Política de Privacidad
Última actualización: 30 de mayo de 2026
La traducción se proporciona como cortesía. En caso de discrepancia con la versión en inglés, prevalece el texto en inglés.
1. Quiénes somos
OneScan ("nosotros", "nos", "nuestro") está operado por OneScan, una sociedad registrada en Varna, Bulgaria (número de empresa / EIK y NIF disponibles previa solicitud). Somos el responsable del tratamiento de los datos personales de los titulares de cuenta tratados a través de la plataforma OneScan en onescan.menu (el "Servicio").
Para cualquier consulta sobre esta Política de Privacidad o sus datos personales, contáctenos en onescan.menu@outlook.com. No hemos designado un Delegado de Protección de Datos porque no estamos obligados legalmente a hacerlo en virtud del art. 37 del RGPD (no somos una autoridad pública, nuestras actividades principales no consisten en una observación sistemática a gran escala y no tratamos datos de categorías especiales a gran escala).
2. Nuestro papel y su papel
Para titulares de cuenta (usted): actuamos como responsable del tratamiento de los datos personales descritos en el artículo 3, ya que decidimos por qué y cómo los tratamos (gestión de su cuenta, facturación, seguridad, atención al cliente).
Para el contenido que publica: los menús, descripciones de artículos, imágenes e información empresarial que carga son contenido suyo. Si decide incluir datos personales de terceros en ese contenido (por ejemplo, nombrar a un empleado en un menú o subir una foto de una persona identificable), usted es el responsable del tratamiento de esos datos y nosotros actuamos únicamente como encargado en su nombre, almacenándolos y mostrándolos según sus instrucciones. Usted es responsable de contar con una base legal para publicar dichos datos. Los clientes empresariales que requieran un Acuerdo de Tratamiento de Datos (DPA) por escrito en virtud del art. 28 del RGPD pueden solicitarlo en onescan.menu@outlook.com.
Para los comensales que escanean un menú QR: deliberadamente no recopilamos datos personales de los comensales. Las visualizaciones de página se registran únicamente como un contador, sin dirección IP, huella de dispositivo, cookies ni ningún otro identificador.
3. Qué datos recopilamos
Recopilamos las siguientes categorías de datos personales:
Datos de la cuenta
- Nombre, dirección de correo electrónico y contraseña con hash (o datos del perfil de Google OAuth)
- Estado de verificación del correo electrónico
- Preferencias de la cuenta (idioma, tema, plan)
Contenido empresarial
- Nombres de empresas, descripciones y ubicaciones que introduce
- Nombres de menús, artículos, precios, categorías y descripciones
- Imágenes que carga para artículos de menú (los metadatos EXIF se eliminan al cargarlas)
- Traducciones que proporciona para el contenido de los menús
Datos técnicos
- Dirección IP y cadena de agente de usuario (recopiladas automáticamente al iniciar sesión por motivos de seguridad de la sesión y prevención de abusos)
- Tokens de sesión (almacenados en una cookie httpOnly y segura)
- Registros del servidor que contienen los datos anteriores durante un breve periodo de retención
Datos de pago
- ID de cliente y de suscripción de Stripe (almacenados en nuestro servidor)
- Los datos de la tarjeta de pago son recogidos y tratados íntegramente por Stripe; nunca vemos ni almacenamos su número de tarjeta
Datos de uso
- Recuentos anónimos de visualizaciones de páginas para menús públicos (registramos que ha ocurrido una visualización, pero no quién la ha hecho; no se almacena IP, cookie ni datos de dispositivo para las visualizaciones)
4. Cómo usamos sus datos
| Finalidad | Base legal (art. 6 RGPD) |
|---|---|
| Prestar y operar el Servicio (gestión de cuentas, alojamiento de menús, códigos QR) | Ejecución de contrato |
| Procesar pagos y gestionar suscripciones | Ejecución de contrato |
| Enviar correos electrónicos transaccionales (bienvenida, restablecimiento de contraseña, verificación de correo, avisos de facturación) | Ejecución de contrato |
| Mantener la seguridad de las sesiones y prevenir abusos (dirección IP, agente de usuario, limitación de tasa) | Interés legítimo (seguridad) |
| Mostrar recuentos anónimos de visualizaciones en el panel | Interés legítimo (analítica) |
| Mejorar el Servicio y desarrollar nuevas funciones a partir de datos agregados y anonimizados que no pueden relacionarse con usted | Interés legítimo (desarrollo de producto) |
| Mencionar el nombre de su empresa o su página pública de menú como ejemplo de cliente, salvo oposición por correo electrónico | Interés legítimo (marketing) |
| Cumplir con obligaciones legales (registros fiscales, prevención del fraude, requerimientos legales) | Obligación legal |
No realizamos decisiones automatizadas ni elaboración de perfiles que produzcan efectos jurídicos o similarmente significativos sobre usted en el sentido del art. 22 del RGPD.
