Política de Privacidad
Última actualización: 17 de junio de 2026
Esta Política de Privacidad explica cómo PlantCare trata tus datos personales cuando usas la aplicación móvil, la versión web y este sitio. PlantCare es una aplicación agrícola; no es una aplicación médica ni sanitaria.
1. Responsable del tratamiento
- Identidad: XGRABU INNOVATIONS SLU («XG Innova»).
- NIF/CIF: B55120991
- Domicilio: Travessia de la Creu, 6, 17002 Girona, España
- Email de contacto: soporte@xginnova.com
El titular es responsable del tratamiento de los datos personales tratados a través de la aplicación PlantCare.
2. Contacto en materia de privacidad / Delegado de Protección de Datos
Para cualquier cuestión relativa a la privacidad o al ejercicio de tus derechos: privacidad@xginnova.com.
Delegado de Protección de Datos (DPO): No se ha designado un Delegado de Protección de Datos por no resultar legalmente obligatorio. Canal de privacidad: privacidad@xginnova.com.
3. Categorías de datos que tratamos
- Datos de cuenta: nombre (tuyo o de tu explotación), email, contraseña (almacenada de forma cifrada/hash en el backend, nunca en texto plano), identificador de usuario y token de sesión (JWT).
- Datos del módulo Mapa: coordenadas (latitud/longitud) del aviso, cultivo, plaga o enfermedad, nivel de alerta (1-5), visibilidad (pública/privada), foto opcional (cámara o galería) y comentarios de texto.
- Ubicación del dispositivo (GPS): coordenadas precisas o aproximadas obtenidas mediante el permiso de ubicación del sistema operativo. Se usan para centrar el mapa en tu posición y para situar un aviso en tu ubicación actual. Solo se recoge cuando usas el mapa y has concedido el permiso; puedes ajustar el punto manualmente. La app solicita este permiso «mientras se usa la app».
- Datos de perfil: los campos que edites en tu perfil.
- Consultas de búsqueda: términos de búsqueda en el catálogo y consultas a la búsqueda con IA.
- Datos técnicos: dirección IP, identificador de agente de usuario (User-Agent) y registros (logs) de acceso y seguridad.
- Datos de suscripción/compra (si la versión los mantiene): gestionados por Apple App Store o Google Play; nosotros no almacenamos los datos de pago.
- Token de notificaciones push (FCM): este dato solo se tratará cuando se active la función de notificaciones, que está prevista pero no activa en la versión actual. No se recoge a día de hoy.
4. Finalidades del tratamiento
- Crear y gestionar tu cuenta y autenticarte.
- Prestar el módulo Mapa, incluida la publicación de avisos públicos y comentarios visibles a otros usuarios.
- Centrar el mapa y situar avisos mediante tu ubicación (cuando concedes el permiso).
- Responder a tus búsquedas, incluida la búsqueda con IA.
- Enviar notificaciones push (cuando esta función se active).
- Gestionar suscripciones (en su caso).
- Permitir la recuperación de contraseña por email.
- Garantizar la seguridad y prevenir abusos.
- Elaborar estadísticas agregadas (en su caso).
5. Base jurídica de cada tratamiento (art. 6 RGPD)
- Ejecución del contrato (art. 6.1.b): gestión de cuenta, módulo Mapa, búsquedas y, en su caso, suscripciones.
- Consentimiento (art. 6.1.a): acceso a la ubicación del dispositivo (permiso del sistema operativo), acceso a la cámara/galería para adjuntar fotos, notificaciones push y, en su caso, analítica no esencial. Puedes retirar el consentimiento en cualquier momento desde los ajustes del dispositivo o de la app.
- Interés legítimo (art. 6.1.f): seguridad, prevención de abusos y mejora del servicio.
- Obligación legal (art. 6.1.c): conservación de datos de facturación de compras, en su caso.
La ubicación se utiliza para centrar el mapa y para situar el aviso en el punto que decidas; no se realiza rastreo continuo ni en segundo plano.
6. Destinatarios y encargados del tratamiento
- Backend propio
plantcare.xginnova.com(XG Innova), alojado en clouding.io (Barcelona, España — UE): cuentas, avisos, fotos, comentarios, perfil, recuperación de contraseña y catálogo del MAPA. Recibe la IP y el User-Agent del dispositivo. - Apple App Store / Google Play: distribución y, en su caso, suscripciones (EE. UU.).
- Google Firebase Cloud Messaging (FCM): notificaciones push, cuando esta función se active (Google LLC, EE. UU.).
- Proveedor de mapas (tiles): OpenStreetMap Foundation (Reino Unido/UE), con previsión de migración a MapTiler AG (Suiza, país con decisión de adecuación de la UE); recibe la IP y la zona del mapa que visualizas.
- Google Fonts: descarga de la tipografía en tiempo de ejecución de la web (expone la IP a Google).
- Proveedor del modelo de IA (LLM): OpenAI, L.L.C. (EE. UU.).
- Proveedor de email transaccional: okITup (Blanes, Girona, España — UE); servidor de correo xg01ww01.okitup.net; envía el correo de recuperación de contraseña y otras comunicaciones del servicio.
