Politica de Privacidad
Aviso: Esta pagina es una traduccion. Para cuestiones legales prevalece la version original alemana. El responsable del tratamiento Zentachain GmbH (operando bajo la marca "Omiser") tiene su domicilio en Dortmund, Alemania, y esta sujeto al Derecho aleman y a la normativa europea de proteccion de datos (RGPD).
1. Responsable del tratamiento
El responsable del tratamiento en el sentido del Reglamento General de Proteccion de Datos (RGPD, Reglamento UE 2016/679) y de la Ley Organica 3/2018, de 5 de diciembre, de Proteccion de Datos Personales y garantia de los derechos digitales (LOPDGDD), asi como de otras disposiciones nacionales en materia de proteccion de datos, es:
Zentachain GmbH (operando bajo la marca "Omiser") Dortmund, Alemania
Registro mercantil: Amtsgericht Charlottenburg (Berlin) Numero de registro: HRB 242677 B NIF-IVA: DE363535928
Correo electronico: office@omiser.com
(en adelante, "Omiser", "nosotros" o "nuestro")
2. Delegado de Proteccion de Datos
Se designara un delegado de proteccion de datos tan pronto como se cumplan los requisitos legales conforme al articulo 38 de la Ley Federal de Proteccion de Datos alemana (BDSG), en particular cuando al menos veinte personas se dediquen habitualmente al tratamiento automatizado de datos personales o cuando se lleven a cabo tratamientos que requieran una evaluacion de impacto relativa a la proteccion de datos conforme al articulo 35 del RGPD.
En caso de que se haya designado un delegado de proteccion de datos, podra contactar con el en:
Correo electronico: office@omiser.com
3. Vision general de los tratamientos
3.1 Tipos de datos tratados
Tratamos las siguientes categorias de datos personales:
- Datos identificativos (p. ej., nombres, direcciones, razones sociales)
- Datos de contacto (p. ej., direcciones de correo electronico, numeros de telefono)
- Datos contractuales (p. ej., objeto del contrato, duracion, categoria del cliente)
- Datos de pago (p. ej., datos bancarios, historial de pagos, a traves de proveedores de servicios de pago)
- Datos de uso (p. ej., paginas visitadas, tiempos de acceso, comportamiento de navegacion)
- Metadatos y datos de comunicacion (p. ej., direcciones IP, informacion del dispositivo, tipo de navegador)
- Datos de contenido (p. ej., entradas en formularios de contacto, contenido de mensajes)
- Datos de autenticacion (p. ej., contrasenias en formato hash, tokens OAuth)
3.2 Categorias de interesados
- Visitantes y usuarios de nuestro sitio web (www.omiser.com)
- Clientes empresariales (propietarios de restaurantes y sus empleados)
- Clientes finales de los restaurantes (en el marco del tratamiento por encargo)
- Interlocutores de comunicacion (formulario de contacto, correo electronico)
3.3 Fines del tratamiento
- Puesta a disposicion y funcionamiento del sitio web y la plataforma
- Prestacion de servicios contractuales (servicios B2B-SaaS para restaurantes)
- Tratamiento por encargo de datos de pedidos de clientes finales por cuenta de los restaurantes
- Comunicacion con clientes y soporte
- Garantia de la seguridad informatica y del funcionamiento sin interrupciones
- Analisis y optimizacion del sitio web (solo con consentimiento)
- Marketing y publicidad (solo con consentimiento)
- Cumplimiento de obligaciones legales (p. ej., obligaciones de conservacion)
3.4 Roles y responsabilidades de la plataforma
Omiser opera una plataforma B2B-SaaS que proporciona a los restaurantes su propia tienda de pedidos en linea, una aplicacion movil y un panel de gestion. En este contexto existen dos relaciones en materia de proteccion de datos:
- Omiser como responsable del tratamiento (art. 4.7 RGPD): Para el tratamiento de datos personales de visitantes del sitio web y clientes empresariales (propietarios de restaurantes), Omiser es el responsable del tratamiento.
- Omiser como encargado del tratamiento (art. 4.8 y art. 28 RGPD): Para el tratamiento de datos personales de clientes finales que realizan pedidos a traves de la tienda de pedidos de un restaurante, el restaurante correspondiente actua como responsable del tratamiento. Omiser trata estos datos exclusivamente por encargo y segun las instrucciones del restaurante, sobre la base de un contrato de encargo del tratamiento conforme al articulo 28 del RGPD.
4. Bases juridicas del tratamiento
El tratamiento de datos personales se realiza siempre sobre una base juridica valida. En particular, se aplican las siguientes bases juridicas:
-
Consentimiento (art. 6.1.a RGPD, art. 22.2 LSSI-CE): Cuando obtenemos el consentimiento del interesado para el tratamiento de datos personales o para el acceso a informacion almacenada en el dispositivo del usuario (p. ej., cookies, pixeles de seguimiento), el articulo 6.1.a del RGPD y el articulo 22.2 de la LSSI-CE constituyen la base juridica. El consentimiento puede revocarse en cualquier momento con efectos futuros.
-
Ejecucion de un contrato y medidas precontractuales (art. 6.1.b RGPD): Cuando el tratamiento de datos personales es necesario para la ejecucion de un contrato con el interesado o para la realizacion de medidas precontractuales a solicitud del interesado, el tratamiento se basa en el articulo 6.1.b del RGPD.
-
Obligacion legal (art. 6.1.c RGPD): Cuando el tratamiento de datos personales es necesario para el cumplimiento de una obligacion legal a la que estamos sujetos (p. ej., obligaciones de conservacion fiscal), el tratamiento se basa en el articulo 6.1.c del RGPD.
