Política de Privacidad

Facilitada en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679 («RGPD») y de la normativa nacional aplicable en materia de protección de datos personales.

Última actualización · 26 de abril de 2026

Esta traducción se ofrece a título informativo. La versión italiana es la única que da fe: en caso de discrepancia, prevalecerá sobre esta traducción. Consultar la versión italiana.

La presente política («Política») describe las modalidades con las que Rifuel («Rifuel», «nosotros») trata los datos personales de los usuarios («Usuario», «») que acceden y utilizan la aplicación móvil Rifuel y el sitio institucional vinculado a ella (conjuntamente, el «Servicio»). La presente Política debe entenderse como parte integrante de las Condiciones de Servicio y se aplica a cualquier persona que utilice el Servicio en calidad de interesado en el sentido del RGPD.

1. Responsable del tratamiento

El Responsable del tratamiento de los datos personales es Enzo Corsiero, con domicilio en Via Cesare Battisti 168, 20099 Sesto San Giovanni (MI), Italia, contactable para cualquier solicitud en materia de protección de datos en la siguiente dirección: personal@enzocorsiero.com.

No se ha nombrado un Delegado de Protección de Datos («DPO»), al no concurrir los presupuestos de obligatoriedad conforme al art. 37 del RGPD. El Responsable sigue siendo, en todo caso, el único interlocutor competente para cualquier cuestión relativa al tratamiento.

2. Definiciones

Salvo indicación en contrario, los términos con inicial mayúscula tienen el significado que les atribuye el RGPD. En particular:

  • Dato personal: cualquier información relativa a una persona física identificada o identificable (art. 4, apdo. 1, del RGPD).
  • Tratamiento: cualquier operación aplicada a datos personales (art. 4, apdo. 2, del RGPD).
  • Encargado del tratamiento: la persona física o jurídica que trata datos personales por cuenta del Responsable (art. 4, apdo. 8, del RGPD).
  • Interesado: la persona física a la que se refieren los datos personales.

3. Ámbito de aplicación

El Servicio está destinado a usuarios mayores de edad residentes en el Espacio Económico Europeo («EEE»), con particular referencia a los mercados de Italia, Francia, Austria, Eslovenia, España, Portugal, así como a usuarios residentes en Suiza. El tratamiento se efectúa de conformidad con el RGPD y, cuando resulte aplicable, con la Ley Federal suiza de Protección de Datos (nLPD) en virtud del reconocimiento de adecuación entre la UE y la Confederación Helvética.

4. Categorías de datos tratados

En el marco de la prestación del Servicio, Rifuel puede tratar las siguientes categorías de datos personales:

  • Datos de registro e identificadores de cuenta: dirección de correo electrónico, nombre y apellidos (si se facilitan a través de Apple o Google Sign-In), identificador único (UUID) generado por el sistema de autenticación.
  • Credenciales de acceso: contraseña, conservada de forma cifrada mediante algoritmos de hash criptográficamente seguros (bcrypt) por el proveedor del servicio de autenticación. La contraseña en claro nunca es accesible para el Responsable.
  • Datos de geolocalización precisa: coordenadas GPS captadas por el dispositivo exclusivamente cuando la app está en primer plano, con el fin de calcular la distancia a las estaciones de servicio y ofrecer resultados pertinentes. Las coordenadas puntuales captadas en tiempo real no se almacenan en los servidores del Responsable.
  • Dirección de residencia/habitual: latitud y longitud del lugar declarado por el Usuario como «casa», conservadas en los servidores del Responsable únicamente si el Usuario las introduce voluntariamente en los ajustes de perfil.
  • Datos relativos a los vehículos: denominación, tipo de combustible, capacidad del depósito, consumo declarado, kilometraje, introducidos por el Usuario.
  • Datos relativos a los repostajes y a los gastos: precio por litro, litros suministrados, importe, kilometraje, estación de referencia, notas, fecha y hora.
  • Contenidos generados por el Usuario (UGC): datos relativos a estaciones de servicio notificadas (denominación, dirección, marca, coordenadas, precios indicados, horarios, servicios).
  • Token para notificaciones push (token FCM): identificador emitido por Firebase Cloud Messaging, asociado a la cuenta del Usuario con el fin de entregar notificaciones al dispositivo. El token está sujeto a procedimientos de rotación y de reconciliación entre múltiples dispositivos.
  • Preferencias de Servicio: idioma, moneda, combustible preferido, radio de búsqueda, configuración de los avisos.
  • Registros técnicos y de diagnóstico: datos relativos a la infraestructura y necesarios para garantizar la seguridad, la continuidad operativa y la integridad del Servicio (p. ej., registros de los proveedores de alojamiento), tratados de conformidad con los términos contractuales con estos.

