Acuerdo de Tratamiento de Datos

Data Processing Agreement (DPA) — Art. 28 RGPD

Última actualización: mayo de 2026

Nota: Este acuerdo se aplica automáticamente entre ReservasPro (Encargado del Tratamiento) y cualquier restaurante que use el servicio (Responsable del Tratamiento), en virtud del artículo 28 del Reglamento (UE) 2016/679 (RGPD). La aceptación de los Términos de Uso implica la aceptación de este DPA.

1. Partes

  • Encargado del Tratamiento: ReservasPro (Hugo), Denia, Alicante, España. Email: reservaspro.es@gmail.com
  • Responsable del Tratamiento: El restaurante u organización que contrata el servicio ReservasPro e introduce datos de sus clientes en la plataforma.

2. Objeto y duración

El presente acuerdo regula el tratamiento de datos personales que ReservasPro realiza por cuenta del Responsable en el contexto de la prestación del servicio de gestión de reservas.

La duración del tratamiento coincide con la vigencia del contrato de servicio. A su finalización, se aplicará lo dispuesto en la cláusula 8.

3. Naturaleza y finalidad del tratamiento

ReservasPro trata datos personales de los clientes finales del restaurante con las siguientes finalidades:

  • Gestión y registro de reservas de mesa.
  • Envío de confirmaciones, modificaciones y cancelaciones de reservas.
  • Envío de recordatorios de reserva por email y/o WhatsApp.
  • Gestión de lista de espera.
  • Generación de estadísticas de uso para el restaurante.
  • Solicitud de valoraciones post-visita (cuando el restaurante lo active).

4. Categorías de datos tratados

Los datos de los clientes finales que pueden ser tratados incluyen:

  • Nombre y apellidos
  • Número de teléfono
  • Dirección de correo electrónico
  • Fecha, hora y número de comensales de la reserva
  • Preferencias de zona o mesa
  • Notas internas del restaurante sobre el cliente
  • Información sobre alergias o restricciones alimentarias (si el restaurante la registra)
  • Historial de reservas y visitas

No se tratan categorías especiales de datos sensibles en el sentido del artículo 9 RGPD, salvo la información de alergias que el propio restaurante introduce con fines operativos.

5. Obligaciones del Encargado (ReservasPro)

ReservasPro se compromete a:

  • Tratar los datos únicamente según las instrucciones documentadas del Responsable y para las finalidades indicadas en este DPA.
  • Garantizar que las personas autorizadas para tratar los datos se hayan comprometido a respetar la confidencialidad.
  • Aplicar las medidas técnicas y organizativas apropiadas conforme al artículo 32 RGPD.
  • Informar al Responsable si, a su juicio, alguna instrucción infringe el RGPD u otra normativa de protección de datos.
  • Notificar al Responsable, sin dilación indebida, cualquier violación de seguridad que afecte a los datos tratados.
  • No subcontratar tratamientos adicionales sin autorización previa del Responsable, salvo los subencargados listados en la cláusula 6.
  • Proporcionar al Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones.
  • Suprimir o devolver todos los datos personales al Responsable al finalizar la prestación del servicio (cláusula 8).

6. Subencargados del tratamiento

El Responsable autoriza expresamente el uso de los siguientes subencargados, necesarios para la prestación del servicio:

SubencargadoFunciónUbicaciónGarantías
Supabase Inc.Base de datos, autenticación, almacenamientoEE.UU. / UE (AWS eu-west-1)SCCs (Cláusulas Contractuales Tipo)
Twilio Inc.Envío de mensajes WhatsApp y SMSEE.UU.SCCs + DPA propio
Resend Inc.Envío de emails transaccionalesEE.UU.SCCs + DPA propio

ReservasPro notificará al Responsable con al menos 15 días de antelación cualquier cambio en los subencargados, otorgando la posibilidad de oponerse.

7. Medidas de seguridad

ReservasPro aplica, entre otras, las siguientes medidas de seguridad:

  • Cifrado en tránsito (HTTPS/TLS) y en reposo en la base de datos.
  • Autenticación en dos factores (2FA) obligatoria para acceso al panel de gestión.
  • Row Level Security (RLS) en la base de datos: cada restaurante solo puede acceder a sus propios datos.
  • Acceso al entorno de producción restringido al equipo mínimo necesario.
  • Backups automáticos diarios con retención de 7 días.
  • Separación multi-tenant: arquitectura que garantiza el aislamiento de datos entre clientes.

8. Supresión y devolución de datos

A la finalización del contrato, o a petición del Responsable, ReservasPro procederá a:

  • Eliminar de forma segura todos los datos personales tratados por cuenta del Responsable en un plazo de 30 días.
  • Proporcionar, si el Responsable lo solicita antes de la eliminación, una exportación de sus datos en formato CSV.

Para solicitar la exportación o eliminación de datos, envía un email a reservaspro.es@gmail.com con el asunto "Solicitud RGPD". También puedes usar la opción disponible en el panel de Configuración de tu cuenta.

9. Derechos de los interesados

El Responsable (restaurante) es quien debe atender las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, portabilidad, etc.) de sus clientes finales. ReservasPro colaborará proporcionando la información técnica necesaria para que el Responsable pueda dar respuesta dentro de los plazos legales.

10. Ley aplicable

Este acuerdo se rige por el Reglamento (UE) 2016/679 (RGPD) y la legislación española de protección de datos. Las controversias se someterán a los tribunales de Denia (Alicante), España.