Borrador — sujeto a revisión legal
Acuerdo de Tratamiento de Datos
Este Acuerdo de Tratamiento de Datos (DPA) se incorpora por referencia a los Términos de Servicio de StoveOps y forma parte del contrato entre StoveOps y cada cliente (el restaurante). Refleja las cláusulas tipo del Artículo 28(3) del RGPD y del Artículo 39 de la LGPD y aplica siempre que StoveOps trate datos personales por cuenta del cliente.
Este texto es un borrador publicado por transparencia y está sujeto a revisión legal humana antes de usarse como instrumento firmado.
Roles y objeto
El cliente es el responsable (o decisor equivalente) de los datos personales que envía a StoveOps; StoveOps es el encargado (proveedor de servicios) que actúa solo según las instrucciones documentadas del cliente. El objeto es la prestación del servicio de operaciones para restaurantes de StoveOps.
Duración
Este DPA aplica durante la vigencia del contrato y mientras StoveOps trate datos personales por cuenta del cliente, incluido cualquier periodo de cierre necesario para la devolución o eliminación.
Naturaleza y finalidad del tratamiento
StoveOps trata datos personales para proveer lista de espera, mensajería a clientes, sitio/menú digital, campañas de marketing, analítica, facturación y soporte, y para mantener el servicio seguro y confiable.
Categorías de datos e interesados
Los interesados incluyen a operadores y personal del restaurante, visitantes del sitio y clientes (guests). Las categorías incluyen datos de contacto, de cuenta y facturación, contenido del restaurante, datos de clientes (nombre, contacto, tamaño del grupo, estado, notas que el restaurante decida guardar) y metadatos de mensajería. El cliente no debe enviar datos sensibles salvo que se informen al interesado y sean lícitos.
Obligaciones del encargado
StoveOps trata datos personales solo según las instrucciones documentadas del cliente (incluido este DPA y la configuración del producto), garantiza que las personas autorizadas estén obligadas a confidencialidad, y no vende datos personales ni los usa para fines propios fuera del contrato.
Subencargados
El cliente autoriza a StoveOps a contratar a los subencargados siguientes para prestar el servicio. StoveOps les impone cláusulas de protección de datos y sigue siendo responsable de su desempeño. Avisaremos de los cambios previstos para que el cliente pueda oponerse.
- Cloudflare — alojamiento de la aplicación, red de borde, CAPTCHA y almacenamiento.
- Neon — alojamiento gestionado de la base de datos PostgreSQL.
- Resend — envío de correo transaccional.
- sent.dm — envío de mensajes SMS y WhatsApp.
- Stripe — facturación de suscripciones y procesamiento de pagos.
- Stack Grafana (autoalojado por StoveOps) — registros, trazas y telemetría del producto.
Seguridad
StoveOps mantiene medidas administrativas, técnicas y organizativas adecuadas al riesgo, incluyendo controles de acceso, mínimo privilegio, transporte cifrado, registros de auditoría y revisión de proveedores, en línea con la sección de Seguridad de la Política de Privacidad.
Asistencia a solicitudes de los interesados
Considerando la naturaleza del tratamiento, StoveOps asiste al cliente con medidas adecuadas para responder a solicitudes (DSAR) — acceso, corrección, eliminación, portabilidad, oposición y restricción — incluida la herramienta de eliminación del producto, dentro de los plazos indicados en la Política de Privacidad.
Notificación de incidentes con datos personales
StoveOps notifica al cliente sin demora indebida tras tener conocimiento de un incidente que afecte los datos del cliente, con la información que este razonablemente necesite para cumplir sus propias obligaciones de notificación.
Transferencias internacionales
Cuando se transfieren datos personales entre países (por ejemplo, a Estados Unidos), StoveOps se apoya en mecanismos reconocidos como las Cláusulas Contractuales Tipo (SCC) de la UE y salvaguardas equivalentes bajo otras leyes aplicables.
Devolución y eliminación
A la terminación, y a elección del cliente, StoveOps devuelve o elimina los datos personales tratados por su cuenta, sujeto a la retención limitada exigida por ley o para backups/registros de seguridad, que luego expiran en su ciclo normal. La eliminación de offboarding de clientes (guests) se ejecuta automáticamente tras el fin de la relación contractual.
Auditorías y contacto
StoveOps pone a disposición la información necesaria para demostrar el cumplimiento de este DPA y apoya auditorías razonables. Las preguntas y solicitudes bajo este DPA pueden enviarse a contact@stoveops.com.