-
Intereses legitimos (art. 6.1.f RGPD): Cuando el tratamiento es necesario para la satisfaccion de intereses legitimos nuestros o de un tercero y los intereses, derechos fundamentales y libertades del interesado no prevalecen, el articulo 6.1.f del RGPD constituye la base juridica. Nuestros intereses legitimos residen, en particular, en la puesta a disposicion y mejora de nuestra plataforma, la garantia de la seguridad informatica y la defensa de reclamaciones juridicas.
5. Recogida y tratamiento de datos personales
5.1 Visita al sitio web (archivos de registro del servidor)
Con cada acceso a nuestro sitio web, nuestro proveedor de alojamiento recoge y almacena automaticamente informacion en los denominados archivos de registro del servidor, que su navegador transmite automaticamente. Estos son:
- Direccion IP del dispositivo solicitante (eventualmente abreviada)
- Fecha y hora del acceso
- Nombre y URL del archivo solicitado
- Volumen de datos transferidos
- Notificacion de acceso satisfactorio (codigo de estado HTTP)
- URL de referencia (pagina visitada previamente)
- Navegador web y sistema operativo utilizados
- Idioma y version del software del navegador
- Nombre del proveedor de acceso
Base juridica: Art. 6.1.f RGPD. Nuestro interes legitimo reside en garantizar el funcionamiento sin interrupciones del sitio web, la defensa contra ataques y usos indebidos, asi como el analisis de errores.
Plazo de conservacion: Los archivos de registro del servidor se eliminan automaticamente transcurridos 30 dias como maximo, salvo que sea necesaria una conservacion mas prolongada a efectos probatorios (p. ej., en caso de incidentes de seguridad).
No se realiza fusion de datos: No se lleva a cabo una fusion de estos datos con otras fuentes de datos. No se realiza una asignacion a una persona determinada.
5.2 Registro como cliente restaurante
Para utilizar nuestra plataforma SaaS es necesario registrarse. En este proceso recogemos los siguientes datos:
- Nombre y apellidos del propietario/administrador
- Direccion de correo electronico
- Numero de telefono
- Direccion comercial (calle, numero, codigo postal, localidad, pais)
- Razon social (nombre del restaurante o de la empresa)
- Datos fiscales (en su caso, NIF-IVA)
- Informacion de pago (en tarifas de pago; el tratamiento se realiza a traves de proveedores de servicios de pago, vease apartado 10)
- Contrasenia (en caso de registro por correo electronico; se almacena exclusivamente como hash bcrypt)
El registro puede realizarse de las siguientes formas:
- Registro por correo electronico: Creacion de una cuenta con direccion de correo electronico y contrasenia elegida.
- Google OAuth: Inicio de sesion a traves de su cuenta de Google/Gmail. En este caso, Google nos transmite su nombre, su direccion de correo electronico y su foto de perfil. No se transfieren datos adicionales (vease apartado 9.1).
- Sign in with Apple: Inicio de sesion a traves de su Apple ID. En este caso, Apple nos transmite su nombre y su direccion de correo electronico. Apple ofrece la posibilidad de utilizar una direccion de reenvio privada (vease apartado 9.2).
Base juridica: Art. 6.1.b RGPD (ejecucion del contrato de uso o medidas precontractuales).
Plazo de conservacion: Los datos se conservan durante la vigencia de la relacion contractual y se eliminan tras la finalizacion del contrato, respetando los plazos legales de conservacion (vease apartado 15).
5.3 Tratamiento de datos de clientes finales (tratamiento por encargo conforme al art. 28 RGPD)
Los restaurantes que utilizan nuestra plataforma tratan a traves de su tienda de pedidos y la aplicacion movil datos personales de sus clientes finales. Estos datos incluyen, en particular:
- Nombre y direccion del cliente final
- Direccion de correo electronico y numero de telefono
- Direccion de entrega/recogida
- Historial de pedidos y detalles de los pedidos
- Informacion de pago (tratada a traves de proveedores de servicios de pago)
- Datos de comunicacion (p. ej., mensajes en el marco de un pedido)
Distribucion de responsabilidades en materia de proteccion de datos:
- El restaurante es el responsable del tratamiento (art. 4.7 RGPD) de los datos de los clientes finales y determina los fines y medios del tratamiento.
- Omiser es el encargado del tratamiento (art. 4.8 RGPD) y trata los datos de los clientes finales exclusivamente por encargo y segun las instrucciones documentadas del restaurante.
El tratamiento se realiza sobre la base de un contrato de encargo del tratamiento conforme al articulo 28 del RGPD entre Omiser y el restaurante correspondiente. Este contrato regula, en particular:
- Objeto y duracion del tratamiento
- Naturaleza y finalidad del tratamiento
- Tipo de datos personales y categorias de interesados
- Obligaciones y derechos del responsable del tratamiento
- Medidas tecnicas y organizativas (art. 32 RGPD)
- Recurso a subencargados del tratamiento
- Asistencia en el cumplimiento de los derechos de los interesados
- Supresion o devolucion de los datos tras la finalizacion del contrato
Separacion tecnica: Cada restaurante recibe su propia base de datos logicamente aislada. De este modo se garantiza una estricta separacion de los datos de clientes finales de los distintos restaurantes.
Nota para los clientes finales: Si usted, como cliente final, desea obtener informacion sobre sus datos personales o ejercer sus derechos, le rogamos que se dirija al restaurante en el que ha realizado su pedido. Este es el responsable del tratamiento a efectos de proteccion de datos.
