Bonro
Privacidad

Política de privacidad

Última actualización: 7 de mayo de 2026

Hemos construido Bonro para autónomos europeos. Eso significa que el GDPR no es una casilla, es la arquitectura. Aquí explicamos qué recogemos, por qué, y cómo recuperarlo o borrarlo.

En resumen

  • Los tickets se leen en tu móvil. Recibimos el texto procesado, no tus fotos en bruto en nuestra analítica.
  • Nunca vendemos tus datos. No los compartimos para publicidad. No metemos rastreadores de terceros en la app.
  • Tus datos viven en servidores de la UE (Fráncfort). Puedes exportar todo o eliminar tu cuenta desde la app.
  • Los reportes de fallos van a Sentry con datos personales borrados. El estado de suscripción pasa por RevenueCat para la facturación.

1. Quién es responsable

Bonro lo opera Exenrun UG (haftungsbeschränkt), una sociedad limitada alemana con sede en Berlín. Para cualquier pregunta de privacidad: info@bonro.app. Somos el responsable del tratamiento conforme al art. 4(7) del GDPR.

2. Qué recogemos

Intentamos recoger lo mínimo posible.

  • Cuenta: dirección de email (inicio de sesión), un ID de usuario anónimo y tu estado de suscripción.
  • Tickets: la foto que escaneas, el texto OCR extraído en tu dispositivo y los campos estructurados (comercio, importe, IVA, categoría, fecha). Almacenados cifrados en reposo en Supabase Storage y Postgres, región Fráncfort.
  • Empresas: razón social, dirección, NIF/CIF que introduzcas para los exportes.
  • Telemetría de uso: eventos anónimos sin contenido como «ticket capturado» — nunca el contenido del ticket. Nos sirve para saber si las funciones funcionan, no quién eres.
  • Datos de fallos: diagnósticos técnicos vía Sentry. Campos personales, nombres de comercio e importes se eliminan en el dispositivo antes del envío.

3. Por qué los recogemos

Para: (a) iniciar tu sesión y recordar tu dispositivo; (b) procesar, almacenar y mostrar tus tickets; (c) generar las exportaciones fiscales que pidas; (d) facturarte correctamente vía la App Store y nuestro proveedor RevenueCat; (e) que la app funcione y se corrijan los fallos; (f) responder a tu email de soporte. Bases legales: ejecución del contrato (art. 6.1.b GDPR) para el servicio, interés legítimo (art. 6.1.f) para diagnósticos y prevención de abusos, consentimiento (art. 6.1.a) para analítica opcional cuando proceda.

4. Quién más lo ve

Solo los encargados del tratamiento que necesitamos para operar el servicio. Cada uno está vinculado por un contrato de tratamiento conforme a la UE.

  • Supabase (Fráncfort, UE) — base de datos, autenticación, almacenamiento de archivos, edge functions.
  • API de Google Gemini — recibe el *texto* OCR de tu ticket para estructurarlo en campos. No enviamos imágenes. El texto se trata en tránsito y no se usa para entrenar modelos.
  • RevenueCat — gestiona tu recibo de compra in-app de iOS con Apple. Recibe un ID de usuario de Bonro y tus eventos de compra.
  • Sentry — monitorización de errores y fallos. Recibe diagnósticos anonimizados, campos personales borrados.
  • Resend — envía los emails con el código de inicio de sesión. Recibe tu email y el código de un solo uso.
  • Apple / Google — gestionan la distribución por App Store y la facturación de suscripciones bajo sus propias políticas.

5. Cuánto tiempo lo guardamos

Mientras tu cuenta esté activa, conservamos tus tickets y exportes para que la app funcione. Al eliminar la cuenta, borramos perfil, tickets y exportes en 30 días. Las copias de seguridad se rotan en 60 días. Podemos conservar registros fiscales y de facturación durante el periodo exigido por la ley alemana (hasta 10 años), con datos personales no esenciales tachados.

6. Tus derechos

Bajo el GDPR puedes: acceder a tus datos (art. 15), rectificarlos (art. 16), suprimirlos (art. 17), limitar u oponerte al tratamiento (arts. 18 / 21), recibirlos en formato portable (art. 20) y reclamar ante una autoridad de control (art. 77). Lo más rápido es desde la app: Ajustes → Exportar datos, Ajustes → Eliminar cuenta. También puedes escribir a info@bonro.app y lo gestionamos manualmente.

7. Transferencias internacionales

Tus datos viven en la UE. Algunos encargados (Google Gemini, Sentry, RevenueCat, Resend) pueden tratar datos en EE. UU. Cuando ocurre, nos apoyamos en el EU–US Data Privacy Framework o en cláusulas contractuales tipo aprobadas por la Comisión Europea.

8. Seguridad

Datos cifrados en tránsito (TLS 1.2+) y en reposo. El acceso a producción está limitado a los fundadores. Las claves de service-role nunca viven en dispositivos. Los logs de fallos se limpian de nombres de comercio e importes antes de salir del móvil.

9. Menores

Bonro está pensado para adultos en activo — autónomos y dueños de pequeñas empresas. No se dirige a menores de 16. Si crees que un menor ha creado una cuenta, escríbenos y la eliminaremos.

10. Cambios

Actualizaremos esta página cuando cambie algo relevante y revisaremos la fecha. Para cambios importantes, te avisaremos en la app o por email antes de que entren en vigor.

11. Contacto

Preguntas de privacidad: info@bonro.app · Dirección postal: Exenrun UG (haftungsbeschränkt), Berlín, Alemania.