Contrato de Encargado del Tratamiento

Artículo 28 del Reglamento (UE) 2016/679 (RGPD) · Versión 2026-05-30

1. Objeto

El Responsable encarga a elpizzero el tratamiento de datos personales necesario para prestar los servicios de la plataforma: carta digital, recepción y gestión de pedidos, TPV, reservas, notificaciones, facturación y herramientas asociadas. elpizzero tratará dichos datos únicamente por cuenta y según las instrucciones documentadas del Responsable.

2. Duración

Este contrato está vigente mientras exista relación de servicio entre las partes. A su finalización se aplicará la cláusula 9 (devolución/supresión).

3. Naturaleza, finalidad y datos tratados

• Categorías de interesados: clientes finales del restaurante, y en su caso personal/usuarios del restaurante.
• Tipos de datos: identificativos y de contacto (nombre, teléfono, email, dirección de entrega), datos del pedido y de pago (gestionados por el proveedor de pago), e historial de pedidos. No se tratan categorías especiales de forma intencionada.
• Finalidad: exclusivamente la ejecución de los servicios contratados por el Responsable.

4. Obligaciones de elpizzero (Encargado)

1. Tratar los datos solo conforme a las instrucciones documentadas del Responsable, incluidas las transferencias internacionales, salvo obligación legal.
2. Garantizar la confidencialidad y que las personas autorizadas se comprometan a ella.
3. Aplicar las medidas técnicas y organizativas apropiadas (Art. 32 RGPD): cifrado de credenciales sensibles, control de acceso por rol, aislamiento de datos entre restaurantes, copias de seguridad cifradas y registro de actividad.
4. Asistir al Responsable para responder a las solicitudes de derechos de los interesados (acceso, rectificación, supresión, oposición, portabilidad, limitación).
5. Asistir al Responsable en el cumplimiento de los Art. 32 a 36 (seguridad, notificación de brechas y evaluaciones de impacto).
6. Notificar al Responsable sin dilación indebida y, a más tardar, en 48 horas desde que tenga conocimiento de una violación de seguridad que afecte a sus datos, con la información necesaria para que el Responsable cumpla su deber de notificación a la autoridad (72 h) y, en su caso, a los interesados.
7. Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento y permitir auditorías razonables.

5. Subencargados

El Responsable autoriza a elpizzero a recurrir a los siguientes subencargados para prestar el servicio, comprometiéndose elpizzero a imponerles obligaciones equivalentes de protección de datos:

• Hostinger — alojamiento e infraestructura (servidores en la UE).
• Stripe — procesamiento de pagos (cuando el restaurante lo active con sus propias claves).
• Proveedor de correo electrónico SMTP — envío de notificaciones y comunicaciones.
• Servicios de mensajería (p. ej. Telegram/Twilio) y de IA, únicamente cuando el restaurante active funciones que los requieran y sin enviar más datos personales de los imprescindibles.

La lista vigente está disponible y se actualizará en este documento. elpizzero informará de cambios de subencargados, dando al Responsable la posibilidad de oponerse.

5 bis. Uso de inteligencia artificial

Algunas funciones de la plataforma usan servicios de inteligencia artificial (actualmente OpenAI, EEUU, con garantías de transferencia adecuadas) para: escaneo de cartas/menús (extraer categorías y productos de fotos o PDF del restaurante), escaneo de facturas de proveedor (asesoría e inventario), traducción de la carta y de textos a otros idiomas, y detección de inventario y generación de contenidos de apoyo.

Se envía únicamente el contenido necesario y no se envían datos de clientes finales de forma intencionada; puntualmente, una traducción podría incluir un texto libre escrito por el cliente (p. ej. una nota del pedido). El Responsable autoriza este tratamiento mediante IA al aceptar este contrato y se compromete a no introducir datos personales innecesarios en estas funciones. Cada función que usa IA está identificada como tal en el panel, conforme a los principios de transparencia (incl. Reglamento (UE) 2024/1689 de IA).

6. Obligaciones del Responsable (restaurante)

• Garantizar la base de legitimación de los tratamientos que encarga y la información a los interesados.
• Disponer de su propia política de privacidad e identificación fiscal correcta en su perfil.
• No introducir en la plataforma categorías especiales de datos sin base adecuada.

7. Ubicación de los datos y transferencias

Los datos se alojan en servidores ubicados en la Unión Europea. Si algún subencargado implicara una transferencia internacional, se realizará con las garantías del Capítulo V del RGPD (decisión de adecuación o cláusulas contractuales tipo).

8. Brechas de seguridad

En caso de violación de la seguridad de los datos, elpizzero seguirá su protocolo de respuesta y notificará al Responsable conforme a la cláusula 4.6 para que este pueda cumplir el Art. 33 RGPD (notificación a la autoridad de control en 72 h cuando proceda).

9. Devolución o supresión al finalizar

A la finalización del servicio, y a elección del Responsable, elpizzero devolverá o suprimirá los datos personales tratados por su cuenta, así como las copias existentes, salvo obligación legal de conservación.

10. Responsabilidad y legislación

Cada parte responde del incumplimiento de sus obligaciones conforme al RGPD y a la LO 3/2018 (LOPDGDD). Este contrato se rige por la legislación española y de la UE.

La aceptación de este contrato queda registrada con fecha, versión e IP al darse de alta o al aceptarlo desde el panel. Última actualización: 2026-05-30.