En cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), le informamos de que el responsable del tratamiento de sus datos personales es:
El prestador del servicio comercializa, bajo las marcas Vantaris y Qorex, un ecosistema de software de gestión para hostelería y comercio que comprende, entre otros: el terminal punto de venta TPV Vantaris (en sus versiones de escritorio, tableta y móvil), las aplicaciones companion (Comandera, Pantalla de Cocina, Avisador, Kiosko de autopedido), la carta digital accesible por código QR, el módulo de reservas online, la aplicación de control horario y fichaje de empleados, el panel de control web para la gestión del negocio y los sitios web corporativos (en adelante, conjuntamente, «la Plataforma»).
Esta política de privacidad se aplica a:
Es importante distinguir dos escenarios diferentes en el tratamiento de datos dentro de la Plataforma:
El prestador del servicio actúa como responsable del tratamiento respecto de los datos de: visitantes de los sitios web; personas que cumplimentan formularios de contacto o demo; clientes que contratan licencias (datos identificativos, de facturación y de pago); usuarios administradores del panel de control; y personas que se comunican con soporte.
Cuando un negocio utiliza la Plataforma para su operativa diaria (tickets, facturas, reservas, fichas de cliente, fichajes de empleados, pedidos, etc.), el responsable del tratamiento de esos datos es el propio negocio (el establecimiento hostelero, comercio o salón que utiliza el software), y el prestador del servicio actúa como encargado del tratamiento conforme al artículo 28 del RGPD, tratando dichos datos únicamente siguiendo las instrucciones del negocio y con la finalidad exclusiva de prestar el servicio contratado.
La relación de encargo de tratamiento se regula en el Contrato de encargo del tratamiento, que forma parte de los términos de contratación. Los clientes finales de un negocio que deseen ejercer sus derechos sobre los datos tratados por dicho negocio (por ejemplo, su ficha de cliente, sus reservas o su saldo de fidelización) deben dirigirse al negocio en cuestión, sin perjuicio de que el prestador del servicio colaborará en todo lo necesario para atender dichos ejercicios de derechos.
Los pagos de suscripciones se procesan a través de la pasarela de pago Stripe. El prestador del servicio no almacena los números completos de tarjeta: los datos de pago se facilitan directamente al proveedor de la pasarela, que actúa conforme a su propia política de privacidad y a la normativa PCI-DSS.
En el marco del encargo de tratamiento descrito en el apartado 3.2, la Plataforma puede tratar, por cuenta del negocio cliente, las siguientes categorías de datos:
Finalidad: exclusivamente la prestación del servicio contratado por el negocio. Base jurídica del encargo: ejecución del contrato con el negocio (art. 6.1.b RGPD) y contrato de encargo del art. 28 RGPD.
Cuando el negocio utiliza datáfonos o soluciones de pago integradas (incluido el pago en el propio dispositivo móvil), la transacción la procesa la entidad de pago correspondiente (el proveedor del datáfono o el adquirente bancario del negocio). La Plataforma únicamente conserva referencias e identificadores de la transacción (importe, estado, identificador del pago y, en su caso, del reembolso) necesarios para el cuadre de caja y la trazabilidad contable; en ningún caso se almacenan los datos completos de la tarjeta del pagador.
De conformidad con la normativa española de facturación y antifraude aplicable a los sistemas informáticos de facturación, la Plataforma genera y conserva registros de facturación con las garantías de integridad, conservación, trazabilidad e inalterabilidad exigidas, y puede remitirlos a la Agencia Estatal de Administración Tributaria cuando el negocio así lo tenga configurado o la normativa lo exija. La base jurídica de este tratamiento es el cumplimiento de obligaciones legales (art. 6.1.c RGPD).
Determinadas funciones opcionales de la Plataforma permiten el uso de asistentes de voz (por ejemplo, para registrar reservas o consultar información del negocio) y de funciones de ayuda basadas en inteligencia artificial. Siempre que es técnicamente posible, el reconocimiento de voz se procesa localmente en el dispositivo. Cuando una función requiere proveedores externos de IA, se remite únicamente el texto o contenido imprescindible para la función solicitada, sin datos identificativos adicionales, a proveedores que actúan como encargados o subencargados del tratamiento. Estas funciones son opcionales y pueden activarse o desactivarse por el negocio.
El prestador del servicio no vende ni cede datos personales a terceros con fines comerciales. Los datos pueden comunicarse a:
Con todos los proveedores que tratan datos por cuenta del prestador del servicio se han suscrito los correspondientes contratos de encargo o subencargo del tratamiento conforme al artículo 28 RGPD.
Con carácter general, los datos se alojan y tratan en la Unión Europea. Si algún proveedor (por ejemplo, la pasarela de pago, la CDN o un proveedor de IA) tratase datos fuera del Espacio Económico Europeo, dicha transferencia se ampara en decisiones de adecuación de la Comisión Europea o en las Cláusulas Contractuales Tipo aprobadas por la Comisión, junto con medidas suplementarias cuando resultan necesarias.
Cualquier persona puede ejercer los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, así como a retirar el consentimiento prestado en cualquier momento, dirigiéndose al prestador del servicio por correo electrónico a [email protected], indicando el derecho que desea ejercer y acompañando información suficiente para acreditar su identidad.
Si el ejercicio se refiere a datos tratados por un negocio que utiliza la Plataforma (por ejemplo, su ficha de cliente en un restaurante o salón), la solicitud debe dirigirse a dicho negocio como responsable del tratamiento; el prestador del servicio, como encargado, dará traslado de las solicitudes que reciba y colaborará en su atención.
Asimismo, el interesado tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es, C/ Jorge Juan 6, 28001 Madrid), especialmente cuando considere que no se ha atendido debidamente el ejercicio de sus derechos.
El prestador del servicio aplica medidas técnicas y organizativas apropiadas al riesgo, entre otras: cifrado de las comunicaciones (TLS), control de acceso basado en roles y autenticación de usuarios y dispositivos, segmentación por entornos, registro de actividad, copias de seguridad periódicas, seudonimización cuando resulta posible y procedimientos de gestión y notificación de violaciones de seguridad conforme a los artículos 33 y 34 RGPD.
Los sitios web y la Plataforma no están dirigidos a menores de catorce (14) años y no se recaban conscientemente datos de menores. Si un padre, madre o tutor tiene conocimiento de que un menor ha facilitado datos personales, puede solicitar su supresión en la dirección de contacto indicada.
Esta política puede actualizarse para reflejar cambios normativos, técnicos u operativos. La versión vigente estará siempre publicada en esta página, con indicación de la fecha de última actualización. Cuando los cambios sean sustanciales y afecten a tratamientos basados en el consentimiento, se solicitará nuevamente dicho consentimiento.
Para cualquier duda sobre esta política o sobre el tratamiento de sus datos, puede escribir a [email protected].