Política de privacidad
Versión 2026-01-01 · vigente desde el 2026-01-01
En ReparaBarris nos tomamos la privacidad muy en serio. Esta política explica qué tratamos, para qué, durante cuánto tiempo, quién accede, y cómo puedes ejercer tus derechos. Está redactada para ser entendible y, a la vez, cumplir el Reglamento (UE) 2016/679 (RGPD) y la LOPDGDD 3/2018.
1. Resumen en 30 segundos
- Las incidencias son anónimas para el público. Si das tu email solo lo ve el ayuntamiento y solo para contactarte.
- Las fotografías solo son visibles para el personal autorizado del ayuntamiento, nunca para el público en general. Así protegemos peatones, vehículos y propiedades que puedan aparecer.
- Eliminamos automáticamente los datos EXIF de las fotos (incluida la geolocalización del dispositivo) y procuramos difuminar caras y matrículas.
- Puedes reportar sin dar ningún dato personal.
- Si quieres, puedes ejercer todos tus derechos RGPD escribiendo a dpd@reparabarris.cat.
2. Quiénes somos — Responsables y encargado
ReparaBarris es una plataforma multimunicipio. La figura legal cambia según quién acumula qué:
2.1. Responsable del tratamiento
Es el Ayuntamiento del municipio donde se ha reportado la incidencia, en ejercicio de las competencias propias que le otorga la Ley 7/1985 reguladora de las bases del régimen local. El ayuntamiento decide la finalidad y los medios del tratamiento. Puedes contactar con su Delegado de Protección de Datos a través de la web municipal correspondiente.
2.2. Encargado del tratamiento
Es ReparaBarris S.L., que trata los datos en nombre y por cuenta del ayuntamiento, siguiendo un contrato de encargo firmado conforme al artículo 28 RGPD. Puedes contactar con nuestro Delegado de Protección de Datos en dpd@reparabarris.cat.
3. Qué datos tratamos y de dónde vienen
| Dato | Origen | Obligatorio |
|---|---|---|
| Ubicación indicada en el mapa (lat/lng) | Tú, marcando un punto o usando la geolocalización del navegador | Sí, para identificar el municipio competente |
| Dirección textual (calle, número) | Tú y, opcionalmente, geocodificación inversa OpenStreetMap | No |
| Descripción textual | Tú | Sí (mín. 10 caracteres) |
| Fotografías (hasta 5) | Tú | No |
| Email de contacto | Tú | No — solo si quieres recibir notificaciones |
| Hash anónimo de sesión (SHA-256 de IP+UA+secret) | Automático | Sí, para evitar abuso |
| Categorización, severidad, análisis técnico | Generado por IA a partir de lo aportado | Automático |
Nunca almacenamos tu IP en claro, ni cookies de seguimiento publicitario, ni datos de tu dispositivo más allá de lo que el navegador envía por defecto.
4. Para qué usamos tus datos
- Gestionar la incidencia que has reportado: clasificarla, asignarla, resolverla y comunicarte el estado.
- Generar estadísticas agregadas y anonimizadas para el municipio y para la página pública de clasificación.
- Detectar incidencias duplicadas y mostrar al personal municipal soluciones aplicadas a casos similares en otros municipios (sin exponer datos personales).
- Enviarte emails de cambio de estado solo si has dejado correo.
- Cumplir obligaciones legales y atender requerimientos de autoridades competentes cuando sea obligatorio.
5. Base jurídica de cada tratamiento
- Interés público (art. 6.1.e RGPD) — para la recepción y gestión de incidencias, ya que el ayuntamiento las necesita para cumplir competencias municipales.
- Consentimiento (art. 6.1.a RGPD) — para el tratamiento de tu email con fines de notificación. Retirable en cualquier momento desde Mi cuenta.
- Obligación legal (art. 6.1.c RGPD) — conservación de registros de auditoría por el Reglamento Europeo de Contabilidad y leyes fiscales.
6. Fotografías — Tratamiento especial
Las fotografías en espacio público pueden contener caras de peatones, matrículas de vehículos, propiedades privadas, ventanas de domicilios o, ocasionalmente, menores. Para minimizar riesgos, aplicamos estas medidas:
- Strip de EXIF en subida: eliminamos coordenadas GPS, modelo de dispositivo y marca temporal precisa.
- Difuminado automático por IA de caras y matrículas. La detección no es perfecta — si ves una imagen que te identifica, escríbenos a dpd@reparabarris.cat y la retiraremos en menos de 72 h.
- Visibilidad restringida: en la página pública de la incidencia no se muestran las fotos; solo el personal autorizado del ayuntamiento responsable tiene acceso.
- Audit log de cada acceso a las fotos por parte de un agente municipal.
7. Quién tiene acceso (categorías de destinatarios)
- Personal autorizado del ayuntamiento destinatario (agentes y administradores con membresía activa).
- Subencargados de tratamiento — proveedores tecnológicos, listados abajo.
- Autoridades públicas cuando lo exija la ley (juez, fiscal, fuerzas de seguridad con orden judicial).
No vendemos ni cedemos datos con fines comerciales a terceros. No compartimos datos personales entre municipios: cada ayuntamiento solo ve las incidencias de su propio territorio.
8. Subencargados de tratamiento
| Proveedor | Función | Ubicación | Garantías |
|---|---|---|---|
| Vercel Inc. | Hosting de la aplicación | UE (Frankfurt) y EE. UU. | DPA + SCC art. 46 RGPD |
| Supabase Inc. | Base de datos y storage de fotos | UE (Frankfurt) | DPA |
| Resend Inc. | Envío de emails transaccionales | EE. UU. | DPA + SCC |
| Anthropic PBC | Análisis IA de la incidencia (categorización, severidad, soluciones) | EE. UU. | DPA + SCC + zero data retention |
| Cloudflare Inc. | CDN y WAF | Global (POP UE prioritario) | DPA + SCC |
9. Transferencias internacionales
Cuando un subencargado trata datos fuera del EEE (EE. UU. principalmente), las transferencias se cubren con Cláusulas Contractuales Tipo de la Comisión Europea (decisión 2021/914), medidas suplementarias (cifrado en reposo y en tránsito) y, cuando es posible, restricción geográfica a regiones europeas.
10. Cuánto tiempo conservamos los datos
| Tipo de dato | Período | Después |
|---|---|---|
| Incidencia abierta | Hasta la resolución | Pasa a "resuelta" |
| Incidencia resuelta | 2 años | Anonimización — texto y ubicación se conservan sin vínculo al reporter |
| Fotografías de incidencias resueltas | 1 año | Borradas del storage |
| Email de contacto del reporter | Hasta que pidas el borrado o hasta 2 años de inactividad | Borrado definitivo |
| Registros de auditoría (accesos a PII) | 6 años | Borrados definitivamente |
| Hash de sesión anónimo | 30 días | Borrado |
11. Tus derechos (art. 15-22 RGPD)
Tienes derecho a:
- Acceso: saber qué datos tuyos tratamos.
- Rectificación: corregir datos inexactos.
- Supresión ("derecho al olvido"): pedir que borremos tus datos.
- Limitación: pedir que detengamos ciertos tratamientos.
- Oposición: oponerte a tratamientos basados en interés legítimo.
- Portabilidad: recibir tus datos en formato estructurado (JSON).
- Retirar el consentimiento en cualquier momento para los tratamientos que dependan de él.
Puedes ejercer estos derechos de tres formas:
- Desde tu página Mi cuenta.
- Escribiendo a dpd@reparabarris.cat.
- Directamente al ayuntamiento responsable (recomendado para solicitudes que afecten solo a una incidencia).
Responderemos en un plazo máximo de 30 días (ampliable a 60 en casos complejos, con aviso previo). Si consideras que no te hemos atendido correctamente, puedes reclamar ante la Autoritat Catalana de Protecció de Dades (APDCAT) o la Agencia Española de Protección de Datos (AEPD).
12. Medidas de seguridad
- Cifrado TLS 1.3 en todo el tráfico.
- Cifrado en reposo de la base de datos y del storage.
- Control de acceso basado en roles (RBAC) y políticas Row Level Security en Postgres.
- Hashing SHA-256 con sal de cualquier IP que necesitemos para control de abuso.
- Audit log inmutable de todos los accesos a datos personales.
- Copias de seguridad diarias con retención de 30 días.
- Análisis automático de dependencias y security review periódico.
13. Decisiones automatizadas e inteligencia artificial
Usamos inteligencia artificial para asistir al personal municipal, nunca para tomar decisiones automatizadas con efectos jurídicos o significativos (art. 22 RGPD). Concretamente:
- Sugiere una categoría y una severidad orientativa.
- Detecta posibles duplicados.
- Genera un título corto y un resumen.
- Propone soluciones con estimaciones de coste — siempre revisables por el personal.
Las decisiones efectivas (aceptar, rechazar, priorizar, ejecutar) siempre las toma una persona física del ayuntamiento. El proveedor de IA (Anthropic) opera bajo acuerdo de zero data retention: no entrena ningún modelo con nuestras consultas.
14. Cookies y tecnologías similares
Solo usamos cookies estrictamente necesarias para el funcionamiento (sesión de autenticación, preferencia de idioma). No tenemos cookies de publicidad ni de analítica de terceros. Por eso no pedimos tu consentimiento para cookies.
15. Menores de edad
ReparaBarris no está dirigido a menores de 14 años. Si tienes menos de 14 años, no envíes reportes con tu correo electrónico; puedes pedir a un adulto que lo haga.
16. Cambios en esta política
Si modificamos esta política, te avisaremos a través de la web y, si afecta tratamientos con base en el consentimiento, te volveremos a pedir consentimiento explícito. La versión vigente siempre lleva la fecha al principio del documento.
17. Contacto
Para cualquier cuestión, duda o solicitud relacionada con tu privacidad: dpd@reparabarris.cat.