Política de Privacidad

Última actualización: 1 de mayo de 2026

1. Quiénes somos

BookMesa es una plataforma SaaS de gestión de reservas para restaurantes independientes. Esta política describe cómo recopilamos, usamos, almacenamos y protegemos los datos personales que nos confías cuando usas nuestro servicio, ya sea como dueño de un restaurante o como cliente final que reserva una mesa.

2. Qué datos recopilamos

Si eres dueño de restaurante: nombre, email, teléfono, dirección, datos del restaurante (nombre, descripción, fotos, menú, mesas, horarios), credenciales de acceso (hash bcrypt — nunca guardamos tu contraseña en texto plano), datos de facturación procesados por Stripe.

Si eres cliente final que reserva mesa: nombre, email, teléfono, fecha y hora de la reserva, número de comensales, notas opcionales que decidas añadir.

Datos técnicos automáticos: dirección IP, país y ciudad aproximados (geolocalizados a partir de la IP, sin coordenadas precisas), navegador, sistema operativo y páginas visitadas. Los usamos para diagnóstico técnico, prevención de abuso y para alimentar un panel interno de analíticas agregadas (cuántos visitantes, de dónde, qué secciones consultan). No construimos perfiles individuales ni cruzamos estos datos con identidades fuera del servicio.

3. Para qué los usamos

• Operar el servicio de reservas (no podemos hacerlo sin estos datos).
• Enviar emails transaccionales (confirmaciones, recordatorios, recuperación de contraseña).
• Procesar pagos de tu suscripción a través de Stripe.
• Detectar abuso, fraude y proteger la seguridad de la plataforma.
• Cumplir obligaciones legales (facturación, retención fiscal).

Nunca vendemos ni alquilamos tus datos a terceros con fines comerciales. Nunca te enviaremos spam.

4. Con quién los compartimos

Confiamos en proveedores especializados para partes específicas del servicio. Cada uno solo recibe los datos estrictamente necesarios para su función:

• Stripe (Irlanda) — procesador de pagos. No tenemos acceso a tu tarjeta.
• Cloudinary (USA) — almacenamiento de imágenes que tú subes (logo, fotos del restaurante, fotos del menú).
• Resend (USA) — envío de emails transaccionales (confirmaciones de reserva, recordatorios, recuperación de contraseña, notificaciones).
• Cloudflare (USA / UE) — CDN, DNS y terminación SSL. Procesa todo el tráfico HTTP que va y viene del servicio (incluida la IP del visitante).
• Sentry (Alemania, UE) — registro automático de errores técnicos para que podamos arreglar bugs. Excluye datos personales por configuración.
• Mapbox (USA) — mapas mostrados en la página pública de cada restaurante. Recibe la IP del visitante al cargar el mapa.
• ip-api.com — geolocalización aproximada por IP (país, ciudad) usada en nuestras analíticas internas. Recibe únicamente la IP, sin otros identificadores.
• Hetzner (Alemania, UE) — proveedor de la infraestructura de servidor (hosting de la base de datos y la aplicación).
• Autoridades cuando lo exija un requerimiento legal.

Los datos de los clientes finales que reservan mesa solo son visibles para el restaurante donde reservaron. Cada restaurante ve únicamente a sus propios clientes (aislamiento multi-tenant).

5. Cuánto tiempo los guardamos

• Datos de cuenta activa: mientras tengas una cuenta con nosotros.
• Tras eliminar tu cuenta: borramos los datos de tu restaurante de forma irreversible. Las facturas las conservamos hasta 6 años por obligación fiscal.
• Datos de reservas pasadas: hasta 3 años por motivos operativos del restaurante.
• Logs técnicos: 30 días.

6. Tus derechos (GDPR)

Puedes ejercer en cualquier momento los siguientes derechos sobre tus datos personales:

• Acceder a los datos que tenemos sobre ti.
• Rectificarlos si son incorrectos.
• Suprimirlos ("derecho al olvido"). Si eres dueño de un restaurante puedes hacerlo tú mismo desde el panel: Configuración → Mi cuenta → Eliminar cuenta.
• Portarlos a otro proveedor.
• Limitar el tratamiento.
• Oponerte al tratamiento.

Para ejercer cualquiera de estos derechos, escribe a [email protected]. Responderemos en un plazo máximo de 30 días.

7. Seguridad

Tus datos viajan cifrados (HTTPS), las contraseñas se almacenan con bcrypt, los pagos los procesa Stripe (PCI DSS Level 1), y aplicamos rate limiting y aislamiento multi-tenant entre restaurantes. Aun así, ningún sistema es invulnerable; en caso de brecha te avisaremos según marca la ley.

8. Cookies

Solo usamos cookies técnicas estrictamente necesarias para mantener tu sesión iniciada en el dashboard (token JWT en localStorage). No usamos cookies de tracking publicitario ni de terceros con fines de marketing.

9. Cambios en esta política

Si actualizamos esta política te avisaremos por email al menos 15 días antes de que los cambios entren en vigor.

10. Contacto

Si tienes cualquier duda sobre cómo manejamos tus datos, escribe a [email protected].

Este documento es una plantilla baseline conforme al RGPD UE 2016/679. Antes de publicar en producción, revísalo con un asesor legal cualificado en tu jurisdicción.