Política de privacidad
Última actualización: 23 de abril de 2026
De conformidad con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), se informa sobre el tratamiento de datos personales. Para un asesoramiento exhaustivo en su entidad puede acudir a un especialista.
1. Responsable del tratamiento
- Identidad: Hermanos Barrejon Díaz S.L.
- Nombre comercial: Restaurante Almíbar / Melocotón
- CIF: B78618113
- Domicilio: Calle del Almíbar, 138, 28300 Aranjuez, Madrid, España
- Correo de contacto (privacidad y ejercicio de derechos): contacto@restaurantealmibar.com
- Teléfono: 918 91 00 97
No se ha designado Delegado de Protección de Datos (DPO)al no resultar exigible según el análisis de exigencia legal; puede dirigir sus consultas al correo indicado, identificando el asunto como "Protección de datos".
2. Finalidades, bases legales y plazos
| Finalidad | Base legal | Plazo orientativo de conservación |
|---|---|---|
| Gestionar reservas de mesa (identificación, contacto, fecha/hora, comensales, preferencia de mesa, notas) y, en su caso, garantía o cobro (Stripe). | Ejecución de medidas precontractuales y contrato; obligación legal en temas fiscales o de consumo cuando aplique. | Durante la relación y los plazos exigidos por la legislación mercantil, fiscal o de atención al consumidor; bloqueo legal cuando corresponda. |
| Consulta, modificación o cancelación con código/identificador y correo (u otro sistema habilitado). | Mismo criterio de prestación de servicio. | Hasta cierre o archivos legales. |
| Atención a consultas, incidencias y teléfono comercial no basado en promociones opt-in. | Interés legítimo o consentimiento, según el caso. | Hasta 12-24 meses o necesidad, salvo otra exigencia. |
| Comunicaciones comerciales (ofertas, novedades) por correo si el usuario acepta la casilla correspondiente. | Consentimiento (puede retirarse en cualquier momento). | Mientras se mantenga el consentimiento; históricos mínimos acreditativos. |
| Seguridad, auditoría, mejora del servicio (incl. datos técnicos básicos de interfaz, logs de reserva y telemetría no invasiva descrita al usuario). | Interés legítimo, cumplimiento de obligación, consentimiento asistido (analítica). | Plazos técnicos habituales o legales. |
| Correo electrónico transaccional vinculado a la reserva: acuse de solicitud recibida (reserva pendiente) y, en su caso, confirmación cuando el restaurante acepta la reserva. No constituyen campañas comerciales; son necesarios para informar el estado de la petición o del servicio contratado. | Art. 6.1.b RGPD (medidas precontractuales o ejecución de la reserva / servicio de mesa). | Plazos de conservación alineados con la reserva y obligaciones; copias técnicas mínimas. |
| Cola técnica y fiabilidad del envío (sistema de colas, reintentos, registros técnicos mínimos) y avisos a operación ante fallos de entrega, para asegurar el servicio y localizar incidencias. | Interés legítimo (art. 6.1.f) y/o ejecución de la relación con el interesado, en proporción estricta. | Rotación o supresión según política técnica o legal aplicable. |
| Cumplimiento de obligaciones legales (fiscal, contable, requerimientos de autoridad). | Obligación legal. | Según plazos legales (p. ej. mercantil o fiscal). |
Puede existir procedimiento con efectos legales o decisiones basadas en el perfil (por ej. riesgo de abuso) solo en grado básico y con intervención humana, sin perjuicio de sus derechos.
2.1. Servicio de reservas, correo e infraestructura
El servicio de reserva de mesa en línea conecta el Sitio Web con una aplicación de servidor (API) y una base de datos donde se registran, entre otros, cliente, reserva, estado (p. ej. pendiente, confirmada, cancelada), código de consulta con el que puede gestionar la reserva en la web, notas o preferencias e historial básico de acciones. El panel de administración permite al personal autorizado del Restaurante gestionar mesa, servicio y, si procede, la confirmación explícita de la reserva.
Los correos transaccionales se envían a través de un proveedor de envío (p. ej. SMTP con Amazon SES u otro) y pueden apoyarse en un sistema de cola (p. ej. con Redis) para reintentos y entrega fiable. Los datos alojados en servidores o VPS y la política concretan la ubicación y contrato de encargado. Las comunicaciones comerciales o de promoción, si las hubiera, quedan sujetas al consentimiento separado o base legal oportuna, según el apartado de finalidades.
