Iniciar sesión Funciones Precios FAQ
ITENES
Prueba gratis 14 días
← Volver al inicio

Data Processing Agreement

Última actualización: Abril 2026

El presente Data Processing Agreement (en adelante, «DPA») se celebra de conformidad con el art. 28 del Reglamento UE 2016/679 (en adelante, «RGPD») entre:

  • El Restaurante (en adelante, «Responsable» o «Controller») — el sujeto que se registra en la plataforma Blero y utiliza el Servicio para gestionar las reservas de sus clientes finales;
  • Nexora Venture Studio Srl, con domicilio social en Piazza della Repubblica 19, 20124 Milano, NIF/CIF IT00000000000 (en adelante, «Blero», «Encargado» o «Processor») — el proveedor de la plataforma SaaS de gestión de reservas.

El presente DPA forma parte integrante de los Términos de Servicio y se aplica automáticamente a todos los Responsables que utilizan la plataforma Blero. El uso del Servicio implica la aceptación del presente DPA.

1. Definiciones

Los términos utilizados en el presente DPA tienen el significado atribuido por el RGPD y por los Términos de Servicio. En particular:

  • Datos Personales: cualquier información sobre una persona física identificada o identificable (art. 4 RGPD), tratada por Blero por cuenta del Responsable en el ámbito del Servicio.
  • Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, ya sea por procedimientos automatizados o no (art. 4 RGPD).
  • Interesado: la persona física cuyos Datos Personales son objeto de tratamiento — en el contexto del presente DPA, el cliente del restaurante que realiza una reserva.
  • Violación de Datos Personales (Data Breach): la violación de seguridad que ocasiona, accidental o ilícitamente, la destrucción, pérdida, alteración, divulgación no autorizada o el acceso a los Datos Personales transmitidos, conservados o tratados de otro modo.
  • Subencargado: cualquier tercero contratado por Blero para llevar a cabo actividades específicas de tratamiento por cuenta del Responsable.

2. Objeto y duración del tratamiento

2.1 Objeto

Blero trata los Datos Personales de los clientes del restaurante exclusivamente para proporcionar el Servicio de gestión de reservas, tal como se describe en los Términos de Servicio y en el presente DPA.

2.2 Duración

El tratamiento tiene una duración igual al período de uso del Servicio por parte del Responsable, más un período máximo de 30 días desde la cancelación de la cuenta para las operaciones de eliminación de datos, salvo otras obligaciones legales.

2.3 Naturaleza y finalidades del tratamiento

El tratamiento comprende las siguientes operaciones, realizadas exclusivamente para las finalidades indicadas:

OperaciónFinalidad
Recogida y conservación de los datos identificativos (nombre, apellidos, teléfono, email)Gestión de la reserva y comunicaciones de servicio
Envío de códigos OTP por SMSVerificación del número de teléfono y prevención de reservas fraudulentas y no-show
Envío de emails transaccionales (confirmación, recordatorio, modificación, cancelación)Ejecución del servicio de reserva
Envío de solicitudes de reseñaGestión de la reputación del restaurante (desactivable)
Conservación del histórico de reservasGestión de la relación con el cliente
Limpieza automática de datos vencidos (cron RGPD)Cumplimiento del período de conservación definido por el Responsable
Conservación del consentimiento marketingRegistro de la voluntad del interesado (si lo activa el Responsable)

2.4 Categorías de Interesados

Clientes del restaurante que realizan reservas a través de la página pública o cuyos datos son introducidos manualmente por el personal del restaurante.

2.5 Categorías de Datos Personales

  • Datos identificativos: nombre, apellidos
  • Datos de contacto: número de teléfono (prefijo + número), dirección de email
  • Datos relativos a la reserva: fecha, hora, número de comensales, preferencias (área, requisitos), notas libres
  • Datos técnicos: token de cancelación/modificación (hash SHA-256), idempotency key, idioma preferido
  • Datos agregados: fecha de la primera/última reserva, contador de reservas, estado de verificación SMS
  • Consentimiento marketing: flag y timestamp (si lo activa el Responsable)

No se tratan datos de categorías especiales conforme al art. 9 RGPD, ni datos relativos a condenas penales conforme al art. 10 RGPD.