5. Servicios de terceros (subencargados)
Compartimos datos personales con los siguientes servicios de terceros, exclusivamente para prestar el Servicio:
| Servicio | Finalidad | Ubicación de los datos |
|---|---|---|
| Hetzner Online GmbH | Alojamiento de servidores, base de datos, almacenamiento de imágenes | Alemania (UE) |
| Stripe Payments Europe Ltd. | Procesamiento de pagos, facturación de suscripciones | UE / EE. UU. (con CCT de la UE) |
| Resend, Inc. | Envío de correos electrónicos transaccionales | EE. UU. (con CCT de la UE) |
| Google LLC (OAuth, opcional) | Inicio de sesión con Google, si elige este método | EE. UU. (con CCT de la UE) |
No vendemos, alquilamos ni comerciamos con sus datos personales. No utilizamos servicios publicitarios ni de analítica de terceros. Podemos contratar subencargados adicionales conforme evolucione el Servicio; hay una lista actualizada disponible previa solicitud, y no contrataremos a ningún subencargado que no ofrezca garantías equivalentes de protección de datos. No compartimos datos con otras partes salvo cuando lo exija la ley o una orden judicial.
6. Transferencias internacionales de datos
Sus datos se almacenan principalmente en servidores ubicados en Alemania (UE). Cuando los datos se transfieren a encargados fuera del EEE (Stripe, Resend, Google), nos basamos en las Cláusulas Contractuales Tipo (CCT, Decisión 2021/914) de la Comisión Europea como mecanismo de transferencia, junto con las medidas técnicas y organizativas exigidas a dichos encargados. Hay una copia disponible de las CCT vigentes con cada encargado a solicitud.
7. Cookies
OneScan utiliza únicamente cookies estrictamente necesarias:
- Una cookie de sesión de autenticación (httpOnly, segura) que le mantiene conectado hasta 7 días.
- Una cookie de preferencia de tema que recuerda su elección de modo claro/oscuro hasta 1 año.
No utilizamos cookies de seguimiento, publicidad o analítica. Dado que todas nuestras cookies son estrictamente necesarias para el funcionamiento del Servicio, no se requiere un aviso de consentimiento de cookies conforme a la Directiva sobre privacidad y comunicaciones electrónicas (2002/58/CE, art. 5.3).
8. Conservación de los datos
- Datos de la cuenta y contenido: se conservan mientras su cuenta esté activa. Podremos eliminar cuentas gratuitas inactivas y su contenido asociado tras 12 meses de inactividad, previo aviso por correo electrónico. Se eliminan en un plazo de 30 días tras una solicitud válida de eliminación de cuenta, salvo cuando la legislación exija su conservación.
- Datos de sesión (IP, agente de usuario): se conservan durante la sesión (hasta 7 días). Los registros de acceso del servidor con direcciones IP se conservan hasta 90 días por motivos de seguridad y prevención de abusos.
