Politica de Privacidad

1. Identidad del responsable del tratamiento

En cumplimiento de la normativa aplicable en materia de proteccion de datos personales, se informa de que el responsable del tratamiento es:

• Responsable: HelloIA S.L.
• CIF: B24934945
• Domicilio social: Calle Mollet 6, 08120 La Llagosta, Barcelona, Espana
• Correo electronico general: info@helloia.net
• Correo electronico de privacidad: privacidad@helloia.net
• Sitios web y servicios: helloia.net, restmatic.web.app y aplicaciones moviles de Restmatik

2. Alcance de esta politica

La presente Politica de Privacidad regula el tratamiento de datos personales realizado por HelloIA S.L. en relacion con:

• la web corporativa y formularios de contacto;
• el alta, acceso y uso de la plataforma Restmatik;
• las aplicaciones moviles y version web de Restmatik;
• la gestion de restaurantes clientes;
• funcionalidades de pedidos QR, reservas, pagos, analitica, soporte, seguridad y digitalizacion asistida mediante IA;
• comunicaciones comerciales y de soporte;
• procesos de monitorizacion, auditoria, prevencion del fraude y seguridad.

3. Roles de HelloIA: cuando actuamos como responsable y cuando como encargado

3.1 HelloIA como responsable del tratamiento

HelloIA actua como responsable del tratamiento cuando decide los fines y medios del tratamiento de datos personales, entre otros supuestos, para:

• gestionar altas, autenticacion y cuentas de clientes de Restmatik;
• gestionar la relacion comercial, facturacion, suscripciones y periodos de prueba;
• atender solicitudes de informacion, demostraciones o contacto comercial;
• gestionar comunicaciones comerciales cuando exista base juridica valida;
• realizar analitica propia del servicio, monitorizacion tecnica y mejora del producto;
• gestionar seguridad, incidencias, prevencion del abuso y proteccion de la plataforma.

3.2 HelloIA como encargado del tratamiento

HelloIA actua como encargado del tratamiento cuando trata datos personales por cuenta del restaurante cliente, conforme a sus instrucciones documentadas, en relacion con:

• pedidos y reservas de clientes finales del restaurante;
• datos operativos asociados a mesas, comandas y pagos del restaurante;
• datos de empleados del restaurante usados para control de acceso, trazabilidad operativa y gestion interna del servicio;
• documentos, imagenes, catalogos y otra informacion cargada por el restaurante;
• datos de proveedores u otros terceros incorporados por el restaurante a traves de funcionalidades del servicio.

En estos casos, el restaurante cliente es el responsable del tratamiento y HelloIA actua como proveedor tecnologico del servicio. La relacion se regula mediante el correspondiente contrato de encargo del tratamiento conforme al articulo 28 del RGPD.

4. Que datos personales tratamos

En funcion del tipo de relacion, podemos tratar las siguientes categorias de datos:

4.1 Datos identificativos y de cuenta

• nombre y apellidos;
• correo electronico;
• identificadores internos de usuario;
• fotografia de perfil, si procede;
• datos asociados a autenticacion y verificacion.

4.2 Datos de contacto y negocio

• telefono;
• direccion postal;
• datos del restaurante o negocio;
• NIF, CIF, RFC u otros datos fiscales equivalentes;
• categoria o informacion descriptiva del negocio.

4.3 Datos operativos del servicio

• mesas, pedidos, reservas, cierres, estados de comandas y movimientos operativos;
• datos introducidos por el restaurante o sus empleados;
• datos de trazabilidad operativa vinculados al uso del servicio.

4.4 Datos de empleados del restaurante

• nombre del trabajador;
• rol o puesto asignado;
• identificadores internos o de dispositivo;
• acciones realizadas dentro del sistema en la medida necesaria para seguridad, trazabilidad y operacion.

4.5 Datos de clientes finales del restaurante

Dependiendo de como configure el restaurante el servicio, pueden tratarse datos como:

• nombre;
• telefono;
• direccion;
• numero de mesa;
• detalles del pedido o reserva;
• observaciones o notas facilitadas durante la gestion del servicio.