3. Obligaciones del Encargado (Blero)

Blero se compromete a:

3.1 Tratar los Datos Personales exclusivamente sobre la base de las instrucciones documentadas del Responsable, incluidas las contenidas en los Términos de Servicio, en la configuración del restaurante y en el presente DPA, salvo que el Derecho de la Unión o de los Estados miembros al que esté sujeto el Encargado le obligue a proceder al tratamiento.

3.2 Garantizar que las personas autorizadas a tratar los Datos Personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.

3.3 Adoptar todas las medidas técnicas y organizativas exigidas por el art. 32 RGPD, tal como se describen en la Sección 7 del presente DPA.

3.4 Respetar las condiciones para recurrir a Subencargados previstas en la Sección 5 del presente DPA.

3.5 Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, a fin de cumplir con la obligación del Responsable de responder a las solicitudes para el ejercicio de los derechos del Interesado previstos en el Capítulo III del RGPD.

3.6 Asistir al Responsable a garantizar el cumplimiento de las obligaciones establecidas en los arts. 32-36 RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del Encargado.

3.7 A elección del Responsable, suprimir o devolver todos los Datos Personales tras la finalización de la prestación de los servicios de tratamiento, y suprimir las copias existentes, salvo que el Derecho de la Unión o de los Estados miembros exija la conservación de los Datos Personales.

3.8 Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo y permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Responsable o por otro auditor designado por este.

4. Obligaciones del Responsable (Restaurante)

El Responsable se compromete a:

4.1 Proporcionar a sus clientes una información de privacidad completa y conforme al art. 13 RGPD, utilizando los instrumentos puestos a disposición por la plataforma (editor de privacidad en el panel de configuración) o una información propia.

4.2 Garantizar la licitud del tratamiento, incluida la identificación de una base jurídica adecuada para cada finalidad de tratamiento.

4.3 Definir el período de conservación de los datos a través de la configuración disponible en el panel de administración (campo «Conservación de datos» en la pestaña Privacidad).

4.4 Comunicar a Blero, sin demora injustificada, cualquier modificación de las instrucciones de tratamiento que pueda afectar a la capacidad de Blero para cumplir con el presente DPA.

4.5 Si el Responsable activa la funcionalidad de recogida del consentimiento marketing, garantizar que dicha recogida se realice respetando la normativa aplicable y asumir la plena responsabilidad por las posteriores comunicaciones promocionales enviadas a los clientes sobre la base de dicho consentimiento.

5. Subencargados

5.1 Autorización general

El Responsable autoriza a Blero a recurrir a Subencargados para la ejecución de actividades específicas de tratamiento por su cuenta. Blero se compromete a celebrar con cada Subencargado un acuerdo que imponga obligaciones de protección de datos sustancialmente equivalentes a las previstas en el presente DPA.

5.2 Lista de Subencargados

A la fecha del presente DPA, Blero recurre a los siguientes Subencargados:

Subencargado Servicio Sede Garantías de transferencia
Xano, Inc.Backend, base de datos PostgreSQLUE (Alemania)Datos en UE, DPA
Vercel, Inc.Hosting frontendEE. UU.Cláusulas Contractuales Tipo (SCC), DPA
Paddle.com Market LtdPagos (Merchant of Record)UK / UEDPA, Paddle Privacy Policy
SMSAPI (MessageBird)Envío de SMS OTPUE (Polonia)Datos en UE, DPA
Resend, Inc.Emails transaccionalesEE. UU.Cláusulas Contractuales Tipo (SCC), DPA

Nota: Paddle actúa como Merchant of Record y trata los datos de pago (tarjeta de crédito, facturación) de forma autónoma como Responsable independiente. Los datos de pago nunca transitan por los servidores de Blero.

5.3 Modificaciones de los Subencargados

Blero informará al Responsable de cualquier modificación de la lista de Subencargados (adición o sustitución) con al menos 30 días de preaviso, mediante comunicación por email a la dirección registrada en la cuenta. El Responsable podrá oponerse a la modificación en un plazo de 15 días desde la comunicación; en caso de oposición, las partes se consultarán de buena fe para encontrar una solución razonable. De no alcanzarse un acuerdo, el Responsable podrá resolver el contrato respecto a la parte del Servicio afectada por el Subencargado impugnado.

