La presente Política de Privacidad regula el tratamiento de los datos personales que MesaCarta recaba a través de la plataforma accesible en mesacarta.com y sus subdominios. Le rogamos que la lea detenidamente antes de registrarse o utilizar el servicio. Al crear una cuenta usted reconoce haber leído y aceptado esta política.
Nota: Este documento ha sido redactado con intención de claridad e integridad, pero no sustituye el asesoramiento jurídico especializado. Si tiene dudas sobre su aplicación concreta, consulte a un profesional.
1. Responsable del tratamiento
En cumplimiento del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), el responsable del tratamiento de sus datos personales es:
Denominación: MesaCarta
Actividad: Plataforma SaaS de gestión de cartas digitales para hostelería
Ámbito: España — Unión Europea
Correo de privacidad: santimv9398@gmail.com
2. Datos que recopilamos
MesaCarta recopila únicamente los datos estrictamente necesarios para la prestación del servicio. Nunca vendemos ni compartimos datos personales con fines publicitarios.
- Nombre de usuario (nombre y apellidos del responsable del establecimiento).
- Dirección de correo electrónico de acceso (identificador de cuenta).
- Contraseña almacenada exclusivamente como hash bcrypt — nunca en texto plano.
- Fecha y estado de verificación del correo electrónico.
- Nombre comercial del local y nombre de la razón social (si se facilita).
- Nombre y apellidos completos del responsable o titular (cifrado en reposo).
- DNI / NIE / CIF del titular (cifrado en reposo; solo uso interno).
- Teléfono móvil de contacto (cifrado en reposo).
- Email de contacto del establecimiento, distinto al email de acceso (cifrado en reposo).
- Dirección postal, ciudad, provincia y código postal del establecimiento.
- URL de ubicación (Google Maps u equivalente).
- Logotipo, imagen de portada, color de marca (URL o valor de color).
- Nombre, descripción, precio e imágenes de los productos del menú.
- Categorías de la carta, menús del día, alérgenos.
- Configuración de mesas y códigos QR por mesa.
- Plan contratado (Starter o Pro) e intervalo de facturación (mensual o anual).
- Historial de solicitudes de pago y estado de aprobación.
- Identificadores de cliente y suscripción de Stripe (si se usa pago con tarjeta).
- Los datos de tarjeta de crédito son procesados directamente por Stripe y nunca son almacenados por MesaCarta.
- Datos de reservas: nombre, teléfono, email (opcional), fecha, número de comensales y notas.
- Reseñas: nombre del autor (opcional), valoración y comentario.
- Pedidos desde mesa: artículos, cantidades, mesa y notas del pedido.
- Llamadas al camarero: número de mesa y marca temporal.
- Dirección IP anonimizada (hash SHA-256 irreversible con sal) para el recuento de visitas únicas.
- Agente de usuario y tipo de dispositivo (móvil, tablet, escritorio) para analítica agregada.
- Datos de acceso (fecha, hora) recogidos en registros del servidor para seguridad.
Los clientes finales que consultan la carta pública no necesitan registrarse ni facilitar datos personales para ver el menú. Las visitas se contabilizan mediante un hash irreversible de la IP, sin posibilidad de identificación individual.
3. Finalidad y base jurídica del tratamiento
Tratamos sus datos personales para las siguientes finalidades:
| Finalidad | Base jurídica |
|---|---|
| Gestión de la cuenta, autenticación y aprobación de registro | Ejecución del contrato — art. 6.1.b RGPD |
| Prestación del servicio de carta digital, QR y panel de gestión | Ejecución del contrato — art. 6.1.b RGPD |
| Gestión de pedidos, reservas y valoraciones del local | Ejecución del contrato — art. 6.1.b RGPD |
| Procesamiento de pagos (Stripe) y gestión de suscripciones | Ejecución del contrato — art. 6.1.b RGPD |
| Verificación de la identidad del titular (DNI/CIF) para alta del servicio | Ejecución del contrato — art. 6.1.b RGPD |
| Estadísticas de visitas al menú (datos anonimizados) | Interés legítimo — art. 6.1.f RGPD |
| Seguridad, detección de fraude, control de acceso y anti-bot | Interés legítimo — art. 6.1.f RGPD |
| Comunicaciones transaccionales del servicio | Interés legítimo — art. 6.1.f RGPD |
| Cumplimiento de obligaciones fiscales y legales | Obligación legal — art. 6.1.c RGPD |
4. Cookies y almacenamiento local
MesaCarta utiliza exclusivamente cookies técnicas esenciales y almacenamiento local (localStorage) para el funcionamiento correcto de la plataforma. No se utilizan cookies publicitarias, de rastreo ni de terceros.