4.6 Datos de pago y facturacion

• identificadores de operacion o pago;
• importes y estado del pago;
• informacion necesaria para suscripciones o cobros;
• datos del negocio asociados a cuentas de cobro.

Importante: HelloIA no almacena directamente los datos completos de la tarjeta bancaria cuando el pago se canaliza a traves de proveedores especializados de pago.

4.7 Datos tecnicos, de uso y seguridad

• direccion IP;
• identificadores de dispositivo;
• version de la aplicacion;
• registros de actividad y eventos tecnicos;
• logs de seguridad y auditoria;
• informacion del navegador o sistema operativo;
• cookies y tecnologias similares, cuando proceda.

4.8 Imagenes y documentos

• imagenes de productos, menus o catalogos;
• facturas, albaranes u otros documentos cargados por el usuario;
• texto extraido de dichos documentos cuando se utilicen herramientas de OCR o IA.

5. Finalidades y bases juridicas

Tratamos los datos personales para las siguientes finalidades:

5.1 Alta, autenticacion y gestion de la cuenta

Tratamos los datos necesarios para crear cuentas, permitir el acceso al servicio, verificar credenciales y gestionar la relacion contractual.

Base juridica: ejecucion del contrato o aplicacion de medidas precontractuales.

5.2 Alta y configuracion del restaurante

Tratamos datos del negocio para configurar el servicio, habilitar funcionalidades, personalizar la cuenta y permitir el uso de la plataforma.

Base juridica: ejecucion del contrato.

5.3 Prestacion del servicio Restmatik

Tratamos datos operativos necesarios para la gestion de mesas, comandas, pedidos, pagos, reservas, cocina, personal y demas funciones contratadas.

Base juridica: ejecucion del contrato.

5.4 Procesamiento de pagos, suscripciones y cumplimiento fiscal

Tratamos datos necesarios para gestionar cobros, suscripciones, periodos de prueba, facturacion, conciliacion y obligaciones legales contables o fiscales.

Base juridica: ejecucion del contrato y cumplimiento de obligaciones legales.

5.5 Seguridad, auditoria y prevencion del fraude

Tratamos datos tecnicos y registros de actividad para proteger la plataforma, verificar accesos, prevenir usos indebidos, investigar incidencias y asegurar la integridad del servicio.

Base juridica: interes legitimo en proteger la seguridad, continuidad y fiabilidad del servicio, asi como, cuando proceda, cumplimiento de obligaciones legales.

5.6 Soporte y atencion al cliente

Tratamos los datos que el usuario facilite en comunicaciones de soporte, incidencias, solicitudes o consultas.

Base juridica: ejecucion del contrato, medidas precontractuales o interes legitimo en atender adecuadamente a los usuarios.

5.7 Analitica, medicion y mejora del servicio

Podemos tratar datos de uso para medir el rendimiento, detectar errores, comprender el uso del producto y mejorar la plataforma.

Base juridica: consentimiento cuando se utilicen cookies o tecnologias equivalentes no esenciales; en determinados supuestos tecnicos estrictamente necesarios, interes legitimo.

Las cookies o tecnologias de analitica no esenciales solo se activaran tras la obtencion del consentimiento correspondiente, cuando resulte legalmente exigible.

5.8 Monitorizacion de errores y rendimiento

Podemos tratar informacion tecnica asociada a errores, eventos anomalos o fallos del sistema para mantener la estabilidad y seguridad del servicio.

Base juridica: interes legitimo.

5.9 Digitalizacion asistida mediante IA / OCR

Si el usuario utiliza funciones de escaneo, reconocimiento o analisis automatizado de imagenes, documentos, menus, facturas o albaranes, los datos contenidos en dichos archivos podran ser tratados para extraer, estructurar o analizar la informacion.

Base juridica: ejecucion del contrato.

5.10 Comunicaciones comerciales

Podremos enviar comunicaciones comerciales relacionadas con nuestros productos o servicios cuando exista una base juridica valida, en particular consentimiento o, en su caso, interes legitimo conforme a la normativa aplicable.

Base juridica: consentimiento o interes legitimo en los supuestos legalmente permitidos.