5.4 Formulario de contacto
En nuestro sitio web dispone de un formulario de contacto a traves del cual puede enviarnos consultas. En este proceso se recogen los siguientes datos:
- Nombre
- Direccion de correo electronico
- Numero de telefono (opcional)
- Nombre del restaurante (opcional)
- Asunto seleccionado
- Contenido de su mensaje
- Momento del envio
- Direccion IP (por razones tecnicas y para la prevencion de abusos)
Para el envio de la consulta de contacto utilizamos el servicio Resend (Resend Inc., EE. UU.). Con Resend existe un contrato de encargo del tratamiento. La transferencia de datos a los EE. UU. se realiza sobre la base de clausulas contractuales tipo (art. 46.2.c RGPD).
Base juridica:
- En la medida en que su consulta tenga por objeto la celebracion de un contrato: art. 6.1.b RGPD (medidas precontractuales).
- En los demas casos: art. 6.1.f RGPD (interes legitimo en la respuesta a consultas de los usuarios).
Plazo de conservacion: Su consulta y los datos asociados se eliminan tras su tramitacion definitiva, salvo que existan obligaciones legales de conservacion que lo impidan. En caso de que se establezca una relacion contractual, se aplican los plazos generales de conservacion (vease apartado 15).
5.5 Boletin informativo (newsletter)
En nuestro sitio web puede suscribirse a nuestro boletin informativo. En este proceso solo se recoge su direccion de correo electronico.
Base juridica: Art. 6.1.a RGPD (consentimiento). La suscripcion es voluntaria.
Envio y gestion: Para el envio y la gestion de los suscriptores del boletin informativo utilizamos el servicio Resend (Resend Inc., EE. UU.). Resend almacena su direccion de correo electronico y el momento de la suscripcion. Con Resend existe un contrato de encargo del tratamiento.
Baja: Puede darse de baja del boletin informativo en cualquier momento. En cada correo electronico del boletin informativo se incluye un enlace de baja. Tras la baja, su direccion de correo electronico se elimina de la lista de envio, salvo que exista una obligacion legal de conservacion.
6. Alojamiento y distribucion de contenidos
6.1 Alojamiento
Nuestro sitio web y plataforma se alojan en un proveedor de alojamiento profesional. Los servidores se encuentran exclusivamente en la Union Europea (UE).
Al visitar nuestro sitio web, el proveedor de alojamiento trata los siguientes datos:
- Datos de contenido
- Datos de uso
- Metadatos y datos de comunicacion (vease apartado 5.1)
El recurso al proveedor de alojamiento se basa en el articulo 6.1.f del RGPD (interes legitimo en una puesta a disposicion segura y eficiente de nuestra oferta en linea) asi como, en la medida en que se haya celebrado un contrato, en el articulo 6.1.b del RGPD.
Con el proveedor de alojamiento existe un contrato de encargo del tratamiento conforme al articulo 28 del RGPD, que garantiza un tratamiento conforme a la normativa de proteccion de datos.
Proveedor de alojamiento: Vercel Inc. 440 N Baxter St, Los Angeles, CA 90012, EE. UU.
7. Tipografias (Google Fonts — alojadas localmente)
Utilizamos en nuestro sitio web tipografias de Google (Google Fonts). Estas tipografias estan instaladas localmente en nuestro servidor (autoalojamiento). Al acceder a nuestro sitio web, las tipografias se cargan directamente desde nuestro servidor.
No se establece ninguna conexion con los servidores de Google. No se transmiten datos a Google. En particular, su direccion IP no se transmite a Google.
El uso de las tipografias autoalojadas se realiza en interes de una presentacion uniforme y atractiva de nuestro sitio web. No se requiere una base juridica especifica en materia de proteccion de datos para el autoalojamiento, ya que no se transmiten datos personales a terceros.
8. Seguimiento y servicios de analisis
Utilizamos en nuestro sitio web los siguientes servicios de seguimiento y analisis. El uso de estos servicios se realiza exclusivamente con su consentimiento previo y expreso, que obtenemos a traves de un banner de consentimiento de cookies (plataforma de gestion de consentimiento).
Base juridica: Art. 6.1.a RGPD (consentimiento) en relacion con el art. 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informacion y de comercio electronico (LSSI-CE) (consentimiento para el almacenamiento de informacion en el dispositivo del usuario o el acceso a la misma).
Sin su consentimiento expreso no se instalan cookies de seguimiento y no se cargan pixeles de seguimiento. Las cookies tecnicamente necesarias (art. 22.2 LSSI-CE) no requieren consentimiento.
8.1 Google Analytics 4 (Google Ireland Limited)
Utilizamos Google Analytics 4, un servicio de analisis web de Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlanda (en adelante, "Google").
Google Analytics utiliza cookies y tecnologias similares que permiten analizar su uso del sitio web. La informacion generada por la cookie sobre su uso de este sitio web se transmite, por regla general, a un servidor de Google y se almacena alli.
Anonimizacion de IP: Google Analytics 4 anonimiza su direccion IP de forma estandar, de modo que no se transmite ninguna direccion IP completa a Google.
Datos tratados:
- Identificadores en linea (p. ej., IDs de cookies, IDs de dispositivos)
- Direccion IP (anonimizada)
- Informacion sobre el dispositivo (tipo de dispositivo, sistema operativo, navegador)
- Datos de uso (paginas visitadas, tiempo de permanencia, interacciones)
- Datos de ubicacion (sobre la base de la direccion IP anonimizada, no precisa)
- URL de referencia
Finalidad: Analisis del comportamiento de los usuarios para mejorar nuestro sitio web y nuestra oferta, elaboracion de estadisticas de uso.
