1. Responsable del tratamiento

RestBook
Domicilio social: [COMPLETAR]
Email: info@rest-book.com

2. Reparto de responsabilidades

RestBook (responsable del tratamiento) respecto a los tratamientos necesarios para operar la web app, gestionar seguridad y soporte, y —si hay registro— la cuenta, histórico y métricas personales.

Restaurante (responsable del tratamiento) respecto a la venta/servicio de restauración, Ticket (TPV), precios/impuestos/descuentos, cierre de mesa y emisión de factura/ticket fiscal.

TPV / motor de reservas (terceros): pueden actuar como encargados del Restaurante o como responsables independientes, según su relación contractual con el Restaurante.

PSP/pasarela de pago (responsable en su ámbito): trata los datos necesarios para ejecutar el pago, autenticación y seguridad. RestBook no almacena datos completos de tarjeta.

3. Datos tratados

3.1. Usuario invitado (sin cuenta)

• Técnicos y de uso: IP, identificadores de sesión, fecha/hora, navegador/dispositivo, registros técnicos y de seguridad.
• Operativos de mesa/pago: restaurante asociado, identificador de mesa/QR, importes, estado de mesa, estado del pago, identificador de transacción, marcas de tiempo.
• No se almacenan datos completos de tarjeta (PAN/CVV).

3.2. Usuario registrado

Además de los anteriores:

• Cuenta: email, credenciales (almacenadas de forma segura), y opcionalmente nombre si se solicita.
• Histórico: restaurante, fecha y hora, importes, estado del pago, identificador de transacción, mesa asociada cuando aplique.
• Métricas personales: agregaciones/estadísticas personales de gasto generadas a partir del histórico.

3.3. Soporte e incidencias

Datos de contacto, contenido de comunicaciones y evidencias aportadas, e identificadores técnicos necesarios para diagnóstico.

3.4. Propina digital (si se habilita)

Importe de propina, fecha/hora, restaurante, transacción asociada y estado (sin datos completos de tarjeta).

4. Finalidades y bases legales

F1. Prestación del servicio (invitado y registrado)
Mostrar Ticket/estado, habilitar división e iniciar pagos, mostrar estados/confirmaciones técnicas.
Base legal: art. 6.1.b RGPD.

F2. Gestión de cuenta (solo registrado)
Alta, autenticación y mantenimiento de cuenta.
Base legal: art. 6.1.b RGPD.

F3. Histórico (solo registrado)
Mantener el histórico asociado a la cuenta para consulta del usuario.
Base legal: art. 6.1.b RGPD.

F4. Métricas personales (solo registrado)
Generar y mostrar estadísticas personales de gasto. Las métricas tienen finalidad meramente informativa y no implican decisiones automatizadas con efectos jurídicos sobre el Usuario.
Base legal: art. 6.1.b RGPD.

F5. Seguridad y prevención de fraude (invitado y registrado)
Prevención de manipulación de QR, abuso, intentos de suplantación y protección del servicio.
Base legal: art. 6.1.f RGPD.

F6. Soporte e incidencias (invitado y registrado)
Atención de solicitudes e investigación de incidencias técnicas, coordinación con Restaurante/PSP/TPV cuando sea necesario.
Base legal: art. 6.1.b y/o art. 6.1.f RGPD.

F7. Cumplimiento legal
Atención de requerimientos y conservación bloqueada cuando proceda.
Base legal: art. 6.1.c RGPD.

F8. Comunicaciones comerciales (si se habilitan)
Solo con consentimiento expreso y revocable en cualquier momento.
Base legal: art. 6.1.a RGPD.

5. Destinatarios

• Restaurante: datos necesarios para la operativa de mesa/ticket y conciliación de pagos en su establecimiento, según integración.
• PSP/pasarela de pago: datos necesarios para ejecutar el pago y gestionar incidencias en su ámbito.
• Proveedores tecnológicos de RestBook (encargados): hosting, correo transaccional, seguridad, monitorización y otros necesarios para operar el servicio, con contratos art. 28 RGPD.
• Autoridades públicas: cuando exista obligación legal.
• Proveedores de integración TPV proporcionan datos del ticket (productos, precios e importes) y reciben notificaciones de pago para actualizar el estado del TPV. No acceden en ningún momento a datos personales identificativos de los usuarios de RestBook.

Por defecto, el Restaurante no tendrá acceso libre a la identidad completa del Usuario registrado, salvo que resulte estrictamente necesario para la funcionalidad habilitada y exista base legal adecuada.

6. Transferencias internacionales

Si se utilizaran proveedores fuera del Espacio Económico Europeo (EEE), se aplicarán garantías adecuadas, como las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, y medidas complementarias cuando proceda. Para más información: info@rest-book.com.

7. Plazos de conservación

Usuario invitado

• Datos de sesión/funcionamiento técnico: hasta 30 días.
• Logs de seguridad/antifraude: hasta 12 meses.
• Datos operativos de transacción (ID/token, importes, estados): hasta 24 meses.

Usuario registrado

• Datos de cuenta: mientras la cuenta esté activa.
• Tras baja de cuenta: bloqueo durante 1 año, salvo que una norma exija un plazo distinto o sea necesario para la formulación, ejercicio o defensa de reclamaciones.

Datos fiscales y de pagos

• Hasta 6 años conforme a la Ley General Tributaria.

Soporte

• Tickets y comunicaciones: hasta 24 meses desde el cierre del caso, salvo bloqueo por reclamación.

Comunicaciones comerciales

• Hasta retirada del consentimiento.

8. Derechos del usuario

Puede ejercer en cualquier momento sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad escribiendo a info@rest-book.com (podrá solicitarse acreditación de identidad si existen dudas razonables).

También tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es

9. Seguridad

RestBook aplica medidas técnicas y organizativas apropiadas: cifrado en tránsito, control de accesos, segregación, monitorización y registro de eventos, entre otras.

10. Cambios

RestBook podrá actualizar esta política. Si los cambios son materiales, se informará mediante la web app antes de su entrada en vigor.

Contacto

📧 info@rest-book.com