Política vigente
Política de Privacidad
Esta Política de Privacidad explica cómo StoveOps trata datos personales cuando visitas nuestro sitio, solicitas acceso, usas el producto o apareces como cliente en un flujo operado por un restaurante cliente.
StoveOps está diseñado para restaurantes en Canadá, Estados Unidos, Brasil, la Unión Europea/EEE y mercados hispanohablantes, incluido México. Esta política considera expectativas bajo PIPEDA, Ley 25 de Quebec, leyes estatales de EE. UU. como CCPA/CPRA cuando apliquen, LGPD, el RGPD/GDPR de la UE y del Reino Unido, y normas mexicanas de protección de datos del sector privado.
Cuando aplica el RGPD, tratamos datos personales sobre las bases legales del Artículo 6 — ejecución de un contrato, interés legítimo, consentimiento o cumplimiento de una obligación legal — según la actividad. Cuando se transfieren datos personales fuera de su región de origen (por ejemplo, a Estados Unidos), nos apoyamos en salvaguardas de transferencia reconocidas, como las Cláusulas Contractuales Tipo (SCC) de la UE y mecanismos equivalentes.
Quiénes somos y cuándo aplica
StoveOps ofrece software de operaciones para restaurantes, incluyendo lista de espera, mensajería para clientes, herramientas de sitio/menú, campañas y analytics. Esta política aplica a stoveops.com, páginas localizadas, formularios de acceso anticipado, dashboards del producto y comunicaciones de soporte.
Cuando un restaurante usa StoveOps para gestionar clientes, normalmente el restaurante es el negocio, responsable, controlador o equivalente que decide sobre los datos de sus clientes. StoveOps actúa como proveedor de servicios, procesador, operador o encargado que procesa esos datos siguiendo instrucciones del restaurante.
Datos personales que recopilamos
- Datos del sitio: preferencia de idioma, estado de consentimiento de cookies, elecciones de analytics, datos de dispositivo/navegador, URL de referencia y eventos de interacción cuando analytics está habilitado.
- Datos del operador: nombre, correo laboral, teléfono, restaurante, rol, país, estado/provincia, facturación, configuración de cuenta, plan e historial de soporte.
- Contenido del restaurante: locales, menús, horarios, marca, enlaces públicos, plantillas, campañas y configuración operativa.
- Datos de clientes enviados por el producto: nombre, contacto, tamaño del grupo, estado de lista de espera o reserva, historial de visitas, preferencias, alergias o notas que el restaurante decida guardar.
- Datos de mensajería: canal, señales de opt-in u opt-out, estado de entrega, marcas de tiempo y logs de proveedores de email, SMS, WhatsApp o notificaciones de navegador.
- Datos de pago: estado de suscripción y compras adicionales procesadas por nuestro proveedor de pagos; StoveOps no almacena números completos de tarjeta.
Cómo usamos datos personales
- Proveer, proteger y mejorar las funciones de StoveOps.
- Crear cuentas, autenticar usuarios, apoyar equipos y gestionar facturación.
- Enviar mensajes transaccionales del producto, notificaciones de clientes y avisos de servicio.
- Recordar idioma, cookies y preferencias del producto.
- Medir uso agregado y confiabilidad.
- Detectar abuso, aplicar políticas y cumplir obligaciones legales.
Bases legales y consentimiento
Según el país y contexto, nos apoyamos en ejecución de contrato, intereses comerciales legítimos, consentimiento, obligaciones legales y, cuando sea necesario, protección de la vida o seguridad. Para Brasil, esto se vincula con bases legales de la LGPD. Para Canadá y México, consentimiento y transparencia son centrales. Para leyes estatales de EE. UU., ofrecemos avisos y derechos aplicables de acceso, eliminación, corrección y oposición.
Los restaurantes son responsables de recopilar y demostrar el consentimiento de clientes requerido para sus propios casos de uso, especialmente SMS, WhatsApp, email marketing y mensajes promocionales.
Cumplimiento en mensajería
Los mensajes operativos, como mesa lista o confirmación de reserva, deben enviarse solo cuando el restaurante tenga una base legal para contactar al cliente. Los mensajes de marketing requieren consentimiento, identificación, baja y registros de supresión conforme a CASL, TCPA, CAN-SPAM, LGPD y reglas similares.
StoveOps ofrece herramientas de opt-out y supresión cuando están disponibles, pero los clientes no deben importar listas compradas, enviar sin permiso ni ignorar solicitudes de baja.
