Acuerdo de Tratamiento de Datos
30 jun. 2025
Acuerdo de Tratamiento de Datos (DPA)
Fecha de entrada en vigor: 30 de junio de 2025
Partes
Responsable del tratamiento (Controller): El Cliente (restaurante, cafetería u otra empresa que utilice MenuMix)
Encargado del tratamiento (Processor): Truezone Inc.
Dirección: 1111B S Governors Ave STE 20696, Dover, DE, 19904, Estados Unidos
Correo electrónico: help@menumix.app
1. Objeto
Este acuerdo regula el tratamiento de datos personales realizado por Truezone Inc. (“Encargado”) por cuenta del Cliente (“Responsable”) en el contexto del uso de la plataforma MenuMix.
2. Duración
Este DPA estará vigente mientras el Encargado procese datos personales por cuenta del Responsable y durante el período de vigencia de los Términos de Servicio aplicables.
3. Naturaleza y Finalidad del Tratamiento
MenuMix proporciona un sistema de menú digital con QR y gestión de pedidos. Las actividades de tratamiento incluyen:
- Creación de cuentas y control de acceso
- Gestión y seguimiento de pedidos
- Identificación de mesas y lectura de códigos QR
- Elaboración de informes y estadísticas
- Facturación de suscripciones al Plan Profesional
- Comunicaciones de soporte
4. Categorías de interesados
- Usuarios del negocio (por ejemplo, camareros, administradores, personal)
- Clientes del restaurante (si se introducen datos personales como nombre o comentarios)
5. Categorías de datos personales tratados
- Identificadores de usuario (nombre, correo electrónico, rol)
- Datos de pedidos y mesas
- Información del dispositivo, dirección IP, tipo de navegador
- Preferencias de idioma y región
- Metadatos de suscripción (plan, eventos de facturación vía Stripe)
Nota: MenuMix no almacena ni procesa datos de tarjetas bancarias ni datos personales sensibles.
6. Obligaciones del Responsable
El Responsable se compromete a:
- Garantizar una base legal válida para el tratamiento de los datos personales
- Informar adecuadamente a los interesados mediante avisos de privacidad
- Cumplir con las leyes de protección de datos aplicables
- Atender oportunamente las solicitudes de derechos de los interesados bajo el RGPD, CCPA, KVKK, etc.
7. Obligaciones del Encargado
El Encargado se compromete a:
- Tratar los datos únicamente según las instrucciones documentadas del Responsable
- Garantizar la confidencialidad y limitar el acceso interno
- Implementar medidas técnicas y organizativas de seguridad adecuadas
- Notificar sin demora indebida cualquier violación de datos
- Ayudar al Responsable a atender las solicitudes de los interesados
- Suprimir o devolver los datos personales tras la finalización del contrato, salvo obligación legal de conservarlos
- Proporcionar la documentación necesaria para demostrar el cumplimiento
8. Subencargados autorizados
El Responsable autoriza el uso de los siguientes subencargados:
| Finalidad | Subencargado |
|---|---|
| Hosting y backend | Google Firebase (Firestore, Auth, Functions) |
| Analítica | Google Analytics |
| Gestión de etiquetas | Google Tag Manager |
| Traducción automática | Google Cloud Translation API |
| Mensajería / OTP | Twilio Inc. |
| Pagos por suscripción | Stripe, Inc. |
Todos los subencargados están sujetos a contratos de tratamiento conformes al RGPD u otras leyes aplicables.
El Encargado notificará los cambios materiales en los subencargados, y el Responsable podrá oponerse dentro de los 10 días hábiles siguientes.
9. Transferencias internacionales de datos
Cuando los datos se transfieran fuera del EEE o Reino Unido, el Encargado garantizará la implementación de salvaguardias adecuadas como:
- Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea
- Anexos de Transferencia Internacional del Reino Unido
- Decisiones de adecuación o mecanismos legales equivalentes
10. Medidas de seguridad
El Encargado aplica medidas de seguridad estándar del sector, que incluyen:
- Cifrado HTTPS para todos los datos en tránsito
- Almacenamiento cifrado en bases de datos
- Control de acceso basado en roles y principio de mínimo privilegio
- Autenticación segura de usuarios (por ejemplo, Firebase Auth)
- Monitoreo regular y mitigación de vulnerabilidades
11. Derechos de los interesados
El Encargado ayudará al Responsable a responder solicitudes de:
- Acceso, rectificación, supresión, portabilidad
- Oposición o retirada del consentimiento
12. Auditoría y documentación
El Encargado pondrá a disposición del Responsable, previa solicitud escrita, toda la información razonablemente necesaria para demostrar el cumplimiento del presente DPA.
Las auditorías podrán realizarse con al menos 30 días de preaviso y bajo condiciones de confidencialidad adecuadas.
13. Finalización
Una vez finalizado el servicio:
- Todos los datos personales serán eliminados o devueltos, según lo solicite el Responsable, en un plazo de 30 días
- A menos que una normativa exija su conservación
14. Ley aplicable
Este DPA se rige por las leyes del Estado de Delaware (EE. UU.), salvo que las leyes locales de protección de datos exijan lo contrario.
15. Disposiciones adicionales
Este DPA forma parte de los Términos de Servicio de MenuMix. En caso de conflicto con los Términos respecto al tratamiento de datos personales, prevalecerá este DPA.
Acuerdo vinculante
Este DPA es vinculante mediante la aceptación de los Términos de Servicio y el uso continuado de la plataforma MenuMix.