Rifuel no trata categorías especiales de datos en el sentido del art. 9 del RGPD, ni datos relativos a condenas e infracciones penales en el sentido del art. 10 del RGPD.

5. Fines y bases jurídicas del tratamiento

Los datos se tratan para los fines que se indican a continuación, cada uno de ellos fundado en la respectiva base jurídica conforme al art. 6 del RGPD:

  • (a) Prestación del Servicio y funciones relacionadas (creación y gestión de la cuenta, autenticación, sincronización entre dispositivos, búsqueda y visualización de las estaciones, planificación del viaje, registro de los repostajes, cálculo de los consumos). Base jurídica: ejecución de un contrato del que el Usuario es parte (art. 6, apdo. 1, letra b, del RGPD).
  • (b) Geolocalización del dispositivo en tiempo real. Base jurídica: consentimiento expreso del Usuario, recabado a través de los mecanismos de autorización del sistema operativo (art. 6, apdo. 1, letra a, del RGPD). El consentimiento es revocable en cualquier momento a través de los ajustes del dispositivo.
  • (c) Envío de notificaciones push relativas al Servicio (avisos sobre precios, anomalías de mercado, umbral de precio personalizado). Base jurídica: consentimiento (art. 6, apdo. 1, letra a, del RGPD), con posibilidad de desactivación desde los ajustes de la app o del sistema operativo.
  • (d) Gestión de las notificaciones de los usuarios sobre las estaciones de servicio y la correspondiente fase de revisión/moderación. Base jurídica: ejecución del contrato e interés legítimo del Responsable en mantener la calidad y la integridad de la base de datos (art. 6, apdo. 1, letras b y f, del RGPD).
  • (e) Seguridad, prevención del fraude, protección frente a abusos (detección de accesos anómalos, prevención de ataques). Base jurídica: interés legítimo del Responsable en garantizar la seguridad del Servicio y de los Usuarios (art. 6, apdo. 1, letra f, del RGPD).
  • (f) Cumplimiento de obligaciones legales (respuesta a solicitudes de las autoridades, conservación documental, gestión de eventuales litigios). Base jurídica: obligación legal(art. 6, apdo. 1, letra c, del RGPD).
  • (g) Mejora del Servicio mediante análisis agregados y anónimos (estadísticas de uso no atribuibles a Usuarios individuales). Base jurídica: interés legítimo (art. 6, apdo. 1, letra f, del RGPD).

El Usuario puede, en cualquier momento, oponerse a los tratamientos basados en el interés legítimo y revocar los consentimientos prestados, sin que la revocación afecte a la licitud de los tratamientos efectuados con anterioridad.

6. Carácter del suministro de los datos

El suministro de los datos estrictamente necesarios para la ejecución del contrato (p. ej., dirección de correo electrónico para la creación de la cuenta) es obligatorio: la eventual negativa conlleva la imposibilidad de acceder a las correspondientes funciones del Servicio. El suministro de los datos sujetos a consentimiento (geolocalización, notificaciones push, dirección de residencia) es facultativo: la negativa conlleva únicamente la limitación de las funciones que requieren dichos datos, sin ningún impacto en las restantes funcionalidades.

7. Modalidades del tratamiento

El tratamiento se efectúa con herramientas electrónicas y con lógicas estrictamente relacionadas con los fines indicados anteriormente, respetando los principios de licitud, lealtad, transparencia, minimización, exactitud, limitación de la conservación, integridad y confidencialidad (art. 5 del RGPD). Se adoptan medidas técnicas y organizativas adecuadas, entre ellas cifrado en tránsito (TLS), control de los accesos mediante autenticación, segregación de las funciones, políticas de Row-Level Security a nivel de base de datos y procedimientos de copia de seguridad.

