En MesaCarta nos comprometemos a proteger su privacidad y a tratar sus datos personales de forma transparente, segura y conforme a la normativa europea vigente.
La presente Política de Privacidad regula el tratamiento de los datos personales que MesaCarta recaba a través de la plataforma accesible en www.mesacarta.com y sus subdominios. Le rogamos que la lea detenidamente antes de registrarse o utilizar el servicio. Al crear una cuenta usted reconoce haber leído y aceptado esta política.
Nota: Este documento ha sido redactado con intención de claridad e integridad, pero no sustituye el asesoramiento jurídico especializado. Si tiene dudas sobre su aplicación concreta, consulte a un profesional.
1. Responsable del tratamiento
En cumplimiento del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), el responsable del tratamiento de sus datos personales es:
Titular: Santiago Martín Villaverde
NIF: 03475008F
Domicilio: Av. de Fuentemar, 43, Nave A2, Buzón V1, 28823 Coslada, Madrid (España)
Sitio web: https://www.mesacarta.com
Correo electrónico para asuntos de privacidad y ejercicio de derechos: privacidad@mesacarta.com
Correo electrónico legal: legal@mesacarta.com
Santiago Martín Villaverde opera el sitio web y la plataforma bajo la marca comercial «MesaCarta», en su condición de persona física. La información identificativa completa se encuentra en el Aviso Legal.
No se ha designado Delegado de Protección de Datos (DPD), al no concurrir las circunstancias del artículo 37 RGPD que exigen su designación: la actividad no corresponde a autoridad u organismo público, no consiste en operaciones de tratamiento que requieran observación habitual y sistemática a gran escala de los interesados, ni en tratamiento a gran escala de categorías especiales de datos o datos relativos a condenas penales.
2. Doble rol: responsable y encargado del tratamiento
En el contexto de la prestación del servicio, MesaCarta interviene en dos calidades distintas en función del tipo de datos personales tratados:
Como RESPONSABLE del tratamiento. Cuando trata los datos personales del titular del establecimiento suscrito al servicio (nombre del responsable del local, DNI/NIE/CIF, datos de contacto, datos de facturación, identificadores de Stripe, dirección postal, etc.), MesaCarta determina los fines y los medios del tratamiento.
Como ENCARGADO del tratamiento. Cuando trata datos personales de los clientes finales del establecimiento (comensales que escanean el QR, hacen reservas, dejan reseñas o realizan pedidos por mesa), MesaCarta actúa por cuenta del establecimiento, que es el responsable del tratamiento. El establecimiento determina los fines (gestionar su clientela y ofrecerle el servicio) y MesaCarta proporciona la infraestructura técnica para hacerlo, en los términos del correspondiente Acuerdo de Encargo del Tratamiento.
Esta distinción es relevante para determinar a quién deben dirigirse los interesados según el tipo de dato:
- Para datos del titular del establecimiento (gestión de la cuenta de MesaCarta, facturación, etc.): el responsable es MesaCarta. Los interesados pueden dirigirse directamente a privacidad@mesacarta.com.
- Para datos de comensales o clientes del establecimiento (reservas, reseñas, pedidos): el responsable es el propio establecimiento. MesaCarta actúa como proveedor técnico y asistirá al establecimiento, conforme al acuerdo de encargo, en la atención de las solicitudes de los interesados. Las solicitudes deben dirigirse al establecimiento titular de los datos.
3. Datos que recopilamos
MesaCarta recopila únicamente los datos estrictamente necesarios para la prestación del servicio. Nunca vendemos ni compartimos datos personales con fines publicitarios.
- Nombre de usuario (nombre y apellidos del responsable del establecimiento).
- Dirección de correo electrónico de acceso (identificador de cuenta).
- Contraseña, almacenada exclusivamente como hash bcrypt — nunca en texto plano.
- Fecha y estado de verificación del correo electrónico.
- Nombre comercial del local y razón social, si se facilita.
- Nombre y apellidos completos del responsable o titular (cifrado en reposo).
- DNI / NIE / CIF del titular (cifrado en reposo; solo uso interno).
- Teléfono móvil de contacto (cifrado en reposo).
- Email de contacto del establecimiento, distinto al de acceso (cifrado en reposo).
- Dirección postal, ciudad, provincia y código postal del establecimiento.
- URL de ubicación (Google Maps u equivalente).