5.4 Responsabilidad

Blero sigue siendo plenamente responsable frente al Responsable del cumplimiento de las obligaciones de los Subencargados.

6. Transferencias internacionales de datos

6.1 Principio general

Los Datos Personales se tratan principalmente dentro del Espacio Económico Europeo (EEE). La base de datos principal (Xano) y el servicio SMS (SMSAPI) tienen sede en la Unión Europea.

6.2 Transferencias a terceros países

Algunos Subencargados (Vercel, Resend) tienen sede en los Estados Unidos. Tales transferencias se realizan exclusivamente sobre la base de:

  • Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea mediante Decisión de Ejecución (UE) 2021/914;
  • Medidas suplementarias técnicas y organizativas adecuadas, incluido el cifrado de datos en tránsito (TLS/HTTPS) y, cuando esté disponible, el cifrado en reposo.

6.3 Información adicional

El Responsable puede solicitar a Blero copia de las SCC suscritas con los Subencargados escribiendo a privacy@blero.io.

7. Medidas de seguridad

Blero adopta las siguientes medidas técnicas y organizativas conforme al art. 32 RGPD:

7.1 Medidas técnicas

  • Cifrado en tránsito: HTTPS/TLS en todas las comunicaciones entre cliente, frontend y backend.
  • Autenticación segura: hash bcrypt para las contraseñas de usuario; hash SHA-256 con salt dedicado para API keys y claves staff.
  • Gestión de sesiones: JWT con caducidad de 24 horas; sesión única por clave staff (single session enforcement).
  • Aislamiento multi-tenant: cada consulta a la base de datos se filtra por account_id, impidiendo el acceso a los datos de otros restaurantes.
  • Rate limiting: límites configurables por endpoint, con umbrales específicos para las API públicas de booking (100 req/min por IP).
  • Protección anti-abuso SMS: límite diario de envío SMS por número de teléfono; códigos OTP con caducidad temporal y número máximo de intentos.
  • Tokens seguros: los tokens de cancelación y modificación de reserva se generan mediante hash SHA-256 y no contienen datos personales.
  • Sanitización del input: validación y sanitización de todas las entradas de usuario; CORS configurado.
  • Anonimización automática: cron job RGPD que anonimiza los datos de los clientes al vencimiento del período de conservación configurado por el Responsable.

7.2 Medidas organizativas

  • Acceso a los sistemas de producción limitado al personal estrictamente necesario.
  • Revisión periódica de las autorizaciones de acceso.
  • Formación del personal en materia de protección de datos.
  • Procedimientos documentados de gestión de incidentes de seguridad.

8. Violación de Datos Personales (Data Breach)

8.1 Notificación

Blero notificará al Responsable cualquier Violación de Datos Personales sin demora injustificada y, en la medida de lo posible, en un plazo de 48 horas desde el momento en que haya tenido conocimiento de ella. La notificación se enviará a la dirección de email de la cuenta del Responsable y contendrá:

  • La naturaleza de la violación, incluidas, en la medida de lo posible, las categorías y el número aproximado de Interesados afectados;
  • El nombre y los datos de contacto del punto de contacto en el que obtener más información;
  • Las consecuencias probables de la violación;
  • Las medidas adoptadas o propuestas para poner remedio a la violación y atenuar sus posibles efectos negativos.

8.2 Asistencia

Blero asistirá al Responsable en el cumplimiento de las obligaciones de notificación previstas en los arts. 33 y 34 RGPD, proporcionando la información razonablemente disponible sobre la violación.

8.3 Documentación

Blero documentará cualquier Violación de Datos Personales, incluidos los hechos relativos a la violación, sus efectos y las medidas adoptadas, mediante registro en los logs del sistema (webhook_logs).

9. Derechos de los Interesados

9.1 Asistencia

Blero asistirá al Responsable, mediante medidas técnicas y organizativas adecuadas, en la atención de las solicitudes de los Interesados relativas al ejercicio de los derechos previstos en los arts. 15-22 RGPD (acceso, rectificación, supresión, limitación, portabilidad, oposición).

