Menaki

Última actualización: 27 de abril de 2026

Política de Privacidad

Esta Política de Privacidad explica cómo Menaki trata los datos personales, en cumplimiento del Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679) y de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

1. Responsable del tratamiento

El responsable del tratamiento descrito en esta política es Pablo Llorens, persona física residente en España y registrada como trabajador autónomo. Puedes contactar con el responsable en hello@menaki.app. Por su tamaño y volumen de tratamiento, Menaki no está obligada a designar un Delegado de Protección de Datos; el responsable atiende directamente todas las solicitudes.

2. Datos que tratamos

Menaki trata las siguientes categorías de datos personales:

  • Datos de cuenta — tu correo electrónico y un hash criptográfico de tu contraseña. La gestión de identidad y de sesión está delegada en Pluralize, nuestro proveedor de autenticación (subencargado del tratamiento). En la interfaz puede mostrarse un nombre derivado de tu correo.
  • Contenido generado por ti — recetas, ingredientes, pasos, etiquetas, planes semanales, listas de la compra, elementos del congelador y preferencias de planificación (nutricionales, dietéticas, alergias declaradas). Es lo que hace útil el Servicio.
  • Archivos — imágenes de recetas que subes, almacenadas en Vercel Blob.
  • Uso de IA — el contenido del prompt enviado a Anthropic (Claude), la respuesta generada, contadores diarios de tokens consumidos y registros de auditoría asociados (endpoint, marca temporal, hash del input).
  • Datos operativos — dirección IP en el momento de registro y de inicio de sesión (necesaria para limitar abusos), registros de auditoría de acciones sensibles, marcas temporales de las peticiones y registros de errores necesarios para operar el Servicio de forma segura.
  • Cookies — ver la Política de Cookies.

3. Por qué tratamos esos datos (y con qué base legal)

Solo utilizamos tus datos para los siguientes fines, basándonos en las siguientes bases legales del artículo 6 RGPD:

  • Prestar el Servicio (cuenta, contenido, IA, archivos) — ejecución del contrato entre tú y Menaki (art. 6.1.b RGPD).
  • Asegurar el Servicio, prevenir abusos y aplicar límites de uso (datos operativos, IP, auditoría) — interés legítimo del Operador en mantener un Servicio seguro y evitar el fraude (art. 6.1.f RGPD), y obligación legal cuando proceda (art. 6.1.c RGPD).
  • Depurar, supervisar y mejorar el Servicio — interés legítimo (art. 6.1.f RGPD), limitado al mínimo necesario.
  • Responder a tus mensajes y enviar correos transaccionales (cuenta, facturación cuando aplique, seguridad) — ejecución del contrato e interés legítimo.

4. Encargados y subencargados del tratamiento

Menaki es una operación pequeña apoyada en infraestructura de terceros. Hemos elegido proveedores que ofrecen acuerdos de tratamiento conformes con el RGPD. La lista detallada y actualizada está en la página de Subencargados; resumen rápido:

  • Pluralize (España) — autenticación, identidad, facturación y entitlements.
  • Anthropic (EE. UU.) — proveedor de la API de Claude que ejecuta las funciones de IA.
  • Vercel (EE. UU.) — hosting de la aplicación, red edge y almacenamiento de imágenes (Vercel Blob).
  • Neon (UE/EE. UU.) — base de datos PostgreSQL gestionada que almacena tu contenido.

5. Compartición con terceros

No vendemos tus datos. No los compartimos con anunciantes, brókers de datos ni revendedores de analítica. Solo los entregamos a los encargados y subencargados listados en la página de Subencargados (que actúan siguiendo nuestras instrucciones contractuales) y, cuando la ley lo exija, a las autoridades competentes.

6. Transferencias internacionales

Menaki intenta mantener los datos dentro del Espacio Económico Europeo. Algunos subencargados (Anthropic, Vercel y, según región, Neon) pueden tratar datos en Estados Unidos. Estas transferencias se amparan en el Marco UE-EE. UU. de Privacidad de Datos (Data Privacy Framework, DPF) cuando el proveedor está certificado, o en Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914), junto con las garantías técnicas adecuadas (cifrado en tránsito y en reposo, acceso restringido).

7. Plazos de conservación

Solo conservamos los datos el tiempo necesario para los fines descritos:

  • Datos de cuenta y Tu Contenido — mientras tu cuenta esté activa. Tras la solicitud de eliminación, los datos residuales se borran en un plazo de 30 días, salvo cuando una norma legal exija un plazo mayor.
  • Recetas, planes, listas, congelador, preferencias e imágenes — hasta que los borres o cierres tu cuenta; eliminación efectiva en un plazo de 30 días tras la baja.
  • Registros de auditoría de IA y contadores de tokens — hasta 90 días para prevención de abuso, control de calidad y cumplimiento de los límites de uso contratados.
  • Registros operativos, IP de registro/inicio de sesión y registros de seguridad — hasta 90 días.
  • Registros de facturación y contables — durante 6 años, según exige la legislación mercantil y fiscal española.

8. Seguridad

Aplicamos medidas estándar del sector: HTTPS para todo el tráfico, almacenamiento cifrado en reposo, tokens de acceso con alcance limitado y caducidad, seguridad a nivel de fila (RLS) en la base de datos para aislar a cada cuenta, contraseñas con hash gestionado por Pluralize, actualizaciones regulares de dependencias y límites de tasa en endpoints sensibles. Ningún sistema es perfectamente seguro; aspiramos a una protección razonable, proporcionada y por capas.

9. Tus derechos

Conforme al RGPD y a la LOPDGDD, tienes derecho a:

  • solicitar acceso a tus datos personales;
  • solicitar la rectificación de datos inexactos;
  • solicitar la supresión ('derecho al olvido');
  • solicitar la limitación del tratamiento;
  • solicitar una copia portable, en formato estructurado y de uso común, de los datos que has proporcionado;
  • oponerte a un tratamiento basado en interés legítimo;
  • retirar tu consentimiento en cualquier momento, cuando el tratamiento se base en él, sin que ello afecte a la licitud del tratamiento previo.

Para ejercer cualquiera de estos derechos, escribe a hello@menaki.app indicando tu petición. Respondemos en un plazo máximo de un mes (prorrogable a dos por la complejidad). Si consideras que el tratamiento de tus datos no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD, www.aepd.es) o ante la autoridad de control de tu país de residencia en la UE.

10. Decisiones automatizadas

Menaki no toma decisiones automatizadas con efectos jurídicos o significativos sobre ti en el sentido del artículo 22 del RGPD. Las sugerencias y los textos generados por la IA son meramente informativos y siempre puedes ignorarlos.

11. Menores

Menaki no se dirige a menores de 16 años (umbral de consentimiento aplicable en España según la LOPDGDD). Si crees que un menor ha creado una cuenta, escríbenos para que la eliminemos.

12. Cambios en esta política

Podemos actualizar esta Política de Privacidad cada cierto tiempo. La fecha de 'última actualización' al inicio de la página indica cuándo se hizo el cambio más reciente. Los cambios sustanciales se anunciarán dentro de la app o por correo con un preaviso razonable.

13. Contacto

Las preguntas y solicitudes sobre privacidad pueden enviarse en cualquier momento a hello@menaki.app.

Menaki está operada por una persona física (autónomo) en España, no por una empresa registrada. Estos textos están redactados en lenguaje claro por el desarrollador y no han sido revisados por un abogado. Se ofrecen de buena fe. En caso de conflicto entre la versión local y la inglesa, prevalece la versión española.