| Nombre / Tipo | Finalidad | Duración | Tipo |
|---|---|---|---|
| next-auth.session-token | Mantiene la sesión autenticada del administrador del local. Indispensable para el funcionamiento del panel de gestión. | Sesión del navegador o hasta 30 días si se activa «Recordarme» | Esencial |
| next-auth.csrf-token | Token de seguridad que protege contra ataques CSRF en los formularios de autenticación. | Sesión | Esencial |
| next-auth.callback-url | Almacena la URL de redirección tras el inicio de sesión. | Sesión | Funcional |
| mesacarta_cookie_consent (localStorage) | Almacena el registro del consentimiento de cookies del usuario (versión, fecha y categorías aceptadas). Es necesario para no volver a mostrar el banner tras tomar una decisión. | Persistente (localStorage) | Esencial |
| onboarding_done_[id] (localStorage) | Registra si el administrador completó el asistente de configuración inicial. Solo se establece en el panel autenticado. Base jurídica: ejecución del contrato de servicio (art. 6.1.b RGPD). | Persistente (localStorage) | Preferencias (auth) |
| onboarding_dismissed_[slug] (localStorage) | Registra si el propietario cerró el panel de primeros pasos. Solo se establece en el panel autenticado. Base jurídica: ejecución del contrato (art. 6.1.b RGPD). | Persistente (localStorage) | Preferencias (auth) |
| cart_[slug] (localStorage) | Persiste el carrito de pedidos del cliente entre recargas de página. Si el consentimiento Funcional es rechazado, el carrito funciona en memoria durante la sesión pero no se guarda entre recargas. | Persistente (localStorage, hasta que se vacía el carrito) | Funcional |
| order-cooldown-[slug]-[tableId] (localStorage) | Protege contra el envío accidental duplicado de pedidos desde mesa (cooldown de 10 minutos). Requiere consentimiento Funcional. | Persistente 10 minutos | Funcional |
| Analítica de visitas | Contabilizamos visitas a las cartas públicas con un hash irreversible de IP. No se deposita ninguna cookie en el dispositivo del visitante. | N/A — sin cookie | Analítica (sin cookie) |
¿Se usan cookies publicitarias o de seguimiento?
No. MesaCarta no instala cookies publicitarias, de perfilado ni de terceros (Google Analytics, Meta Pixel, etc.). No compartimos datos de navegación con redes publicitarias.
Cómo gestionar o cambiar sus preferencias
Puede cambiar sus preferencias en cualquier momento usando el botón «Configurar cookies» que encontrará al pie de esta página y de la página de inicio. Sus preferencias se actualizan inmediatamente sin necesidad de recargar la página.
También puede configurar su navegador para bloquear o eliminar cookies. Deshabilitar las cookies esenciales impedirá el acceso al panel de administración, pero no afectará a la visualización pública de la carta digital.
5. Conservación de los datos
Los datos personales se conservan durante el tiempo estrictamente necesario para las finalidades indicadas:
Datos de cuenta y del establecimiento
Mientras la cuenta permanezca activa. Tras la baja, se eliminan en un máximo de 30 días naturales.
Datos de facturación y pagos
6 años, conforme a la legislación tributaria española (art. 30 Código de Comercio y Ley 58/2003 General Tributaria).
Identificadores de Stripe
Hasta la cancelación de la suscripción y cumplimiento del plazo fiscal anterior.
Registros de acceso y seguridad (logs)
Máximo 12 meses, conforme a la Ley 34/2002 (LSSI).
Datos de reservas de clientes finales
2 años desde la fecha de la reserva, salvo eliminación anticipada por el establecimiento desde su panel.
Datos de pedidos y llamadas al camarero
El establecimiento puede eliminarlos desde su panel. Datos técnicos de logs: máximo 12 meses.
Datos anonimizados de analítica de visitas
Conservados indefinidamente al no poder asociarse a ninguna persona identificada.
6. Comunicación de datos a terceros
MesaCarta no cede, vende ni alquila datos personales a terceros con fines comerciales o publicitarios. Únicamente los compartimos con los siguientes encargados del tratamiento, vinculados contractualmente a estándares equivalentes al RGPD:
Proveedor de infraestructura cloud (Vercel y/o equivalente)
Alojamiento de la aplicación, base de datos y almacenamiento de imágenes subidas por los establecimientos.
📍 Unión Europea
Resend
Envío de emails transaccionales: verificación de cuenta, notificaciones de administración, confirmaciones de reserva y comunicaciones del servicio.
📍 UE / EEE con garantías adecuadas
Stripe
Procesamiento de pagos con tarjeta de crédito (cuando esta modalidad esté disponible para el establecimiento). Stripe es el responsable del tratamiento de los datos de tarjeta, que MesaCarta nunca almacena.