8. Plazos de conservación

Los datos se conservan durante el tiempo estrictamente necesario para la consecución de los fines para los que fueron recabados y, en todo caso, según los criterios que se exponen a continuación:

  • Datos de cuenta y perfil: durante toda la duración de la relación contractual y hasta treinta (30) días desde la solicitud de supresión, salvo disposición legal en contrario.
  • Datos relativos a vehículos, repostajes, gastos y búsquedas: hasta la supresión de la cuenta o la eliminación manual por parte del Usuario; en caso de cese, eliminados o anonimizados en un plazo de treinta (30) días.
  • Coordenadas GPS captadas en tiempo real: tratadas en memoria y no almacenadas en los servidores del Responsable.
  • Token FCM: conservados hasta la desactivación de las notificaciones, la desinstalación de la app o la supresión de la cuenta.
  • Registros de notificaciones: máximo doce (12) meses.
  • Notificaciones de estaciones: los contenidos aprobados pueden permanecer por tiempo indefinido de forma disociada de la identidad del notificante, integrándose en la base de datos operativa del Servicio. Las notificaciones rechazadas se suprimen en un plazo de noventa (90) días.
  • Datos anónimos y agregados: pueden conservarse sin límites temporales, al no ser ya atribuibles a una persona identificada o identificable.
  • Datos tratados para el cumplimiento de obligaciones legales o para la defensa en juicio: durante el plazo previsto por la normativa aplicable, o hasta que la correspondiente resolución adquiera firmeza.

9. Destinatarios y encargados del tratamiento

Los datos personales no son objeto de difusión y no se ceden a terceros con fines de marketing. Pueden comunicarse a los siguientes sujetos, debidamente nombrados encargados del tratamiento conforme al art. 28 del RGPD, o calificables como responsables autónomos cuando actúen en tal condición:

  • Supabase, Inc.— proveedor de la plataforma de autenticación y base de datos, con servidores localizados en la Unión Europea (Frankfurt, Alemania) para la instancia utilizada.
  • Vercel, Inc.— proveedor del servicio de alojamiento para el backend y el sitio web, con ejecución de las funciones en la región de Frankfurt (Alemania).
  • Google LLC / Google Ireland Ltd.— proveedor de Firebase Cloud Messaging para las notificaciones push y, cuando el Usuario lo seleccione, del servicio Google Sign-In.
  • Apple Inc. / Apple Distribution International Ltd.— cuando el Usuario seleccione Sign in with Apple como método de autenticación.
  • OpenStreetMap Foundation y CARTO— proveedores de teselas cartográficas. Dichos sujetos reciben únicamente las peticiones técnicas de teselas, sin datos que identifiquen directamente al Usuario; no obstante, pueden tratar la dirección IP de conexión conforme a sus respectivas políticas.
  • Sujetos institucionales a los que la comunicación sea obligatoria por ley, a requerimiento de la autoridad judicial o de otras autoridades competentes.
  • Asesores legales, fiscales y profesionales encargados, dentro de los límites necesarios para el cumplimiento de sus respectivos mandatos.

10. Transferencias de datos fuera del Espacio Económico Europeo

Los datos se tratan principalmente dentro del EEE. En caso de que determinados proveedores (en particular los que tienen su sede en los Estados Unidos de América, como Google y Apple para los servicios de su respectiva competencia) efectúen transferencias fuera del EEE, estas se realizan sobre la base de garantías adecuadas conforme a los arts. 44 y ss. del RGPD, incluidas, según los casos, las decisiones de adecuación de la Comisión Europea (p. ej., EU-US Data Privacy Framework) y/o las Cláusulas Contractuales Tipo («CCT») aprobadas por la Comisión, complementadas, cuando sea necesario, con medidas adicionales. Puede solicitarse copia de las garantías al Responsable escribiendo a la dirección indicada en el §1.

11. Derechos del interesado

En calidad de interesado, puedes ejercer en cualquier momento, de forma gratuita y con modalidades facilitadas, los derechos previstos en los arts. 15 a 22 del RGPD y, en particular, el derecho de:

  • acceso a los datos personales y a la información a la que se refiere el art. 15 del RGPD;
  • rectificación de los datos inexactos e integración de los incompletos (art. 16 del RGPD);
  • supresión(«derecho al olvido») conforme al art. 17 del RGPD; la supresión de la cuenta está disponible directamente dentro de la app;
  • limitación del tratamiento en los casos previstos por el art. 18 del RGPD;
  • portabilidad de los datos facilitados, en un formato estructurado, de uso común y de lectura mecánica (art. 20 del RGPD);
  • oposición al tratamiento basado en el interés legítimo, también por motivos relacionados con la situación personal (art. 21 del RGPD);
  • revocación del consentimiento en cualquier momento, sin perjuicio de la licitud del tratamiento basado en el consentimiento prestado antes de la revocación (art. 7, apdo. 3, del RGPD).

