Política de Privacidad
Última actualización: Abril 2026
La presente Política de Privacidad describe cómo Blero trata los datos personales en el marco de la prestación del servicio inteligente de reservas para restaurantes, conforme al artículo 13 del Reglamento (UE) 2016/679 (en adelante, «RGPD»).
1. Responsable del tratamiento
El Responsable del tratamiento es Nexora Venture Studio Srl, con domicilio social en Piazza della Repubblica 19, 20124 Milano, NIF/CIF IT00000000000. Para cualquier cuestión en materia de protección de datos personales puede escribir a privacy@blero.io.
2. Quiénes somos
Blero es un sistema inteligente de reservas para restaurantes, prestado en modalidad SaaS B2B. El Servicio está dirigido a los restauradores («Admins») que utilizan la plataforma para gestionar las reservas de sus clientes finales («Clientes del restaurante»).
En relación con los datos de los Clientes del restaurante, el restaurante es Responsable del tratamiento, mientras que Blero actúa como Encargado del tratamiento (art. 28 RGPD), tratando los datos por cuenta y siguiendo las instrucciones del restaurante. En relación con los datos de los Admins, Blero actúa como Responsable del tratamiento.
3. Datos recogidos — Restauradores (Admins)
Cuando un restaurador se registra y configura su cuenta, Blero recoge y trata los siguientes datos:
| Categoría | Datos |
|---|---|
| Cuenta | Nombre completo, email, contraseña (almacenada únicamente como hash bcrypt, nunca en claro), nombre de la actividad, descripción, ubicación |
| Restaurante | Nombre, dirección, slug URL, teléfono, zona horaria, código de país, imagen, color principal, descripción de reserva |
| Configuración | Horarios de apertura, requisitos de reserva, configuración de notificaciones, prevención de no-show, reglas de modificación, comensales máximos, duración del slot, URL de reseñas |
| Áreas y mesas | Áreas, mesas (capacidad, forma, posición, requisitos), combinaciones de mesas |
| Personal (Staff) | Nombre, apellidos, etiqueta, clave de acceso (almacenada como hash SHA-256), permisos, marca de tiempo del último acceso |
| Suscripción | Plan elegido, estado de la suscripción, ID de suscripción Paddle, ID de cliente Paddle, contadores y límites, créditos SMS |
| Seguridad | Registro de eventos (login, registro, cambios de rol, etc.), JWT de sesión |
4. Datos recogidos — Clientes del restaurante
Cuando un cliente realiza una reserva a través de la página pública de un restaurante, Blero recoge:
| Categoría | Datos |
|---|---|
| Identificadores | Nombre, apellidos, número de teléfono (prefijo de país + número nacional), email, idioma preferido |
| Preferencias | Requisitos seleccionados (p. ej. mascotas, accesibilidad, carrito), notas en texto libre |
| Reserva | Fecha, hora, número de comensales, mesa asignada, área, estado, fuente (web, manual, staff, walk-in) |
| Tokens técnicos | Tokens de cancelación y modificación (almacenados como hash SHA-256), clave de idempotencia (UUID) |
| Agregado de cliente | Fecha de la última verificación SMS, primera y última reserva, contador de reservas, fecha de expiración para la limpieza RGPD automática |
| Consentimiento | Flag de consentimiento marketing (si lo activa el restaurante), timestamp del consentimiento |
Blero NO recoge de los Clientes del restaurante: datos de pago (tarjeta, IBAN — gestionados exclusivamente por Paddle), datos biométricos, datos de salud, datos de geolocalización, cookies de perfilado o de marketing.
5. Datos recogidos — Visitantes del sitio
Cuando un usuario visita blero.io, se recogen datos de navegación (dirección IP anonimizada, páginas visitadas, eventos, dispositivo, navegador) mediante Google Analytics 4, previo consentimiento expresado a través del banner de cookies. Para más información consulte la Política de Cookies.
