← Volver al inicio

Política de Privacidad

Versión 2026-05-05 · Última actualización: 5 de mayo de 2026

En Jortan Labs, S.L. nos importa tu privacidad. Esta política explica con qué finalidades tratamos tus datos personales, sobre qué base jurídica, durante cuánto tiempo y con quién los compartimos cuando usas Clientely, ya sea como persona consumidora que escanea tickets para acumular puntos (en adelante, cliente final) o como negocio que utiliza nuestra plataforma para gestionar su programa de fidelización (en adelante, comercio).

Está redactada conforme al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE).

1. Responsable del tratamiento

El responsable del tratamiento de tus datos es:

  • Denominación social: Jortan Labs, S.L.
  • NIF: B-27626430
  • Domicilio social: Avenida Juan Luis Peralta 50, 29639 Benalmádena, Málaga (España)
  • Correo de contacto en materia de privacidad: hola@jortanlabs.com

No hemos designado Delegado de Protección de Datos al no concurrir los supuestos obligatorios del artículo 37 del RGPD. Para cualquier cuestión relacionada con tus datos personales, escríbenos al correo indicado más arriba.

2. Datos que tratamos de los clientes finales

Como cliente final que utiliza Clientely para acumular puntos, podemos tratar:

  • Datos de identificación y contacto: dirección de correo electrónico y, opcionalmente, nombre.
  • Credenciales: hash criptográfico de tu contraseña, si decides crear una para acceder a tu cartera (nunca almacenamos la contraseña en claro).
  • Datos de fidelización: saldo de puntos, tarjetas de sellos, historial de tickets escaneados, importe asociado y fecha.
  • Imagen del ticket: la fotografía que subes para validar la compra.
  • Identificadores técnicos antifraude: hash perceptual de la imagen para detectar tickets duplicados; no se utiliza para otros fines.
  • Datos de sesión: identificadores de sesión almacenados en cookies estrictamente necesarias.

La aportación de estos datos es voluntaria, pero su falta puede impedirte completar el registro o la acumulación de puntos.

3. Datos que tratamos de los comercios

Como comercio que contrata Clientely para gestionar su programa de fidelización, tratamos:

  • Datos identificativos del titular y de la persona usuaria: nombre, apellidos, correo electrónico y hash de la contraseña.
  • Datos identificativos del establecimiento: denominación, nombre comercial, NIF/CIF, domicilio fiscal y, en su caso, datos de facturación.
  • Datos de la cuenta: plan contratado, configuración del programa de fidelización, parámetros de marca (logotipo, colores) y preferencias de canje.
  • Datos extraídos automáticamente de tickets de muestra durante el alta: denominación impresa en el ticket, NIF, dirección y teléfono. Su única finalidad es identificar de forma fiable los tickets aportados por sus clientes.
  • Datos de uso: volumen de tickets procesados, canjes efectuados, métricas operativas del panel.

4. Finalidades y base jurídica del tratamiento

  • Prestación del servicio (ejecución del contrato; art. 6.1.b RGPD): crear y mantener tu cuenta, identificar tickets, calcular puntos, gestionar canjes y, en el caso de los comercios, ejecutar la relación SaaS contratada.
  • Atención al cliente y soporte (art. 6.1.b RGPD): responder a tus consultas, resolver incidencias y comunicarte aspectos esenciales del servicio.
  • Prevención del fraude y seguridad (interés legítimo; art. 6.1.f RGPD): aplicar limitaciones de tasa, detectar tickets duplicados mediante hashes perceptuales y registrar eventos de abuso.
  • Cumplimiento de obligaciones legales (art. 6.1.c RGPD): emisión y conservación de facturas, atención de requerimientos administrativos y judiciales.
  • Comunicaciones comerciales propias (consentimiento; art. 6.1.a RGPD y art. 21 LSSI-CE): si nos lo autorizas expresamente, podremos enviarte novedades sobre nuevas funcionalidades. Puedes retirar tu consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento previo.

No realizamos elaboración de perfiles con efectos jurídicos significativos en el sentido del artículo 22 RGPD. La extracción de datos de los tickets mediante inteligencia artificial (OCR) asiste el cálculo de puntos, pero el comercio puede siempre revisar y, en su caso, corregir los importes y los canjes antes de entregar la recompensa.

5. Plazos de conservación

Conservamos tus datos durante los siguientes plazos:

CategoríaPlazo
Datos de cuenta (cliente o comercio)Mientras la cuenta esté activa. Tras solicitar la baja, se eliminan o se anonimizan en un plazo máximo de 30 días, salvo obligación legal de conservación.
Tickets, imágenes de tickets y movimientos de puntosDurante la relación contractual y, posteriormente, hasta 4 años (art. 30 del Código de Comercio).
Datos de facturación de comercios6 años desde la emisión de la factura (art. 29 LGT y art. 30 CCom).
Registros antifraude y de seguridadHasta 12 meses por interés legítimo en la prevención del fraude.
Solicitudes de derechos y comunicaciones legalesHasta tres años desde la última actuación, para acreditar el cumplimiento del RGPD.

Una vez expirado el plazo aplicable, los datos se suprimen o se anonimizan de forma irreversible.

6. Destinatarios y encargados de tratamiento

No vendemos tus datos personales a terceros. Para prestar el servicio recurrimos a los siguientes proveedores, que actúan como encargados de tratamiento bajo contrato (DPA) y solo procesan los datos con nuestras instrucciones:

EncargadoFinalidadUbicación
Supabase Inc.Base de datos y almacenamiento de imágenes de tickets.Unión Europea
Anthropic, PBCLectura automática (OCR) de la imagen del ticket para extraer importe, fecha y datos identificativos del comercio.EE. UU. (Cláusulas Contractuales Tipo)
Resend, Inc.Envío de correos transaccionales (enlaces de acceso, notificaciones de cuenta).EE. UU. (Cláusulas Contractuales Tipo)
Upstash, Inc.Limitación de tasa y prevención de abuso.Unión Europea
Vercel, Inc.Alojamiento del sitio y entrega de contenido.Red global (servidores europeos como región principal)

Los datos podrán comunicarse, además, a las administraciones públicas, autoridades judiciales o fuerzas y cuerpos de seguridad cuando exista una obligación legal que así lo exija.

7. Transferencias internacionales

Algunos de nuestros encargados (Anthropic, Resend) están establecidos en Estados Unidos. Cuando el tratamiento implique una transferencia internacional, esta se realiza al amparo de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión (UE) 2021/914), complementadas con las medidas técnicas y organizativas adicionales que resulten necesarias.

La base de datos principal se aloja en regiones de la Unión Europea.

8. Tus derechos

En relación con tus datos personales, puedes ejercer los siguientes derechos:

  • Acceso: conocer qué datos tratamos sobre ti.
  • Rectificación: corregir datos inexactos o incompletos.
  • Supresión: solicitar la eliminación de tus datos cuando ya no sean necesarios o retires el consentimiento.
  • Oposición: oponerte al tratamiento basado en interés legítimo.
  • Limitación: solicitar la suspensión del tratamiento mientras se verifica la legitimidad o la exactitud de los datos.
  • Portabilidad: recibir tus datos en un formato estructurado y de uso común, o solicitar su transmisión a otro responsable.
  • Revocación del consentimiento, sin efectos retroactivos.
  • No estar sujeto a decisiones individuales automatizadas con efectos jurídicos relevantes.

Para ejercerlos, escríbenos a hola@jortanlabs.com indicando el derecho que deseas ejercer y, si es necesario para verificar tu identidad, adjuntando una copia de un documento identificativo. Responderemos en el plazo máximo de un mes, prorrogable en dos meses adicionales en casos de especial complejidad.

Si entiendes que no hemos atendido correctamente tu solicitud o que se han vulnerado tus derechos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

9. Medidas de seguridad

Aplicamos medidas técnicas y organizativas adecuadas al nivel de riesgo del tratamiento, entre otras:

  • Cifrado de las comunicaciones mediante TLS.
  • Cifrado en reposo de la base de datos en nuestra infraestructura de Supabase.
  • Almacenamiento de contraseñas mediante funciones de derivación criptográfica (bcrypt).
  • Cookies de sesión accesibles únicamente desde el servidor (HttpOnly, SameSite=Lax).
  • Control de acceso basado en roles, separación de entornos y registro de eventos de seguridad.
  • Limitación automática del número de intentos de envío de enlaces de acceso por dirección de correo.

10. Menores de edad

Clientely no está dirigido a menores de 14 años. Si tienes menos de esa edad, no debes registrarte ni facilitarnos datos personales. Si tenemos conocimiento de que hemos recogido datos de un menor sin el consentimiento de quien ostente la patria potestad o tutela, los suprimiremos a la mayor brevedad.

11. Cambios en esta política

Podemos actualizar esta Política de Privacidad para reflejar cambios legales, tecnológicos o de funcionalidad. Cuando los cambios sean sustanciales te avisaremos a través del propio servicio o, si es preciso, por correo electrónico. La versión vigente siempre estará disponible en esta página, identificada con su número de versión y fecha.

Si tienes cualquier duda, puedes ponerte en contacto con nosotros en hola@jortanlabs.com o consultar nuestros Términos de Uso y nuestra Política de Cookies.