- Logotipo, imagen de portada, color de marca.
- Nombre, descripción, precio e imágenes de los productos.
- Categorías, menús del día, alérgenos.
- Configuración de mesas y códigos QR por mesa.
- Plan contratado e intervalo de facturación.
- Historial de solicitudes de pago y estado de aprobación.
- Identificadores de cliente y de suscripción de Stripe.
- Los datos de tarjeta son procesados directamente por Stripe y nunca son almacenados por MesaCarta.
- Reservas: nombre, teléfono, email (opcional), fecha, número de comensales y notas.
- Reseñas: nombre del autor (opcional), valoración y comentario.
- Pedidos desde mesa: artículos, cantidades, mesa y notas.
- Llamadas al camarero: número de mesa y marca temporal.
- Dirección IP anonimizada mediante hash SHA-256 irreversible con sal para el recuento de visitas únicas.
- Agente de usuario y tipo de dispositivo (móvil, tablet, escritorio) para analítica agregada.
- Datos de acceso (fecha, hora) recogidos en registros de servidor para seguridad y trazabilidad.
Los clientes finales que consultan la carta pública no necesitan registrarse ni facilitar datos personales para ver el menú. Las visitas se contabilizan mediante un hash irreversible de la IP, sin posibilidad de identificación individual.
4. Finalidad y base jurídica del tratamiento
Tratamos sus datos personales para las siguientes finalidades:
| Finalidad | Base jurídica |
|---|---|
| Gestión de la cuenta, autenticación y aprobación de registro | Ejecución del contrato — art. 6.1.b RGPD |
| Prestación del servicio de carta digital, QR y panel de gestión | Ejecución del contrato — art. 6.1.b RGPD |
| Gestión de pedidos, reservas y valoraciones por cuenta del establecimiento | Contrato del establecimiento con sus clientes finales; MesaCarta actúa como encargado |
| Procesamiento de pagos (Stripe) y gestión de suscripciones | Ejecución del contrato — art. 6.1.b RGPD |
| Verificación de la identidad del titular (DNI/CIF) para alta del servicio | Ejecución del contrato — art. 6.1.b RGPD |
| Estadísticas de visitas al menú (datos anonimizados) | Interés legítimo — art. 6.1.f RGPD |
| Seguridad, detección de fraude, control de acceso y protección anti-bot | Interés legítimo — art. 6.1.f RGPD |
| Comunicaciones transaccionales del servicio | Ejecución del contrato — art. 6.1.b RGPD |
| Conservación de registros operativos para trazabilidad y seguridad | Interés legítimo — art. 6.1.f RGPD |
| Cumplimiento de obligaciones fiscales y contables | Obligación legal — art. 6.1.c RGPD |
5. Conservación de los datos
Los datos personales se conservan durante el tiempo estrictamente necesario para las finalidades indicadas:
Datos de cuenta y del establecimiento
Mientras la cuenta permanezca activa. Tras la baja, se eliminan en un máximo de 30 días naturales, salvo las copias de seguridad técnicas que se sobrescriben en ciclos de hasta 90 días.
Datos de facturación y pagos
6 años, conforme a la legislación tributaria española (art. 30 del Código de Comercio y Ley 58/2003 General Tributaria).
Identificadores de Stripe
Hasta la cancelación de la suscripción y cumplimiento del plazo fiscal anterior.
Registros de acceso y seguridad (logs)
Máximo 12 meses, por motivos de seguridad y trazabilidad operativa.
Datos de reservas de clientes finales
2 años desde la fecha de la reserva, salvo eliminación anticipada por el establecimiento desde su panel.
Datos de pedidos y llamadas al camarero
El establecimiento puede eliminarlos desde su panel. Datos técnicos relacionados: máximo 12 meses.
Datos anonimizados de analítica de visitas
Conservados sin plazo, al no poder asociarse a ninguna persona identificada.
