Escanea
yPide
FuncionesPreciosPara restaurantesContacto
EntrarProbar gratis
← Volver a Escanea y Pide
Artículo 28 del RGPD

Anexo de encargo de tratamiento

Las instrucciones y garantías aplicables cuando Escanea y Pide trata reservas, pedidos, listas de espera y datos de clientes por cuenta del restaurante.

Datos identificativos completosVersión 2026.07.2Actualizado el 7 de julio de 2026
Aviso legalTérminosEncargo de datosPrivacidadCookies

En esta página

01Partes, roles y alcance02Objeto, duración, naturaleza y finalidad03Interesados y categorías de datos04Instrucciones y obligaciones del Responsable05Acceso y confidencialidad06Medidas técnicas y organizativas07Subencargados y servicios condicionados08Integraciones elegidas por el Responsable09Transferencias internacionales10Derechos y asistencia al Responsable11Brechas, evaluaciones y autoridades12Devolución, exportación y supresión13Información, auditorías e inspecciones14Responsabilidad y cadena de tratamiento15Formalización, cambios y contacto
01

Partes, roles y alcance

Este anexo de encargo de tratamiento (el “Anexo”) vincula a la persona física o jurídica titular de la cuenta profesional de Escanea y Pide, identificada en los datos de cuenta o facturación (el “Responsable”), y a Jonatan González Postigo, NIF 32071912E, persona física trabajadora autónoma con domicilio profesional en Calle Santa Teresa, Bloque 6, Local 2, 29006 Málaga, España, titular del nombre comercial “Escanea y Pide” (el “Encargado”).

El Responsable decide los fines y medios esenciales del tratamiento de los datos de sus comensales y clientes. El Encargado trata esos datos por cuenta del Responsable para prestar las funciones activadas. Este Anexo forma parte de los Términos del servicio y prevalece respecto de ellos únicamente en materia de encargo de tratamiento.

Tratamientos propios de Escanea y Pide

El Encargado actúa como responsable independiente respecto de los datos necesarios para administrar cuentas, contratar y facturar, prestar soporte, prevenir fraude, proteger la plataforma, conservar evidencias contractuales y cumplir obligaciones legales. Esos tratamientos se describen en la Política de privacidad y no forman parte de este encargo.

02

Objeto, duración, naturaleza y finalidad

El objeto del encargo es alojar y operar, según el plan y la configuración elegidos, las funciones de reservas, lista de espera, gestión de clientes, pedidos desde mesa, comunicaciones transaccionales, analítica del menú e integraciones solicitadas por el Responsable.

Operaciones
Recogida, registro, organización, estructuración, conservación, consulta, modificación, extracción, comunicación por transmisión, interconexión, limitación, exportación y supresión.
Finalidad
Tramitar la interacción solicitada por el comensal, mostrarla al restaurante, comunicar su estado, elaborar estadísticas habilitadas y transmitirla a una integración autorizada.
Frecuencia
Continuada mientras permanezcan activas las funciones correspondientes y existan datos bajo las instrucciones del Responsable.
Duración
La de la relación de servicio y, al finalizar, el periodo estrictamente necesario para devolver, exportar, suprimir o bloquear los datos conforme a la sección 11.

La finalización del plan no extingue las obligaciones de confidencialidad, seguridad, devolución, supresión, auditoría o responsabilidad que por su naturaleza deban mantenerse.

03

Interesados y categorías de datos

Interesados
Comensales, clientes, personas que reservan o entran en lista de espera, acompañantes cuando sean identificados y usuarios autorizados por el restaurante para gestionar esas relaciones.
Identificación y contacto
Nombre, email y teléfono facilitados para la reserva, espera, pedido o comunicación.
Reserva y espera
Restaurante, fecha, hora, número de personas, estado, preferencias operativas y comentarios permitidos.
Pedido
Mesa o localizador, productos, cantidades, importes, estado, nombre o teléfono opcionales e instrucciones de preparación permitidas.
Relación con el cliente
Historial de interacciones y notas internas que no contengan categorías especiales.
Analítica consentida
Identificador aleatorio de sesión, eventos de interacción, idioma, navegador, dispositivo, agente de usuario, referencia y metadatos técnicos.
Contenido
Imágenes, archivos o textos cargados por el Responsable que, de forma justificada, puedan contener datos personales ordinarios.
Categorías especiales excluidas por defecto

Este Anexo no autoriza el tratamiento de datos del artículo 9 del RGPD —incluidos alergias, intolerancias o cualquier otro dato de salud— ni datos sobre condenas o infracciones. El Responsable no debe introducirlos en comentarios, notas, pedidos, emails, archivos, funciones de IA o integraciones.