Las solicitudes pueden dirigirse a personal@enzocorsiero.com. El Responsable atenderá la solicitud sin dilación indebida y, en todo caso, en el plazo de un (1) mes desde su recepción, prorrogable por dos (2) meses adicionales en los casos de especial complejidad.

12. Reclamación ante la Autoridad de control

Sin perjuicio de cualquier otro recurso administrativo o judicial, el interesado que considere que el tratamiento es ilícito tiene derecho a presentar una reclamación ante la Autoridad de control competente: en Italia, ante el Garante per la protezione dei dati personali (www.garanteprivacy.it), o ante la autoridad de su Estado miembro de residencia o del lugar en el que se haya producido la presunta infracción (art. 77 del RGPD).

13. Menores

El Servicio no está destinado a menores de dieciséis (16) años. El Responsable no recaba conscientemente datos personales de sujetos de edad inferior al límite previsto por el art. 8 del RGPD y por la normativa nacional de transposición (en Italia, catorce (14) años conforme al art. 2-quinquies del Decreto Legislativo 196/2003). En caso de que el Responsable tenga conocimiento de un tratamiento que tenga por objeto datos de menores, procederá a su supresión sin demora, salvo que se haya prestado el consentimiento del titular de la responsabilidad parental.

14. Seguridad de los datos

Se adoptan medidas técnicas y organizativas idóneas para garantizar un nivel de seguridad adecuado al riesgo (art. 32 del RGPD), entre ellas:

  • cifrado de los datos en tránsito mediante protocolos TLS 1.2 o superiores;
  • conservación de las contraseñas mediante algoritmos de hash criptográficos robustos;
  • controles de acceso basados en funciones y políticas Row-Level Security;
  • autenticación mediante OAuth 2.0 con flujos PKCE para los proveedores de terceros;
  • almacenamiento del token de sesión en un almacenamiento seguro a nivel de sistema operativo;
  • procedimientos de copia de seguridad, supervisión y restauración;
  • procesos de gestión de las vulnerabilidades y de respuesta a incidentes.

En caso de violación de datos personales («data breach») que pueda entrañar un riesgo para los derechos y libertades de las personas físicas, el Responsable cumplirá las obligaciones de notificación a la Autoridad de control (art. 33 del RGPD) y, en su caso, de comunicación a los interesados (art. 34 del RGPD), en los plazos legales.

La app móvil no utiliza cookies en el sentido técnico definido por la Directiva 2002/58/CE y sus modificaciones posteriores, ni herramientas de elaboración de perfiles de terceros con fines de marketing. El sitio web institucional no instala cookies de analítica ni de rastreo; se utilizan exclusivamente los eventuales identificadores técnicos estrictamente necesarios para el funcionamiento de la página, exentos de la obligación de consentimiento conforme al art. 5, apdo. 3, de la Directiva ePrivacy y a las Directrices del Garante.

En coherencia con el marco App Tracking Transparency de Apple, Rifuel declara que no realiza seguimiento del Usuario entre apps y sitios web de terceros; en consecuencia, no se muestra ningún aviso ATT conforme a las políticas de Apple.

16. Decisiones automatizadas y elaboración de perfiles

El Responsable no realiza procesos de decisión totalmente automatizados, incluida la elaboración de perfiles, que produzcan efectos jurídicos o afecten de modo análogamente significativo al Usuario en el sentido del art. 22 del RGPD. Los eventuales tratamientos estadísticos y algoritmos de cálculo (p. ej., la determinación de las estaciones convenientes o de los avisos de anomalía de precio) tienen una función meramente informativa y no afectan a la esfera jurídica del Usuario.

17. Modificaciones de la Política

El Responsable se reserva el derecho de actualizar la presente Política para reflejar cambios normativos, técnicos u organizativos. La versión vigente está siempre disponible dentro de la app y en el sitio institucional, con indicación de la fecha de última actualización. En caso de modificaciones sustanciales, el Usuario será informado con la debida antelación a través del Servicio o mediante comunicación a la dirección de correo electrónico de registro.

18. Contacto

Para cualquier información, solicitud o ejercicio de los derechos a los que se refiere el §11, el Usuario puede contactar con el Responsable en la dirección: personal@enzocorsiero.com.