Volver al inicio

Política de Privacidad

Última actualización: 5 de enero de 2025

Responsable del Tratamiento

Identidad: SOLVENTUS SOFTWARE S.L.

Nombre comercial: Tasteo

CIF: B21841747

Correo electrónico: info@solventussoftware.com

Sitio web: tasteo.es

En SOLVENTUS SOFTWARE S.L., responsable de Tasteo, estamos comprometidos con la protección de su privacidad y el tratamiento responsable de sus datos personales. Esta Política de Privacidad describe cómo recopilamos, utilizamos, compartimos y protegemos su información personal cuando utiliza nuestra plataforma SaaS para restaurantes.

Esta política se aplica a todos los usuarios de nuestros servicios, incluyendo propietarios de restaurantes, personal de restaurantes, y comensales que realizan pedidos a través de nuestra plataforma.

1. Información que Recopilamos

1.1. Usuarios Autenticados (Propietarios y Personal de Restaurantes)

Cuando crea una cuenta en Tasteo, recopilamos:

  • Datos de identidad: Nombre, apellidos, dirección de correo electrónico
  • Datos de contacto: Número de teléfono (opcional)
  • Datos de autenticación: Contraseña (encriptada), tokens de sesión
  • Imagen de perfil: Avatar (opcional)
  • Rol y permisos: Tipo de usuario (propietario, empleado) y nivel de acceso

1.2. Datos del Restaurante (B2B)

Para restaurantes que utilizan nuestra plataforma:

  • Información comercial: Nombre del restaurante, dirección completa, ciudad, provincia, código postal, país
  • Datos de contacto: Teléfono del negocio, correo electrónico del negocio, sitio web (opcional)
  • Información fiscal: CIF/NIF (para facturación)
  • Imágenes: Logotipo, imagen de portada, fotografías del menú
  • Configuración: Zona horaria, moneda, idiomas soportados, tasas de impuestos, tarifas de servicio
  • Datos de pago: ID de cuenta Stripe Connect (para recibir pagos)

1.3. Pedidos de Invitados (Sin Cuenta)

Cuando realiza un pedido sin crear cuenta mediante código QR:

  • Identificación de dispositivo: Huella digital del dispositivo (fingerprint) mediante análisis de características técnicas del navegador
  • Token de sesión: JWT temporal (duración: 4 horas)
  • Información del pedido: Productos seleccionados, cantidad, opciones, instrucciones especiales, propina
  • Ubicación en el restaurante: Número de mesa (del código QR)
  • Datos opcionales de pago: Nombre, correo electrónico, teléfono (si se proporcionan en el checkout de Stripe)

Identificación de dispositivos: Utilizamos técnicas de identificación de dispositivo (fingerprinting) exclusivamente para prevenir fraude y gestionar sesiones de pedidos de invitados. Esta tecnología analiza características técnicas de su navegador (resolución de pantalla, fuentes instaladas, zona horaria, etc.) para crear un identificador temporal único. Base legal: Interés legítimo (prevención de fraude). No utilizamos esta tecnología para rastreo entre sitios.

1.4. Datos de Transacciones y Pagos

Cuando procesa pagos a través de nuestra plataforma:

  • Información del pedido: ID del pedido, código de pedido, tipo (en local, para llevar), estado, fecha y hora
  • Montos: Subtotal, impuestos, tarifa de servicio, descuentos, propinas, total
  • Método de pago: Tarjeta, efectivo, Apple Pay, Google Pay
  • IDs de Stripe: ID de intención de pago, ID de sesión de checkout (no almacenamos datos completos de tarjetas)
  • Estado del pago: Pendiente, pagado, reembolsado

Importante: No almacenamos datos completos de tarjetas de crédito. Todos los pagos son procesados de forma segura por Stripe, Inc., cumpliendo con el estándar PCI DSS Nivel 1.