7. Transferencias internacionales
Algunos proveedores pueden tratar datos fuera del Espacio Económico Europeo (EEE): Apple y Google (EE. UU.); Firebase/FCM (EE. UU.), cuando se active; y el proveedor de IA, si fuera estadounidense. En estos casos las transferencias se amparan en Cláusulas Contractuales Tipo (SCC) de la Comisión Europea y/o en el EU-US Data Privacy Framework cuando el proveedor esté certificado. Damos preferencia a proveedores ubicados en la UE.
8. Plazos de conservación
- Datos de cuenta y avisos: mientras la cuenta esté activa.
- Tras la baja: se suprimen o anonimizan en un plazo razonable (tras la baja, los datos se suprimen o anonimizan en un plazo máximo de 30 días; los datos contables y fiscales se conservan 6 años (art. 30 del Código de Comercio) y 4 años a efectos tributarios (Ley General Tributaria)), salvo obligación legal de conservación (por ejemplo, facturación).
- Logs técnicos y de seguridad: durante el tiempo necesario para las finalidades de seguridad y prevención de abusos.
9. Tus derechos
Puedes ejercer los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición, así como retirar el consentimiento y el derecho a no ser objeto de decisiones individuales automatizadas. Para ejercerlos, escríbenos a privacidad@xginnova.com.
Puedes eliminar tu cuenta y todos tus datos directamente desde la página de eliminación de cuenta.
10. Reclamaciones ante la autoridad de control
Si consideras que el tratamiento no se ajusta a la normativa, puedes reclamar ante la Agencia Española de Protección de Datos (AEPD), www.aepd.es.
11. Menores de edad
PlantCare está dirigida a personas mayores de 14 años (art. 7 de la LOPDGDD). No dirigimos la aplicación a menores de esa edad ni recogemos conscientemente sus datos.
12. Decisiones automatizadas e inteligencia artificial
La búsqueda con IA (basada en los documentos PDF oficiales del MAPA) tiene carácter informativo. No constituye una decisión automatizada con efectos jurídicos ni elaboración de perfiles. Sus respuestas pueden contener errores («alucinaciones») y no sustituyen el asesoramiento técnico agronómico. Consulta el descargo de responsabilidad en las Condiciones de Uso.
13. Carácter obligatorio de los datos
El email y la contraseña son necesarios para crear una cuenta y usar el módulo Mapa. Sin ellos no es posible registrarse ni utilizar esas funciones.
14. Seguridad
- Todas las comunicaciones se cifran en tránsito mediante HTTPS (servidor con Caddy).
- Las contraseñas se almacenan con función de hash en el backend; nunca en texto plano.
- El token de sesión (JWT) se almacena cifrado en el dispositivo
(Keychain en iOS; EncryptedSharedPreferences + Keystore en Android, mediante
flutter_secure_storage). Este cifrado se refiere específicamente al token de sesión.
15. No realizamos seguimiento entre apps
No usamos tus datos para el seguimiento entre aplicaciones o sitios web de terceros (no utilizamos el marco ATT de Apple ni identificadores publicitarios). Si en el futuro se integrara algún SDK de terceros (por ejemplo, Firebase/FCM), reevaluaremos y actualizaremos esta declaración.
16. Usuarios de Latinoamérica
Este apartado complementa la política para usuarios residentes en Latinoamérica.
- Alojamiento y transferencia internacional: los datos se alojan en servidores en la Unión Europea. La UE cuenta con un nivel de adecuación reconocido por Colombia (SIC) y por Argentina (AAIP); resultan aplicables las garantías del RGPD.
- Consentimiento: en el registro se solicita el consentimiento mediante una casilla no premarcada que autoriza el tratamiento y la transferencia de los datos a la UE; se conserva prueba de dicho consentimiento.
- Consentimientos específicos: se solicita consentimiento específico para el acceso a la ubicación del dispositivo, para el acceso a la cámara/galería al adjuntar fotos y para la publicación de la coordenada al crear avisos, advirtiendo de que los avisos públicos pueden hacerse visibles a otros usuarios junto al nombre del autor y revelar la ubicación de la explotación.
- Derechos ARCO (acceso, rectificación, cancelación y oposición), además de portabilidad, revocación del consentimiento y oposición a decisiones automatizadas. En Venezuela y Bolivia es aplicable la acción de habeas data.
- Autoridades de control por país: SIC (Colombia), AAIP (Argentina), SPDP (Ecuador) y, en México, la Secretaría Anticorrupción y Buen Gobierno.
- México: en la pantalla de recogida de datos se ofrece un aviso de privacidad simplificado que enlaza con este aviso de privacidad integral, conforme a la LFPDPPP (marzo de 2025).
- Ecuador: registro de transferencias y notificación de incidentes conforme a la LOPDP. Referencia normativa concreta: [[A RELLENAR: Referencia exacta de la Norma de Transferencia de la SPDP (Ecuador) y demás requisitos locales validados por el asesor]].
17. Cambios en esta política
Podemos actualizar esta Política de Privacidad. Publicaremos la versión vigente en esta misma página, indicando la fecha de última actualización que figura al inicio.
Véase también: Aviso Legal · Condiciones de Uso · Política de Cookies · Eliminar cuenta.
PlantCare