Cookies y analytics
El sitio usa cookies estrictamente necesarias para idioma y consentimiento. Analytics y la medición de marketing están desactivados por defecto y se activan solo después del consentimiento cuando sea requerido. Usamos Cloudflare Web Analytics, Cloudflare Zaraz y Google Analytics 4 para medir tráfico agregado, Core Web Vitals y eventos de conversión como envíos del formulario de lead; los píxeles publicitarios pueden habilitarse en la categoría marketing cuando se configuren campañas. Puedes cambiar tus elecciones desde el banner de consentimiento o borrando el almacenamiento local del navegador.
Compartir datos y subprocesadores
Compartimos datos personales solo con proveedores necesarios para operar StoveOps, como Cloudflare para hosting, seguridad de borde, Zaraz y Web Analytics, Google Analytics 4 para medición del sitio, email, SMS/WhatsApp, pagos, seguridad, logs y soporte. Estos proveedores pueden procesar datos en Canadá, Estados Unidos, Brasil, México u otros países donde operen.
No vendemos datos personales. No compartimos datos personales para publicidad comportamental entre contextos bajo la ley de California.
Transferencias internacionales
StoveOps es un SaaS transfronterizo. La información puede transferirse y procesarse en países distintos del lugar donde fue recopilada. Usamos salvaguardas contractuales, técnicas y organizativas adecuadas a los datos y a la ley aplicable.
Retención
Aplicamos plazos concretos de retención por tipo de dato. Los datos de los destinatarios de mensajes (los datos personales que viajan en los mensajes a los clientes) se redactan 30 días después de la actividad del mensaje. Las sesiones de inicio expiran a los 30 días. Los leads de acceso anticipado se conservan hasta que pidas su eliminación o canceles la suscripción. Los datos de clientes (guests) se conservan mientras la relación del restaurante con el cliente esté activa, bajo las instrucciones legales y la configuración del restaurante, con opción de exclusión siempre disponible.
Los datos de cuenta y facturación se conservan mientras la cuenta esté activa y por un periodo razonable para impuestos, auditoría, disputas y seguridad. Backups, logs de seguridad y entrega pueden persistir por periodos limitados después de eliminarse de la aplicación principal.
Seguridad
Usamos salvaguardas administrativas, técnicas y organizativas diseñadas para un SaaS de restaurantes, incluyendo controles de acceso, transporte cifrado, mínimo privilegio, logs de auditoría y revisión de proveedores. Ningún servicio de internet es libre de riesgo, por lo que los restaurantes también deben proteger sus dispositivos, credenciales y accesos del personal.
Tus derechos de privacidad
Según dónde vivas, puedes solicitar acceso, corrección, eliminación, portabilidad, restricción, oposición, retiro del consentimiento, opt-out de ciertos tratamientos o información sobre el uso de tus datos. En México, los derechos ARCO incluyen acceso, rectificación, cancelación y oposición. En Brasil, los derechos LGPD pueden ejercerse ante el controlador y, cuando corresponda, ante la ANPD. En Canadá, puedes solicitar acceso, corrección e información sobre prácticas de privacidad. En Estados Unidos, los derechos varían por estado.
Respondemos a las solicitudes verificadas dentro de los plazos de la ley aplicable: 30 días bajo el RGPD y la CCPA/CPRA, 15 días bajo la LGPD y 20 días para solicitudes ARCO en México (prorrogables cuando la ley lo permita). Si tus datos fueron enviados por un restaurante, quizá debamos dirigir la solicitud al restaurante o verificar con él antes de actuar, porque controla su relación contigo.
Menores y datos sensibles
StoveOps no está dirigido a menores. Los restaurantes no deben enviar datos de menores salvo que tengan base legal y consentimiento adecuado del tutor. Alergias, necesidades de accesibilidad y notas similares deben ingresarse solo cuando sean relevantes al servicio y estar informadas en el aviso de privacidad del restaurante.
Quién es responsable y cómo contactarnos
StoveOps es la parte responsable de los datos personales descritos aquí. Nuestro Delegado de Protección de Datos / encarregado (LGPD), la persona responsable de la protección de la información personal (Ley 25 de Quebec) y el responsable de protección de datos cuyo domicilio es la dirección comercial registrada de StoveOps (México, LFPDPPP) pueden contactarse por el canal único de privacidad contact@stoveops.com.
Podemos actualizar esta política conforme evolucionen el producto, mercados y leyes. La fecha anterior muestra la versión vigente.