Destinatarios/Transferencia de datos: Google Ireland Limited; en su caso, transmision a Google LLC, EE. UU. La transferencia a los EE. UU. se realiza sobre la base del Marco de Privacidad de Datos UE-EE. UU. (decision de adecuacion de la Comision Europea conforme al art. 45 RGPD) o de clausulas contractuales tipo (art. 46.2.c RGPD).
Mas informacion: https://policies.google.com/privacy
Exclusion voluntaria (opt-out): Puede impedir la recogida por Google Analytics no otorgando o revocando su consentimiento. Adicionalmente, Google ofrece un complemento del navegador para la desactivacion: https://tools.google.com/dlpage/gaoptout
8.2 Seguimiento de conversiones de Google Ads (Google Ireland Limited)
Utilizamos el seguimiento de conversiones de Google Ads, un servicio de Google Ireland Limited.
Cuando usted hace clic en un anuncio publicado por Google, se instala una cookie de seguimiento de conversiones en su dispositivo. Esta cookie pierde su validez transcurridos 30 dias y no sirve para la identificacion personal. Si usted visita determinadas paginas de nuestro sitio web y la cookie aun no ha caducado, tanto nosotros como Google podemos reconocer que usted hizo clic en el anuncio y fue redirigido a nuestra pagina.
Datos tratados:
- Identificadores en linea (IDs de cookies)
- Datos de conversion (p. ej., si se ha realizado una determinada accion)
- Direccion IP (abreviada)
- Informacion sobre la interaccion con el anuncio
Finalidad: Medicion de la eficacia de nuestros anuncios de Google Ads, optimizacion de nuestras campanas publicitarias.
Destinatarios/Transferencia de datos: Google Ireland Limited; en su caso, Google LLC, EE. UU. (Marco de Privacidad de Datos UE-EE. UU. / clausulas contractuales tipo).
Mas informacion: https://policies.google.com/privacy
8.3 Meta Pixel (Meta Platforms Ireland Limited)
Utilizamos el Meta Pixel (anteriormente Facebook Pixel), un servicio de Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irlanda (en adelante, "Meta").
El Meta Pixel es un fragmento de codigo JavaScript integrado en nuestro sitio web. Nos permite medir la eficacia de nuestros anuncios en Facebook e Instagram, crear audiencias para anuncios (Custom Audiences) y llevar a cabo acciones de retargeting.
Datos tratados:
- Identificadores en linea (IDs de cookies, ID del pixel)
- Datos de uso (paginas visitadas, acciones/eventos realizados)
- Informacion del dispositivo (navegador, sistema operativo, resolucion de pantalla)
- Direccion IP
- URL de referencia
Al acceder a nuestro sitio web, el Meta Pixel establece una conexion directa con el servidor de Meta. Meta recibe la informacion de que usted ha visitado nuestro sitio web. Si usted tiene la sesion iniciada en Facebook/Instagram, Meta puede asociar la visita a su cuenta.
Finalidad: Medicion de la eficacia publicitaria, creacion de audiencias, retargeting.
Destinatarios/Transferencia de datos: Meta Platforms Ireland Limited; en su caso, Meta Platforms, Inc., EE. UU. (Marco de Privacidad de Datos UE-EE. UU. / clausulas contractuales tipo).
Corresponsabilidad del tratamiento: Para la recogida y transmision de datos a Meta existe entre nosotros y Meta una corresponsabilidad del tratamiento conforme al articulo 26 del RGPD. El acuerdo al respecto esta disponible en: https://www.facebook.com/legal/controller_addendum
Mas informacion: https://www.facebook.com/privacy/policy/
8.4 TikTok Pixel (TikTok Technology Limited)
Utilizamos el TikTok Pixel, un servicio de TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Irlanda (en adelante, "TikTok").
El TikTok Pixel nos permite medir la eficacia de nuestros anuncios en TikTok y registrar eventos de conversion.
Datos tratados:
- Identificadores en linea (IDs de cookies, ID del pixel)
- Datos de uso (paginas visitadas, acciones/eventos realizados)
- Informacion del dispositivo
- Direccion IP
Finalidad: Medicion de la eficacia publicitaria en TikTok, seguimiento de conversiones, retargeting.
Destinatarios/Transferencia de datos: TikTok Technology Limited, Irlanda; en su caso, otras entidades del grupo TikTok. La transferencia a terceros paises se realiza sobre la base de clausulas contractuales tipo (art. 46.2.c RGPD).
Mas informacion: https://www.tiktok.com/legal/privacy-policy
8.5 Twitter/X Pixel (X Corp.)
Utilizamos el seguimiento de conversiones de Twitter/X (Universal Website Tag), un servicio de X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, EE. UU. (en adelante, "X").
El Twitter/X Pixel nos permite medir el exito de nuestros anuncios en Twitter/X.
Datos tratados:
- Identificadores en linea (IDs de cookies)
- Datos de uso (paginas visitadas, eventos de conversion)
- Informacion del dispositivo
- Direccion IP
Finalidad: Medicion de la eficacia publicitaria en Twitter/X, seguimiento de conversiones.
Destinatarios/Transferencia de datos: X Corp., EE. UU. La transferencia a los EE. UU. se realiza sobre la base de clausulas contractuales tipo (art. 46.2.c RGPD) y, en la medida en que sea aplicable, del Marco de Privacidad de Datos UE-EE. UU.