1.5. Personal del Restaurante

  • Correo electrónico: Para invitaciones al sistema
  • Rol: Manager, camarero, cocina, cajero, anfitrión
  • Permisos: Configuración de acceso granular
  • Estado: Activo/inactivo
  • Tokens de invitación: Enlace seguro temporal (válido 7 días)

1.6. Datos Técnicos y de Uso

  • Información del dispositivo: Tipo de dispositivo, sistema operativo, navegador, versión
  • Dirección IP: Para seguridad y detección de fraudes (anonimizada en análisis)
  • Cookies e identificadores: Según nuestra Política de Cookies
  • Logs del servidor: Registros de acceso, errores técnicos (conservados 30 días)
  • Actividad de navegación: Páginas visitadas, clics, interacciones, tiempo de permanencia
  • Preferencias del usuario: Idioma, zona horaria, tema (claro/oscuro), notificaciones

1.7. Comunicaciones

  • Correos electrónicos: Contenido de comunicaciones con soporte técnico
  • Notificaciones: Estado de pedidos, actualizaciones del sistema

2. Cómo Utilizamos su Información

Procesamos sus datos personales con las siguientes finalidades y bases legales:

Finalidad Base Legal (RGPD)
Proporcionar servicios de la plataforma (gestión de pedidos, menús, personal) Ejecución del contrato (Art. 6.1.b)
Procesar pagos y suscripciones Ejecución del contrato (Art. 6.1.b)
Autenticación y gestión de cuentas Ejecución del contrato (Art. 6.1.b)
Prevención de fraude y seguridad (identificación de dispositivos) Interés legítimo (Art. 6.1.f)
Comunicaciones transaccionales (confirmaciones, notificaciones de estado) Ejecución del contrato (Art. 6.1.b)
Soporte técnico y atención al cliente Ejecución del contrato (Art. 6.1.b)
Facturación y contabilidad Obligación legal (Art. 6.1.c) - Ley General Tributaria
Análisis y mejora del servicio (Microsoft Clarity) Consentimiento (Art. 6.1.a)
Análisis estadístico (Umami Analytics) Interés legítimo (Art. 6.1.f) - Análisis agregado sin cookies
Cumplimiento de obligaciones legales Obligación legal (Art. 6.1.c)

3. Procesadores de Datos y Terceros

Para proporcionar nuestros servicios, compartimos datos con los siguientes procesadores de confianza que actúan en nuestro nombre según Acuerdos de Procesamiento de Datos (DPAs):

3.1. Proveedores de Servicios Esenciales

Clerk, Inc. (Estados Unidos)

Servicio: Autenticación y gestión de usuarios
Datos procesados: Email, nombre, contraseña (encriptada), teléfono, avatar, tokens de sesión
Transferencias internacionales: Estados Unidos (protegido por Cláusulas Contractuales Estándar)
Política de privacidad: clerk.com/privacy

Stripe, Inc. (Estados Unidos/Irlanda)

Servicio: Procesamiento de pagos y suscripciones
Datos procesados: Información de pago, nombres opcionales, emails, montos de transacciones, IDs de clientes
Cumplimiento: PCI DSS Nivel 1 certificado
Transferencias internacionales: Procesamiento en UE cuando es posible; Estados Unidos con Cláusulas Contractuales Estándar
Política de privacidad: stripe.com/privacy

Supabase, Inc. (Estados Unidos - Región UE)

Servicio: Alojamiento de base de datos y almacenamiento de archivos
Datos procesados: Todos los datos de aplicación
Ubicación de datos: Región de la Unión Europea (AWS eu-central-1 o eu-west-1)
Certificaciones: SOC 2 Type II
Política de privacidad: supabase.com/privacy

Resend, Inc. (Estados Unidos)

Servicio: Envío de correos electrónicos transaccionales
Datos procesados: Direcciones de email, nombres, contenido de emails (invitaciones de personal, confirmaciones)
Transferencias internacionales: Estados Unidos (protegido por Cláusulas Contractuales Estándar)
Política de privacidad: resend.com/legal/privacy-policy

3.2. Servicios de Análisis

Umami Analytics

Servicio: Análisis web respetuoso con la privacidad
Datos procesados: Estadísticas agregadas de uso (sin identificación personal)
Características: Sin cookies, datos anónimos, sin rastreo entre sitios
Base legal: Interés legítimo (análisis agregado sin datos personales)
Cumplimiento: RGPD por diseño

Microsoft Clarity (Microsoft Corporation)

Servicio: Grabaciones de sesión y mapas de calor
Datos procesados: Interacciones anónimas, clics, desplazamientos, grabaciones de pantalla
Aplicación: Solo menús públicos para comensales (NO áreas de gestión de restaurantes)
Transferencias internacionales: Estados Unidos (Microsoft)
Base legal: Consentimiento (requiere aceptación de cookies analíticas)
Política de privacidad: Microsoft Privacy Statement

3.3. Servicios de Análisis y Marketing (Implementación Futura)

Planeamos integrar los siguientes servicios en el futuro. Cuando se implementen, requerirán su consentimiento explícito:

  • Google Analytics 4 (Google LLC): Análisis de tráfico web. Cookies: _ga, _gid, _gat. Transferencias a Estados Unidos.
  • Meta Pixel (Meta Platforms, Inc.): Seguimiento de conversiones y remarketing. Cookies: _fbp, _fbc, fr. Transferencias a Estados Unidos.

No vendemos, alquilamos ni comercializamos su información personal a terceros.

4. Transferencias Internacionales de Datos

Algunos de nuestros procesadores de datos están ubicados en Estados Unidos. Para garantizar un nivel adecuado de protección, implementamos las siguientes salvaguardas:

  • Cláusulas Contractuales Estándar (SCCs): Aprobadas por la Comisión Europea (Decisión 2021/914)
  • Acuerdos de Procesamiento de Datos (DPAs): Con todos los procesadores que cumplen con el Artículo 28 del RGPD
  • Certificaciones de seguridad: SOC 2 Type II, ISO 27001
  • Cifrado: Datos cifrados en tránsito (TLS) y en reposo
  • Medidas técnicas complementarias: Según recomendaciones del Comité Europeo de Protección de Datos (EDPB)

Cuando sea técnicamente posible, priorizamos el almacenamiento y procesamiento de datos dentro del Espacio Económico Europeo (EEE).

5. Conservación de Datos

Conservamos sus datos personales únicamente durante el tiempo necesario para los fines establecidos:

Tipo de Datos Período de Conservación
Datos de cuenta (mientras está activa) Hasta que solicite eliminación o cierre de cuenta
Datos de transacciones y facturas 7 años (obligación legal - Ley General Tributaria 58/2003)
Sesiones de invitados (JWT) 4 horas (expiración automática)
Tokens de invitación de personal 7 días (expiración automática)
Logs del servidor 30 días (seguridad y debugging)
Datos de soporte técnico 2 años desde la resolución del ticket
Cookies de sesión Al cerrar el navegador
Cookies analíticas (si se aceptan) Según política de cookies (hasta 2 años)

Después de estos períodos, anonimizamos o eliminamos sus datos personales de forma segura, salvo que la ley requiera conservación adicional.

6. Seguridad de los Datos

Implementamos medidas técnicas y organizativas apropiadas para proteger sus datos personales:

Medidas Técnicas:

  • Cifrado: TLS 1.3 para datos en tránsito; cifrado en reposo en bases de datos
  • Autenticación robusta: Contraseñas hasheadas (bcrypt), tokens JWT, sesiones seguras
  • Control de acceso: Row-Level Security (RLS) en base de datos, autenticación basada en roles
  • Protección de APIs: Rate limiting, validación de entrada, protección CSRF
  • Infraestructura segura: Servidores en centros de datos certificados, firewalls, detección de intrusiones
  • Backups: Copias de seguridad automáticas diarias con cifrado
  • Actualizaciones: Parches de seguridad aplicados regularmente

Medidas Organizativas:

  • Acceso limitado: Solo personal autorizado accede a datos personales bajo necesidad estricta
  • Confidencialidad: Acuerdos de confidencialidad con todo el personal
  • Formación: Capacitación regular en protección de datos y seguridad
  • Auditorías: Revisiones de seguridad periódicas
  • Plan de respuesta a incidentes: Procedimientos documentados para brechas de seguridad

En caso de brecha de seguridad que afecte sus derechos y libertades, le notificaremos según lo requerido por el RGPD (Artículos 33-34).

7. Sus Derechos

Bajo el RGPD y la LOPDGDD, tiene los siguientes derechos respecto a sus datos personales:

Derecho de Acceso (Art. 15 RGPD)

Puede solicitar una copia de todos los datos personales que tenemos sobre usted. Disponible en la configuración de su cuenta: Botón "Descargar Mis Datos".