- Registros de pago: los identificadores de cliente y suscripción de Stripe, las facturas y los registros de facturación relacionados se conservan durante el tiempo exigido por la legislación fiscal y contable (normalmente 10 años conforme al derecho búlgaro).
- Recuentos anónimos de visualizaciones y analítica agregada: se conservan indefinidamente (no hay datos personales asociados a las visualizaciones).
- Copias de seguridad: los datos pueden permanecer en copias de seguridad cifradas hasta 30 días después de su eliminación del sistema en producción, tras lo cual se eliminan por rotación.
9. Sus derechos (RGPD)
Como interesado en virtud del Reglamento General de Protección de Datos (RGPD), tiene los siguientes derechos:
- Derecho de acceso: solicitar una copia de los datos personales que tenemos sobre usted.
- Derecho de rectificación: corregir datos inexactos (puede actualizar su nombre y correo electrónico directamente en la aplicación).
- Derecho de supresión: solicitar la eliminación de su cuenta y de todos los datos asociados, sujeto a los requisitos legales de conservación.
- Derecho a la portabilidad: solicitar una exportación de sus datos en un formato estructurado y legible por máquina.
- Derecho a la limitación del tratamiento: solicitar que limitemos el uso de sus datos mientras esté pendiente una reclamación o corrección.
- Derecho de oposición: al tratamiento basado en interés legítimo, incluido el uso con fines de marketing del nombre de su empresa (véase el artículo 4).
- Derecho a retirar el consentimiento: cuando el tratamiento se base en el consentimiento, puede retirarlo en cualquier momento sin afectar el tratamiento anterior basado en el consentimiento.
- Derecho a presentar una reclamación: puede presentar una reclamación ante la Comisión búlgara de Protección de Datos Personales (CPDP / Комисия за защита на личните данни, www.cpdp.bg) o ante la autoridad de control de la UE de su país.
Para ejercer cualquiera de estos derechos, contáctenos en onescan.menu@outlook.com. Responderemos en el plazo de un mes (prorrogable por dos meses adicionales para solicitudes complejas conforme al art. 12.3 del RGPD). Podemos solicitarle que verifique su identidad antes de actuar y podemos denegar o cobrar una tasa razonable por solicitudes manifiestamente infundadas o excesivas.
10. Seguridad de los datos y notificación de brechas
Aplicamos medidas técnicas y organizativas adecuadas para proteger sus datos personales, entre ellas: conexiones cifradas (TLS/HTTPS) para todos los datos en tránsito; contraseñas con hash (nunca almacenadas en texto plano); cookies de sesión httpOnly y seguras; base de datos alojada en centros de datos de la UE con controles de acceso; limitación de tasa y supervisión de abusos; y actualizaciones de seguridad regulares en nuestra infraestructura. Ningún sistema es 100 % seguro, pero tomamos precauciones razonables para proteger sus datos.
En caso de una brecha de seguridad de datos personales que pueda suponer un riesgo para sus derechos y libertades, notificaremos a la CPDP búlgara en un plazo de 72 horas desde que tengamos conocimiento, cuando sea posible, e informaremos sin demora injustificada a los usuarios afectados cuando la brecha pueda suponer un riesgo alto, de conformidad con los artículos 33 y 34 del RGPD.
11. Menores
El Servicio no está dirigido a personas menores de 18 años y está destinado a uso empresarial. No recopilamos a sabiendas datos personales de menores. Si cree que un menor nos ha facilitado datos personales, contáctenos y los eliminaremos con prontitud.
12. Cambios en esta política
Podemos actualizar esta Política de Privacidad de vez en cuando. Notificaremos los cambios sustanciales por correo electrónico o mediante un aviso destacado en el Servicio. La fecha de "Última actualización" en la parte superior refleja la revisión más reciente. Los cambios no sustanciales (aclaraciones, formato, actualizaciones de la lista de subencargados) podrán realizarse sin previo aviso.