotación)
- Nome e apelidos.
- Dirección de correo electrónico.
- Número de teléfono (se se proporciona).
- Identificador de usuario en Telegram (se vincula a explotación co bot).
- Dirección IP e datos de navegación (con fins de seguridade e mellora do servizo).
- Credenciais de autenticación (xestionadas de forma segura por Supabase Auth).
3.2. Datos da explotación
- Denominación da explotación ou finca.
- REGA (Rexistro Xeral de Explotacións Gandeiras) ou identificador oficial equivalente.
- Provincia e municipio.
- Tipo de explotación.
3.3. Documentos e contidos subidos
- Facturas, albarás, receitas veterinarias, guías sanitarias, documentos de transporte, notas, fotografías, audios e calquera arquivo que o usuario decida almacenar na plataforma.
- Advertencia importante: Estes documentos poden conter datos persoais de terceiros (provedores, compradores, veterinarios, transportistas). O usuario é responsable de contar coa lexitimación para tratar ditos datos.
3.4. Datos de contactos de terceiros
- Nome ou razón social de provedores e clientes.
- Números de identificación fiscal (NIF/CIF) cando figuren en documentos.
- Direccións e teléfonos cando se extraian de documentos.
3.5. Datos de animais (non persoais)
- Crotal, sexo, raza, datas e movementos de gando.
- Estes datos son técnicos e non constitúen datos persoais salvo que se vinculen directamente a unha persoa física identificable.
3.6. Datos económicos
- Importes de compras, vendas, gastos e ingresos.
- Categorías de transaccións.
- Estes datos son patrimoniais e protéxense conforme á normativa de protección de datos.
4. Base Xurídica do Tratamento
Gandeo trata os teus datos persoais cando existe unha base xurídica que o lexitime:
a) Execución dun contrato: cando o tratamento é necesario para prestarche o servizo contratado (xestión da túa conta, almacenamento de documentos, extracción de datos, etc.).
b) Cumprimento de obrigas legais: cando a lei nos obriga a conservar ou comunicar determinados datos (fiscais, contables, etc.).
c) Consentimento do interesado: para o envío de comunicacións comerciais ou para o tratamento de datos opcionais non estritamente necesarios para o servizo.
c bis) Consentimento para analítica: Google Analytics 4 configúrase con consentimento denegado por defecto e só mide páxinas ou eventos cando aceptas cookies analíticas. Podes rexeitalo e seguir usando Gandeo con cookies técnicas.
d) Interese lexítimo: para a seguridade do sistema, prevención de fraude, e mellora do servizo, sempre que ditos intereses non se vexan superados polos dereitos e liberdades do usuario.
5. Encargados de Tratamento e Transferencias Internacionais
5.1. Encargados de tratamento
Gandeo contrata os servizos de terceiros para o aloxamento, procesamento e mellora da plataforma. Estes terceiros actúan como encargados do tratamento e só acceden aos datos para prestar o servizo contratado:
| Encargado | Servizo prestado | Datos tratados | Garantías |
|---|---|---|---|
| Supabase, Inc. | Base de datos, autenticación e almacenamento de arquivos | Todos os datos persoais e documentos | Acordo de tratamento (DPA) e cláusulas contractuais tipo da Comisión Europea |
| Vercel, Inc. | Hosting, CDN e despregamento da aplicación web | Datos de navegación, cookies técnicas | Acordo de tratamento (DPA) e cláusulas contractuais tipo |
| Cloudflare, Inc. | Seguridade, DNS, CDN e almacenamento R2 para copias de seguridade | Datos de navegación, direccións IP, arquivos de base de datos de respaldo | Data Privacy Framework e cláusulas contractuais tipo |
| Mistral AI | Lectura documental OCR de documentos subidos | Contido de documentos (facturas, receitas, etc.) | Acuerdo de tratamento (DPA) e cláusulas contractuais tipo |
| OpenCode (provedor de IA) | Estruturación de datos extraídos de documentos | Texto extraído de documentos (sen identificadores persoais directos cando sexa posible) | Acordo de tratamento (DPA) |
| Google Ireland Limited / Google LLC | Google Analytics 4 para analítica agregada de uso baixo consentimento | Páxinas visitadas e eventos xerais sen datos de explotación nin contido documental | Condicións de tratamento de datos de Google, cláusulas contractuais tipo e configuración sen sinais publicitarias |
| Resend, Inc. | Envío de emails transaccionais e da newsletter do Radar mentres permaneza activa | Dirección de correo electrónico, contido do email e metadatos técnicos de entrega | Acordo de tratamento (DPA) e cláusulas contractuais tipo |
| Telegram FZ-LLC | Canle de comunicación e recepción de documentos | Identificador de chat de Telegram, documentos enviados polo usuario | Política de privacidade de Telegram e cláusulas contractuais tipo |
5.2. Analítica e limitación de datos enviados a Google
Gandeo configura Google Analytics 4 unicamente para analítica de produto e desactiva as sinais publicitarias. A integración non envía emails, nomes, teléfonos, nomes de explotación, IDs internos, importes, provedores, compradores, crotais, contido de documentos nin parámetros privados de URL.
