1. Responsable del tratamiento
Los datos personales recogidos a través de este sitio y del servicio PideQR son tratados por el responsable del tratamiento:
- Email de contacto:[email protected]
Puedes dirigirte al responsable del tratamiento para ejercer tus derechos en materia de protección de datos.
2. Datos recogidos y finalidades
Visitantes de este sitio web
Recogemos dirección IP, user agent y cookies técnicas para el correcto funcionamiento del sitio.
Bares y restaurantes (signup)
Al crear una cuenta recogemos: nombre, email (validado por Google Sign-In cuando proceda) y datos del establecimiento (nombre del bar, logotipo, horarios, color de marca).
Staff invitado por el bar
Cuando el responsable del bar invita a un miembro de su equipo, recogemos nombre, email y rol asignado (admin, kitchen, waiter).
Clientes finales del bar
Al escanear un QR en mesa y realizar un pedido, no recogemos datos identificativos del cliente final salvo si realiza una reserva, en cuyo caso recogemos nombre, teléfono y email.
Pagos
No almacenamos datos de tarjeta. Los pagos online se procesan íntegramente a través de Stripe con sus propias medidas de seguridad (PCI-DSS). Solo guardamos un identificador técnico de la operación para conciliación.
Notificaciones push
Si un miembro del staff activa las notificaciones push, guardamos el endpoint del navegador y las claves criptográficas p256dh/auth necesarias para enviarle notificaciones.
3. Base legal
- Ejecución de contrato: alta de cuenta, gestión de pedidos, reservas, facturación.
- Consentimiento: cookies opcionales, notificaciones push.
- Interés legítimo: seguridad del servicio, prevención de fraude y abuso.
- Obligación legal: conservación contable y fiscal.
4. Plazos de conservación
- Cuenta activa + 4 años tras la baja (obligación fiscal).
- Pedidos archivados: 5 años (normativa contable).
- Logs técnicos y de seguridad: 12 meses.
- Suscripciones push: hasta baja del dispositivo o cierre de la cuenta.
5. Destinatarios de los datos
Trabajamos con encargados del tratamiento que cumplen el RGPD. Todos firman un contrato de encargado (DPA) o aplican las cláusulas contractuales tipo (SCC) cuando la transferencia implica países fuera del Espacio Económico Europeo.
- Stripe — procesamiento de pagos.
- Cloudflare — CDN y protección frente a ataques.
- Railway — hosting del backend.
- Neon — base de datos PostgreSQL gestionada.
- Google — autenticación (Google Sign-In).
- AWS — almacenamiento de imágenes (S3) y despliegue en ECS.
6. Derechos ARSOPL
Puedes ejercer en cualquier momento tus derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento enviando un email a [email protected] con una copia de tu documento de identidad.
Responderemos en un plazo máximo de un mes desde la recepción de la solicitud.
7. Reclamación ante autoridad
Si consideras que el tratamiento de tus datos no se ajusta a la normativa, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos: www.aepd.es.
8. Cambios en esta política
Cualquier modificación sustancial será comunicada con al menos 30 días de antelación a los usuarios registrados por email, así como publicada en esta página. La fecha de "Última actualización" indica la versión vigente.