Política de Privacidad
Última actualización: 16 de junio de 2026
En Fustesia nos tomamos en serio la privacidad de los restaurantes que confían en nosotros y de sus comensales. Esta política explica qué datos tratamos, con qué finalidad, sobre qué base legal y qué derechos tienes sobre ellos, conforme al Reglamento General de Protección de Datos (RGPD, UE 2016/679) y a la legislación española aplicable (LOPDGDD).
1. Responsable del tratamiento y contacto
El responsable del tratamiento es Fustesia. Para cualquier consulta sobre privacidad o para ejercer tus derechos puedes escribirnos a fustesia.director@gmail.com.
2. Datos que recogemos
- Datos de contacto del restaurante (cuenta): nombre, restaurante, email, teléfono/WhatsApp, ciudad y, opcionalmente, NIF/CIF, enlace a Google Maps e Instagram. Se recogen cuando solicitas una demo o creas una cuenta.
- Datos operativos: ticket medio, número de platos, contenido y fotos de la carta. Se usan para preparar la carta digital y la demo personalizada.
- Datos de pago: los pagos se procesan íntegramente a través de Stripe. No almacenamos datos de tarjeta en nuestros sistemas.
- Datos de comensales (servicio activo en el restaurante): cuando un comensal escanea el QR de la mesa, podemos tratar: número de mesa, platos elegidos, alergias autoindicadas y preferencia de idioma. No recogemos datos que identifiquen personalmente al comensal (ni nombre, ni email, ni teléfono). Las valoraciones y comentarios opcionales se asocian al restaurante, no al cliente final.
- Datos técnicos: dirección IP, identificador de navegador (user-agent) y métricas de uso. Se utilizan para seguridad, prevención de abuso y mejora del servicio.
3. Finalidad y base legal (Art. 6 RGPD)
- Atender tu solicitud de demo y comunicaciones previas — consentimiento (Art. 6.1.a) al rellenar el formulario.
- Prestar el servicio contratado (alta de cuenta, carta digital, pedidos, facturación) — ejecución de un contrato (Art. 6.1.b).
- Cumplir obligaciones legales (fiscales, contables) — obligación legal (Art. 6.1.c).
- Seguridad, prevención de fraude/abuso y métricas agregadas — interés legítimo (Art. 6.1.f).
- Tratamiento de datos de comensales — el restaurante actúa como responsable del servicio de carta y pedidos; Fustesia los trata para ejecutar esa funcionalidad (Art. 6.1.b/f). No se utilizan para identificar a personas concretas.
4. Plazos de conservación
- Leads que no se convierten en clientes: se eliminan tras 12 meses.
- Datos de comensales: por minimización, no recogemos nombre, email ni teléfono para usar la carta o pedir; la vinculación se hace mediante un identificador de sesión seudónimo (mesa/sesión). Conservamos lo necesario para la operativa del restaurante y los eliminamos a petición del usuario o del restaurante (Art. 17). No aplicamos una rotación automática de 90 días.
- Datos de cuenta y facturación: durante la relación contractual y, después, durante los plazos legales aplicables.
5. Encargados del tratamiento y sub-procesadores
Trabajamos con proveedores de confianza que actúan como encargados del tratamiento, sujetos a un Acuerdo de Encargo (Art. 28 RGPD). A continuación se detalla su rol, ubicación y base de la transferencia:
- Vercel — hosting de la web y analítica de uso. EE. UU. Transferencia bajo Cláusulas Contractuales Tipo (SCC).
- Supabase / AWS — base de datos del servicio. Alojada en una región de la Unión Europea (EEE).
- Stripe Payments Europe, Ltd. — procesamiento de pagos. Irlanda (EEE).
- Resend / AWS SES — envío de emails transaccionales (enlaces de acceso, confirmaciones). Alojado en una región de la Unión Europea (EEE).
- Anthropic (Claude) — traducción de cartas, recomendaciones y chat. EU/EE. UU. Transferencia bajo Cláusulas Contractuales Tipo (SCC).
- Google (Gemini) — extracción del contenido de la carta y análisis de imágenes. EE. UU. Transferencia bajo Cláusulas Contractuales Tipo (SCC).
- Groq — extracción de texto de la carta. EE. UU. Transferencia bajo Cláusulas Contractuales Tipo (SCC).
- Cloudflare (Workers AI) — análisis y realce de imágenes de platos. EE. UU./global. Transferencia bajo Cláusulas Contractuales Tipo (SCC).
- Upstash — limitación de peticiones (rate-limiting) mediante Redis para proteger el servicio frente a abusos.
- Telegram — notificación interna a nuestro equipo de nuevos leads.
6. Transferencias internacionales
Algunos de los proveedores anteriores tratan datos fuera del Espacio Económico Europeo (especialmente en EE. UU.: Vercel, Anthropic, Google, Groq y Cloudflare). En esos casos, la transferencia se ampara en las Cláusulas Contractuales Tipo de la Comisión Europea (SCC, Art. 46 RGPD) o, en su caso, en una decisión de adecuación. Aplicamos garantías adicionales cuando resulta necesario para mantener un nivel de protección equivalente al del RGPD.
7. Tus derechos
Tienes derecho a acceder, rectificar, suprimir, oponerte, limitar el tratamiento y a la portabilidad de tus datos. Puedes ejercerlos de estas formas:
- Descargar tus datos (acceso y portabilidad, Art. 15 y 20): desde tu cuenta, mediante la exportación de datos disponible en /api/account/export.
- Suprimir tu cuenta y tus datos (Art. 17): desde la opción de borrado de cuenta de tu panel (que ejecuta la eliminación de tus datos).
- Por email: escribiendo a fustesia.director@gmail.com para cualquier derecho, incluidos rectificación, oposición y limitación.
Si consideras que no hemos atendido correctamente tu solicitud, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).
8. Cookies
Utilizamos cookies técnicas necesarias para el funcionamiento del servicio (sesión, autenticación y carrito), que no requieren consentimiento. Además, empleamos analítica de uso — nuestra propia medición de visitas (web_visits) y la analítica de Vercel — que solo se activa si das tu consentimiento a través del banner de cookies. No usamos cookies publicitarias ni de seguimiento entre webs. Puedes retirar o modificar tu consentimiento en cualquier momento desde el banner.