6. Procedencia de los datos

Los datos pueden proceder de:

• la persona usuaria o representante del restaurante cliente;
• empleados autorizados del restaurante;
• clientes finales del restaurante que interactuan con funciones como pedidos QR o reservas;
• proveedores de autenticacion o pago;
• integraciones y servicios conectados al entorno tecnico del producto;
• el propio uso de la plataforma, a traves de logs, eventos tecnicos o cookies cuando proceda.

7. Destinatarios y categorias de destinatarios

Podremos comunicar o dar acceso a los datos personales a los siguientes destinatarios, cuando sea necesario para la finalidad correspondiente:

• proveedores de infraestructura cloud, autenticacion, base de datos, almacenamiento y ejecucion serverless;
• proveedores de pagos y TPV virtual;
• proveedores de monitorizacion tecnica y gestion de errores;
• proveedores tecnologicos de analitica;
• proveedores de IA/OCR cuando se utilicen dichas funcionalidades;
• autoridades administrativas, judiciales o tributarias cuando exista obligacion legal;
• asesores, auditores o colaboradores sujetos a deber de confidencialidad, cuando sea necesario.

Cuando HelloIA actue como encargado del tratamiento por cuenta del restaurante, los accesos a datos por parte de HelloIA y sus subencargados se limitaran a lo necesario para prestar el servicio, mantener la seguridad, resolver incidencias y cumplir obligaciones legales o contractuales.

8. Proveedores y subencargados principales

Entre los principales proveedores tecnologicos utilizados actualmente se encuentran:

• Google / Firebase / Google Cloud, para autenticacion, base de datos, almacenamiento, funciones serverless, infraestructura y analitica;
• Stripe, para pagos y gestion de determinadas operaciones de cobro;
• Redsys, para determinadas operaciones de TPV virtual en Espana;
• OpenAI, para funciones de OCR o analisis automatizado de documentos e imagenes cuando se utilicen estas herramientas;
• Sentry, para monitorizacion tecnica de errores, si esta habilitado;
• otros proveedores tecnologicos estrictamente necesarios para alojamiento, seguridad, soporte o continuidad del servicio.

La lista de subencargados o proveedores podra actualizarse para reflejar cambios operativos o tecnicos.

9. Transferencias internacionales de datos

Algunos de los proveedores tecnologicos utilizados por HelloIA pueden encontrarse fuera del Espacio Economico Europeo o implicar accesos internacionales a datos personales.

Cuando ello ocurra, HelloIA adoptara las garantias adecuadas exigidas por la normativa aplicable, que podran incluir, segun corresponda:

• decisiones de adecuacion adoptadas por la Comision Europea;
• clausulas contractuales tipo aprobadas por la Comision Europea;
• otras garantias validas previstas en la normativa de proteccion de datos.

En particular, determinados proveedores como Google, Stripe, OpenAI o Sentry pueden implicar transferencias internacionales de datos. En tales casos, HelloIA aplicara los mecanismos de garantia exigidos por la normativa aplicable.

La persona interesada podra solicitar informacion adicional sobre estas garantias mediante los canales de contacto indicados en esta politica.

10. Plazos de conservacion

Los datos personales se conservaran durante el tiempo necesario para cumplir la finalidad para la que fueron recabados y, posteriormente, durante los plazos exigidos por obligaciones legales o para la formulacion, ejercicio o defensa de reclamaciones.

Con caracter general:

• Datos de cuenta: mientras la cuenta permanezca activa y, una vez finalizada la relacion, durante los plazos legales aplicables;
• Datos de pago, facturacion y obligaciones fiscales: durante los plazos legalmente exigidos (con caracter general, 5 anos conforme a la normativa mercantil y tributaria espanola);
• Pedidos cerrados y registros operativos: 5 anos, salvo que una obligacion legal o la defensa de reclamaciones exijan un plazo distinto;
• Reservas: 12 meses desde la fecha de la reserva;
• Soporte e incidencias: 12 meses desde el cierre de la consulta o incidencia;
• Registros de seguridad y auditoria: 12 meses, salvo bloqueo por investigacion de incidentes o requerimiento legal;
• Logs tecnicos: 90 dias;
• Datos tratados por cuenta del restaurante: conforme a las instrucciones del restaurante cliente y a las obligaciones legales aplicables;
• Sesiones QR temporales: unicamente durante su periodo de validez (generalmente 1 hora) o el tiempo estrictamente necesario para su gestion operativa;
• Copias de seguridad: 30 dias.

