Política de Privacidad

Última actualización: 29 de mayo de 2026

Coffee Break Club ("nosotros", "Coffee Break Club" o "la app") opera una plataforma de suscripción de café en Panamá disponible en coffeebreakclub.app y en sus apps nativas para iOS y Android. Esta política explica qué información recolectamos, con qué base legal, cómo la usamos, con quién la compartimos y los derechos que tienes sobre ella conforme a la Ley 81 de 2019 sobre Protección de Datos Personales de la República de Panamá. Al crear una cuenta aceptas los términos aquí descritos.

Si llegas a esta política desde fuera de Panamá: el servicio está dirigido al mercado panameño, pero respetamos derechos equivalentes reconocidos por leyes que te apliquen a ti como usuario.

1. Quién es el responsable del tratamiento

Coffee Break Club es el responsable del tratamiento de tus datos personales. Para cualquier consulta sobre esta política, ejercer tus derechos o reportar una incidencia escribe a privacidad@coffeebreakclub.app. Nuestro contacto comercial está en Ciudad de Panamá, Panamá.

2. Información que recolectamos

a. Información que tú nos proporcionas

• Nombre completo, correo electrónico y teléfono.
• Contraseña — almacenada con un algoritmo de hash one-way mediante nuestro proveedor de autenticación (Supabase). El texto plano de tu contraseña nunca se guarda ni en nuestra base de datos ni en la suya.
• Datos de pago. Los números de tarjeta NO se almacenan en nuestros servidores: los procesa nuestro proveedor de pagos (Paguelo Fácil) bajo los estándares PCI-DSS. Solo recibimos un identificador tokenizado, los últimos cuatro dígitos y la marca de la tarjeta.
• Código de referido, plan de suscripción seleccionado y preferencias de marketing (opt-in/opt-out de correos opcionales).
• Foto de perfil, solo si decides subirla.

b. Información generada por tu uso del servicio

• Historial de canjes (qué bebida redimiste, en qué café aliado, fecha y hora), nivel de bebida, add-ons (leche alterna, syrups, shot extra) y uso de Milk Pass.
• Logs de seguridad (audit_logs): inicios de sesión, cambios de email o contraseña, generación y cancelación de QR, eliminación de cuenta.
• Dirección IP, user-agent del navegador, modelo y sistema operativo del dispositivo. Lo usamos para prevención de abuso, depuración de fallos y soporte.
• Identificadores de suscripción a notificaciones push (endpoint Web Push o token APNs/FCM) si activas notificaciones.
• Métricas de desempeño básicas (tiempos de carga, errores) sin identificadores personales. No usamos analytics de terceros que construyan perfiles publicitarios.

c. Permisos del dispositivo (app móvil)

• Cámara: solo para que los cafés aliados escaneen el código QR que generas. No grabamos ni subimos video.
• Notificaciones push: recordatorios de canje y avisos operativos. Opcional — la app funciona sin ellas.
• Fotos / archivos: solo si eliges subir una foto de perfil.

d. Cookies y almacenamiento local

Usamos cookies y almacenamiento del navegador (localStorage, IndexedDB) estrictamente necesarios para mantener tu sesión iniciada, recordar tus preferencias y operar el service worker de la PWA. No usamos cookies de publicidad ni de terceros para tracking.

3. Base legal del tratamiento

Tratamos tus datos personales bajo las siguientes bases legales contempladas en la Ley 81 de 2019:

• Ejecución del contrato: para crear y administrar tu cuenta, cobrar la suscripción, procesar canjes y prestar el servicio.
• Cumplimiento de obligaciones legales: para facturación, conservación contable y respuesta a requerimientos de autoridades.
• Interés legítimo: para prevención de fraude, seguridad de la plataforma y mejora del servicio.
• Consentimiento: para envíos de marketing opcionales, notificaciones push y la foto de perfil. Puedes retirar tu consentimiento en cualquier momento sin afectar el servicio principal.

4. Cómo usamos tu información

• Procesar tu suscripción, cobros y canjes.
• Mostrar tu saldo de bebidas y tu historial.
• Enviarte notificaciones operativas indispensables (renovación, recibos, avisos de seguridad). Estas no son opcionales mientras mantengas la suscripción activa.
• Enviarte correos opcionales (novedades, tips de uso, referidos) solo si los activaste. Cada correo opcional incluye un enlace de un solo clic para cancelar.
• Prevenir fraude y abuso: canjes duplicados, abuso de referidos, intentos de inicio de sesión sospechosos, scraping.
• Atender solicitudes de soporte que tú nos envíes.
• Cumplir obligaciones legales y responder a autoridades competentes cuando lo requiera la ley.