Mas informacion: https://twitter.com/en/privacy
Revocacion del consentimiento para servicios de seguimiento y analisis
Usted puede revocar en cualquier momento con efectos futuros el consentimiento otorgado para el uso de los servicios de seguimiento y analisis mencionados. Para ello dispone de las siguientes opciones:
- Configuracion de cookies: Modifique su consentimiento a traves del enlace "Configuracion de cookies" en el pie de pagina de nuestro sitio web. Alli puede desactivar servicios individuales o todos los servicios.
- Configuracion del navegador: Puede configurar su navegador para que rechace las cookies en general, permita solo determinadas cookies o le notifique cuando se vaya a instalar una cookie.
- Enlaces de exclusion voluntaria de los proveedores: Algunos proveedores ofrecen sus propios mecanismos de exclusion voluntaria (vease las secciones correspondientes anteriores).
La revocacion del consentimiento no afecta a la licitud del tratamiento realizado sobre la base del consentimiento hasta el momento de la revocacion (art. 7.3, parrafo 2, RGPD).
9. Servicios de autenticacion de terceros
9.1 Google OAuth (Google Ireland Limited)
Le ofrecemos la posibilidad de registrarse e iniciar sesion en nuestra plataforma a traves de su cuenta de Google (OAuth 2.0).
Proveedor: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlanda.
Datos transmitidos: Al iniciar sesion a traves de Google, se nos transmiten los siguientes datos de Google:
- Nombre (nombre y apellidos)
- Direccion de correo electronico
- Foto de perfil
- ID de usuario de Google unico
La transmision se realiza a traves de la interfaz segura OAuth 2.0. Solo se transfieren los datos que usted haya autorizado. Google recibe la informacion de que usted se ha registrado en nuestro servicio. No tenemos acceso a su contrasenia de Google.
Base juridica: Art. 6.1.b RGPD (ejecucion del contrato; el registro es requisito previo para el uso de nuestra plataforma).
Mas informacion: https://policies.google.com/privacy
9.2 Sign in with Apple (Apple Distribution International Ltd.)
Le ofrecemos la posibilidad de registrarse e iniciar sesion en nuestra plataforma a traves de su Apple ID.
Proveedor: Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irlanda.
Datos transmitidos: Al iniciar sesion a traves de Apple, se nos transmiten los siguientes datos de Apple:
- Nombre (nombre y apellidos)
- Direccion de correo electronico
Apple ofrece la posibilidad de utilizar, a traves de la funcion "Ocultar mi correo electronico", una direccion de reenvio privada generada aleatoriamente en lugar de su direccion de correo electronico real. Los mensajes enviados a esta direccion son reenviados por Apple a su direccion de correo electronico real, sin que nosotros conozcamos su direccion real.
Base juridica: Art. 6.1.b RGPD (ejecucion del contrato).
Mas informacion: https://www.apple.com/legal/privacy/
10. Proveedores de servicios de pago
Para la tramitacion de pagos en el marco de nuestra plataforma SaaS recurrimos a proveedores externos de servicios de pago. La tramitacion del pago se realiza directamente entre el usuario y el proveedor de servicios de pago correspondiente. Del proveedor de servicios de pago solo recibimos una confirmacion del ingreso del pago o un ID de pago.
10.1 Stripe (Stripe Payments Europe, Ltd.)
Proveedor: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irlanda.
Datos tratados: En el marco del proceso de pago, Stripe trata los datos necesarios para la tramitacion del pago, en particular:
- Nombre del titular de la tarjeta
- Numero de tarjeta de credito o debito (Omiser no tiene acceso al numero completo de la tarjeta)
- Fecha de caducidad
- Numero de verificacion (CVC/CVV)
- Importe de la transaccion
- Direccion de correo electronico
- Direccion IP
Base juridica: Art. 6.1.b RGPD (ejecucion del contrato).
Stripe, como proveedor de servicios de pago, es responsable independiente del tratamiento de datos que se produce en su ambito de responsabilidad. Hemos celebrado con Stripe un contrato de encargo del tratamiento en la medida en que Stripe actua por nuestra cuenta.
Mas informacion: https://stripe.com/es/privacy
10.2 Mollie (Mollie B.V.)
Proveedor: Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Paises Bajos.
Datos tratados: En el marco del proceso de pago, Mollie trata los datos necesarios para la tramitacion del pago, en particular:
- Nombre del obligado al pago
- Datos de pago (dependiendo del metodo de pago elegido)
- Importe y moneda de la transaccion
- Direccion de correo electronico
- Direccion IP
Base juridica: Art. 6.1.b RGPD (ejecucion del contrato).
Mollie, como proveedor de servicios de pago, es responsable independiente del tratamiento de datos que se produce en su ambito de responsabilidad.
Mas informacion: https://www.mollie.com/es/privacy
11. Servicios de mapas
Utilizamos servicios de mapas para la visualizacion de mapas y la configuracion de zonas de reparto para restaurantes en nuestra plataforma.
Proveedor: Google Maps (Google Ireland Limited) Gordon House, Barrow Street, Dublin 4, Irlanda
Datos tratados: Al cargar la vista del mapa se establece una conexion con los servidores del proveedor de mapas. En este proceso pueden transmitirse los siguientes datos:
- Direccion IP
- Datos de ubicacion (si los ha autorizado el usuario)
- Informacion del dispositivo y del navegador
- Datos de uso (p. ej., seccion del mapa, nivel de zoom)
Finalidad: Visualizacion de mapas, configuracion y visualizacion de zonas de reparto de los restaurantes.
Base juridica: Art. 6.1.b RGPD (ejecucion del contrato), en la medida en que la vista del mapa sea necesaria para la prestacion del servicio contractualmente debido (configuracion de zonas de reparto); en los demas casos, art. 6.1.f RGPD (interes legitimo en una presentacion facil de usar).
En la medida en que se transmitan datos a terceros paises, esto se realiza sobre la base de clausulas contractuales tipo (art. 46.2.c RGPD) o del Marco de Privacidad de Datos UE-EE. UU.
Mas informacion: https://policies.google.com/privacy
12. Seguridad de los datos
Aplicamos amplias medidas tecnicas y organizativas conforme al articulo 32 del RGPD para garantizar un nivel de proteccion adecuado al riesgo para los datos personales tratados. Entre ellas se incluyen, en particular:
Medidas tecnicas:
- Cifrado AES-256 para los datos de clientes almacenados (cifrado en reposo)
- Cifrado TLS/SSL para toda la transmision de datos entre cliente y servidor (cifrado en transito)
- Bases de datos aisladas por restaurante: cada restaurante recibe su propia base de datos logicamente separada. De este modo se excluye tecnicamente el acceso a los datos de otros restaurantes.
- Almacenamiento seguro de contrasenias mediante hashing bcrypt. Las contrasenias no se almacenan ni transmiten en ningun momento en texto plano.
- Actualizaciones de seguridad periodicas y parches para todos los sistemas y dependencias
- Copias de seguridad automatizadas con cifrado
- Cortafuegos y sistemas de deteccion de intrusiones para la proteccion de la infraestructura
Medidas organizativas:
- Control de acceso basado en roles (RBAC): El acceso a los datos personales esta estrictamente limitado a aquellos empleados que lo necesitan para el desempenio de sus funciones (principio de necesidad de conocer).
- Compromiso de confidencialidad de todos los empleados y proveedores de servicios conforme al art. 28.3.b RGPD
- Sensibilizacion periodica de los empleados en materia de proteccion de datos y seguridad informatica
- Procedimiento documentado para incidentes de proteccion de datos conforme a los articulos 33 y 34 del RGPD
Alojamiento en la UE: Todos los servidores y bases de datos se encuentran en centros de datos dentro de la Union Europea.
Senialamos que, a pesar de todas las medidas de seguridad, no se puede garantizar una seguridad absoluta en la transmision de datos a traves de Internet.
13. Comunicacion a terceros y encargados del tratamiento
La transmision de datos personales a terceros solo se produce cuando:
- Usted haya otorgado su consentimiento expreso (art. 6.1.a RGPD),
- sea necesario para la ejecucion de un contrato (art. 6.1.b RGPD),
- exista una obligacion legal (art. 6.1.c RGPD), o
- sea necesario para la satisfaccion de intereses legitimos y no haya razon para suponer que su interes protegible en la exclusion de la transmision prevalezca (art. 6.1.f RGPD).
Encargados del tratamiento y proveedores de servicios utilizados
Colaboramos con las siguientes categorias de proveedores de servicios, con los que, en la medida en que sea necesario, se han celebrado contratos de encargo del tratamiento conforme al articulo 28 del RGPD:
| Proveedor de servicios / Categoria | Finalidad | Sede | |---|---|---| | Vercel Inc. | Alojamiento, infraestructura de servidores | EE. UU. (certificado DPF) | | Stripe Payments Europe, Ltd. | Tramitacion de pagos | Irlanda (UE) | | Mollie B.V. | Tramitacion de pagos | Paises Bajos (UE) | | Google Ireland Limited | Google Analytics 4, Google Ads, Google OAuth | Irlanda (UE) | | Meta Platforms Ireland Limited | Meta Pixel (Facebook/Instagram) | Irlanda (UE) | | TikTok Technology Limited | TikTok Pixel | Irlanda (UE) | | X Corp. | Twitter/X Pixel | EE. UU. | | Apple Distribution International Ltd. | Sign in with Apple | Irlanda (UE) | | Google Ireland Limited | Servicio de mapas (Google Maps) / Zonas de reparto | Irlanda (UE) | | Resend Inc. | Envio de correos electronicos de formulario de contacto y boletin informativo | EE. UU. (SCCs) |
Esta lista se actualiza en caso de cambios. La lista completa y actualizada de subencargados del tratamiento puede facilitarse previa solicitud.
14. Transferencias de datos a terceros paises
Algunos de los proveedores de servicios que utilizamos tienen su sede fuera de la Union Europea o del Espacio Economico Europeo (EEE), en particular en los EE. UU. En la medida en que se produzca una transferencia de datos personales a estos proveedores de servicios, nos aseguramos de que se garantice un nivel adecuado de proteccion de datos.
Bases juridicas para la transferencia de datos:
-
Marco de Privacidad de Datos UE-EE. UU. (DPF): Para las empresas con sede en los EE. UU. que estan certificadas en el Marco de Privacidad de Datos UE-EE. UU., existe una decision de adecuacion de la Comision Europea conforme al articulo 45 del RGPD (Decision de Ejecucion (UE) 2023/1795 de la Comision, de 10 de julio de 2023). Esto se aplica, en particular, a Google LLC y Meta Platforms, Inc.
-
Clausulas contractuales tipo (Standard Contractual Clauses — SCCs): Para las transferencias a terceros paises respecto de los cuales no existe una decision de adecuacion, utilizamos las clausulas contractuales tipo aprobadas por la Comision Europea conforme al articulo 46.2.c del RGPD (Decision de Ejecucion (UE) 2021/914 de la Comision, de 4 de junio de 2021) como garantia de un nivel adecuado de proteccion de datos.
