Saltar al contenido
← Volver al inicio

Privacidad y protección de datos

Última actualización: 2026-05-02

1. Responsable del tratamiento

Solid Tech Consulting SL (en adelante, "SuCafé"), con domicilio social en España, es el responsable del tratamiento de los datos personales recogidos a través de la plataforma www.sucafe.solidtech.es y de los storefronts de los establecimientos adheridos.

Doble rol: SuCafé actúa como responsable respecto de los datos del lojista (cuenta, facturación, soporte) y como encargado del tratamiento respecto de los datos de los clientes finales que el lojista recoge a través de los storefronts. El lojista es, en este último caso, el responsable del tratamiento.

2. Datos tratados

2.1. Cliente final del establecimiento

  • Nombre indicado en el momento del pedido.
  • Correo electrónico (opcional, para confirmación y fidelización).
  • Teléfono móvil (opcional, para Bizum y notificación de estado).
  • Número de mesa o referencia del pedido.
  • Contenido del pedido, importe y método de pago.
  • Datos de pago tokenizados por Redsys/Bizum — SuCafé nunca almacena el número completo de tarjeta (PAN).
  • Datos de navegación: dirección IP, agente de usuario, timestamp — conservados durante 90 días por seguridad.

2.2. Lojista (cuenta del establecimiento)

  • Correo electrónico, nombre comercial, NIF/CIF, dirección del local.
  • Contraseña almacenada con hash bcrypt — nunca en texto plano.
  • Datos de facturación de la suscripción y referencias de cobro tokenizadas.

2.3. Datos sensibles vinculados al pedido (categoría especial)

En ocasiones el cliente final puede facilitar voluntariamente, a través del campo de notas o de la selección de modificadores del producto, información sobre alergias, intolerancias alimentarias, preferencias dietéticas o restricciones religiosas que, asociadas a una persona identificable, podrían constituir datos relativos a la salud conforme al artículo 9.1 del Reglamento (UE) 2016/679 (RGPD).

  • Base legal: art. 9.2.b RGPD — cumplimiento de obligaciones derivadas de la ejecución del contrato de venta y la obligación legal del establecimiento de informar sobre alérgenos (Reglamento UE 1169/2011 y Real Decreto 126/2015).
  • Tratamiento: el dato se transmite exclusivamente al lojista y a su personal de cocina (KDS) para la correcta preparación del pedido. SuCafé actúa como encargado del tratamiento en este punto; no realiza perfilado, segmentación de marketing ni cesión a terceros sobre la base de estos datos.
  • Conservación: hasta el cierre del pedido y durante el plazo fiscal aplicable al ticket (4 años, art. 66 LGT). Las notas con datos sensibles se anonimizan al expirar ese plazo en los exports históricos.
  • Derechos reforzados: el cliente final puede solicitar la supresión inmediata de la nota una vez completado el pedido escribiendo a legal@solidtech.es, indicando el número de pedido.

Recomendación al cliente final: facilite solo la información estrictamente necesaria para que el establecimiento prepare su pedido de forma segura. No se requiere diagnóstico médico ni explicación detallada — basta indicar la alergia o restricción concreta.

3. Bases legales del tratamiento

  • Ejecución de un contrato (Art. 6.1.b RGPD): tramitación del pedido y de la suscripción.
  • Cumplimiento de una obligación legal (Art. 6.1.c RGPD): conservación de facturas durante 6 años (Ley 58/2003 General Tributaria) y obligaciones VeriFACTU 2026.
  • Interés legítimo (Art. 6.1.f RGPD): prevención del fraude, seguridad de la información, mejora del servicio.
  • Consentimiento (Art. 6.1.a RGPD): cookies analíticas y comunicaciones de marketing opcionales.