No usamos tus datos para tomar decisiones automatizadas con efectos legales sobre ti más allá de la prevención de fraude descrita.

5. Con quién compartimos información

Compartimos lo estrictamente necesario con:

• Cafés aliados: al canjear, el café ve tu nombre de pila, el tipo de plan y la bebida que pediste. No ve tu correo, teléfono ni datos de pago.
• Paguelo Fácil (proveedor de pagos): para procesar cobros de suscripción. Recibe únicamente los datos necesarios para la transacción.
• Supabase (autenticación y base de datos), Vercel (hosting + entrega de la app), Resend (envío de correos), Apple Push Notification service y Firebase Cloud Messaging (notificaciones push nativas). Actúan como encargados del tratamiento bajo nuestros acuerdos.
• Autoridades públicas: únicamente cuando una ley aplicable nos obligue o cuando sea necesario para defender derechos ante tribunales.

Nunca vendemos tus datos personales ni los cedemos a terceros con fines publicitarios.

6. Transferencias internacionales

Algunos de nuestros proveedores (Supabase, Vercel, Resend, APNs, FCM) operan servidores fuera de Panamá, principalmente en Estados Unidos. Al usar el servicio aceptas esta transferencia. Mantenemos con cada proveedor cláusulas contractuales que exigen un nivel de protección equivalente al previsto en la Ley 81 de 2019, incluyendo cifrado en tránsito, controles de acceso y obligaciones de notificación ante incidentes.

7. Retención de datos

• Datos de cuenta activa: mientras mantengas la suscripción.
• Historial de canjes: 24 meses por motivos fiscales y de conciliación de pagos con cafés aliados.
• Audit logs y registros de seguridad: 24 meses para investigación de fraude. Tu identificador se anonimiza al eliminar la cuenta.
• Facturación y comprobantes: según el plazo mínimo de conservación contable y tributaria exigido en Panamá.
• Tras eliminar tu cuenta: tu información personal se borra o anonimiza dentro de los 30 días siguientes, salvo lo que debamos conservar por obligación legal.

8. Tus derechos (ARCOP)

Conforme a la Ley 81 de 2019 tienes derecho a:

• Acceso: saber qué datos tenemos sobre ti.
• Rectificación: corregir datos inexactos o desactualizados.
• Cancelación o supresión: eliminar tus datos (sujeto a obligaciones legales).
• Oposición: oponerte a tratamientos no indispensables para prestar el servicio.
• Portabilidad: recibir tu información en formato estructurado y de uso común.
• Revocar consentimiento: retirar autorizaciones que hayas dado (marketing, push, foto) sin afectar tu suscripción.

Cómo ejercer tus derechos

• Acceso y rectificación: desde tu dashboard (Mi cuenta).
• Eliminar tu cuenta: desde Ajustes o visitando coffeebreakclub.app/delete-account. La eliminación es inmediata.
• Portabilidad, oposición y revocación: escríbenos a privacidad@coffeebreakclub.app. Respondemos en un plazo máximo de 10 días hábiles.

Si consideras que no atendimos correctamente tu solicitud, puedes presentar una queja ante la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) de Panamá.

9. Seguridad

Aplicamos cifrado en tránsito (HTTPS obligatorio con HSTS), Row-Level Security en la base de datos, rate-limiting contra fuerza bruta, autenticación basada en cookies httpOnly + secure y registro inmutable de eventos sensibles (audit logs).

Ningún sistema es 100% infalible. Si detectamos un incidente que afecte tus datos personales te notificaremos sin dilación injustificada (dentro de 72 horas en la medida de lo posible) y comunicaremos a ANTAI cuando la ley lo exija.

10. Menores de edad

El servicio está dirigido a personas mayores de 18 años. No recolectamos conscientemente datos de menores. Si detectamos una cuenta de un menor, la cerramos y eliminamos los datos asociados. Si eres padre, madre o tutor y crees que un menor a tu cargo creó una cuenta, escríbenos a privacidad@coffeebreakclub.app.

11. Cambios a esta política

Si introducimos cambios materiales te avisaremos por correo y dentro de la app con al menos 15 días de anticipación. Cambios menores (correcciones tipográficas, aclaraciones que no alteren el alcance) se publican directamente. La fecha de Última actualización al inicio de esta página refleja la versión vigente.

12. Contacto

Para cualquier pregunta sobre esta política o para ejercer tus derechos:
privacidad@coffeebreakclub.app