Política de Privacidad
Última actualización: 14 de mayo de 2026
1. Marco Normativo Aplicable
El tratamiento de los datos personales gestionados a través de la plataforma Sirvo se realiza en estricto cumplimiento de la siguiente normativa:
- Reglamento (UE) 2016/679 (RGPD): normativa europea de referencia en materia de protección de datos personales.
- Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD): norma española de desarrollo y adaptación del RGPD.
- Real Decreto-ley 13/2012 y Ley 34/2002, de 11 de julio (LSSI-CE): en materia de comunicaciones electrónicas y cookies.
- Reglamento (UE) 2022/2065 (DSA — Ley de Servicios Digitales): aplicable en cuanto plataforma intermediaria digital.
- Directiva (UE) 2016/680: en lo relativo al tratamiento con fines de prevención del fraude.
- Normativa sectorial aplicable al sector de la hostelería y la restauración en España.
2. Identidad del Operador del Servicio
El servicio Sirvo es desarrollado y operado por Lava Digital, con domicilio en España y correo de contacto hola@lavadigital.es.
En el contexto del tratamiento de datos de comensales, Lava Digital actúa como Encargado del Tratamiento por cuenta de los restaurantes que contratan el servicio, quienes asumen la condición de Responsables del Tratamiento frente a sus clientes.
Para consultas relativas a esta política o al ejercicio de derechos en relación con la plataforma, puede dirigirse a hola@lavadigital.es.
3. Arquitectura del Tratamiento y Roles de las Partes
3.1 Responsable del Tratamiento — Restaurante
El Restaurante que contrata y utiliza Sirvo actúa como Responsable del Tratamiento respecto a los datos personales de sus comensales, en los términos del artículo 4.7 del RGPD. Es el Restaurante quien determina los fines y los medios del tratamiento de dichos datos y quien tiene la obligación legal directa frente al comensal.
3.2 Encargado del Tratamiento — Sirvo
Sirvo actúa como Encargado del Tratamiento, en los términos del artículo 4.8 del RGPD y del artículo 28 del RGPD, procesando los datos personales de los comensales únicamente por cuenta y bajo las instrucciones documentadas del Restaurante. La relación entre ambas partes queda regulada por el Contrato de Encargo de Tratamiento (DPA) suscrito en el momento de la contratación del servicio.
3.3 Contrato de Encargo de Tratamiento (DPA)
Conforme al artículo 28.3 del RGPD, el tratamiento por parte de Sirvo se rige por el correspondiente Contrato de Encargo de Tratamiento, el cual establece el objeto, la duración, la naturaleza y la finalidad del tratamiento, así como las medidas de seguridad y obligaciones de ambas partes.
4. Categorías de Datos Personales Tratados
4.1 Datos del Comensal (Cliente Final del Restaurante)
Los datos son recabados con motivo de la gestión de reservas a través del widget web, del asistente conversacional de WhatsApp, o mediante introducción manual:
- Datos Identificativos: Nombre completo, número de teléfono y correo electrónico.
- Datos Relativos a la Reserva: Fecha, hora, número de comensales (PAX), notas del cliente (incluyendo posibles alergias o preferencias dietéticas) y estado de la reserva.
- Datos de Interacciones Digitales: Historial de conversaciones de WhatsApp y registro de límites de tasa técnica (anti-spam).
4.2 Datos del Restaurante (Tenant / Cliente B2B)
- Datos de identidad y acceso (email y credenciales).
- Configuración operativa (aforos, horarios, calendarios).
- Credenciales de integración con Meta/WhatsApp Business.
- Base de conocimiento del restaurante facilitada para el entrenamiento de la IA.
5. Finalidades del Tratamiento y Bases Jurídicas
| Finalidad | Base Jurídica (Art. 6 RGPD) |
|---|---|
| Gestión y confirmación de reservas | 6.1.b) Ejecución de contrato |
| Asistente de WhatsApp (iniciado por comensal) | 6.1.a) Consentimiento (opt-in activo) |
| Preferencias y alergias alimentarias | 9.2.a) Consentimiento explícito |
| Perfil de fiabilidad (no-shows) | 6.1.f) Interés legítimo |
| Marketing (si se autoriza) | 6.1.a) Consentimiento expreso |
| Prevención de fraude y spam | 6.1.f) Interés legítimo |
6. Procedencia de los Datos Personales
- Del propio comensal (widget web o WhatsApp).
- Del personal del Restaurante (introducción manual en Dashboard).
- Del titular del Restaurante (registro y configuración).
7. Destinatarios y Comunicaciones de Datos
Para la prestación del servicio, Sirvo se apoya en los siguientes proveedores tecnológicos, quienes actúan como subencargados del tratamiento bajo Cláusulas Contractuales Tipo o decisiones de adecuación:
| Proveedor | Finalidad | Ubicación |
|---|---|---|
| Supabase Inc. | Base de datos, autenticación y almacenamiento | EE. UU. (CCT) |
| Meta Platforms Ireland Ltd. | Canal de WhatsApp Business API | EEE |
| Stripe, Inc. | Procesamiento de pagos y retenciones (sistema de fianzas) | EE. UU. (CCT) |
| Sentry (Functional Software, Inc.) | Monitorización de errores técnicos de la aplicación | EE. UU. (CCT) |
| Proveedores de IA / infraestructura | Asistente conversacional y procesamiento de lenguaje natural | Variable (CCT) |
Los datos de los comensales son accesibles para el personal autorizado del Restaurante a través del Dashboard de Sirvo, exclusivamente para la gestión operativa. Stripe gestiona los datos de pago directamente bajo su propio marco de cumplimiento PCI-DSS; Sirvo no almacena datos de tarjeta en ningún momento.
8. Transferencias Internacionales de Datos
Algunos de nuestros subencargados se encuentran fuera del EEE. En tales casos, las transferencias se realizan con garantías adecuadas como las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea o decisiones de adecuación.
9. Plazos de Conservación de los Datos
| Categoría | Plazo |
|---|---|
| Datos de reserva | Hasta 5 años tras finalización |
| Historial de WhatsApp | Máximo 12 meses |
| Datos de salud (notas) | Tras la prestación del servicio |
| Datos del Restaurante | Vigencia del contrato + 5 años |
10. Derechos de los Interesados
Los interesados podrán ejercer sus derechos de Acceso, Rectificación, Supresión (Olvido), Oposición, Limitación, Portabilidad y Reclamo ante la AEPD.
Para ejercer estos derechos, contacte directamente con el Restaurante o escriba a Sirvo para asistencia.
11. Canal de WhatsApp Business
El asistente de IA opera a través del canal oficial de WhatsApp del Restaurante. El acceso es iniciado por el comensal, constituyendo un opt-in inequívoco para el tratamiento de su información en dicho contexto.
12. Medidas de Seguridad
- Aislamiento multi-tenant: Cada restaurante tiene su base de datos aislada.
- Cifrado: Todas las comunicaciones usan TLS 1.2+ y los datos están cifrados en reposo.
- Autenticación: Sistemas seguros gestionados por Supabase Auth.
13. Gestión de Brechas de Seguridad
En caso de producirse una brecha que afecte a datos personales, Sirvo notificará al Restaurante en menos de 24 horas y colaborará en la comunicación a autoridades y afectados si fuera necesario.
14. Menores de Edad
Los servicios no están dirigidos a menores de 16 años. El Restaurante es responsable de no recabar datos de menores sin consentimiento de sus tutores.
15. Obligaciones del Restaurante
- Publicar su propia política de privacidad accesible.
- Informar al comensal en el momento de la recogida de datos.
- Obtener consentimientos de marketing independientes.
Sirvo es un producto desarrollado y operado por Lava Digital.
Para consultas legales detalladas, contacte con hola@lavadigital.es