6. Encargados del tratamiento
MesaCarta no cede, vende ni alquila datos personales a terceros con fines comerciales o publicitarios. Únicamente los comparte con los siguientes encargados del tratamiento, vinculados contractualmente por Acuerdos de Encargo del Tratamiento (DPA) con las garantías que se detallan en la sección 7:
| Encargado | Función | Matriz | Ubicación |
|---|---|---|---|
| Supabase | Base de datos Postgres principal | Supabase Inc. (Delaware, EE.UU.) | aws eu-west-1 (Irlanda) |
| Vercel — Hosting | Hosting de la aplicación Next.js | Vercel Inc. (Delaware, EE.UU.) | Frankfurt (Alemania) |
| Vercel — Blob | Almacén de imágenes subidas (cartas, logotipos, portadas) | Vercel Inc. (EE.UU.) | Frankfurt (Alemania) |
| Vercel — Analytics | Métrica de visitas anonimizada, sin cookies | Vercel Inc. (EE.UU.) | Servicio global con infraestructura en EE.UU. |
| Vercel — Speed Insights | Métricas de rendimiento (Core Web Vitals) | Vercel Inc. (EE.UU.) | Servicio global con infraestructura en EE.UU. |
| Stripe Payments Europe Ltd | Procesamiento de pagos de suscripciones | Stripe Inc. (EE.UU.) | UE (Irlanda) con replicación a EE.UU. |
| Resend | Envío de emails transaccionales | Resend Inc. (Delaware, EE.UU.) | Envío desde eu-west-1; almacenamiento y logs en EE.UU. |
| Upstash | Limitación de intentos (rate limiting); hashes pseudonimizados de IP | Upstash Inc. (EE.UU.) | AWS UE en configuración estándar |
Notas:
- Los datos de tarjeta de crédito son procesados íntegramente por Stripe, que cumple con el estándar PCI-DSS Nivel 1. MesaCarta no almacena ni puede acceder a los datos de tarjeta.
- Vercel Analytics y Speed Insights utilizan métodos de medición agregada sin cookies de usuario.
- Upstash almacena exclusivamente hashes irreversibles de direcciones IP a efectos de limitación de intentos, sin datos personales directamente identificables.
7. Transferencias internacionales de datos
Los encargados del tratamiento listados en la sección anterior tienen su matriz en Estados Unidos. Aunque sus servidores se ubican mayoritariamente en la Unión Europea, la legislación estadounidense, en particular la Clarifying Lawful Overseas Use of Data Act (CLOUD Act) y la sección 702 de la Foreign Intelligence Surveillance Act (FISA), permite a las autoridades de Estados Unidos requerir a estos proveedores el acceso a datos que procesan globalmente.
En consecuencia, el tratamiento de sus datos personales por estos encargados puede implicar una transferencia internacional de datos en el sentido del Capítulo V del RGPD. Para garantizar un nivel adecuado de protección, MesaCarta aplica las siguientes garantías, conforme a la doctrina del Tribunal de Justicia de la Unión Europea (sentencia C-311/18, conocida como Schrems II):
Cláusulas Contractuales Tipo (SCC). Todos los Acuerdos de Encargo del Tratamiento (DPA) firmados por MesaCarta con los proveedores anteriores incorporan las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea mediante la Decisión (UE) 2021/914.
EU-US Data Privacy Framework (DPF). Determinados proveedores se encuentran adheridos al Marco de Privacidad de Datos UE-EE.UU., al que la Comisión Europea reconoce un nivel adecuado de protección mediante la Decisión de adecuación de 10 de julio de 2023. A 13 de mayo de 2026, Resend Inc. está certificada bajo este marco.
Medidas técnicas adicionales. Los datos se almacenan cifrados en reposo y se transmiten cifrados en tránsito mediante TLS 1.2 o superior. Los datos especialmente sensibles del perfil del titular del establecimiento (DNI/CIF, teléfono, email de contacto, nombre completo, notas internas) se cifran con AES-256-GCM a nivel de aplicación antes de su almacenamiento en la base de datos.
Puede solicitar copia de los DPAs y de las garantías aplicables en privacidad@mesacarta.com.
8. Cookies y almacenamiento local
MesaCarta utiliza exclusivamente cookies técnicas esenciales y almacenamiento local (localStorage) para el funcionamiento correcto de la plataforma. No se utilizan cookies publicitarias, de rastreo ni de terceros.