Si una persona los comunica de forma incidental pese a los avisos, las partes coordinarán su aislamiento o supresión segura. Su tratamiento habitual requerirá una instrucción adicional expresa, una base válida, garantías reforzadas y la comprobación previa de toda la cadena de subencargados; hasta entonces la función no estará autorizada.

04

Instrucciones y obligaciones del Responsable

La configuración del servicio, las acciones de usuarios autorizados en el panel, las llamadas autenticadas a la API y las solicitudes enviadas desde el email de la cuenta constituyen instrucciones documentadas. Las instrucciones adicionales deberán quedar por escrito, ser compatibles con el servicio contratado y no obligarán a desarrollar funciones nuevas salvo acuerdo.

  • El Encargado tratará los datos únicamente conforme a instrucciones documentadas, incluidas las relativas a transferencias, y no los venderá, utilizará para publicidad propia ni entrenará modelos con ellos.
  • Si una norma obliga al Encargado a realizar otro tratamiento, informará previamente al Responsable salvo prohibición legal.
  • Si considera que una instrucción infringe el RGPD u otra norma de protección de datos, informará inmediatamente y podrá suspender solo la operación afectada mientras se aclara su licitud.
  • El Responsable garantiza la licitud de la recogida, las bases jurídicas, la información a los interesados, la exactitud, la minimización y los plazos de conservación que configure o comunique.
  • El Responsable mantendrá actualizados sus usuarios, permisos, datos de contacto y política de privacidad, y no compartirá credenciales entre personas que necesiten trazabilidad individual.
05

Acceso y confidencialidad

El Encargado limitará el acceso a quienes lo necesiten para operar, mantener o dar soporte al servicio. Toda persona autorizada estará sujeta a deber contractual o legal de confidencialidad, recibirá instrucciones sobre el uso permitido y conservará el secreto después de finalizar su intervención.

Los accesos de soporte o administración se limitarán al tiempo y datos necesarios para resolver la solicitud, mantener la seguridad o cumplir una obligación. No se considerarán instrucciones las solicitudes realizadas por personas que no puedan acreditar autorización del Responsable.

06

Medidas técnicas y organizativas

El Encargado aplicará medidas apropiadas al riesgo y revisará su adecuación cuando cambien el servicio, los datos o las amenazas. La relación siguiente describe el nivel aplicable a este servicio, sin atribuir certificaciones propias que no se hayan obtenido:

  • autenticación de cuentas y comprobación de autorización antes de las operaciones administrativas;
  • separación lógica de los datos por restaurante mediante identificadores de tenant, controles de acceso y políticas de base de datos;
  • cifrado del tráfico mediante HTTPS/TLS y cifrado de discos o almacenamiento en reposo proporcionado por la infraestructura contratada;
  • credenciales privilegiadas y claves de proveedores conservadas como secretos del entorno servidor, no incluidas en el código cliente;
  • validación y limitación de entradas, archivos y operaciones sensibles en los puntos del servicio que las reciben;
  • acceso privilegiado restringido, registro técnico disponible en los proveedores de infraestructura y revisión de errores e incidentes relevantes;
  • copias de seguridad, redundancia y recuperación ofrecidas por la infraestructura conforme al plan técnico vigente;
  • actualización razonable de dependencias y corrección priorizada de vulnerabilidades que afecten al servicio;
  • procedimiento de respuesta, contención, investigación y comunicación de incidentes;
  • revisión contractual de los proveedores que puedan acceder a datos personales.

El Responsable protegerá sus dispositivos y credenciales, retirará accesos que ya no sean necesarios, configurará permisos conforme al mínimo privilegio y notificará inmediatamente cualquier sospecha de acceso no autorizado. El Encargado podrá actualizar medidas por otras equivalentes o superiores sin reducir materialmente la seguridad.

07

Subencargados y servicios condicionados

El Responsable concede autorización general escrita para utilizar los subencargados descritos a continuación, únicamente para las funciones indicadas. El Encargado impondrá por escrito obligaciones de protección sustancialmente equivalentes, comprobará garantías suficientes y seguirá siendo responsable frente al Responsable por su cumplimiento.

Subencargados necesarios para el servicio ordinario

Supabase Pte. Ltd. y su cadena autorizada
Base de datos, autenticación, almacenamiento y servicios relacionados. Región principal seleccionada para el proyecto y posibles accesos o servicios auxiliares internacionales amparados por su DPA, cláusulas contractuales tipo y medidas publicadas.
Vercel, Inc. y su cadena autorizada
Alojamiento web, ejecución de funciones, entrega de contenido y registros operativos. Tratamiento distribuido, incluido Estados Unidos, sujeto a la cobertura efectiva de su DPA y a las garantías de transferencia aplicables al plan contratado.
Plus Five Five, Inc. (Resend) y su cadena autorizada
Envío y recepción de emails transaccionales, con direcciones, metadatos y contenido ordinario del mensaje. Tratamiento principalmente en Estados Unidos, bajo DPA, mecanismo de adecuación vigente o cláusulas contractuales tipo. No se autoriza el envío de datos del artículo 9.

Subencargados solo cuando se activa la función

Cloudinary Ltd. y entidades de su grupo
Procesamiento, transformación y entrega de imágenes o vídeo solicitados por el Responsable. No deben enviarse imágenes con categorías especiales ni datos personales innecesarios.
OpenAI Ireland Limited y su cadena autorizada
Análisis de menús y generación de texto o imágenes cuando se solicita expresamente una función de IA. El Responsable no debe introducir datos personales en las instrucciones o archivos enviados.
Google Cloud / Google Ireland Limited y su cadena autorizada
Traducción automática cuando se activa. Su uso se limita a contenido del menú que no debe contener datos personales.

La entidad contractual, países, función, garantías y enlaces a las listas vigentes de cada cadena deberán mantenerse documentados. Antes de incorporar o sustituir un subencargado elegido directamente por el Encargado se avisará individualmente al email de la cuenta, normalmente con al menos quince días naturales. Si el cambio procede de la cadena de un proveedor con menor preaviso, se comunicará sin dilación tras recibirlo y antes de su efectividad siempre que sea posible; no bastará una publicación silenciosa en la web.

El Responsable podrá oponerse antes de la fecha indicada por motivos razonables de protección de datos. Las partes intentarán una alternativa, una configuración que evite el tratamiento o la desactivación de la función. Si no fuera viable, cualquiera podrá resolver únicamente el servicio afectado sin penalización futura, sin perjuicio de importes ya devengados.

08

Integraciones elegidas por el Responsable

Sinqro, Agora y otros TPV o servicios externos que el Responsable contrata, configura con sus propias credenciales y activa desde el panel no se convierten por ello en subencargados elegidos por Escanea y Pide. La activación constituye una instrucción documentada para transmitir a ese destinatario los datos estrictamente necesarios.

  • El Responsable comprobará el rol del tercero, formalizará el contrato o encargo que proceda y facilitará la información exigible a los interesados.
  • El Encargado no enviará datos a una integración hasta que el Responsable la active y podrá suspenderla si falta seguridad, autorización o compatibilidad.
  • Si el tercero fuera contratado y seleccionado directamente por el Encargado para prestar una función general, pasará a la lista de subencargados de la sección 07.
09

Transferencias internacionales

El Encargado priorizará regiones de almacenamiento en el Espacio Económico Europeo cuando estén disponibles y sean adecuadas. La ubicación de la región principal no excluye posibles accesos de soporte, metadatos o subservicios desde terceros países, que deberán figurar en la documentación de la cadena.

No se realizará una transferencia internacional por cuenta del Responsable sin una instrucción y un mecanismo válido: decisión de adecuación, cláusulas contractuales tipo de la Decisión (UE) 2021/914 —normalmente módulo encargado a subencargado— u otra garantía admitida. Cuando proceda se evaluará el país de destino, la cadena y la necesidad de medidas complementarias. Si la garantía deja de ser válida y no puede sustituirse, se suspenderá la transferencia o la función afectada.

10

Derechos y asistencia al Responsable

Teniendo en cuenta la naturaleza del servicio, el Encargado asistirá mediante sus funciones y, cuando sea necesario, soporte razonable para localizar, acceder, rectificar, exportar, limitar o suprimir datos y para responder a los derechos de los interesados.

  • Si recibe directamente una solicitud identificable con un restaurante, la remitirá al contacto de la cuenta sin responder sobre el fondo, salvo instrucción o deber legal.
  • La remitirá sin dilación indebida y procurará hacerlo dentro de los dos días laborables siguientes a su identificación.
  • El Responsable decidirá la respuesta, verificará la identidad de forma proporcionada y seguirá siendo responsable de los plazos y del contenido de la contestación.
  • La asistencia extraordinaria que exija desarrollo, restauraciones o trabajo desproporcionado podrá presupuestarse previamente, sin convertir en ilusorio el cumplimiento del RGPD.
11

Brechas, evaluaciones y autoridades

El Encargado notificará a info@escaneaypide.es o al contacto contractual del Responsable cualquier violación de seguridad de los datos personales sin dilación indebida. Realizará una primera comunicación dentro de las veinticuatro horas siguientes a tener conocimiento, aunque la investigación no haya concluido, y completará la información progresivamente.

  • La comunicación describirá, cuando esté disponible, naturaleza, categorías y número aproximado de interesados y registros, consecuencias probables, punto de contacto y medidas adoptadas o propuestas.
  • El Encargado preservará evidencias razonables, contendrá y mitigará el incidente, documentará sus actuaciones y cooperará con la investigación.
  • No notificará en nombre del Responsable a una autoridad o interesado salvo instrucción documentada o deber legal. La responsabilidad de decidir esas notificaciones corresponde al Responsable.
  • Ayudará razonablemente en seguridad, documentación de brechas, evaluaciones de impacto y consultas previas, según la información disponible y el tratamiento encomendado.
12

Devolución, exportación y supresión

Al terminar el servicio o cuando exista una instrucción válida, el Responsable elegirá entre devolución y supresión. Salvo que solicite borrado inmediato, dispondrá de treinta días naturales para pedir o descargar una copia de los datos exportables en un formato habitual disponible. El acceso durante ese periodo podrá limitarse a exportación y recuperación.

  • Una vez ejecutada la elección o vencido el periodo de exportación, los datos de los sistemas activos se suprimirán dentro de los treinta días naturales siguientes, salvo incidencia técnica justificada o conservación legal.
  • Las copias de seguridad se eliminarán o sobrescribirán conforme al ciclo del proveedor, con un máximo contractual de noventa días cuando dicho ciclo resulte aplicable. Mientras tanto permanecerán protegidas, fuera del uso ordinario y no se restaurarán salvo continuidad o recuperación ante desastre.
  • Si una copia se restaura, las instrucciones de supresión o rectificación pendientes se reaplicarán antes de recuperar el uso ordinario de los datos.
  • El Encargado confirmará la supresión a petición razonable. Podrá conservar una copia debidamente bloqueada cuando sea necesaria para atender posibles responsabilidades legales, sin utilizarla para otra finalidad y solo durante el plazo aplicable.
  • Los registros de cuenta, facturación, seguridad y evidencia contractual que Escanea y Pide trate como responsable independiente no se incluyen en la devolución o supresión de este encargo.
13

Información, auditorías e inspecciones

El Encargado pondrá a disposición la información razonablemente necesaria para demostrar el cumplimiento del artículo 28 y permitirá y contribuirá a auditorías del Responsable o de un auditor independiente autorizado y sujeto a confidencialidad.

  • Se utilizarán primero documentación, cuestionarios, informes y certificaciones vigentes de la infraestructura cuando resulten suficientes.
  • Las auditorías adicionales se coordinarán con preaviso razonable, en horario laboral y evitando comprometer la seguridad o datos de otros clientes.
  • Podrán limitarse normalmente a una al año, salvo brecha relevante, indicios fundados de incumplimiento o requerimiento de una autoridad.
  • El Responsable asumirá costes externos ordinarios; si la auditoría acredita un incumplimiento material del Encargado, este asumirá la corrección y sus costes razonables. No se aplicarán cargos desproporcionados o disuasorios.
  • El Encargado cooperará con la Agencia Española de Protección de Datos u otra autoridad competente dentro del ámbito de sus facultades.
14

Responsabilidad y cadena de tratamiento

Cada parte responderá por sus propias obligaciones y por los daños que le sean legalmente imputables. El Encargado será plenamente responsable frente al Responsable del cumplimiento de las obligaciones impuestas a sus subencargados, sin perjuicio del derecho de repetición que corresponda.

Ninguna limitación contractual afectará a los derechos de los interesados, a las competencias de las autoridades ni al régimen de responsabilidad del artículo 82 del RGPD. El Responsable no queda exonerado de su deber de elegir y supervisar encargados con garantías suficientes, ni el Encargado de sus obligaciones directas, aunque la otra parte haya dado instrucciones o autorización general.

15

Formalización, cambios y contacto

El Anexo consta por escrito en formato electrónico. La aceptación mediante una casilla no premarcada registra la versión, el texto canónico o su huella, la cuenta, el usuario y la fecha de servidor. Quien acepta declara que los datos legales del Responsable son correctos y que tiene autoridad para vincularlo. El Responsable puede guardar, imprimir o solicitar una copia en cualquier momento.

Los cambios materiales del objeto, fines, categorías, nivel de seguridad o derechos requerirán comunicación previa y nueva aceptación cuando alteren sustancialmente el encargo. Los cambios de subencargados se regirán por la autorización general y el procedimiento de aviso y oposición de la sección 07.

Las comunicaciones de privacidad, instrucciones adicionales y ejercicio de derechos entre las partes se dirigirán a info@escaneaypide.es y al email contractual del Responsable. Este Anexo se interpreta conforme al RGPD, la LOPDGDD y la legislación española, sin perjuicio de las competencias y fueros imperativos aplicables.

Escanea
yPide
FuncionesPreciosPara restaurantesContactoRegistro

© 2026 Escanea y Pide

TérminosPrivacidadEncargo de tratamientoAviso legalCookies