Derecho de Rectificación (Art. 16 RGPD)

Puede corregir datos inexactos o incompletos. Disponible en: Configuración de perfil de usuario.

Derecho de Supresión / "Derecho al Olvido" (Art. 17 RGPD)

Puede solicitar la eliminación de sus datos. Nota: Los datos de transacciones deben conservarse 7 años por obligación legal fiscal, pero serán anonimizados para proteger su identidad.

Derecho a la Limitación del Tratamiento (Art. 18 RGPD)

Puede solicitar que restrinjamos el procesamiento de sus datos en ciertas circunstancias.

Derecho a la Portabilidad de Datos (Art. 20 RGPD)

Puede recibir sus datos en formato JSON estructurado y transmitirlos a otro responsable.

Derecho de Oposición (Art. 21 RGPD)

Puede oponerse al procesamiento basado en interés legítimo. En marketing directo, el derecho de oposición es absoluto.

Derecho a Retirar el Consentimiento (Art. 7.3 RGPD)

Cuando el procesamiento se base en su consentimiento (ej. cookies analíticas), puede retirarlo en cualquier momento desde "Configuración de Cookies" en el pie de página.

Derecho a No Ser Objeto de Decisiones Automatizadas (Art. 22 RGPD)

No utilizamos toma de decisiones automatizada ni elaboración de perfiles que produzcan efectos legales sobre usted.

Cómo Ejercer Sus Derechos

Para ejercer cualquiera de estos derechos:

  1. A través de su cuenta: Configuración de usuario (para acceso, rectificación, eliminación)
  2. Por correo electrónico: info@solventussoftware.com (con asunto: "Ejercicio de Derechos RGPD")
  3. Plazo de respuesta: 30 días desde la recepción de su solicitud (prorrogable 60 días adicionales en casos complejos)

Podemos solicitar verificación de identidad para proteger sus datos personales.

Derecho a Presentar una Reclamación

Si considera que hemos infringido sus derechos de protección de datos, puede presentar una reclamación ante:

Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6, 28001 Madrid, España
Web: www.aepd.es
Sede electrónica: sedeagpd.gob.es
Teléfono: +34 912 663 517

8. Cookies y Tecnologías Similares

Utilizamos cookies y tecnologías similares para mejorar su experiencia. Para información detallada, consulte nuestra Política de Cookies.

Resumen de cookies:

  • Estrictamente necesarias: Autenticación, sesiones (no requieren consentimiento)
  • Funcionales: Preferencias, carrito de compra (consentimiento recomendado)
  • Analíticas: Microsoft Clarity, Google Analytics (requieren consentimiento)
  • Marketing: Meta Pixel (requieren consentimiento)

Puede gestionar sus preferencias de cookies en cualquier momento desde "Configuración de Cookies" en el pie de página.

9. Menores de Edad

Nuestros servicios no están dirigidos a menores de 14 años (edad mínima según LOPDGDD en España). No recopilamos conscientemente información personal de menores de 14 años sin consentimiento parental verificable.

Si descubrimos que hemos recopilado datos de un menor sin consentimiento parental, eliminaremos esa información inmediatamente.

10. Modificaciones a esta Política

Podemos actualizar esta Política de Privacidad ocasionalmente para reflejar cambios en nuestras prácticas, servicios o requisitos legales.

Le notificaremos:

  • Por correo electrónico (para cambios significativos)
  • Mediante aviso en la plataforma
  • Con un período de gracia de 30 días antes de que los cambios entren en vigor

La fecha de "Última actualización" al inicio de esta política indica la versión más reciente.

11. Contacto

Para cualquier consulta sobre esta Política de Privacidad o sobre nuestras prácticas de datos, puede contactarnos:

Responsable del Tratamiento:
SOLVENTUS SOFTWARE S.L. (Tasteo)
CIF: B21841747

Correo electrónico: info@solventussoftware.com
Sitio web: tasteo.es
Sitio corporativo: solventussoftware.com

Documentos relacionados:
Política de Cookies | Términos de Servicio | Aviso Legal