| Nombre / Tipo | Finalidad | Duración | Tipo |
|---|---|---|---|
| next-auth.session-token | Mantiene la sesión autenticada del administrador del local. Indispensable para el funcionamiento del panel de gestión. | Sesión del navegador o hasta 30 días si se activa «Recordarme» | Esencial |
| next-auth.csrf-token | Token de seguridad que protege contra ataques CSRF en los formularios de autenticación. | Sesión | Esencial |
| next-auth.callback-url | Almacena la URL de redirección tras el inicio de sesión. | Sesión | Funcional |
| mesacarta_cookie_consent (localStorage) | Almacena el registro del consentimiento de cookies del usuario (versión, fecha y categorías aceptadas). Es necesario para no volver a mostrar el banner tras tomar una decisión. | Persistente (localStorage) | Esencial |
| onboarding_done_[id] (localStorage) | Registra si el administrador completó el asistente de configuración inicial. Solo se establece en el panel autenticado. Base jurídica: ejecución del contrato de servicio (art. 6.1.b RGPD). | Persistente (localStorage) | Preferencias (auth) |
| onboarding_dismissed_[slug] (localStorage) | Registra si el propietario cerró el panel de primeros pasos. Solo se establece en el panel autenticado. Base jurídica: ejecución del contrato (art. 6.1.b RGPD). | Persistente (localStorage) | Preferencias (auth) |
| cart_[slug] (localStorage) | Persiste el carrito de pedidos del cliente entre recargas de página. Si el consentimiento Funcional es rechazado, el carrito funciona en memoria durante la sesión pero no se guarda entre recargas. | Persistente (localStorage, hasta que se vacía el carrito) | Funcional |
| order-cooldown-[slug]-[tableId] (localStorage) | Protege contra el envío accidental duplicado de pedidos desde mesa (cooldown de 10 minutos). Requiere consentimiento Funcional. | Persistente 10 minutos | Funcional |
| Analítica de visitas | Contabilizamos visitas a las cartas públicas con un hash irreversible de IP. No se deposita ninguna cookie en el dispositivo del visitante. | N/A — sin cookie | Analítica (sin cookie) |
¿Se usan cookies publicitarias o de seguimiento?
No. MesaCarta no instala cookies publicitarias, de perfilado ni de terceros. No compartimos datos de navegación con redes publicitarias.
Cómo gestionar o cambiar sus preferencias
Puede cambiar sus preferencias en cualquier momento usando el botón «Configurar cookies» que encontrará al pie de esta página y de la página de inicio. Sus preferencias se actualizan inmediatamente sin necesidad de recargar la página.
También puede configurar su navegador para bloquear o eliminar cookies. Deshabilitar las cookies esenciales impedirá el acceso al panel de administración, pero no afectará a la visualización pública de la carta digital.
9. Derechos del interesado (RGPD)
Como titular de sus datos personales, dispone de los siguientes derechos:
- Acceso: obtener confirmación de si tratamos sus datos y, en caso afirmativo, acceder a una copia.
- Rectificación: solicitar la corrección de datos inexactos, incompletos o desactualizados.
- Supresión («derecho al olvido»): solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad con que fueron recabados.
- Limitación: solicitar que suspendamos el tratamiento mientras se resuelve una solicitud.
- Portabilidad: recibir sus datos en formato estructurado (JSON o CSV) para trasladarlos a otro responsable.
- Oposición: oponerse al tratamiento basado en interés legítimo, incluida la elaboración de perfiles.
- No ser objeto de decisiones automatizadas: ver sección 10.
- Retirada del consentimiento: cuando el tratamiento se base en el consentimiento, retirarlo en cualquier momento sin afectar a la licitud del tratamiento previo.
¿Cómo ejercer sus derechos?
Envíe un correo electrónico a privacidad@mesacarta.com indicando el derecho que desea ejercer y adjuntando copia de su DNI, NIE o pasaporte para verificar su identidad. Responderemos en el plazo máximo de 30 días naturales, prorrogable por dos meses adicionales en supuestos excepcionales debidamente justificados (artículo 12.3 RGPD).
Si considera que el tratamiento no es conforme a la normativa, puede presentar reclamación ante la Agencia Española de Protección de Datos (AEPD).
10. Decisiones automatizadas
Conforme al artículo 22 del RGPD, MesaCarta no toma decisiones individuales basadas únicamente en tratamiento automatizado de datos personales, incluida la elaboración de perfiles, que produzcan efectos jurídicos sobre el interesado o le afecten significativamente de modo similar.
Los mecanismos automatizados aplicados en la plataforma —límites de uso por plan, protección anti-bot, detección de comportamientos anómalos o limitación de intentos de acceso— tienen naturaleza puramente técnica y operan únicamente para garantizar la seguridad y disponibilidad del servicio, sin sustituir decisiones humanas en aspectos significativos para el usuario.
11. Menores
El servicio MesaCarta no está dirigido a menores de 14 años. No recabamos conscientemente datos personales de menores de esa edad.
Si un menor de 14 años hubiera utilizado el servicio para registrar una cuenta o efectuar una reserva, sus padres o tutores legales pueden ponerse en contacto con MesaCarta a través de privacidad@mesacarta.com para solicitar la eliminación inmediata de los datos personales recogidos.
Para edades comprendidas entre 14 y 17 años, conforme al artículo 7 de la LOPDGDD, podrá considerarse válido el consentimiento del menor para los servicios de la sociedad de la información ofrecidos directamente, salvo en aquellos casos en que la ley exija la asistencia de los titulares de la patria potestad o tutela.
12. Notificación de brechas de seguridad
En el caso de detectarse una brecha de seguridad que afecte a datos personales y suponga un riesgo para los derechos y libertades de los interesados, MesaCarta:
- a)Notificará la brecha a la Agencia Española de Protección de Datos (AEPD) en el plazo máximo de 72 horas desde su detección, conforme al artículo 33 del RGPD.
- b)Comunicará la brecha sin dilación indebida a los interesados afectados cuando suponga un alto riesgo para sus derechos y libertades, conforme al artículo 34 del RGPD.
- c)En su rol de encargado del tratamiento, notificará al responsable del tratamiento (el establecimiento) sin dilación indebida tras tener conocimiento de la brecha, conforme al artículo 33.2 del RGPD.
Si usted detecta o sospecha un posible incidente de seguridad que pueda afectar a sus datos personales, le rogamos lo notifique de inmediato a privacidad@mesacarta.com.
13. Medidas de seguridad
MesaCarta aplica medidas técnicas y organizativas apropiadas para proteger los datos personales, conforme al artículo 32 del RGPD:
- Las contraseñas se almacenan mediante hash bcrypt con factor de coste elevado — nunca en texto plano.
- Los campos especialmente sensibles del perfil del establecimiento (DNI/CIF, teléfono móvil, email de contacto, nombre completo del responsable y notas internas) se cifran con AES-256-GCM a nivel de aplicación antes de almacenarse en la base de datos.
- Todas las comunicaciones se realizan mediante protocolo HTTPS (TLS 1.2 o superior).
- El panel de administración requiere autenticación y está protegido contra ataques de fuerza bruta mediante limitación de intentos (rate limiting).
- Los formularios públicos incluyen protección anti-bot mediante campo honeypot y límite de tiempo mínimo de envío.
- Los datos de tarjeta de crédito son procesados íntegramente por Stripe, que cumple con el estándar PCI-DSS. MesaCarta no almacena datos de tarjeta.
- El acceso a los datos está basado en roles: solo el administrador de la plataforma y el propio establecimiento pueden acceder a sus datos.
- Se aplica aislamiento estricto entre cuentas (multi-tenancy): ningún establecimiento puede acceder a los datos de otro.
- Los tokens de verificación de correo electrónico caducan en 24 horas.
- Se realizan copias de seguridad periódicas de la base de datos.
Ningún sistema de transmisión por internet o almacenamiento electrónico es 100 % seguro. Si detecta un posible incidente de seguridad, notifíquenoslo a privacidad@mesacarta.com.
14. Modificaciones de esta política
Nos reservamos el derecho de actualizar esta Política de Privacidad para adaptarla a cambios legislativos, jurisprudenciales o del servicio. Las modificaciones relevantes se comunicarán por correo electrónico a los usuarios registrados con al menos 15 días de antelación a su entrada en vigor, y se publicará la nueva versión en esta página con la fecha de actualización. Si continúa usando el servicio tras la entrada en vigor de los cambios, se entenderá que los acepta.
15. Contacto
Para cualquier consulta relacionada con esta Política de Privacidad, el tratamiento de sus datos o el ejercicio de sus derechos, puede dirigirse a:
- Asuntos de privacidad y ejercicio de derechos: privacidad@mesacarta.com
- Asuntos legales generales: legal@mesacarta.com
- Soporte general y contacto: hola@mesacarta.com
Los datos identificativos completos del responsable (incluyendo NIF y domicilio) están disponibles en el Aviso Legal.