Política de Privacidad — Comensia

1. Responsable del tratamiento

• Razón social: Mundo App Developers Sociedad Limitada
• CIF: B19685130
• Domicilio: Paseo Arte, 13, 18229 Albolote (Granada)
• Correo electrónico: info@comensia.com
• Teléfono: 646 066 228

2. Datos que tratamos y su origen

Tratamos datos de dos categorías de personas:

A) Datos del establecimiento (cliente de Comensia):

• Datos de registro: correo electrónico, teléfono y contraseña.
• Datos del negocio: nombre del establecimiento, dirección, horarios, carta de menú, logotipo e imágenes.
• Datos de facturación y fiscales: NIF/CIF, razón social, datos para la emisión de facturas Verifactu.
• Certificado digital (p12/pfx) para firma ante la AEAT, si el establecimiento lo aporta voluntariamente.
• Datos de suscripción y pago: identificador de cliente Stripe, método de pago, historial de facturas.

B) Datos de los clientes del restaurante (usuarios finales):

• Nombre, teléfono y, en su caso, correo electrónico facilitados al realizar una reserva o pedido.
• Preferencias, alergias u otras indicaciones incluidas voluntariamente en la reserva.
• Audio y transcripción de llamadas gestionadas por el agente de voz IA.
• Historial de reservas y pedidos asociado al número de teléfono.
• Mensajes de WhatsApp intercambiados con el asistente automático.

3. Finalidad del tratamiento

Para los establecimientos:

• Prestación del servicio contratado: gestión de reservas, pedidos, agente de voz IA, facturación Verifactu, panel de control.
• Procesamiento de pagos de suscripción a través de Stripe.
• Emisión de facturas conforme al RD 1007/2023 (Verifactu) y su envío a la AEAT.
• Gestión del certificado digital para firma electrónica ante la AEAT.
• Comunicaciones relacionadas con el servicio (avisos, actualizaciones, soporte).
• Cumplimiento de obligaciones legales (fiscales, contables y mercantiles).

Para los clientes del restaurante:

• Gestión de reservas y pedidos.
• Atención al cliente a través del agente de voz o WhatsApp.
• Reconocimiento del cliente habitual para personalizar la atención.
• Notificaciones relativas a la reserva o pedido.

4. Base jurídica del tratamiento

• Ejecución de contrato: para prestar el servicio contratado por el establecimiento y para gestionar reservas y pedidos de los clientes.
• Consentimiento: cuando el usuario final facilita sus datos al realizar una reserva o interactuar con el asistente, o cuando se recaba para el envío de comunicaciones comerciales.
• Interés legítimo: para el reconocimiento de clientes habituales, mejora del servicio y análisis de calidad de las llamadas.
• Obligación legal: para el cumplimiento de la normativa fiscal (Verifactu/AEAT), contable y de telecomunicaciones.

5. Conservación de los datos

• Datos del establecimiento: durante la vigencia del contrato y, una vez resuelto, durante los plazos legalmente exigibles (mínimo 6 años para datos fiscales/contables según la Ley General Tributaria y el Código de Comercio).
• Grabaciones de llamadas: máximo 12 meses, salvo obligación legal o reclamación pendiente.
• Datos de reservas y pedidos: 3 años desde la fecha del servicio, salvo que sea necesario conservarlos por razones legales o reclamaciones.
• Registros de facturación Verifactu: mínimo 6 años conforme a la Ley General Tributaria. Los registros son inmutables.
• Certificado digital: hasta que el establecimiento lo revoque o elimine desde el panel.