-
Medidas complementarias: Adicionalmente a las clausulas contractuales tipo, adoptamos, cuando sea necesario, medidas tecnicas y organizativas complementarias para garantizar la proteccion de los datos personales en las transferencias a terceros paises (p. ej., cifrado, seudonimizacion).
Si tiene preguntas sobre las garantias concretas para una determinada transferencia de datos, puede ponerse en contacto con nosotros (vease apartado 1).
15. Plazos de conservacion
Conservamos los datos personales solo durante el tiempo que sea necesario para los fines de tratamiento respectivos o mientras existan obligaciones legales de conservacion. En particular, se aplican los siguientes plazos de conservacion:
| Categoria de datos | Plazo de conservacion | Base | |---|---|---| | Archivos de registro del servidor | Maximo 30 dias | Art. 6.1.f RGPD | | Datos contractuales (clientes B2B) | Duracion de la relacion contractual mas plazos legales de conservacion | Art. 6.1.b, c RGPD | | Correspondencia mercantil y comercial | 6 anios tras la finalizacion del contrato | § 257 HGB (Codigo de Comercio aleman) | | Documentos con relevancia fiscal | 10 anios tras la finalizacion del contrato | § 147 AO (Ordenanza Tributaria alemana) | | Consultas de contacto | Tras su tramitacion definitiva, salvo que existan obligaciones legales de conservacion | Art. 6.1.b, f RGPD | | Pruebas de consentimiento (registros de consentimiento) | 3 anios tras el ultimo consentimiento / revocacion | Art. 7.1 RGPD, § 195 BGB (Codigo Civil aleman) | | Datos de clientes finales (como encargado del tratamiento) | Segun las instrucciones del responsable (restaurante) | Art. 28 RGPD |
Plazo de exportacion tras la finalizacion del contrato: Tras la finalizacion de la relacion contractual, el cliente empresarial (restaurante) dispone de un plazo de 30 dias para exportar sus datos, incluidos los datos de clientes finales tratados por su cuenta. Transcurrido este plazo, los datos se eliminan de forma irrevocable, con sujecion a las obligaciones legales de conservacion.
16. Derechos de los interesados
Como interesado, le asisten los siguientes derechos frente a nosotros como responsable del tratamiento. Para ejercer sus derechos, dirjase a los datos de contacto indicados en el apartado 1 o por correo electronico a: office@omiser.com.
Tramitaremos su solicitud sin demora injustificada y, en todo caso, en el plazo de un mes desde su recepcion (art. 12.3 RGPD). En casos justificados, este plazo podra prorrogarse otros dos meses, de lo cual le informaremos.
16.1 Derecho de acceso (art. 15 RGPD)
Usted tiene derecho a obtener de nosotros confirmacion de si estamos tratando datos personales que le conciernen. En caso afirmativo, tiene derecho de acceso a dichos datos personales asi como a la siguiente informacion:
- Los fines del tratamiento
- Las categorias de datos personales tratados
- Los destinatarios o categorias de destinatarios
- El plazo previsto de conservacion
- La existencia del derecho de rectificacion, supresion, limitacion u oposicion
- La existencia del derecho a presentar una reclamacion ante una autoridad de control
- El origen de los datos, cuando no se hayan obtenido de usted
- La existencia de decisiones automatizadas, incluida la elaboracion de perfiles
Tiene derecho a obtener una copia de los datos personales objeto de tratamiento (art. 15.3 RGPD).
16.2 Derecho de rectificacion (art. 16 RGPD)
Usted tiene derecho a obtener sin demora injustificada la rectificacion de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, tiene derecho a que se completen los datos personales incompletos, inclusive mediante una declaracion adicional.
16.3 Derecho de supresion (art. 17 RGPD)
Usted tiene derecho a obtener de nosotros la supresion de sus datos personales sin demora injustificada cuando concurra alguno de los siguientes motivos:
- Los datos personales ya no son necesarios en relacion con los fines para los que fueron recogidos.
- Usted ha retirado su consentimiento y no existe otra base juridica para el tratamiento.
- Usted se opone conforme al articulo 21.1 del RGPD y no prevalecen motivos legitimos para el tratamiento.
- Los datos personales han sido tratados ilicitamente.
- La supresion es necesaria para el cumplimiento de una obligacion legal.
El derecho de supresion no existe en la medida en que el tratamiento sea necesario para el cumplimiento de una obligacion legal (p. ej., obligaciones legales de conservacion conforme al HGB y la AO alemanes) o para la formulacion, el ejercicio o la defensa de reclamaciones.
16.4 Derecho a la limitacion del tratamiento (art. 18 RGPD)
Usted tiene derecho a obtener la limitacion del tratamiento de sus datos personales cuando:
- Usted impugne la exactitud de los datos (durante el plazo de verificacion),
- el tratamiento sea ilicito y usted solicite la limitacion del uso en lugar de la supresion,
- nosotros ya no necesitemos los datos, pero usted los necesite para la formulacion, el ejercicio o la defensa de reclamaciones, o
- usted se haya opuesto conforme al articulo 21.1 del RGPD, mientras se verifica si nuestros motivos legitimos prevalecen.
