1. Responsable del tractament
Blacklist ("nosaltres", "ens", "el nostre") gestiona la plataforma a blacklist.rest. Som el responsable del tractament de les vostres dades personals d'acord amb el Reglament General de Protecció de Dades (UE) 2016/679 ("RGPD") i la Llei Orgànica 3/2018 de Protecció de Dades Personals i garantia dels drets digitals ("LOPDGDD").
2. Quines dades recopilem
2.1 Dades del compte de restaurant (interessats: operadors de restaurants)
Quan us registreu com a restaurant, recopilem:
- Nom del restaurant
- Número d'identificació NIF/CIF (identificador principal)
- Adreça de correu electrònic
- Contrasenya (encriptada amb hash, mai emmagatzemada en text pla)
2.2 Dades de clients reportats (interessats: persones reportades)
Quan un restaurant verificat reporta un client, es poden enviar les dades següents:
- Nom del client
- Adreça de correu electrònic del client
- Número de telèfon del client
- Categoria del report (p. ex., no-show, cancel·lació tardana)
- Data del report
Aquestes dades són enviades pels restaurants i fan referència a terceres persones (persones reportades). No recopilem dades directament de les persones reportades. Els restaurants són responsables de garantir que disposen d'una base legítima per enviar aquestes dades.
2.3 Dades tècniques i d'ús
- Adreça IP i user agent del navegador (per seguretat i limitació de peticions)
- Cerques realitzades dins la plataforma
- Identificadors de sessió
- Marques de temps de les accions realitzades
3. Base jurídica del tractament
3.1 Dades del compte de restaurant
Tractem les dades del compte de restaurant sobre la base de la necessitat contractual (article 6.1.b RGPD) per prestar el servei al qual us heu registrat, i de l<b>interès legítim</b> (article 6.1.f RGPD) per a la prevenció del frau i la integritat de la plataforma.
3.2 Dades de clients reportats
El tractament de les dades de clients reportats es basa en l<b>interès legítim</b> (article 6.1.f RGPD). Linterès legítim és la protecció dels restaurants davant el perjudici econòmic causat per no-shows reiterats, cancel·lacions tardanes i comportaments similars que perjudiquen les reserves. Hem dut a terme una Avaluació d'Interès Legítim (LIA) i hem conclòs que:
- L'interès és legítim, específic i real (prevenció de pèrdues econòmiques per abús de reserves).
- El tractament és necessari (no hi ha cap manera menys intrusiva perquè els restaurants identifiquin col·lectivament els infractors reincidents).
- L'interès es pondera respecte els drets dels interessats, amb garanties que inclouen: minimització de dades, caducitat automàtica als 12 mesos, visibilitat només agregada (sense atribució a cap restaurant), i el dret a oposar-se i sol·licitar la supressió en qualsevol moment.
3.3 Dades tècniques i d'ús
Es tracten sobre la base de l<b>interès legítim</b> (article 6.1.f RGPD) per a la seguretat de la plataforma, la prevenció dabusos i la millora del servei.
4. Model de responsabilitat sobre les dades
Blacklist actua com a responsable del tractament de la base de dades compartida de registres de clients reportats. Cada restaurant que envia un report és corresponsable del tractament (article 26 RGPD) respecte a les dades que envia. L'essència d'aquest acord és la següent:
- Blacklist és responsable de la seguretat, l'emmagatzematge, la conservació i la supressió de totes les dades de la plataforma.
- Cada restaurant és responsable de garantir que disposa d'una base legítima per enviar dades de clients i que les dades enviades són exactes.
- Blacklist gestiona totes les sol·licituds d'exercici de drets dels interessats (accés, supressió, rectificació, oposició) en nom de tots els corresponsables.
- Els interessats poden exercir els seus drets davant qualsevol responsable, inclòs directament davant Blacklist.
5. Com es comparteixen les dades
Quan un restaurant verificat cerca un client, pot veure:
- El nombre total de reports associats a aquell client.
- Les categories dels reports (p. ex., no-show, cancel·lació tardana).
- La data del report més recent.
Els restaurants no poden veure quin restaurant concret ha enviat un report. La identitat dels restaurants darrere dels reports no es revela mai. Aquesta agregació és una mesura de privadesa deliberada.
6. Conservació de les dades
- Dades de clients reportats: S'eliminen automàticament 12 mesos després de l'enviament. No requereix cap intervenció manual.
- Dades del compte de restaurant: Es conserven mentre el compte estigui actiu. En eliminar el compte, totes les dades del compte i tots els reports enviats per aquell restaurant s'eliminen de manera permanent i irreversible.
- Registres tècnics: Es conserven un màxim de 90 dies per motius de seguretat i després s'eliminen permanentment.
- Còpies de seguretat: Es purguen dins dels 30 dies posteriors a l'eliminació de la base de dades principal.