As rutas privadas mídense de forma saneada cando procede, substituíndo identificadores por marcadores xenéricos. Por exemplo, unha ficha documental rexístrase como ruta de tipo documento, non co identificador real do documento ou arquivo.
5.3. Transferencias internacionais
Algúns encargados poden ter centros de datos ou sedes fóra do Espazo Económico Europeo (EEE). Nestes casos, Gandeo garante que ditas transferencias se realizan coas garantías esixidas polo RXPD:
- Acordos de tratamento (DPA) con cláusulas contractuais tipo da Comisión Europea.
- Decisións de adecuación da Comisión Europea, cando apliquen.
- Certificacións e mecanismos vinculantes recoñecidos.
O usuario pode solicitar información adicional sobre as garantías específicas aplicables a cada transferencia escribindo a soporte@gandeo.com.
6. Prazos de Conservación
Gandeo conserva os datos persoais unicamente durante o tempo necesario para cumprir as finalidades descritas e as obrigas legais aplicables:
| Categoría de datos | Prazo de conservación |
|---|---|
| Datos de conta de usuario | Mentres a conta estea activa. Tras a baixa, bloquéanse e suprímense tras os prazos legais esixidos (xeralmente 5 anos para obrigas fiscais). |
| Documentos e datos da explotación | Mentres a explotación estea activa na plataforma. O usuario pode solicitar a súa eliminación anticipada. |
| Datos de contactos de terceiros | Mentres sexan necesarios para a xestión da explotación ou ata que o usuario os elimine. |
| Datos de transaccións económicas | 5 anos conforme ao Código de Comercio español e normativa fiscal. |
| Rexistros de auditoría (audit_events) | 2 anos desde a realización da acción. |
| Datos de navegación e logs de seguridade | 1 ano. |
| Datos de analítica agregada en Google Analytics 4 | Prazo configurado en GA4 para a propiedade de Gandeo, recomendado 14 meses ou o mínimo necesario para análise de produto. |
| Datos de rate limits (hasheados) | 24 horas ou o prazo mínimo necesario para a protección do servizo. |
| Datos de lectura documental OCR (document_read_results) | Mentres o documento asociado exista na plataforma. |
| Borradores e metadatos de extracción IA | Mentres o documento asociado exista na plataforma ou ata que o usuario os elimine conforme ás opcións dispoñibles. |
Transcorridos estes prazos, os datos elimínanse, anonimízanse ou bloquéanse conforme á normativa.
7. Dereitos do Interesado
En virtude do RXPD e a LOPDGDD, o usuario ten os seguintes dereitos respecto aos seus datos persoais:
7.1. Dereito de acceso
Tes dereito a obter confirmación sobre se Gandeo está a tratar os teus datos persoais, así como a acceder a ditos datos e a solicitar información sobre:
- As finalidades do tratamento.
- As categorías de datos persoais tratados.
- Os destinatarios ou categorías de destinatarios.
- O prazo previsto de conservación.
- A existencia de decisións automatizadas.
7.2. Dereito de rectificación
Tes dereito a solicitar a rectificación dos datos persoais inexactos ou incompletos.
7.3. Dereito de supresión ("dereito ao esquecemento")
Tes dereito a solicitar a supresión dos teus datos persoais cando:
- Os datos xa non sexan necesarios para os fins para os que foron recollidos.
- Retires o consentimento no que se basea o tratamento.
- Te opoñas ao tratamento e non prevalezan outros motivos lexítimos.
- Os datos fosen tratados ilicitamente.
- Deba suprimirse por obriga legal.
Este dereito non é absoluto e pode verse limitado por obrigas legais de conservación (fiscais, contables) ou polo exercicio de dereitos de defensa en procedementos xudiciais.
7.4. Dereito á limitación do tratamento
Tes dereito a solicitar que limitemos o tratamento dos teus datos cando:
- Impugnaras a exactitude dos datos (durante o tempo de verificación).
- O tratamento sexa ilícito pero te opoñas á supresión.
