Política de privacidad
Última actualización: 25 de abril de 2026
Lalla Kenza es una plataforma de organización de bodas operada para el mercado marroquí. Esta política describe cómo recopilamos, utilizamos y protegemos sus datos personales, de acuerdo con el Reglamento General de Protección de Datos (RGPD) y la ley 09-08 marroquí.
1. Responsable del tratamiento
La plataforma se opera actualmente a título individual por su fundador. Una declaración formal a la CNDP (Marruecos) se realizará cuando se cree una entidad jurídica dedicada, a más tardar antes de la apertura pública del servicio a parejas no beta. Para cualquier pregunta: hello@lallakenza.co.
2. Datos recopilados
Tres grandes categorías de datos:
- Datos de cuenta: email + contraseña (encriptada). Indispensables para crear su espacio.
- Datos de boda: nombres de la pareja, fecha, ciudad, presupuesto estimado, ceremonias activadas, lista de invitados (que usted introduce), fotos subidas al portal público, plan de mesa, mensajes del libro de visitas dejados por sus invitados.
- Datos técnicos: dirección IP (anti-brute-force, ≤ 1 hora), logs de error (sin contenido identificativo — ver §4), eventos analíticos anonimizados (solo si acepta las cookies analíticas).
3. Finalidades
- Permitirle organizar su boda con las herramientas de la plataforma.
- Autenticarle y proteger su cuenta.
- Recibir y enviar los RSVP de sus invitados a su panel (sin registro por su parte).
- Detectar y corregir errores (Sentry, sin datos personales).
- Comprender cómo se usa la herramienta para mejorarla (PostHog, solo con su consentimiento explícito a través del banner de cookies).
Nunca vendemos sus datos. Tampoco los utilizamos para publicidad dirigida.
4. Subcontratistas
Para hacer funcionar la plataforma, utilizamos los siguientes subcontratistas. Cada uno ha firmado un acuerdo de tratamiento de datos (DPA) que les compromete al mismo nivel de confidencialidad que nosotros.
| Subcontratista | Finalidad | Alojamiento | Duración |
|---|---|---|---|
| Supabase Inc. | Hébergement de la base de données, authentification, stockage des photos. | AWS Europe (eu-west-3 / Paris) | Tant que votre compte existe + 30 jours après suppression (purge des sauvegardes). |
| Vercel Inc. | Hébergement de l'application web (rendu, edge, logs courts). | AWS / Vercel global edge (cache statique CDN). Données serveur en eu-west-1. | Logs : 24 heures (Hobby) → 30 jours (Pro). Aucun PII stocké côté Vercel. |
| Sentry (Functional Software, Inc.) | Suivi des erreurs applicatives pour corriger les bugs. | AWS Europe (Frankfurt). | 30 jours (free) → 90 jours (Pro). |
| PostHog (PostHog, Inc.) | Analytique produit (parcours utilisateur, fonctionnalités utilisées). Activé uniquement si vous acceptez les cookies analytiques. | PostHog EU Cloud (Francfort). | 12 mois. |
| Resend, Inc. | Envoi des emails transactionnels (confirmation d'inscription, réinitialisation de mot de passe). Pas encore activé en prod. | AWS US-East. SCC + DPA en place. | 90 jours pour les statuts de remise. Contenu email non archivé. |
| Upstash, Inc. | Limitation de débit sur les endpoints d'authentification (anti-brute-force). | AWS Europe (Frankfurt). | ≤ 1 heure (clés Redis avec TTL). |
Detalle de las categorías de datos por subcontratista: src/data/subprocessors.ts.
5. Duración de conservación
Sus datos permanecen disponibles mientras exista su cuenta. Si elimina su cuenta (desde Ajustes → Mis datos), purgamos todas sus tablas en 24 horas y nuestras copias de seguridad en 30 días. Esta purga es irreversible.
6. Sus derechos
Conforme al RGPD y a la ley 09-08, en cualquier momento dispone del derecho:
- De acceso y portabilidad (Art. 15 + 20 RGPD) — Descargue un export JSON completo desde Ajustes → Mis datos.
- De rectificación (Art. 16 RGPD) — Modifique su información directamente desde su perfil.
- De supresión (Art. 17 RGPD) — Elimine su cuenta desde la misma página. Acción inmediata, irreversible.
- De oposición al tratamiento con fines analíticos — Rechace las cookies analíticas en el banner (puede cambiar de opinión en cualquier momento). El servicio sigue siendo plenamente funcional.
- De reclamación ante la CNDP en Marruecos o la CNIL en Francia.
7. Cookies
| Nombre | Tipo | Finalidad | Duración |
|---|---|---|---|
| sb-* (Supabase Auth) | Esencial | Maintien de votre session authentifiée. | Jusqu'à déconnexion ou expiration (1 semaine). |
| lk_locale | Esencial | Mémorise votre langue d'interface (FR / EN). | 1 an. |
| lk_consent | Esencial | Mémorise votre choix sur les cookies analytiques (accepté / refusé) — sans cela, la bannière reviendrait à chaque visite. | 1 an. |
| ph_* | Analítica | PostHog — analyse produit anonymisée. Posé uniquement si vous avez accepté les cookies analytiques. | 12 mois. |
8. Seguridad
Todas las comunicaciones están cifradas (HTTPS/TLS). Las bases de datos están protegidas por reglas de acceso a nivel de fila (Row Level Security) que impiden a un usuario ver los datos de otro, incluso en caso de error de la aplicación. Los intentos de autenticación están limitados (10/min/IP) para bloquear los ataques de fuerza bruta. Realizamos una auditoría de cobertura RLS en cada pull request.
9. Modificaciones
Esta política puede evolucionar para reflejar nuevas prácticas (cambio de subcontratista, nueva funcionalidad). En caso de modificación material, se le informará por email a la dirección de su cuenta. La versión actual está siempre disponible en /legal/privacy.
10. Contacto
Para ejercer sus derechos, solicitar información adicional o formular una pregunta sobre esta política: hello@lallakenza.co. Nos comprometemos a responder en 30 días.