9.2 Procedimiento

En caso de que Blero reciba directamente una solicitud de un Interesado relativa a los datos tratados por cuenta del Responsable, Blero informará prontamente al Responsable y no dará curso a la solicitud de forma autónoma, salvo autorización del Responsable u obligación legal.

9.3 Funcionalidades de la plataforma

La plataforma Blero ofrece al Responsable herramientas para la gestión de los datos de los clientes, entre otras: visualización, modificación y supresión de los registros de cliente; exportación de los datos; configuración del período de conservación con limpieza automática.

10. Auditorías e inspecciones

10.1 Información

Blero pondrá a disposición del Responsable la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones previstas en el art. 28 RGPD y en el presente DPA.

10.2 Auditoría

El Responsable, o un auditor tercero designado por este (que no sea un competidor de Blero), tiene derecho a realizar comprobaciones, previo aviso por escrito de al menos 30 días, en horario laboral y de forma que no comprometa la seguridad o la disponibilidad del Servicio para los demás usuarios. El Responsable asumirá los costes de la auditoría, salvo que esta revele un incumplimiento material por parte de Blero.

10.3 Auditorías agregadas

En caso de que varios Responsables soliciten auditorías en el mismo período, Blero podrá satisfacer dichas solicitudes mediante una única auditoría llevada a cabo por un auditor tercero independiente, compartiendo los resultados con los Responsables solicitantes, sin perjuicio de las exigencias de confidencialidad.

11. Devolución y supresión de los datos

11.1 Durante la relación contractual

El Responsable puede en cualquier momento exportar sus datos a través de las funcionalidades de la plataforma o solicitando asistencia a Blero.

11.2 A la finalización de la relación

A la finalización del uso del Servicio (cancelación de la cuenta):

  • Blero suprimirá todos los Datos Personales tratados por cuenta del Responsable en un plazo de 30 días desde la finalización, salvo obligaciones de conservación previstas por el Derecho de la Unión o de los Estados miembros.
  • A solicitud del Responsable, formulada antes de la finalización, Blero proporcionará una copia de los datos en un formato exportable.

11.3 Certificación

A solicitud del Responsable, Blero proporcionará confirmación por escrito de la supresión de los datos.

12. Responsabilidad

12.1 Responsabilidad de Blero

Blero es responsable frente al Responsable por los daños causados por el tratamiento solo si no ha cumplido con las obligaciones del RGPD específicamente dirigidas a los Encargados del tratamiento o si ha actuado de forma divergente o contraria a las instrucciones legítimas del Responsable.

12.2 Limitación

La responsabilidad global de Blero frente al Responsable en virtud del presente DPA está sujeta a las limitaciones previstas en los Términos de Servicio (Sección 11).

13. Disposiciones finales

13.1 Prevalencia

En caso de conflicto entre el presente DPA y los Términos de Servicio, prevalecen las disposiciones del presente DPA en lo que respecta al tratamiento de los Datos Personales.

13.2 Modificaciones

Blero puede modificar el presente DPA para adaptarse a cambios normativos o para reflejar cambios en el Servicio. Las modificaciones sustanciales se comunicarán al Responsable con al menos 30 días de preaviso por email. La continuación en el uso del Servicio tras la entrada en vigor de las modificaciones constituye la aceptación de las nuevas condiciones.

13.3 Ley aplicable

El presente DPA se rige por la ley italiana. Para cualquier controversia es competente el foro indicado en los Términos de Servicio.

13.4 Contacto

Para cualquier solicitud relativa al presente DPA es posible escribir a privacy@blero.io.

Anexo A — Instrucciones de tratamiento

Las instrucciones de tratamiento del Responsable están documentadas en los siguientes instrumentos:

  1. Términos de Servicio — definen el ámbito general del Servicio.
  2. Configuración del restaurante — los ajustes definidos por el Responsable en el panel de administración (horarios, notificaciones, privacidad, conservación de datos, consentimiento marketing, no-show prevention).
  3. El presente DPA — define las condiciones específicas del tratamiento.

Cada modificación de la configuración del restaurante por parte del Responsable constituye una actualización de las instrucciones de tratamiento.