Responsable del tratamiento
En Zendbot nos tomamos muy en serio la privacidad de las personas que interactúan con nuestros servicios. Esta política explica qué datos recogemos, para qué los usamos y cuáles son tus derechos conforme al Reglamento General de Protección de Datos (RGPD) y la normativa española aplicable.
Contacto RGPD: zendbot@zendbot.tech
Web: www.zendbot.tech
NIF y domicilio fiscal: se actualizarán al formalizar el alta como autónomo.
Datos que recogemos
Recogemos datos en dos contextos distintos:
Formulario web (zendbot.tech)
- Nombre, correo electrónico y teléfono, facilitados voluntariamente al enviarnos una consulta comercial.
Servicio de asistente por WhatsApp
- Número de teléfono del usuario y mensajes de texto enviados al asistente.
- Datos operativos para prestar el servicio: reservas (fecha, hora, personas), pedidos (ítems, total, hora de recogida) y consultas.
- Registro de consentimiento legal (Art. 13 RGPD) mostrado en el primer contacto.
Estos datos son tratados en nombre de cada negocio cliente que contrata el servicio de Zendbot, actuando Zendbot como encargado del tratamiento.
Finalidad y base legal
| Finalidad | Base legal | Referencia |
|---|---|---|
| Responder consultas del formulario web | Consentimiento | Art. 6.1.a RGPD |
| Prestar el servicio de asistente WhatsApp | Ejecución de contrato | Art. 6.1.b RGPD |
| Gestionar la relación contractual con restaurantes | Ejecución de contrato | Art. 6.1.b RGPD |
| Facturación y obligaciones fiscales | Obligación legal | Art. 6.1.c RGPD |
| Comunicaciones comerciales sobre el servicio | Interés legítimo | Art. 6.1.f RGPD |
Subencargados y destinatarios
Zendbot no vende ni cede datos personales a terceros con fines comerciales. Para prestar el servicio contamos con los siguientes proveedores tecnológicos:
| Proveedor | País | Servicio | Garantía |
|---|---|---|---|
| Supabase Inc. | 🇮🇪 Irlanda (UE) | Base de datos | Art. 45 RGPD — Decisión de adecuación UE |
| Meta Platforms Ireland Ltd. | 🇮🇪 / 🇺🇸 | WhatsApp Business API | SCCs — Dec. (UE) 2021/914 |
| Anthropic PBC | 🇺🇸 EEUU | Motor de IA (LLM) | SCCs + Data Privacy Framework |
| Resend Inc. | 🇺🇸 EEUU | Envío de correo | SCCs — Dec. (UE) 2021/914 |
| El negocio cliente | España / UE | Responsable del tratamiento | Acuerdo de Encargo (Art. 28 RGPD) |
Todos los datos almacenados en base de datos residen en servidores ubicados en Irlanda (West EU), dentro de la Unión Europea, en todo momento.
Transferencias internacionales de datos
Determinados proveedores (Anthropic, Resend y Meta para ciertos flujos) están establecidos en Estados Unidos. Las transferencias se amparan en:
- Cláusulas Contractuales Estándar (SCCs) adoptadas por la Comisión Europea mediante Decisión de Ejecución (UE) 2021/914.
- Marco de Privacidad de Datos UE-EEUU (EU-US Data Privacy Framework), en los casos en que el proveedor esté certificado.
Los datos de la base de datos permanecen en la Unión Europea en todo momento.
Conservación de los datos
| Categoría de datos | Plazo de conservación |
|---|---|
| Consultas comerciales (formulario web) | Hasta resolución + 1 año |
| Datos de clientes (restaurantes) | Duración del contrato + 5 años (prescripción civil) |
| Datos de facturación | Duración del contrato + 6 años (Art. 30 Código de Comercio) |
| Conversaciones de usuarios finales | 6 horas desde la última interacción (eliminación automática) |
| Reservas y pedidos de usuarios finales | 1 año desde la fecha de creación (eliminación automática) |
| Registro de auditoría RGPD | 3 años desde el registro de la acción |
Tus derechos
Puedes ejercer en cualquier momento los siguientes derechos escribiendo a zendbot@zendbot.tech con una copia de tu documento identificativo. Responderemos en el plazo máximo de un mes (Art. 12 RGPD).
Menores de edad
El servicio de Zendbot no está dirigido a menores de 14 años. Conforme al Art. 7 de la LOPDGDD, el tratamiento de datos de menores de 14 años requiere el consentimiento de los titulares de la patria potestad o tutela.
Si detectamos que hemos recopilado datos de un menor de 14 años sin consentimiento verificado, procederemos a su supresión inmediata. Comunícanoslo en zendbot@zendbot.tech.
Seguridad
Aplicamos medidas técnicas y organizativas apropiadas conforme al Art. 32 RGPD:
- Cifrado en tránsito: TLS 1.2+ en todas las comunicaciones entre componentes.
- Autenticación por roles: cada restaurante accede únicamente a sus propios datos mediante tokens individuales.
- Control de acceso: principio de mínimo privilegio en todos los accesos internos.
- Rate limiting: limitación de mensajes por usuario para prevenir abusos.
- Eliminación automática: conversaciones eliminadas a las 6 horas; reservas y pedidos al año.
- Auditoría RGPD: registro inmutable de todas las acciones de acceso, exportación y supresión de datos.
- Copias de seguridad: gestionadas por Supabase con redundancia geográfica dentro de la UE.
Modificaciones
Zendbot se reserva el derecho a actualizar esta política para adaptarla a cambios normativos o del servicio. Los cambios sustanciales se comunicarán a los clientes con al menos 15 días de antelación. La fecha de la última actualización aparece siempre al inicio de este documento.