Sobre pagos y garantías con tarjeta (p. ej. Stripe para guardar un medio de pago, preautorizar o cobrar incumplimientos, no-show, cancelación tardía según condiciones de reserva o eventos técnicos asociados), rigen lo indicado en la tabla, la Condiciones de reserva y la documentación pública de Stripe. Pueden almacenarse identificadores técnicos (cliente, método, intentos) y un registro de eventos de pasarela (idempotencia, auditoría), no el número completo de la tarjeta en claro en los sistemas del Restaurante, con arreglo a la arquitectura.
3. Categorías de datos
Según el servicio, pueden tratarse:
- Identificativos: nombre, apellidos, teléfono, correo electrónico.
- Datos de la reserva: fecha, hora, comensales, preferencia de sala o ubicación, estado de la reserva, mesa o mesas asignadas cuando proceda, alergias o notas, código de consulta y historial o registro básico de eventos (p. ej. creación, confirmación, cancelación) en la medida técnicamente almacenada.
- Consentimientos o preferencias facilitados al reservar (p. ej. aceptación de términos, privacidad, comunicaciones de marketing si se ofrece casilla separada) en la forma en que el sistema las registre.
- Datos de pago: identificativos y tokens generados por Stripe (p. ej. identificador de cliente, método de pago, intentos o sesiones de configuración de tarjeta), e información asociada a pagos, devoluciones o incumplimientos (no almacenamiento del número de tarjeta en claro en servidores del responsable, salvo lo técnicamente excepcional y seguro bajo arquitectura y política de Stripe).
- Datos técnicos de interfaz de reserva: aproximación de idioma del navegador y criterio simple de dispositivo móvil, y conforme a la política, dirección IP u otros técnicos en logs o analítica.
4. Encargados del tratamiento y terceros
Podrán acceder a datos, en su categoría, los siguientes tipos de destinatarios:
- Proveedores de alojamiento (hosting / VPS / nube) y servicios de infraestructura del Sitio Web, de la API (aplicación de servidor) y de la base de datos, con ubicación preferente en el EEE; en caso de transferencia internacional, con garantías adecuadas (cláusulas contractuales tipo u otras) cuando asista a la ley.
- Proveedor de envío de correo electrónico transaccional (p. ej. servicio de email SMTP o Amazon SES u análogos) que aloja el reenvío de los mensajes de reserva, en la categoría de dato afectada (direcciones, metadatos técnicos del envío).
- Infraestructura de colas o caché (p. ej. Redis u otra) utilizada de forma subordinada para asegurar el envío de notificaciones o tareas, sin un perfil con fines comerciales independientes.
- Personal del Restaurante con acceso al panel de administración o herramientas conectadas, sujeto a deberes de confidencialidad o instrucción interna.
- Stripe Payments Europe, Ltd. / Stripe, Inc. y entidades vinculadas, como proveedor de pagos, preautorización, cobro de incumplimientos y cumplimiento normativo, de conformidad con su política y el contrato de encargo de tratamiento. Puede conllevar transferencia a terceros países con cláusulas adecuadas o decisiones de adecuación, según su documentación pública.
- Google LLC / Google Ireland Limited en el marco de Google Analytics 4 u otras soluciones de análisis, sujeta a su política, configuración y, en su caso, consentimiento recogido en la Política de cookies.
- Proveedores de soporte, mantenimiento o copias de seguridad, con acceso mínimo necesario.
No se venden datos personales a terceros. Comunicación a autoridades únicamente por obligación legal o requerimiento fundado.
5. Derechos del interesado (arts. 15 a 22 RGPD)
Puede ejercer acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad (cuando proceda) y a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos, dirigiéndose a contacto@restaurantealmibar.com, acompañando copia de documento de identidad en los casos en que, por la norma o criterio de seguridad, resulte necesario. También podrá oponerse al tratamiento con base en interés legítimo, por motivos relacionados con su situación particular, salvo motivos legítimos imperiosos o defensa de reclamación.
Si entiende que el tratamiento no ajusta a la norma, podrá reclamar ante la Agencia Española de Protección de Datos (aepd.es) — p. ej. trámite: reclamación.
6. Medidas de seguridad
Se aplican medidas técnicas y organizativas apropiadas (control de accesos, cifrado en tránsito con HTTPS, políticas con proveedores, copias de seguridad y protocolos con el encargado de la API) en proporción al riesgo. Ningún sistema es 100 % invulnerable: el usuario deberá proteger dispositivo y claves.
7. Menores de edad
Los servicios se dirigen a mayores de edad. No se tratan, de forma consciente, datos de menores. Si tuviera conocimiento de ello, proceda a contacto para su supresión.
8. Modificaciones y fuentes
Esta política se actualizará para adaptarla a la normativa, jurisprudencia o a los tratamientos efectivos. Se recomienda su consulta periódica, indicándose en la cabecera la última versión. La base jurídica de las actualizaciones es el interés legítimo de transparencia o el deber informativo.