Cumplimiento del RGPD

Última actualización: mayo 2026

En Zain (un servicio de Baxahaun Venture Studio) tratamos la protección de datos como un pilar del producto, no como un trámite. Esta página explica cómo cumplimos el Reglamento General de Protección de Datos (Reglamento UE 2016/679, «RGPD») y la Ley Orgánica 3/2018 (LOPDGDD), y qué significa eso para tu restaurante y para tus clientes.

Si buscas cómo tratamos tus datos como titular de la cuenta, consulta nuestra Política de Privacidad. Esta página se centra en los datos de tus comensales, que Zain trata por cuenta tuya.

1. Roles: quién es responsable y quién es encargado

El RGPD distingue dos roles. Entenderlos es clave para saber quién responde de cada cosa:

  • Tu restaurante es el «responsable del tratamiento» de los datos de tus comensales (nombre, teléfono, reservas, preferencias). Tú decides para qué se usan.
  • Zain es el «encargado del tratamiento»: tratamos esos datos únicamente siguiendo tus instrucciones y para prestarte el servicio (gestionar reservas, responder por WhatsApp, recordatorios). Nunca usamos los datos de tus comensales para fines propios.

2. Acuerdo de Encargo de Tratamiento (DPA)

Al activar tu cuenta firmas con nosotros un Acuerdo de Encargo de Tratamiento (art. 28 RGPD), que forma parte de las Condiciones de Servicio. En él nos comprometemos a:

  • Tratar los datos solo según tus instrucciones documentadas.
  • Garantizar la confidencialidad de quien accede a los datos.
  • Aplicar medidas de seguridad técnicas y organizativas adecuadas.
  • Asistirte para responder a las solicitudes de derechos de tus comensales.
  • Eliminar o devolver los datos al finalizar el servicio.
  • Permitir y contribuir a auditorías de cumplimiento.

¿Necesitas una copia firmada del DPA para tu archivo de cumplimiento? Escríbenos a hola@baxahaun.com.

3. Qué datos tratamos por cuenta tuya

Para prestar el servicio tratamos los datos mínimos necesarios de tus comensales:

  • Identificación y contacto: nombre y número de teléfono (WhatsApp).
  • Datos de reserva: fecha, hora, número de comensales, mesa asignada.
  • Preferencias y notas: alergias, peticiones especiales e historial de visitas que tú o el comensal indiquéis.
  • Conversaciones: los mensajes intercambiados con el agente para atender la reserva.

No solicitamos ni necesitamos categorías especiales de datos (art. 9 RGPD). Te recomendamos no introducir datos sensibles que no sean imprescindibles para el servicio.

4. Subencargados del tratamiento

Nos apoyamos en proveedores de confianza que cumplen el RGPD y con los que tenemos firmados los acuerdos correspondientes. Cada uno trata los datos solo para la función indicada:

  • Insforge — base de datos PostgreSQL en la nube (UE).
  • Vercel — hospedaje de la aplicación web (EE.UU., Cláusulas Contractuales Tipo).
  • Meta (WhatsApp Business API) — canal de mensajería con tus comensales.
  • Resend — envío de correos transaccionales (EE.UU., SCCs).
  • Paddle — procesamiento de pagos de tu suscripción (no trata datos de comensales).

Te informaremos con antelación de cualquier cambio en esta lista para que puedas oponerte si lo consideras necesario.

5. Transferencias internacionales

Cuando un proveedor trata datos fuera del Espacio Económico Europeo, la transferencia se ampara en Cláusulas Contractuales Tipo aprobadas por la Comisión Europea u otras garantías adecuadas previstas en el Capítulo V del RGPD. La base de datos principal está alojada en la UE.

6. Medidas de seguridad

Aplicamos medidas técnicas y organizativas proporcionales al riesgo (art. 32 RGPD):

  • Cifrado en tránsito (HTTPS/TLS) en todas las comunicaciones.
  • Control de acceso por roles y principio de mínimo privilegio.
  • Aislamiento de los datos de cada restaurante (multi-tenant con seguridad a nivel de fila).
  • Copias de seguridad y registros de auditoría.
  • Los datos de pago nunca pasan por nuestros servidores: los procesa Paddle, con certificación PCI DSS.

7. Notificación de brechas de seguridad

Si detectamos una violación de seguridad que afecte a los datos de tus comensales, te lo notificaremos sin dilación indebida y, a más tardar, en 72 horas desde que tengamos conocimiento de ella, con la información necesaria para que cumplas tus obligaciones de notificación como responsable (arts. 33 y 34 RGPD).

8. Derechos de tus comensales

Tus comensales pueden ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad. Como responsable, eres tú quien atiende esas solicitudes; nosotros, como encargado, te asistimos:

  • Puedes consultar, editar y eliminar los datos de un comensal desde tu panel.
  • Si necesitas exportar o suprimir datos de forma masiva, escríbenos y lo gestionamos contigo.
  • Al cancelar el servicio, eliminamos los datos de tus comensales en un máximo de 90 días, salvo obligación legal de conservación.

9. Tu responsabilidad como restaurante

Para que el tratamiento sea conforme al RGPD, como responsable te corresponde:

  • Informar a tus comensales de que sus datos se tratan para gestionar la reserva (puedes enlazar esta página y tu propia política).
  • Contar con una base legal para el tratamiento (normalmente la ejecución de la reserva o el consentimiento).
  • Usar el servicio solo para las finalidades acordadas y no introducir datos innecesarios.

10. Contacto y reclamaciones

Para cualquier consulta sobre protección de datos o para solicitar el DPA firmado: hola@baxahaun.com.

Tanto tú como tus comensales podéis presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

Baxahaun Venture Studio — País Vasco, España.