6. Finalidades y bases jurídicas
| Sujeto | Tratamiento | Base jurídica |
|---|---|---|
| Admin | Cuenta, email, contraseña | Ejecución del contrato — art. 6.1.b) RGPD |
| Admin | Configuración del restaurante | Ejecución del contrato — art. 6.1.b) |
| Admin | Registro de eventos y seguridad | Interés legítimo — art. 6.1.f) |
| Admin | Facturación (a través de Paddle) | Obligación legal — art. 6.1.c) |
| Cliente del restaurante | Nombre, apellidos, email, teléfono | Interés legítimo del restaurante — art. 6.1.f) |
| Cliente del restaurante | Verificación SMS (OTP) | Interés legítimo — art. 6.1.f) |
| Cliente del restaurante | Notas y preferencias | Consentimiento — art. 6.1.a) |
| Cliente del restaurante | Consentimiento marketing (comunicaciones promocionales) | Consentimiento — art. 6.1.a) |
| Visitante del sitio | Cookies analíticas | Consentimiento — art. 6.1.a) |
7. Verificación por SMS (OTP)
Para reducir los no-show y prevenir reservas fraudulentas, Blero envía un código OTP de 6 dígitos al número de teléfono facilitado por el Cliente en el momento de la reserva. El código tiene una validez limitada (normalmente unos 5 minutos, configurable por restaurante), permite hasta 3 intentos de introducción y hasta 3 reenvíos por reserva. Para cada número de teléfono se aplica también un límite diario de envíos. Una vez verificado, el código se marca como «utilizado» y posteriormente se elimina. Si la verificación falla o no se completa antes de la expiración, la reserva no se confirma.
8. Comunicaciones automáticas
Blero envía automáticamente las siguientes comunicaciones transaccionales por email:
- Confirmación de reserva — al Cliente, justo después de la verificación SMS. Necesaria para la prestación del Servicio.
- Recordatorio — al Cliente, N horas antes de la hora reservada (configurable por restaurante). Desactivable a nivel de restaurante.
- Aviso de cancelación — al Cliente, en caso de cancelación.
- Aviso de modificación — al Cliente, en caso de modificación de la reserva.
- Solicitud de reseña — al Cliente, el día siguiente a una reserva completada. Desactivable por reserva y a nivel de restaurante.
- Email de bienvenida — al Admin, tras el registro.
- Magic link / restablecimiento de contraseña — al Admin, bajo petición.
- Notificaciones para administradores — al email del restaurante, para nuevas reservas, cancelaciones y modificaciones. Desactivables.
- Aviso de saldo bajo — al Admin, cuando el saldo de créditos SMS desciende por debajo de un umbral.
9. Tratamientos automatizados
La asignación automática de mesas se realiza mediante un algoritmo determinista que evalúa el número de comensales, los requisitos seleccionados, la capacidad de las mesas, la disponibilidad y las reglas de combinación. No se trata de elaboración de perfiles ni de una decisión automatizada con efectos jurídicos sobre el interesado en el sentido del art. 22 RGPD: es una lógica de negocio determinista que devuelve siempre el mismo resultado para los mismos datos de entrada.
10. Comunicación a terceros — Encargados del tratamiento
Blero recurre a los siguientes proveedores, designados como Encargados del tratamiento ex art. 28 RGPD mediante los correspondientes contratos (DPA):
| Proveedor | Servicio | Ubicación | Garantías |
|---|---|---|---|
| Xano | Backend, base de datos PostgreSQL | UE (Alemania) | DPA, datos en la UE |
| Vercel | Hosting del frontend | EE. UU. | DPA, Cláusulas Contractuales Tipo (CCT) |
| Paddle | Pagos — Merchant of Record | Reino Unido / UE | DPA, Política de Privacidad de Paddle |
| SMSAPI | Envío de SMS OTP | UE (Polonia) | DPA, datos en la UE |
| Resend | Email transaccional | EE. UU. | DPA, CCT |
| Google Analytics 4 | Analítica web | EE. UU. | DPA, CCT, anonimización de IP |
Paddle actúa como Merchant of Record: procesa los pagos, emite las facturas y gestiona el IVA por cuenta de Blero. Los datos de pago (números de tarjeta, datos financieros de facturación) NO transitan en ningún caso por los servidores de Blero y son tratados exclusivamente por Paddle, conforme a su política de privacidad.