- Gandeo xa non necesite os datos pero ti os necesites para reclamacións.
- Te opoñas ao tratamento baseado en interese lexítimo, mentres se verifica se prevalecen os motivos lexítimos.
7.5. Dereito á portabilidade
Tes dereito a recibir os datos persoais que nos facilitaras nun formato estruturado, de uso común e lectura mecánica, e a transmitilos a outro responsable do tratamento cando:
- O tratamento se basee no consentimento ou nun contrato.
- O tratamento se efectúe por medios automatizados.
Gandeo facilita a exportación dos teus datos en formatos CSV e ZIP desde o panel de Economía e Documentos.
7.6. Dereito de oposición
Tes dereito a opoñerte ao tratamento dos teus datos persoais cando:
- O tratamento se basee no interese lexítimo de Gandeo, salvo que acreditemos motivos lexítimos imperiosos ou o exercicio de reclamacións.
- Os datos trántense para fins de marketing directo, incluída a elaboración de perfís.
7.7. Dereito a non ser obxecto de decisións automatizadas
Gandeo utiliza intelixencia artificial para propoñer borradores de datos a partir de documentos. Estas propostas:
- Nunca se converten en datos definitivos sen confirmación humana explícita.
- Sempre se presentan como borradores revisables.
- O usuario ten o control final sobre que datos se gardan.
Neste sentido, non existen decisións automatizadas que produzan efectos xurídicos significativos para o usuario sen intervención humana.
7.8. Transparencia sobre o uso de IA
Gandeo informa cando unha proposta procede de IA e limita o seu uso a funcións de apoio documental e operativo. A IA pode ler documentos mediante OCR, estruturar texto extraído e suxerir borradores de datos, pero non toma decisións veterinarias, fiscais, xurídicas, crediticias, laborais nin administrativas.
Esta transparencia aplícase de acordo co RXPD, a LOPDGDD e o Regulamento (UE) 2024/1689 de Intelixencia Artificial. O usuario pode consultar máis detalle na Política de Uso de IA.
7.9. Exercicio de dereitos
Para exercer calquera destes dereitos, podes dirixirte a:
- Correo electrónico: soporte@gandeo.com
- Asunto: "Exercicio de dereitos RXPD — [o teu email rexistrado]"
- Contido: Indica claramente que dereito exerces, adxunta copia do teu DNI/NIE para verificar a túa identidade, e especifica os datos sobre os que actúa a solicitude.
Gandeo responderá á túa solicitude no prazo máximo dun mes, puidendo prorrogarse ata dous meses adicionais para solicitudes complexas, previa notificación.
O exercicio destes dereitos é gratuíto, salvo que se trate de solicitudes manifestamente infundadas ou excesivas.
8. Seguridade da Información
Gandeo adoptou as medidas técnicas e organizativas necesarias para garantir a seguridade dos datos persoais e evitar a súa alteración, perda, tratamento ou acceso non autorizado:
- Cifrado en tránsito: TLS 1.2 ou superior para todas as comunicacións.
- Cifrado en repouso: os documentos almacenados en Supabase Storage están cifrados.
- Control de acceso: Row Level Security (RLS) en PostgreSQL para illar datos entre explotacións.
- Autenticación segura: códigos OTP dun só uso, sen contrasinais persistentes.
- Auditoría: rexistro de accións críticas (subidas, confirmacións, exportacións, vinculacións).
- Rate limits: límites de frecuencia para previr abusos.
- Copias de seguridade: copias periódicas automatizadas.
9. Uso da Plataforma por Menores
Gandeo non está dirixida a menores de 18 anos. Se detectamos que un menor proporcionou datos persoais, procederemos a eliminar ditos datos e a dar de baixa a conta.
10. Cambios na Política de Privacidade
Gandeo resérvase o dereito de modificar esta Política de Privacidade para adaptala a novidades lexislativas ou cambios no servizo. As modificacións publicaranse nesta páxina coa data de actualización.
En caso de cambios substanciais, notificaremos aos usuarios rexistrados por email con polo menos 15 días de antelación.
11. Contacto
Para calquera consulta sobre esta Política de Privacidade ou o tratamento dos teus datos:
- Delegado de Protección de Datos (DPO): soporte@gandeo.com
- Asunto preferido: "Consulta Protección de Datos"
Se consideras que os teus dereitos non foron respectados, tes dereito a presentar unha reclamación ante a Axencia Española de Protección de Datos (AEPD):
- Web: www.aepd.es
- Dirección: C/ Jorge Juan, 6, 28001 Madrid
- Teléfono: 912 66 35 17
Última actualización: 17 de xuño de 2026