Política de Privacidad
Última actualización: 4 de junio de 2026
1. Responsable del tratamiento
| Responsable | José Pol Rubio |
| NIF/CIF | [COMPLETAR] |
| Domicilio | [COMPLETAR] |
| privacidad@mesa.es · hola@mesa.es | |
| DPD / DPO | No obligatorio (art. 37 RGPD) — contacto: privacidad@mesa.es |
2. Datos que recogemos
2.1 Usuarios registrados (comensales)
- Nombre y apellidos
- Dirección de correo electrónico
- Número de teléfono (opcional)
- Contraseña (almacenada en hash bcrypt — nunca en texto plano)
- Foto de perfil (si inicia sesión con Google)
- Historial de reservas, reseñas y restaurantes favoritos
- Preferencias de notificación
- Datos de uso y actividad en la plataforma
2.2 Propietarios de restaurantes
- Nombre, email y teléfono del titular
- Datos del restaurante: nombre, dirección, horarios, fotografías
- Datos de facturación gestionados por Stripe (no almacenamos datos de tarjeta)
- Estadísticas de reservas y comportamiento en el panel de control
2.3 Comensales que realizan reservas sin cuenta
- Nombre, email y teléfono proporcionados al hacer la reserva
- Información de la reserva: fecha, hora, número de personas, notas, ocasión y alergias
2.4 Datos técnicos (todos los usuarios)
- Dirección IP y datos de geolocalización aproximada
- Tipo de navegador y dispositivo
- Cookies de sesión (ver Política de Cookies)
- Registros de acceso (logs del servidor)
3. Finalidad y base jurídica del tratamiento
| Gestionar el registro y la cuenta de usuario | Ejecución de contrato (art. 6.1.b RGPD) |
| Procesar y gestionar reservas de restaurante | Ejecución de contrato (art. 6.1.b RGPD) |
| Enviar confirmaciones, recordatorios y avisos de reserva | Ejecución de contrato (art. 6.1.b RGPD) |
| Gestionar suscripciones y pagos (a través de Stripe) | Ejecución de contrato (art. 6.1.b RGPD) |
| Enviar comunicaciones comerciales y newsletter | Consentimiento (art. 6.1.a RGPD) — solo si marcaste la casilla al registrarte |
| Prevención del fraude y seguridad de la plataforma | Interés legítimo (art. 6.1.f RGPD) |
| Cumplimiento de obligaciones legales (facturación, etc.) | Obligación legal (art. 6.1.c RGPD) |
| Análisis estadístico y mejora del servicio | Interés legítimo (art. 6.1.f RGPD) |
| Notificaciones push (con tu permiso) | Consentimiento (art. 6.1.a RGPD) |
4. Plazo de conservación
| Datos de cuenta activa | Durante la vigencia de la relación contractual |
| Datos de reservas | 5 años (prescripción de acciones contractuales, art. 1964 CC) |
| Datos de facturación | 6 años (art. 30 C. de Comercio) + 4 años (obligaciones tributarias) |
| Logs de seguridad | 12 meses |
| Datos de marketing (con consentimiento) | Hasta que retires el consentimiento o solicites la supresión |
| Cuenta eliminada | 30 días tras la baja (periodo de gracia), después supresión o anonimización |
5. Destinatarios y encargados del tratamiento
Tus datos pueden ser comunicados a los siguientes terceros, que actúan como encargados del tratamiento bajo contrato DPA conforme al art. 28 RGPD:
| Supabase Inc. (EE.UU.) | Almacenamiento de base de datos — DPA firmado, cláusulas contractuales tipo |
| Vercel Inc. (EE.UU.) | Hosting y despliegue de la aplicación — DPA firmado |
| Resend Inc. (EE.UU.) | Envío de emails transaccionales — DPA firmado |
| Stripe Inc. (EE.UU.) | Procesamiento de pagos — actúa como responsable independiente para los datos de pago |
| Google LLC (EE.UU.) | Autenticación OAuth (Google Sign-In) y Firebase (notificaciones push) |
| El restaurante donde realizas la reserva | Destinatario final de los datos de la reserva — actúa como responsable independiente |
Los proveedores ubicados en EE.UU. operan bajo mecanismos de transferencia adecuados (cláusulas contractuales tipo o Marco de Privacidad UE-EE.UU.). No cedemos tus datos a terceros con fines publicitarios.
6. Tus derechos
Conforme al RGPD y la LOPD-GDD, puedes ejercer los siguientes derechos enviando un email a privacidad@mesa.es con copia de tu documento de identidad:
| Acceso (art. 15 RGPD) | Obtener confirmación de si tratamos tus datos y una copia de los mismos |
| Rectificación (art. 16 RGPD) | Corregir datos inexactos o incompletos |
| Supresión / derecho al olvido (art. 17 RGPD) | Solicitar la eliminación de tus datos cuando ya no sean necesarios |
| Limitación del tratamiento (art. 18 RGPD) | Suspender el uso de tus datos en determinadas circunstancias |
| Portabilidad (art. 20 RGPD) | Recibir tus datos en formato estructurado y legible por máquina |
| Oposición (art. 21 RGPD) | Oponerte al tratamiento basado en interés legítimo o para marketing directo |
| Retirar el consentimiento | En cualquier momento, sin que ello afecte a la licitud del tratamiento previo |
| Reclamación ante la AEPD | Agencia Española de Protección de Datos — www.aepd.es |
Atenderemos tu solicitud en el plazo máximo de 1 mes (prorrogable 2 meses más en casos complejos).
7. Seguridad de los datos
Aplicamos medidas técnicas y organizativas apropiadas para proteger tus datos, entre ellas:
- Cifrado de contraseñas con bcrypt (factor de coste 12)
- Comunicaciones cifradas mediante TLS/HTTPS
- Tokens JWT firmados y con expiración
- Acceso a datos restringido por roles (DINER, RESTAURANT_OWNER, ADMIN)
- Infraestructura alojada en proveedores con certificaciones SOC 2 y ISO 27001
- Rate limiting en formularios de registro y reserva para prevenir abusos
- Auditoría periódica de accesos y logs de seguridad
8. Menores de edad
El servicio está dirigido a personas mayores de 16 años. No recogemos conscientemente datos de menores de esa edad. Si eres padre/madre o tutor y crees que tu hijo/a ha proporcionado datos personales, contacta con nosotros en privacidad@mesa.es para proceder a su eliminación inmediata.
9. Cookies
Utilizamos cookies técnicas necesarias para el funcionamiento de la plataforma. Para más información, consulta nuestra Política de Cookies.
10. Cambios en esta política
Nos reservamos el derecho a actualizar esta Política de Privacidad. Te notificaremos cambios significativos por email o mediante un aviso visible en la plataforma. La fecha de última actualización figura al inicio de este documento.