📍 UE / EEE con garantías adecuadas (cláusulas contractuales tipo)
Upstash Redis
Servicio de limitación de intentos (rate limiting) para proteger el sistema contra abusos y ataques de fuerza bruta. Solo se almacenan claves anonimizadas (hashes de IP), sin datos personales identificables.
📍 UE / EEE con garantías adecuadas
Sentry (si está configurado)
Monitorización de errores técnicos de la plataforma. Los reportes de errores pueden incluir datos técnicos de sesión pero no datos sensibles del usuario.
📍 UE / EEE con garantías adecuadas
7. Transferencias internacionales de datos
MesaCarta tiene su sede y opera íntegramente dentro del Espacio Económico Europeo (EEE). En caso de que algún subencargado del tratamiento esté ubicado fuera del EEE, nos aseguraremos de que dicha transferencia cuente con las garantías adecuadas exigidas por el RGPD (cláusulas contractuales tipo aprobadas por la Comisión Europea, decisiones de adecuación, etc.) y lo indicaremos en la tabla del apartado anterior.
8. Derechos del interesado (RGPD)
Como titular de sus datos personales, dispone de los siguientes derechos:
Derecho de acceso
Obtener confirmación de si tratamos sus datos y, en caso afirmativo, acceder a una copia de los mismos.
Derecho de rectificación
Solicitar la corrección de datos inexactos, incompletos o desactualizados.
Derecho de supresión («al olvido»)
Solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad con que fueron recabados.
Derecho de limitación
Pedir que suspendamos el tratamiento mientras se resuelve una solicitud de rectificación u oposición.
Derecho de portabilidad
Recibir sus datos en formato estructurado (p. ej. JSON o CSV) para trasladarlos a otro responsable.
Derecho de oposición
Oponerse al tratamiento basado en interés legítimo, incluida la elaboración de perfiles.
Derecho a no ser objeto de decisiones automatizadas
No ser sometido a decisiones con efectos jurídicos basadas únicamente en tratamiento automatizado.
Derecho a retirar el consentimiento
Cuando el tratamiento se basa en el consentimiento, retirarlo en cualquier momento sin afectar a la licitud del tratamiento previo.
¿Cómo ejercer sus derechos?
Envíe un correo electrónico a santimv9398@gmail.com indicando el derecho que desea ejercer y adjuntando copia de su DNI, NIE o pasaporte. Responderemos en un plazo máximo de 30 días.
Si considera que el tratamiento no es conforme a la normativa, puede reclamar ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.
9. Seguridad
MesaCarta aplica medidas técnicas y organizativas apropiadas para proteger los datos personales, conforme al artículo 32 del RGPD:
- Las contraseñas se almacenan mediante hash bcrypt con factor de coste elevado — nunca en texto plano.
- Los campos especialmente sensibles del perfil del establecimiento (DNI/CIF, teléfono móvil, email de contacto, nombre completo del responsable y notas internas) se cifran con AES-256-GCM a nivel de aplicación antes de almacenarse en la base de datos.
- Todas las comunicaciones se realizan mediante protocolo HTTPS (TLS 1.2+).
- El panel de administración requiere autenticación y está protegido contra ataques de fuerza bruta mediante limitación de intentos (rate limiting).
- Los formularios públicos incluyen protección anti-bot mediante campo honeypot y límite de tiempo mínimo de envío.
- Los datos de tarjeta de crédito son procesados íntegramente por Stripe, que cumple con el estándar PCI-DSS. MesaCarta no almacena datos de tarjeta.
- El acceso a los datos está basado en roles: solo el administrador de la plataforma y el propio establecimiento pueden acceder a sus datos.
- Se aplica aislamiento estricto entre cuentas (multi-tenancy): ningún establecimiento puede acceder a los datos de otro.
- Los tokens de verificación de correo electrónico caducan en 24 horas.
- Se realizan copias de seguridad periódicas de la base de datos.
Ningún sistema de transmisión por internet o almacenamiento electrónico es 100% seguro. Si detecta un posible incidente de seguridad, notifíquenoslo a santimv9398@gmail.com.
10. Modificaciones de esta política
Nos reservamos el derecho de actualizar esta Política de Privacidad para adaptarla a cambios legislativos, jurisprudenciales o del servicio. Las modificaciones relevantes se comunicarán por correo electrónico a los usuarios registrados con al menos 15 días de antelación a su entrada en vigor, y se publicará la nueva versión en esta página con la fecha de actualización. Si continúa usando el servicio tras la entrada en vigor de los cambios, se entenderá que los acepta.
11. Contacto
Para cualquier consulta relacionada con esta Política de Privacidad, el tratamiento de sus datos o el ejercicio de sus derechos: