Política de Privacidad — restaurant.digital

1. Responsable del tratamiento

El Responsable del tratamiento de los datos personales tratados en relación con el uso del servicio restaurant.digital es:

Core Duo sp. z o.o. ul. Lipowa 3D, 30-702 Kraków, Polonia KRS 0001091475, NIP 6793292643, REGON 527947734

Contacto en materia de RGPD: contact@restaurant.digital

2. Base jurídica del tratamiento

Tratamos sus datos personales con base en:

Finalidad	Base jurídica (RGPD)
Prestación del servicio de generación de sitios web	Art. 6.1.b (ejecución del contrato)
Ejercicio del derecho a reclamar un sitio (claim)	Art. 6.1.b (ejecución del contrato)
Garantizar la seguridad del servicio	Art. 6.1.f (interés legítimo)
Gestión de reclamaciones y notificaciones	Art. 6.1.c (obligación legal)
Analítica (previo consentimiento)	Art. 6.1.a (consentimiento)
Marketing (previo consentimiento)	Art. 6.1.a (consentimiento)
Contabilidad y facturación	Art. 6.1.c + normativa fiscal

3. Alcance de los datos recogidos

3.1. Datos recogidos automáticamente (en cada visita)

• Dirección IP (anonimizada — último octeto en IPv4 / últimos 80 bits en IPv6)
• User-Agent del navegador
• Fecha y hora de la visita
• URL de la página visitada
• Información sobre el consentimiento otorgado a las cookies (almacenada localmente en el navegador)

3.2. Datos recogidos durante la generación del sitio

• Nombre del restaurante
• Dirección del restaurante (ciudad y país enviados al modelo de IA; dirección completa almacenada localmente)
• Datos de contacto del restaurante (correo electrónico, teléfono)
• Tipo de cocina, estilo, descripción
• Fotografías subidas por el Usuario
• Dirección de correo electrónico del Usuario (en el momento de la reclamación del sitio)

3.3. Datos recogidos al registrarse / reclamar el sitio (claim)

• Dirección de correo electrónico del titular del sitio
• Identificador del token de verificación (temporal, TTL 24 h)
• Fecha y hora de la reclamación del sitio

3.4. Datos en los registros de actividad

• Acciones administrativas (suspensiones, marcas, eliminaciones)
• Registros de errores (crashes) con IP anonimizada, retención de 90 días
• Registros de entrega de correo electrónico (retención de 24 horas)

4. Finalidades y destinatarios de los datos

4.1. Finalidades del tratamiento

1. Prestación del servicio: generación del sitio, edición, alojamiento
2. Verificación de identidad: proceso de claim, inicio de sesión mediante magic-link
3. Seguridad: detección de abusos, limitación de tasa (rate-limiting), informes de fallos
4. Gestión de notificaciones: takedown, DSAR, reclamaciones
5. Analítica (previo consentimiento): estadísticas de tráfico y conversión
6. Envío de notificaciones: correos de verificación, avisos administrativos

4.2. Destinatarios de los datos

Podemos ceder sus datos a las siguientes categorías de destinatarios:

Categoría	Entidades	Base	Ubicación
Alojamiento	Servidores propios de Core Duo	DPA interno	Polonia/UE
DNS/CDN	Cloudflare	DPA + SCC	EE. UU. (adecuación)
IA	xAI (Grok)	DPA + datos minimizados	EE. UU. (adecuación)
Proveedor de correo	Proveedor SMTP (por determinar)	DPA	UE
Bancos de imágenes	Pexels, Envato	-	Diversas
Galerías fotográficas	Google (Places API — solo metadatos tras sc-404)	DPA + SCC	EE. UU. (adecuación)

No vendemos sus datos personales.

5. Transferencia a terceros países

Algunos datos pueden ser transferidos fuera del Espacio Económico Europeo (EEE):

• EE. UU.: xAI (Grok), Cloudflare, Google (solo metadatos), Pexels
• La transferencia se realiza con base en las Cláusulas Contractuales Tipo (SCC) o en el

Marco de Privacidad de Datos UE-EE. UU. (EU-US Data Privacy Framework), cuando resulte aplicable.

6. Plazo de conservación de los datos

Tipo de datos	Plazo de conservación
Datos de la cuenta (tras reclamación del sitio)	Hasta la supresión de la cuenta + 30 días de carencia
Sitios generados no reclamados	30 días desde la generación (autosuspensión)
Correos electrónicos (enlaces magic-link)	24 horas
Tokens de verificación	24 horas
Registros de errores	90 días
Eventos analíticos	26 meses
Notificaciones takedown	Hasta su resolución + requisitos legales (hasta 3 años)
Datos contables (si procede)	5 años (Ley polaca de contabilidad)

7. Sus derechos (RGPD)

Tiene los siguientes derechos en relación con el tratamiento de sus datos personales:

7.1. Derecho de acceso (art. 15)

Puede solicitar información sobre los datos que tratamos. Cómo: correo electrónico a contact@restaurant.digital — nuestro DPO responderá en un plazo de 30 días.

7.2. Derecho de rectificación (art. 16)

Puede corregir los datos inexactos. Cómo: en el editor del sitio (pestaña Contact) o por correo electrónico.

7.3. Derecho de supresión (art. 17)

Puede solicitar la supresión de los datos. Cómo: botón "Delete My Site" en el editor o por correo electrónico. La supresión se realiza tras un período de carencia de 30 días.

7.4. Derecho a la limitación del tratamiento (art. 18)

Puede solicitar la limitación del tratamiento en determinadas situaciones. Cómo: correo electrónico a contact@restaurant.digital

7.5. Derecho a la portabilidad de los datos (art. 20)

Puede recibir sus datos en formato legible por máquina (ZIP con site.json + fotografías). Cómo: correo electrónico a contact@restaurant.digital — nuestro DPO preparará y entregará la exportación en un plazo de 30 días.

7.6. Derecho de oposición (art. 21)

Puede oponerse al tratamiento basado en el interés legítimo. Cómo: correo electrónico o panel de preferencias de cookies.

7.7. Derecho a no ser objeto de decisiones automatizadas (art. 22)

No aplicamos decisiones totalmente automatizadas ni elaboración de perfiles con efectos jurídicos.

7.8. Derecho a presentar una reclamación

Puede presentar una reclamación ante el Presidente de la Oficina de Protección de Datos Personales de Polonia (Urząd Ochrony Danych Osobowych — UODO):

• UODO: ul. Stawki 2, 00-193 Warszawa, Polonia
• Correo electrónico: kancelaria@uodo.gov.pl
• Web: https://uodo.gov.pl

Si reside en España, también puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD, https://www.aepd.es).

8. Cookies y tecnologías similares

Utilizamos cookies y localStorage para:

Categoría	Finalidad	Plazo	Requiere consentimiento
Necesarias	Sesión, CSRF, preferencias del consentimiento de cookies	Sesión / 1 año	No
Analíticas	Google Analytics (si el titular lo activa)	26 meses	Sí
Marketing	Publicidad (si el titular lo activa)	13 meses	Sí

Más detalles en la Política de Cookies.

9. Datos de menores

El Servicio no está destinado a personas menores de 16 años. No recogemos datos de menores de forma consciente. Si tiene conocimiento de que un menor nos ha facilitado sus datos, póngase en contacto con nosotros y los suprimiremos sin demora indebida.

10. Modificaciones de la Política de Privacidad

Podemos actualizar la presente Política de Privacidad. Comunicaremos las modificaciones sustanciales con una antelación mínima de 14 días por correo electrónico o mediante aviso en el Servicio.

Cadencia de revisión interna. El Responsable mantiene esta Política bajo una cadencia alineada con el art. 24.1 RGPD (medidas «sometidas a revisión»): una revisión anual de referencia (15 de enero de cada año natural) complementada con revisiones obligatorias desencadenadas por eventos. El catálogo de desencadenantes incluye: nuevo encargado/subencargado del tratamiento, nueva categoría de datos, nueva base jurídica, cambio en las transferencias transfronterizas, cambio regulatorio (actos delegados del RGPD, entrada en vigor escalonada del Reglamento de IA, directrices de la AEPD / UODO / CEPD), incidente de seguridad, acción colectiva o patrón de aumento de solicitudes de derechos de los interesados (DSAR), recomendación formal del asesor jurídico externo o del Delegado de Protección de Datos. El procedimiento completo, las reglas de versionado (semver-lite: 1.0 → 1.1 modificación textual menor; 2.0 reescritura estructural) y el catálogo de desencadenantes se mantienen en el documento interno docs/legal/review-triggers.md (sc-1018 — sustituye el supuesto anterior de revisión trimestral).

11. Contacto

Core Duo sp. z o.o. ul. Lipowa 3D, 30-702 Kraków, Polonia Correo electrónico: contact@restaurant.digital

Delegado de Protección de Datos (DPO): Grzegorz Książczyk

---