Política de Privacidad

1. Responsable del Tratamiento

Mesiq — plataforma de gestión para restaurantes.

Contacto de privacidad: privacidade@mesiq.app

Para ejercer sus derechos o plantear cualquier cuestión de protección de datos, envíe un correo al email anterior con el asunto "Solicitud RGPD".

2. Datos que Recopilamos y Finalidad

Datos de cuenta e identificación: nombre, correo electrónico, teléfono, ciudad, identificador del restaurante y contraseña (almacenada en hash bcrypt — nunca en texto plano). Base legal: ejecución del contrato.

Datos operativos del establecimiento: carta, categorías, inventario, pedidos, mesas, fichas técnicas y registros de empleados. Estos datos pertenecen al establecimiento y son tratados por Mesiq únicamente como encargada del tratamiento. Base legal: ejecución del contrato.

Datos de pago: el procesamiento es realizado exclusivamente por Stripe, Inc. Mesiq no almacena números de tarjeta ni datos bancarios completos. Base legal: ejecución del contrato.

Datos técnicos y de seguridad: IP, tipo de dispositivo, logs de acceso y tokens de sesión. Base legal: interés legítimo (seguridad de la plataforma) y cumplimiento de obligaciones legales.

3. Subencargados del Tratamiento

Compartimos datos con los siguientes proveedores, estrictamente necesarios para el funcionamiento del Servicio:

• Stripe, Inc. (EE.UU.) — pagos. stripe.com/privacy. Transferencia bajo CCE.

• Supabase, Inc. (EE.UU.) — base de datos en servidores UE (eu-central). supabase.com/privacy.

• Railway Corporation (EE.UU.) — alojamiento del servidor API. railway.app/legal/privacy.

• Vercel, Inc. (EE.UU.) — alojamiento del frontend. vercel.com/legal/privacy-policy.

No vendemos, alquilamos ni compartimos datos personales con terceros con fines comerciales o publicitarios.

4. Transferencias Internacionales

Algunos subencargados tienen sede fuera del EEE. Las transferencias están cubiertas por Cláusulas Contractuales Estándar (CCE) aprobadas por la Comisión Europea (Art. 46.2.c RGPD).

5. Conservación de los Datos

Cuenta activa: datos conservados durante toda la vigencia de la cuenta.

Tras cancelación o solicitud de eliminación: datos eliminados o anonimizados en un plazo máximo de 30 días, salvo obligación legal de conservación más prolongada (p. ej., datos de facturación conservados hasta 10 años por obligaciones fiscales).

Logs de seguridad: conservados 90 días.

6. Seguridad

• Contraseñas en hash bcrypt (factor de coste 12)

• Comunicaciones cifradas TLS 1.2+ (HTTPS)

• Control de acceso basado en roles (RBAC)

• Rate limiting y cabeceras HTTP de seguridad

• Aislamiento de datos por establecimiento

En caso de violación de seguridad de alto riesgo, notificaremos a la autoridad de control en el plazo legal y, si procede, a los titulares afectados.

7. Sus Derechos (RGPD)

Puede ejercer los siguientes derechos enviando un correo a privacidade@mesiq.app:

• Acceso (Art. 15): conocer qué datos tratamos.

• Rectificación (Art. 16): corregir datos inexactos.

• Supresión / "Derecho al olvido" (Art. 17): disponible en Configuración de la aplicación.

• Limitación (Art. 18): suspender temporalmente el tratamiento.

• Portabilidad (Art. 20): recibir sus datos en formato JSON — disponible en Configuración.

• Oposición (Art. 21): oponerse al tratamiento basado en interés legítimo.

Responderemos en un plazo de 30 días.

8. Cookies y Almacenamiento Local

Mesiq no utiliza cookies de rastreo, publicidad ni análisis de terceros.

Usamos exclusivamente localStorage del navegador para: mantener la sesión activa (tokens de autenticación) y guardar preferencias del usuario (idioma, tema).

9. Autoridades de Control

• España: AEPD — aepd.es

• Portugal: CNPD — cnpd.pt

• Francia: CNIL — cnil.fr

• Alemania: BfDI — bfdi.bund.de

Preferimos resolver cualquier cuestión directamente: privacidade@mesiq.app

10. Cambios en esta Política

Esta Política puede actualizarse. Los cambios materiales se comunicarán por correo o mediante aviso en la aplicación con 15 días de antelación.