16.5 Derecho a la portabilidad de los datos (art. 20 RGPD)
Usted tiene derecho a recibir los datos personales que le conciernan y que nos haya facilitado en un formato estructurado, de uso comun y lectura mecanica. Asimismo, tiene derecho a transmitir dichos datos a otro responsable del tratamiento sin que nosotros lo impidamos, siempre que:
- el tratamiento se base en un consentimiento (art. 6.1.a RGPD) o en un contrato (art. 6.1.b RGPD), y
- el tratamiento se efectue por medios automatizados.
Cuando sea tecnicamente posible, tiene derecho a que los datos personales se transmitan directamente de nosotros a otro responsable del tratamiento.
16.6 Derecho de oposicion (art. 21 RGPD)
AVISO IMPORTANTE — DERECHO DE OPOSICION CONFORME AL ART. 21 RGPD:
Usted tiene derecho a oponerse en cualquier momento, por motivos relacionados con su situacion particular, al tratamiento de datos personales que le conciernan basado en el articulo 6.1.f del RGPD (intereses legitimos).
Si usted ejerce su derecho de oposicion, dejaremos de tratar sus datos personales, salvo que podamos acreditar motivos legitimos imperiosos para el tratamiento que prevalezcan sobre sus intereses, derechos y libertades, o que el tratamiento sirva para la formulacion, el ejercicio o la defensa de reclamaciones.
En la medida en que tratemos sus datos personales con fines de mercadotecnia directa, usted tiene derecho a oponerse en cualquier momento al tratamiento con dicha finalidad. Esto se aplica tambien a la elaboracion de perfiles en la medida en que este relacionada con dicha mercadotecnia directa. Si usted se opone al tratamiento con fines de mercadotecnia directa, sus datos personales dejaran de ser tratados con dichos fines.
Para ejercer su derecho de oposicion, puede ponerse en contacto con nosotros a traves de los datos de contacto indicados en el apartado 1.
16.7 Derecho a retirar el consentimiento (art. 7.3 RGPD)
En la medida en que el tratamiento de sus datos personales se base en un consentimiento (art. 6.1.a RGPD, art. 22.2 LSSI-CE), usted tiene derecho a retirar dicho consentimiento en cualquier momento con efectos futuros. La retirada puede realizarse de manera informal, p. ej., por correo electronico a office@omiser.com o a traves de la configuracion de cookies en nuestro sitio web.
Importante: La retirada del consentimiento no afecta a la licitud del tratamiento basado en el consentimiento anterior a su retirada (art. 7.3, parrafo 2, RGPD).
17. Decisiones automatizadas y elaboracion de perfiles (art. 13.2.f RGPD)
No se llevan a cabo decisiones automatizadas en el sentido del articulo 22 del RGPD. No adoptamos decisiones basadas unicamente en un tratamiento automatizado, incluida la elaboracion de perfiles, que produzcan efectos juridicos sobre usted o le afecten significativamente de modo similar.
En caso de que esto cambiara en el futuro, le informaremos conforme al articulo 13.2.f del RGPD y adoptaremos las medidas necesarias para proteger sus derechos, libertades e intereses legitimos.
18. Obligacion de facilitar datos personales
En el marco de la relacion comercial, usted debe facilitar aquellos datos personales que sean necesarios para el establecimiento, la ejecucion y la finalizacion de la relacion contractual y para el cumplimiento de las obligaciones contractuales asociadas, o cuya recogida nos venga impuesta por ley.
Datos obligatorios en el registro:
- Nombre, direccion de correo electronico, direccion comercial y razon social son imprescindibles para la celebracion y ejecucion del contrato. Sin estos datos no podemos celebrar el contrato ni prestar nuestros servicios.
Datos voluntarios:
- Los datos que exceden de lo anterior (p. ej., numero de telefono en el formulario de contacto, foto de perfil) son voluntarios. Los campos no obligatorios se senializan como tales.
- El otorgamiento del consentimiento para los servicios de seguimiento y analisis (apartado 8) es completamente voluntario y no afecta a la usabilidad de nuestra plataforma.
19. Derecho a presentar una reclamacion ante una autoridad de control (art. 77 RGPD)
Sin perjuicio de cualquier otro recurso administrativo o jurisdiccional, usted tiene derecho a presentar una reclamacion ante una autoridad de control de proteccion de datos, en particular en el Estado miembro de su residencia habitual, de su lugar de trabajo o del lugar de la presunta infraccion, si considera que el tratamiento de sus datos personales infringe el RGPD.
Autoridad de control competente (sede del responsable):
Landesbeauftragte fuer Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Postfach 20 04 44, 40102 Duesseldorf, Alemania Telefono: +49 211 38424-0 https://www.ldi.nrw.de
Autoridad de control en Espania:
Agencia Espaniola de Proteccion de Datos (AEPD) C/ Jorge Juan 6, 28001 Madrid, Espania Telefono: +34 901 100 099 / +34 91 266 35 17 https://www.aepd.es
Si usted reside en Espania, puede dirigir su reclamacion a la AEPD como autoridad de control competente en materia de proteccion de datos.
20. Modificaciones de esta politica de privacidad
Nos reservamos el derecho de modificar esta politica de privacidad para adaptarla a cambios en la legislacion, novedades tecnicas o modificaciones de nuestros servicios. La version vigente en cada momento sera aplicable desde el momento de su publicacion en nuestro sitio web.
Le comunicaremos oportunamente las modificaciones sustanciales que afecten a sus derechos o a la naturaleza del tratamiento de datos, por ejemplo por correo electronico o mediante un aviso destacado en nuestro sitio web. Le recomendamos consultar periodicamente esta politica de privacidad para mantenerse informado sobre la proteccion de sus datos.
Fecha: Abril 2026