4. Destinatarios y encargados del tratamiento

SuCafé no vende, cede ni alquila los datos personales a terceros. Para la prestación del servicio, recurrimos a los siguientes encargados, todos ellos sujetos a contrato conforme al Art. 28 RGPD:

  • Google Cloud Platform — alojamiento de la plataforma y de la base de datos (región europe-west1, Bélgica, UE).
  • Redsys Servicios de Procesamiento, S.L. — pasarela TPV-Virtual del banco BBVA del lojista.
  • Bizum, S.A. — pago instantáneo móvil.
  • Google Workspace — entrega de correos transaccionales (confirmaciones de pedido, recibos).
  • AEAT a través de Fiskaly — comunicación VeriFACTU de facturas, obligación legal.
  • Google Ireland Limited (Google Analytics 4) — métricas agregadas de uso del sitio público. Activado solo si el responsable lo habilita en el panel y previo consentimiento del visitante en la categoría “Analíticas” del banner de cookies. Anonimización de IP, señales publicitarias deshabilitadas. Base legal: Art. 6.1.a RGPD (consentimiento). Detalle de cookies y caducidad en la Política de cookies §2.3.

Las transferencias fuera del Espacio Económico Europeo (en su caso) se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914), con medidas técnicas y organizativas suplementarias.

5. Plazos de conservación

  • Datos de pedido y facturación: 6 años desde la fecha de la operación (obligación fiscal).
  • Cuenta del lojista: durante la vigencia del contrato + 90 días tras la baja, salvo retenciones legales.
  • Logs de acceso y seguridad: 90 días.
  • Consentimientos de cookies: 12 meses, renovables.
  • Datos de marketing: hasta que el interesado retire el consentimiento.

6. Derechos del interesado

De conformidad con los Artículos 15 a 22 del RGPD y con la LOPDGDD, el interesado tiene derecho a:

  • Acceder a sus datos (Art. 15).
  • Rectificar los datos inexactos (Art. 16).
  • Solicitar la supresión cuando ya no resulten necesarios (Art. 17 — "derecho al olvido").
  • Limitar el tratamiento en los supuestos del Art. 18.
  • Recibir sus datos en formato estructurado y portable (Art. 20).
  • Oponerse al tratamiento (Art. 21).
  • No ser objeto de decisiones individuales automatizadas (Art. 22).
  • Retirar el consentimiento en cualquier momento.

El lojista titular de cuenta dispone, además, de mecanismos automatizados en su panel de administración: exportación completa de sus datos (endpoint /me/export) y eliminación de cuenta con anonimización inmediata de los datos personales (endpoint DELETE /me/account), sin perjuicio de la conservación fiscal obligatoria.

Los derechos pueden ejercerse mediante solicitud escrita a legal@solidtech.es, acompañando documento que acredite la identidad. La respuesta se emite en el plazo máximo de un mes, prorrogable dos meses adicionales en supuestos de especial complejidad.

7. Tutela ante la autoridad de control

Si el interesado considera que el tratamiento de sus datos no se ajusta a la normativa, puede presentar reclamación ante la Agencia Española de Protección de Datos (www.aepd.es), C/ Jorge Juan, 6, 28001 Madrid.

8. Medidas de seguridad

  • Cifrado en tránsito mediante TLS 1.2 o superior.
  • Cifrado en reposo con AES-256 en base de datos.
  • Autenticación reforzada PSD2/SCA en operaciones de pago.
  • Segregación multi-tenant a nivel aplicación y control de acceso por roles.
  • Copias de seguridad diarias con retención de 7 días.
  • Auditorías periódicas de seguridad (SAST con gosec, detección de secretos con trufflehog) integradas en el pipeline de despliegue.

9. Menores de edad

El Servicio está dirigido a personas mayores de 16 años. Conforme al artículo 7 de la Ley Orgánica 3/2018 (LOPDGDD), el tratamiento de datos personales de un menor de 14 años solo podrá basarse en su consentimiento cuando el responsable, el progenitor o el tutor lo autorice expresamente. SuCafé no recoge intencionadamente datos de menores; si tomamos conocimiento de que se ha registrado un menor sin la autorización adecuada, procederemos a la eliminación de la cuenta y de los datos asociados sin demora.

10. Modificaciones

SuCafé podrá modificar la presente política para adaptarla a novedades legislativas, jurisprudenciales o tecnológicas, comunicando los cambios con un preaviso razonable a los lojistas registrados y publicándolos en esta misma URL.

11. Información complementaria

Esta política se complementa con la Política de cookies, la Política de envíos y cancelación y la Política de devolución y reembolso. Para cualquier consulta: legal@solidtech.es.