11. Menores de edad

HelloIA no dirige sus servicios a menores de edad ni recaba deliberadamente datos personales de menores. Los servicios estan orientados a profesionales, empresas y negocios. Si una persona considera que se han tratado datos de un menor de forma indebida, podra contactar con HelloIA para solicitar su revision o supresion.

12. Derechos de las personas interesadas

Las personas interesadas pueden ejercer, cuando proceda, los siguientes derechos:

• Acceso: obtener informacion sobre que datos personales tratamos;
• Rectificacion: solicitar la correccion de datos inexactos o incompletos;
• Supresion: solicitar la eliminacion de datos cuando ya no sean necesarios;
• Oposicion: oponerse al tratamiento en determinadas circunstancias;
• Limitacion: solicitar la limitacion del tratamiento en determinados casos;
• Portabilidad: recibir datos en un formato estructurado y de uso comun;
• Retirada del consentimiento: en cualquier momento, sin afectar a la licitud del tratamiento anterior;
• Decisiones automatizadas: no ser objeto de decisiones basadas unicamente en tratamientos automatizados, cuando resulte aplicable.

Tambien tienen derecho a presentar una reclamacion ante la Agencia Espanola de Proteccion de Datos (AEPD) si consideran que el tratamiento de sus datos no se ajusta a la normativa aplicable: www.aepd.es

Para ejercer sus derechos, pueden escribir a: privacidad@helloia.net

HelloIA podra solicitar informacion adicional razonable para verificar la identidad de la persona solicitante cuando sea necesario.

13. Seguridad de la informacion

HelloIA aplica medidas tecnicas y organizativas apropiadas para proteger los datos personales frente a acceso no autorizado, perdida, alteracion, divulgacion o destruccion accidental o ilicita.

Estas medidas pueden incluir controles de acceso, segmentacion por roles, cifrado, gestion de secretos, monitorizacion tecnica, autenticacion, trazabilidad y protocolos de respuesta ante incidentes.

No obstante, ningun sistema es completamente invulnerable, por lo que no puede garantizarse una seguridad absoluta.

14. Cookies y tecnologias similares

El uso de cookies y tecnologias similares se regula adicionalmente en la correspondiente Politica de Cookies.

Cuando sea necesario conforme a la normativa aplicable, se solicitara el consentimiento antes de utilizar cookies no esenciales, incluyendo cookies analiticas o publicitarias.

15. Cambios en la politica de privacidad

HelloIA podra actualizar esta Politica de Privacidad para adaptarla a cambios normativos, tecnicos o funcionales. Cuando los cambios sean relevantes, se informara por medios razonables a las personas afectadas.

16. Informacion adicional para restaurantes clientes

Cuando un restaurante utilice Restmatik para gestionar datos de sus clientes, empleados, reservas, pedidos o documentos, dicho restaurante sera responsable de informar adecuadamente a sus propios interesados sobre el uso de la plataforma, asi como de contar con una base juridica valida para el tratamiento de sus datos.

HelloIA, en su condicion de encargado del tratamiento cuando proceda, tratara esos datos conforme al contrato suscrito con el restaurante y a sus instrucciones documentadas, salvo cuando deba tratarlos para cumplir obligaciones legales propias o para garantizar la seguridad e integridad del servicio.

17. Informacion adicional sobre herramientas de IA y OCR

Al utilizar funciones de reconocimiento, escaneo o analisis automatizado de documentos o imagenes, el usuario declara que cuenta con legitimacion suficiente para cargar dichos contenidos en la plataforma y, en su caso, para solicitar su tratamiento automatizado.

El usuario debera evitar incluir datos excesivos o innecesarios y sera responsable de revisar que el uso de estas funciones sea conforme con la normativa aplicable en su ambito de actividad.

18. Contacto

Para cualquier consulta relacionada con privacidad, seguridad o esta politica, puede contactar con HelloIA en:

HelloIA S.L.

Calle Mollet 6, 08120 La Llagosta, Barcelona, Espana

Email: info@helloia.net