11. Transferencias internacionales
Algunos proveedores (Vercel, Resend, Google Analytics) tienen su sede en Estados Unidos. Las transferencias se realizan sobre la base de las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea y de medidas técnicas y organizativas adecuadas. Xano y SMSAPI operan dentro de la Unión Europea.
12. Conservación de los datos
| Dato | Plazo | Mecanismo |
|---|---|---|
| Cuenta del Admin | Hasta la cancelación de la cuenta | A petición del usuario |
| Configuración del restaurante | Hasta la cancelación de la cuenta | Cascade delete con la cuenta |
| Registro de cliente del restaurante | Configurable por el restaurante (por defecto 24 meses desde la última reserva) | Cron job RGPD semanal (gdpr_data_cleanup) que anonimiza las reservas y elimina el registro de cliente |
| Reservas anonimizadas | Hasta la cancelación de la cuenta | Datos PII eliminados por el cron RGPD, el registro permanece como dato agregado |
| Códigos SMS OTP | ~5 minutos | Expiración automática |
| Reservas | Hasta la cancelación de la cuenta | Cascade delete |
| JWT de sesión | 24 horas | Expiración automática |
| Datos de pago | Nunca conservados en Blero | Gestionados por Paddle |
| Cookies GA4 | Hasta 2 años | Gestionado por Google |
13. Derechos del interesado
El interesado puede ejercer en cualquier momento los derechos previstos en los arts. 15–22 RGPD:
- Acceso a sus datos personales (art. 15)
- Rectificación de los datos inexactos (art. 16)
- Supresión («derecho al olvido») (art. 17)
- Limitación del tratamiento (art. 18)
- Portabilidad de los datos (art. 20)
- Oposición al tratamiento (art. 21)
- Reclamación ante la autoridad de control (la Agencia Española de Protección de Datos — www.aepd.es)
Para ejercer estos derechos basta con enviar una solicitud a privacy@blero.io. Los Clientes de los restaurantes pueden dirigirse directamente al restaurante (Responsable del tratamiento) o a Blero, que trasladará la solicitud al restaurante competente.
14. Seguridad
Blero adopta medidas técnicas y organizativas adecuadas para proteger los datos personales, entre las que destacan:
- Hash bcrypt para las contraseñas de los usuarios
- Hash SHA-256 con salt dedicado para las API keys (
ak_...) y las claves de Staff (sk_...) - JWT de sesión con expiración a las 24 horas
- Sesión única por clave staff (single session enforcement)
- HTTPS/TLS en todas las comunicaciones
- Rate limiting configurable por endpoint, con límites específicos para la reserva pública
- Límite diario de envío de SMS por número de teléfono
- Validación del webhook de Paddle mediante URL secret
- Aislamiento multi-tenant: cada consulta se filtra por
account_id, impidiendo el acceso a datos de otros restaurantes - CORS configurado y saneamiento de las entradas
- Anonimización automática de los datos de los clientes vencidos (cron RGPD)
15. Rol de Blero en el tratamiento
Blero opera con un doble rol en función del sujeto interesado:
- Para los Admins, Blero es Responsable del tratamiento en relación con los datos de cuenta, configuración, facturación y registros de seguridad.
- Para los Clientes del restaurante, Blero es Encargado del tratamiento en virtud del art. 28 RGPD. El restaurante sigue siendo Responsable del tratamiento y define las finalidades del tratamiento de los datos de sus clientes. Blero trata dichos datos exclusivamente por cuenta y siguiendo las instrucciones del restaurante. Las condiciones específicas del tratamiento se rigen por el Data Processing Agreement (DPA) disponible en blero.io/es/dpa, que forma parte integrante de los Términos de Servicio.
16. Modificaciones de la presente Política
Blero se reserva el derecho a modificar la presente Política de Privacidad en cualquier momento. Las modificaciones sustanciales se comunicarán por email a los Admins con al menos 30 días de antelación y se publicarán en esta página, actualizando la fecha indicada al inicio.
17. Contacto
Para cualquier cuestión relativa al tratamiento de datos personales puede escribir a privacy@blero.io o enviar comunicación escrita a Nexora Venture Studio Srl, Piazza della Repubblica 19, 20124 Milano.