6. Destinatarios y encargados de tratamiento

No vendemos datos personales a terceros. Los siguientes proveedores actúan como encargados del tratamiento:

• Stripe, Inc. (EE.UU.) — procesador de pagos PCI-DSS nivel 1. Gestiona cobros de suscripciones. Transferencia a EE.UU. bajo CCT y EU-US Data Privacy Framework.
• Retell AI, Inc. (EE.UU.) — agente de voz IA. Procesa audio y transcripciones de llamadas. Transferencia a EE.UU. bajo Cláusulas Contractuales Tipo.
• Telnyx LLC (EE.UU.) — proveedor de telefonía VoIP. Enruta llamadas entrantes hacia el agente IA. Transferencia a EE.UU. bajo CCT.
• Meta Platforms Ireland Ltd. (Irlanda/EE.UU.) — API de WhatsApp Business. Procesa mensajes enviados y recibidos por el asistente automático.
• Groq, Inc. (EE.UU.) — modelo de lenguaje (LLM). Recibe texto de conversaciones para generar respuestas. Transferencia a EE.UU. bajo CCT.
• AEAT — recibe los registros de facturas Verifactu conforme al RD 1007/2023.
• Proveedores de infraestructura (servidores propios en la UE).

7. Transferencias internacionales

Algunos proveedores tecnológicos están ubicados en EE.UU. Las transferencias se realizan al amparo de Cláusulas Contractuales Tipo aprobadas por la Comisión Europea y, donde aplica, el marco EU-US Data Privacy Framework. Mundo App Developers S.L.U adopta las garantías adecuadas exigidas por el RGPD para cada transferencia.

8. Grabación de llamadas — agente de voz IA

El servicio de agente de voz gestiona las llamadas telefónicas entrantes al restaurante mediante IA. Las llamadas son grabadas y transcritas para posibilitar la respuesta automática, el análisis posterior y la mejora continua del servicio.

En cumplimiento de la LOPDGDD y la normativa de telecomunicaciones:

• Los llamantes reciben un aviso de grabación al inicio de la llamada antes de que el agente procese ningún dato de voz.
• El establecimiento es responsable de que el mensaje de aviso esté activo y sea audible.
• Las grabaciones se utilizan exclusivamente para la prestación del servicio y el análisis de calidad; no se ceden a terceros salvo obligación legal.
• Las transcripciones y análisis son accesibles por el establecimiento desde su panel de control.

9. Facturación Verifactu (RD 1007/2023)

Las facturas emitidas a través de Comensia incluyen huella SHA-256 encadenada y código QR de validación AEAT, conforme al RD 1007/2023. Los registros de facturas son inmutables y se envían automáticamente a la AEAT cuando el establecimiento activa la remisión voluntaria. La información fiscal se conserva el tiempo legalmente exigible.

10. Certificado digital — custodia y uso

Si el establecimiento sube su certificado digital FNMT (p12/pfx) para la firma de facturas Verifactu:

• La contraseña se cifra con AES-256-GCM antes de guardarse; nunca se almacena en texto plano.
• El fichero del certificado se guarda en un directorio seguro no accesible públicamente.
• El certificado se usa exclusivamente para firmar registros Verifactu en nombre del establecimiento.
• Puede eliminarse en cualquier momento desde el panel.

11. Derechos de los interesados

Tanto los establecimientos como los usuarios finales pueden ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad escribiendo a info@comensia.com, identificándose suficientemente e indicando el derecho que desean ejercitar. Responderemos en el plazo legalmente establecido.

Si consideras que el tratamiento no se ajusta a la normativa, puedes reclamar ante la Agencia Española de Protección de Datos (AEPD) — www.aepd.es.

12. Seguridad de la información

Aplicamos medidas técnicas y organizativas adecuadas al riesgo: cifrado en tránsito (TLS), cifrado en reposo de datos sensibles (AES-256-GCM), control de acceso basado en roles, sesiones autenticadas con token y auditorías de acceso. Los certificados digitales y las credenciales de pago no se almacenan en texto plano.

13. Menores de edad

Comensia está dirigida a negocios y profesionales del sector de la hostelería. No tratamos conscientemente datos de menores de 14 años. Si detectas que un menor ha facilitado información, contacta con nosotros en info@comensia.com.

14. Cookies

El panel de control utiliza únicamente cookies técnicas de sesión estrictamente necesarias para el funcionamiento y la autenticación. No se utilizan cookies de seguimiento o publicidad.

15. Actualizaciones de esta política

Esta política puede actualizarse para adaptarla a cambios normativos o del servicio. La versión vigente es siempre la publicada en esta página. En caso de cambios sustanciales, informaremos a los establecimientos registrados por correo electrónico.