Privacidad

El responsable del tratamiento de tus datos personales es Pedro Pujol Garrido, persona física, con domicilio en España y contacto disponible en help@garashe.com. Garashe es un servicio digital de seguimiento de cartera de vehículos operado por el responsable como prestador de servicios de la sociedad de la información (LSSI-CE).

Datos de cuenta

Cuando te registras y usas tu cuenta tratamos:

• Email y contraseña (la contraseña se almacena hasheada, nunca en texto plano).

• Nombre de usuario, avatar, banner, biografía corta, marcas favoritas y ajustes de privacidad que tú decides.

• Idioma preferido, país de mercado, moneda, unidades y umbral de alertas de precio.

Si te registras con Google (OAuth), recibimos de Google: tu email, tu nombre, tu foto de perfil y un identificador interno. Lo que Google nos comparte se rige también por la política de privacidad de Google.

Datos de tus vehículos

Cuando añades un coche a tu garaje, registramos:

• Número de bastidor (VIN) cuando lo aportas, marca, modelo, año, kilometraje, precio de compra, fecha y estado del vehículo.

• Fotografías que tú subes.

• Información de verificación del VIN si optas por validarlo.

El VIN se decodifica para identificar marca, modelo y año del vehículo. Esta decodificación se realiza contra fuentes externas: en primer lugar, la base pública de la NHTSA (organismo estadounidense, gratuito); y como fallback, Vincario (servicio de pago, con sede en la Unión Europea). El VIN aislado no es, en general, un dato personal en España, pero combinado con tu cuenta, fotos o ubicación puede llegar a serlo, por lo que lo tratamos con la misma diligencia que el resto de tus datos.

Mensajes que nos envías

Cuando nos escribes a través del formulario de ayuda (/help), recogemos tu nombre, tu email y el contenido del mensaje. El contenido del mensaje, junto con tu nombre y tu email, se envía a Anthropic (proveedor de IA) para clasificarlo automáticamente por prioridad (urgente, importante, normal o spam). El resultado de la clasificación y la justificación generada por la IA quedan guardados en nuestra base de datos junto al mensaje original. Ver la sección 7 (Tratamientos por inteligencia artificial) para más detalle.

Datos técnicos y de uso

• Tu dirección IP cuando interactúas con el servicio. La utilizamos para aplicar límites de velocidad (rate limits) sobre acciones sensibles como decodificación de VIN o envío de mensajes, y la conservamos junto al mensaje del formulario de ayuda como evidencia técnica en caso de abuso.

• Cookies estrictamente necesarias (ver sección 10).

• Datos agregados de uso recogidos por Vercel Analytics y Vercel Speed Insights sin cookies de seguimiento ni identificadores personales (ver sección 8).

• Fecha y versión del consentimiento que diste al registrarte.

Lo que NO hacemos

No usamos cookies publicitarias ni de seguimiento. No vendemos tus datos a terceros. No los compartimos con redes sociales para anuncios. No te enviamos correos comerciales ni newsletters: los únicos emails que recibirás son operativos (bienvenida, recuperación de contraseña, alertas de precio que tú activas, y respuestas humanas a tu correspondencia con help@garashe.com).

Tratamos tus datos amparándonos en los siguientes fundamentos jurídicos del RGPD (Art. 6):

• Ejecución del contrato(Art. 6.1.b): para prestarte el servicio que has contratado al registrarte.
• Consentimiento(Art. 6.1.a): para acciones específicas como aceptar esta política y los términos en el registro.
• Interés legítimo(Art. 6.1.f): para garantizar la seguridad del servicio, prevenir abuso y fraude, y clasificar los mensajes recibidos en /help por prioridad.
• Obligación legal(Art. 6.1.c): cuando una norma nos exija conservar o entregar información (por ejemplo, ante un requerimiento judicial).

Datos de tu cuenta y vehículosMientras tu cuenta esté activa, conservamos tus datos para poder prestarte el servicio. Cuando solicitas eliminar tu cuenta:

• Tu cuenta entra en un periodo de gracia de 30 días. Durante esos 30 días, tu perfil deja de ser visible públicamente, pero los datos siguen existiendo en nuestra base de datos.

• Si dentro de esos 30 días nos escribes a help@garashe.com solicitando revertir la eliminación, podemos restaurar tu cuenta.

• Transcurridos los 30 días, ejecutamos el borrado físico definitivo: tu perfil, vehículos, valoraciones históricas, fotografías, preferencias y la cuenta de autenticación quedan eliminados de forma irreversible.

Mensajes del formulario de ayudaLos mensajes que nos envías a través de /help se conservan durante un plazo máximo de 24 meses desde la recepción, junto con su clasificación automática y el razonamiento de la IA. Puedes solicitar la eliminación anticipada de tus mensajes escribiéndonos a help@garashe.com indicando una referencia razonable (por ejemplo, el email con el que los enviaste).

Copias de seguridad y registros técnicosLas copias de seguridad rutinarias de nuestros proveedores pueden retener tus datos algunos días adicionales hasta el siguiente ciclo de purga; no se utilizan salvo para recuperación ante incidentes. Los registros de IP en rate limits se conservan durante un máximo de 90 días.

Obligaciones legalesConservamos por separado, y durante el tiempo legalmente exigido, los datos mínimos necesarios para cumplir obligaciones legales.

Como titular de los datos personales, tienes los derechos reconocidos por el RGPD (Arts. 15 a 22):

• Acceso y portabilidad(Arts. 15 y 20): puedes descargar todos tus datos en formato JSON desde Ajustes → Privacidad y datos → Descargar mis datos.
• Rectificación(Art. 16): puedes modificar tu perfil, ajustes y datos de vehículos desde la propia aplicación. Para cambios que la interfaz no permita, escríbenos.
• Supresión / derecho al olvido(Art. 17): puedes eliminar tu cuenta desde Ajustes → Privacidad y datos → Eliminar mi cuenta. Se aplicará el periodo de gracia de 30 días descrito en la sección anterior.
• Limitación del tratamiento(Art. 18): puedes pedirnos que pausemos el procesamiento de determinados datos.
• Oposición(Art. 21): puedes oponerte a tratamientos basados en interés legítimo, incluida la clasificación automática de tus mensajes de soporte.
• Decisiones automatizadas y revisión humana(Art. 22): la clasificación automática de los mensajes que nos envías a /help puede afectar a la prioridad con la que respondemos, e incluso a si llegan a ser revisados (en el caso de mensajes clasificados como spam). Tienes derecho a solicitar revisión humana, a expresar tu punto de vista y a impugnarla. Para ejercerlo basta con escribirnos a help@garashe.com mencionando el envío original. Las valoraciones de mercado de los vehículos también son cálculos automatizados, pero son informativos y no producen efectos jurídicos sobre ti (ver sección 6).

Para ejercer cualquiera de estos derechos puedes usar las herramientas integradas en la aplicación o escribirnos a help@garashe.com. Responderemos en un plazo máximo de un mes desde la solicitud.

Garashe muestra, para muchos vehículos, un valor estimado de mercado. Es importante que entiendas qué es y qué no es esa cifra:

• Es una estimación algorítmica calculada a partir de anuncios públicos de venta de vehículos comparables al tuyo.

• La fuente de datos de mercado es AutoScout24, recopilada de forma automatizada a través de un proveedor de scraping (Apify) y refrescada periódicamente con cacheo intermedio para limitar consultas.

• El algoritmo aplica filtros estadísticos (eliminación de valores atípicos mediante IQR, ajuste por kilometraje, búsqueda en cascada geográfica) para producir un rango de confianza, no un precio único.

• No es una tasación oficial. No reemplaza el criterio profesional de un perito, tasador, vendedor o concesionario. No debes basar decisiones de compra, venta, seguro o financiación únicamente en este número.

• No nos hacemos responsables de las consecuencias económicas derivadas del uso de estas valoraciones como referencia única para una transacción.

Si quieres entender mejor cómo se calcula, puedes escribirnos a help@garashe.com.

Utilizamos modelos de inteligencia artificial proporcionados por Anthropic (Anthropic, PBC, EE. UU.) para tres tareas específicas. Las consultas viajan a la API de Anthropic bajo contrato comercial: las entradas no se utilizan para entrenar sus modelos y se retienen hasta 30 días por motivos de detección de abuso, conforme a las condiciones vigentes del servicio.

• Clasificación de mensajes del formulario de ayuda. Cuando nos escribes a /help, enviamos tu nombre, tu email y el contenido de tu mensaje al modelo de Anthropic para asignar una prioridad automática (urgente, importante, normal o spam). El resultado y la justificación generada por la IA se guardan en nuestra base de datos junto al mensaje original. Base legal: interés legítimo (Art. 6.1.f RGPD) en gestionar el soporte de forma eficiente. Tu derecho a revisión humana se describe en la sección 5.
• Resumen semanal para el responsable. Una vez por semana, un proceso automatizado envía a Anthropic los mensajes del formulario de ayuda recibidos en los últimos siete días (incluyendo nombres, emails y contenidos) para generar un resumen que recibe el responsable. Esto implica que datos de varios usuarios pueden procesarse en una misma consulta para fines de administración interna. Base legal: interés legítimo en revisar la actividad del servicio.
• Información histórica de modelos de vehículos. Cuando consultas la ficha de un coche o de una generación, podemos enviar a Anthropic la marca, el modelo y el año (información pública del vehículo) para generar un breve resumen histórico. No se envían datos personales en esta operación.

No usamos servicios de IA de OpenAI ni de ningún otro proveedor en producción. Si en el futuro incorporamos otros proveedores o flujos, actualizaremos esta política.

Para prestarte el servicio trabajamos con los siguientes encargados de tratamiento. Todos están vinculados por contratos de tratamiento de datos (Art. 28 RGPD), y cuando procesan datos fuera del Espacio Económico Europeo lo hacen al amparo de Cláusulas Contractuales Tipo de la Comisión Europea (SCC):

• Supabase. Supabase Inc., EE. UU., con datos alojados en infraestructura europea — autenticación, base de datos relacional y almacenamiento de imágenes.
• Vercel. Vercel Inc., EE. UU., bajo SCC — alojamiento del frontend, distribución de contenido, Vercel Analytics (analítica agregada sin cookies de seguimiento) y Vercel Speed Insights (métricas de rendimiento).
• Resend. Resend, Inc., EE. UU., bajo SCC — envío de todos los correos transaccionales: registro, recuperación de contraseña, confirmación de email, alertas de precio que tú activas, y entrega de los mensajes del formulario de ayuda al buzón administrativo. Resend está configurado como proveedor SMTP de Supabase Auth, por lo que también cubre los correos generados por la capa de autenticación.
• Zoho Mail. Zoho Corporation, India / EE. UU., bajo SCC — buzón humano de help@garashe.com donde aterrizan los mensajes del formulario de ayuda y desde el que el responsable contesta manualmente.
• Anthropic. Anthropic, PBC, EE. UU., bajo SCC — modelos de inteligencia artificial utilizados para las tareas descritas en la sección 7.
• Apify. Apify Technologies s.r.o., República Checa, UE — ejecuta por nuestra cuenta la recogida automatizada de anuncios públicos desde AutoScout24. No accede a datos personales de tus usuarios, pero declaramos su rol de encargado por las consultas que ejecuta en nombre de Garashe.
• Vincario. Lituania, UE — decodificación opcional del VIN cuando añades un vehículo, para identificar marca, modelo y año.

Si en el futuro añadimos o sustituimos proveedores, actualizaremos esta lista.

Para enriquecer el servicio consultamos varias fuentes públicas que no procesan datos personales tuyos, sino información disponible de forma pública. Las mencionamos por transparencia:

• AutoScout24 — anuncios públicos de venta de vehículos, usados como base para las valoraciones de mercado (sección 6).

• NHTSA (National Highway Traffic Safety Administration, EE. UU.) — decodificación pública de números VIN.

• API Ninjas y Car2DB — catálogos públicos de modelos de vehículos y especificaciones técnicas.

• Frankfurter API — tasas de cambio publicadas por el Banco Central Europeo.

Ninguna de estas fuentes recibe datos personales de nuestros usuarios.

Garashe utiliza únicamente cookies estrictamente necesarias para el funcionamiento del servicio:

• NEXT_LOCALE: recuerda el idioma que has elegido.

• Cookies de sesión de Supabase (sb-*): mantienen tu sesión iniciada.

Vercel Analytics y Vercel Speed Insights, que utilizamos para conocer el uso agregado del servicio y su rendimiento, no usan cookies de seguimiento y no permiten identificarte personalmente.

No utilizamos cookies publicitarias, de redes sociales ni de terceros para seguimiento. Por este motivo no mostramos un banner de cookies: la Agencia Española de Protección de Datos permite operar sin banner cuando todas las cookies son estrictamente necesarias para prestar el servicio que el usuario ha solicitado.

Si en algún momento añadimos cookies o tecnologías no esenciales (analítica con seguimiento, píxel publicitario, etc.), implementaremos previamente un sistema de gestión de consentimiento conforme. Puedes consultar la página específica de cookies en /cookies para más detalle.

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos:

• Comunicaciones cifradas mediante HTTPS en todo el servicio.

• Contraseñas almacenadas con funciones de hashing modernas (no en texto plano).

• Acceso a la base de datos restringido mediante reglas de seguridad a nivel de fila (Row Level Security).

• Acceso administrativo limitado al responsable del tratamiento.

• Límites de velocidad (rate limits) por dirección IP en endpoints sensibles para prevenir abuso.

Ninguna medida de seguridad es perfecta. Si detectaras un problema o vulnerabilidad, escríbenos a help@garashe.com.

Garashe no está dirigido a personas menores de 16 años, conforme a lo previsto en la legislación española sobre consentimiento digital de menores. Si tienes menos de 16 años, no debes registrarte ni proporcionar datos personales a través del servicio. Si descubrimos que se ha creado una cuenta de un menor de esa edad sin consentimiento de sus tutores legales, procederemos a eliminarla.

Si modificamos esta política de forma sustancial, te lo notificaremos por correo electrónico a la dirección con la que estés registrado y, cuando proceda, te solicitaremos una nueva aceptación. Los cambios menores (redacción, aclaraciones, actualización de la lista de proveedores) se publicarán directamente en esta página actualizando la fecha de "última actualización".

Esta política se rige por la legislación española y de la Unión Europea: el Reglamento General de Protección de Datos (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE).