1. Responsable del Tratamiento

El responsable del tratamiento de los datos personales recogidos a través de esta plataforma es el establecimiento hostelero que la utiliza (en adelante, «el Restaurante»). Sus datos de contacto están disponibles en el propio establecimiento.

BOCETO (boceto42.eu) actúa en calidad de encargado del tratamiento, en su condición de proveedor tecnológico de la plataforma, conforme a lo dispuesto en el artículo 28 del RGPD.

2. Datos Recogidos y Finalidades

a) Usuarios administradores (personal del restaurante)

• Nombre y dirección de correo electrónico
• Contraseña (almacenada de forma cifrada mediante bcrypt)
• Rol y permisos dentro de la plataforma

Finalidad: gestión del acceso al panel de administración del restaurante.
Base jurídica: ejecución de un contrato o relación laboral (art. 6.1.b RGPD).

b) Miembros del Gourmet Club

• Nombre completo
• Dirección de correo electrónico
• Número de teléfono (opcional)
• Mes y día de cumpleaños (opcional)
• Registro de visitas al establecimiento
• Consentimiento expreso para comunicaciones de marketing

Finalidad: gestión del programa de fidelización del restaurante, comunicaciones promocionales y sorteos.
Base jurídica: consentimiento del interesado (art. 6.1.a RGPD).

3. Conservación de los Datos

Los datos de los usuarios administradores se conservarán durante el tiempo que se mantenga la relación laboral o contractual con el Restaurante y, en su caso, durante los plazos legalmente establecidos.

Los datos de los miembros del Gourmet Club se conservarán mientras la cuenta permanezca activa y hasta dos (2) años después de la baja voluntaria o inactividad, salvo que el interesado solicite su supresión antes de que transcurra dicho plazo.

4. Derechos del Interesado

De acuerdo con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), el interesado puede ejercer los siguientes derechos dirigiéndose al Restaurante como responsable del tratamiento:

• Acceso: conocer qué datos personales se tratan.
• Rectificación: corregir datos inexactos o incompletos.
• Supresión: solicitar la eliminación de los datos («derecho al olvido»).
• Limitación: restringir el tratamiento en determinadas circunstancias.
• Portabilidad: recibir los datos en formato estructurado y legible por máquina.
• Oposición: oponerse al tratamiento basado en interés legítimo o con fines de marketing directo.
• Retirada del consentimiento: revocar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.

El interesado tiene asimismo derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.

5. Cookies

Este panel de administración utiliza únicamente cookies técnicas de sesión, estrictamente necesarias para el funcionamiento de la plataforma (autenticación y seguridad). No se emplean cookies de rastreo, analítica ni publicidad. De conformidad con la normativa vigente, estas cookies no requieren consentimiento previo del usuario.

6. Seguridad

La plataforma aplica medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales: cifrado de contraseñas, autenticación mediante token seguro (JWT), acceso restringido por roles y comunicaciones bajo protocolo HTTPS en entornos de producción.

1. Data Controller

The data controller for personal data collected through this platform is the hospitality business using it (hereinafter "the Restaurant"). The controller's contact details are available at the premises.

BOCETO (boceto42.eu) acts as data processor in its capacity as technology provider of the platform, in accordance with Article 28 GDPR.

2. Data Collected and Purposes

a) Administrator users (restaurant staff)

• Name and email address
• Password (stored encrypted via bcrypt)
• Role and permissions within the platform

Purpose: managing access to the restaurant's administration panel.
Legal basis: performance of a contract or employment relationship (Art. 6(1)(b) GDPR).

b) Gourmet Club Members

• Full name
• Email address
• Phone number (optional)
• Birthday month and day (optional)
• Record of visits to the establishment
• Explicit consent for marketing communications

Purpose: management of the restaurant's loyalty programme, promotional communications, and prize draws.
Legal basis: data subject's consent (Art. 6(1)(a) GDPR).

3. Data Retention

Administrator user data will be retained for the duration of the employment or contractual relationship with the Restaurant and for any additional period required by applicable law.

Gourmet Club member data will be retained while the account is active and for up to two (2) years following voluntary cancellation or inactivity, unless the individual requests deletion before that period expires.

4. Data Subject Rights

Under the General Data Protection Regulation (GDPR), data subjects may exercise the following rights by contacting the Restaurant as data controller:

• Access: find out what personal data is being processed.
• Rectification: correct inaccurate or incomplete data.
• Erasure: request deletion of personal data ("right to be forgotten").
• Restriction: restrict processing in certain circumstances.
• Portability: receive data in a structured, machine-readable format.
• Objection: object to processing based on legitimate interest or for direct marketing purposes.
• Withdrawal of consent: withdraw consent at any time without affecting the lawfulness of prior processing.

You also have the right to lodge a complaint with the relevant supervisory authority. In Spain: Agencia Española de Protección de Datos (aepd.es). In other EU member states: EDPB member list.

5. Cookies

This administration panel uses only technical session cookies that are strictly necessary for the platform to function (authentication and security). No tracking, analytics, or advertising cookies are used. Under applicable regulations, these cookies do not require prior user consent.

6. Security

The platform applies appropriate technical and organisational measures to ensure the security of personal data: password encryption, secure token-based authentication (JWT), role-based access control, and HTTPS communications in production environments.