7. Els vostres drets com a interessat
D'acord amb el RGPD i la LOPDGDD, disposeu dels drets següents. Aquests drets s'apliquen tant als operadors de restaurants com a les persones reportades:
- Dret d'accés (article 15): Podeu sol·licitar la confirmació de si les vostres dades personals estan sent tractades i obtenir-ne una còpia.
- Dret de rectificació (article 16): Podeu sol·licitar la correcció de dades inexactes.
- Dret de supressió (article 17): Podeu sol·licitar l'eliminació de les vostres dades personals. En el cas de dades de clients reportats, la supressió eliminarà tots els reports associats a la vostra informació identificativa a tota la plataforma.
- Dret a la limitació del tractament (article 18): Podeu sol·licitar la limitació del tractament en determinades circumstàncies.
- Dret a la portabilitat de les dades (article 20): Podeu sol·licitar les vostres dades en un format estructurat i de lectura mecànica.
- Dret d'oposició (article 21): Podeu oposar-vos al tractament basat en l'interès legítim. Deixarem de tractar les dades llevat que demostrem motius legítims imperiosos que prevalguin sobre els vostres interessos.
- Dret a presentar una reclamació: Podeu presentar una reclamació davant l'AEPD a www.aepd.es o qualsevol altra autoritat de control de la UE.
Per exercir qualsevol d'aquests drets, contacteu amb nosaltres a legal@blacklist.rest. Respondrem en un termini de 30 dies. No es cobra cap taxa per la primera sol·licitud. Podem requerir la verificació de la vostra identitat abans de tramitar la sol·licitud.
8. Seguretat de les dades
Implementem mesures tècniques i organitzatives adequades per protegir les dades personals, entre les quals:
- Xifrat de les dades en trànsit (TLS 1.2+) i en repòs.
- Hash de contrasenyes amb algorismes estàndard del sector.
- Limitació de peticions i protecció contra atacs de força bruta a tots els punts d'accés.
- Verificació manual de cada restaurant abans de concedir-li accés.
- Gestió de sessions amb caducitat automàtica.
- Capçaleres de seguretat (HSTS, CSP, X-Frame-Options, etc.).
- Revisions periòdiques de seguretat.
9. Notificació de violacions de seguretat
En cas d'una violació de dades personals que pugui comportar un risc per als drets i les llibertats de les persones físiques:
- Notificarem l'AEPD dins de les 72 hores posteriors a tenir-ne coneixement, tal com estableix l'article 33 del RGPD.
- Notificarem els interessats afectats sense dilació indeguda si la violació pot comportar un risc elevat per als seus drets i llibertats, tal com estableix l'article 34 del RGPD.
- Documentarem totes les violacions, incloent-hi els fets, els efectes i les mesures correctores adoptades.
10. Transferències internacionals de dades
Les vostres dades s'emmagatzemen en servidors situats dins l'Espai Econòmic Europeu (EEE). No transferim dades personals fora de l'EEE. Si això canviés en el futur, ens asseguraríem que hi hagi les garanties adequades (p. ex., clàusules contractuals tipus) i actualitzaríem aquesta política en conseqüència.
11. Galetes i seguiment
Només utilitzem galetes estrictament necessàries per a l'autenticació i la gestió de sessions. No utilitzem galetes d'anàlisi, galetes publicitàries ni seguiment de tercers. No cal cap banner de consentiment perquè no utilitzem galetes no essencials.
12. Serveis de tercers
- Cloudflare: DNS, CDN i protecció contra DDoS. Cloudflare tracta adreces IP i metadades de les peticions. Consulteu la Política de privadesa de Cloudflare.
- Cloudflare Turnstile: Protecció contra bots (CAPTCHA invisible). Tracta senyals del dispositiu i del navegador. No s'emmagatzemen dades personals.
- Resend: Lliurament de correus electrònics transaccionals. Tracta adreces de correu electrònic només amb finalitats de lliurament. Consulteu la Política de privadesa de Resend.
- Stripe: Processament de pagaments (quan la facturació per subscripció és activa). Tracta dades de targetes de pagament, adreça de facturació i correu electrònic. Stripe és un responsable del tractament independent per a les dades de pagament. Consulteu la Política de privadesa de Stripe.
Disposem d'Acords de Tractament de Dades (ATD) amb tots els encarregats del tractament que gestionen dades personals en nom nostre.
13. Menors
El nostre servei està destinat a l'ús comercial per part d'operadors de restaurants. No recopilem conscientment dades personals de persones menors de 16 anys. Si tenim coneixement que hem recopilat dades d'un menor, les eliminarem immediatament.
14. Canvis en aquesta política
Podem actualitzar aquesta Política de privadesa periòdicament. Els canvis substancials es comunicaran per correu electrònic als restaurants registrats i es publicaran en aquesta pàgina amb la data de "Última actualització" revisada. L'ús continuat del servei després dels canvis implica l'acceptació de la política actualitzada.
15. Contacte
Per a qualsevol pregunta sobre aquesta Política de privadesa, les vostres dades o per exercir els vostres drets: