1. Responsable del tratamiento
Blacklist ("nosotros", "nos", "nuestro") opera la plataforma en blacklist.rest. Somos el responsable del tratamiento de sus datos personales conforme al Reglamento General de Protección de Datos (UE) 2016/679 ("RGPD") y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales ("LOPDGDD").
2. Qué datos recopilamos
2.1 Datos de la cuenta del restaurante (Interesados: Operadores de restaurantes)
Cuando se registra como restaurante, recopilamos:
- Nombre del restaurante
- Número de identificación NIF/CIF (identificador principal)
- Dirección de correo electrónico
- Contraseña (cifrada con hash, nunca almacenada en texto plano)
2.2 Datos de clientes reportados (Interesados: Personas reportadas)
Cuando un restaurante verificado reporta a un cliente, se pueden enviar los siguientes datos:
- Nombre del cliente
- Dirección de correo electrónico del cliente
- Número de teléfono del cliente
- Categoría del reporte (p. ej., no show, cancelación tardía)
- Fecha del reporte
Estos datos son enviados por los restaurantes y se refieren a terceros (personas reportadas). No recopilamos datos directamente de las personas reportadas. Los restaurantes son responsables de asegurar que disponen de una base legítima para enviar estos datos.
2.3 Datos de uso y datos técnicos
- Dirección IP y user agent del navegador (para seguridad y limitación de solicitudes)
- Consultas de búsqueda realizadas en la plataforma
- Identificadores de sesión
- Marcas de tiempo de las acciones realizadas
3. Base jurídica del tratamiento
3.1 Datos de la cuenta del restaurante
Tratamos los datos de la cuenta del restaurante sobre la base de la necesidad contractual (artículo 6.1.b del RGPD) para prestar el servicio en el que se registró, y del interés legítimo (artículo 6.1.f del RGPD) para la prevención de fraudes y la integridad de la plataforma.
3.2 Datos de clientes reportados
El tratamiento de los datos de clientes reportados se basa en el interés legítimo (artículo 6.1.f del RGPD). El interés legítimo es la protección de los restaurantes frente al perjuicio económico causado por no shows recurrentes, cancelaciones tardías y otras conductas perjudiciales en las reservas. Hemos realizado una Evaluación de Interés Legítimo (LIA) y hemos concluido que:
- El interés es legítimo, específico y real (prevención de pérdidas económicas por abuso de reservas).
- El tratamiento es necesario (no existe un medio menos intrusivo para que los restaurantes identifiquen colectivamente a infractores recurrentes).
- El interés se pondera frente a los derechos de los interesados, con garantías que incluyen: minimización de datos, caducidad automática a los 12 meses, visibilidad únicamente agregada (sin atribución a restaurantes concretos) y derecho a oponerse y solicitar la supresión en cualquier momento.
3.3 Datos de uso y datos técnicos
Tratados sobre la base del interés legítimo (artículo 6.1.f del RGPD) para la seguridad de la plataforma, la prevención de abusos y la mejora del servicio.
4. Modelo de responsabilidad del tratamiento
Blacklist opera como responsable del tratamiento de la base de datos compartida de registros de clientes reportados. Cada restaurante que envía un reporte es corresponsable del tratamiento (artículo 26 del RGPD) con respecto a los datos que envió. La esencia de este acuerdo es la siguiente:
- Blacklist es responsable de la seguridad, el almacenamiento, la conservación y la supresión de todos los datos de la plataforma.
- Cada restaurante es responsable de asegurar que dispone de una base legítima para enviar datos de clientes y de que los datos enviados son exactos.
- Blacklist gestiona todas las solicitudes de derechos de los interesados (acceso, supresión, rectificación, oposición) en nombre de todos los corresponsables.
- Los interesados pueden ejercer sus derechos ante cualquier responsable, incluido Blacklist directamente.
5. Cómo se comparten los datos
Cuando un restaurante verificado busca a un cliente, puede ver:
- El número total de reportes asociados a ese cliente.
- Las categorías de los reportes (p. ej., no show, cancelación tardía).
- La fecha del reporte más reciente.
Los restaurantes no pueden ver qué restaurante concreto envió un reporte. La identidad de los restaurantes detrás de los reportes nunca se revela. Esta agregación es una medida deliberada de protección de la privacidad.
6. Conservación de los datos
- Datos de clientes reportados: Se eliminan automáticamente 12 meses después de su envío. No se requiere intervención manual.
- Datos de la cuenta del restaurante: Se conservan mientras la cuenta esté activa. Al eliminar la cuenta, todos los datos de la cuenta y todos los reportes enviados por ese restaurante se eliminan de forma permanente e irreversible.
- Registros técnicos: Se conservan un máximo de 90 días por motivos de seguridad y después se eliminan permanentemente.
- Copias de seguridad: Se purgan en un plazo de 30 días desde la eliminación de la base de datos principal.
7. Sus derechos como interesado
Conforme al RGPD y la LOPDGDD, usted dispone de los siguientes derechos. Estos se aplican tanto a los operadores de restaurantes como a las personas reportadas:
- Derecho de acceso (artículo 15): Puede solicitar confirmación de si se están tratando sus datos personales y obtener una copia de dichos datos.
- Derecho de rectificación (artículo 16): Puede solicitar la corrección de datos inexactos.
- Derecho de supresión (artículo 17): Puede solicitar la eliminación de sus datos personales. En el caso de datos de clientes reportados, la supresión eliminará todos los reportes asociados a su información identificativa en toda la plataforma.
- Derecho a la limitación del tratamiento (artículo 18): Puede solicitar la limitación del tratamiento en determinadas circunstancias.
- Derecho a la portabilidad de los datos (artículo 20): Puede solicitar sus datos en un formato estructurado y de lectura mecánica.
- Derecho de oposición (artículo 21): Puede oponerse al tratamiento basado en el interés legítimo. Dejaremos de tratar sus datos salvo que demostremos motivos legítimos imperiosos que prevalezcan sobre sus intereses.
- Derecho a presentar una reclamación: Puede presentar una reclamación ante la AEPD en www.aepd.es o ante cualquier otra autoridad de control de la UE.
Para ejercer cualquiera de estos derechos, contacte con nosotros en legal@blacklist.rest. Responderemos en un plazo de 30 días. No se cobra ninguna tasa por la primera solicitud. Podemos requerir verificación de identidad antes de tramitar su solicitud.
8. Seguridad de los datos
Implementamos medidas técnicas y organizativas adecuadas para proteger los datos personales, incluyendo:
- Cifrado de datos en tránsito (TLS 1.2+) y en reposo.
- Hashing de contraseñas mediante algoritmos de nivel industrial.
- Limitación de solicitudes y protección contra ataques de fuerza bruta en todos los endpoints.
- Verificación manual de cada restaurante antes de conceder acceso.
- Gestión de sesiones con caducidad automática.
- Cabeceras de seguridad (HSTS, CSP, X-Frame-Options, etc.).
- Revisiones de seguridad periódicas.
9. Notificación de brechas de seguridad
En caso de una brecha de datos personales que pueda suponer un riesgo para los derechos y libertades de las personas físicas:
- Notificaremos a la AEPD en un plazo de 72 horas desde que tengamos conocimiento de la brecha, conforme al artículo 33 del RGPD.
- Notificaremos a los interesados afectados sin dilación indebida si la brecha puede suponer un alto riesgo para sus derechos y libertades, conforme al artículo 34 del RGPD.
- Documentaremos todas las brechas, incluyendo los hechos, los efectos y las medidas correctivas adoptadas.
10. Transferencias internacionales de datos
Sus datos se almacenan en servidores ubicados dentro del Espacio Económico Europeo (EEE). No transferimos datos personales fuera del EEE. Si esto cambiara en el futuro, garantizaremos las salvaguardas adecuadas (p. ej., Cláusulas Contractuales Tipo) y actualizaremos esta política en consecuencia.
11. Cookies y rastreo
Utilizamos únicamente cookies estrictamente necesarias para la autenticación y la gestión de sesiones. No utilizamos cookies de análisis, cookies publicitarias ni rastreo de terceros. No se requiere banner de consentimiento porque no utilizamos cookies no esenciales.
12. Servicios de terceros
- Cloudflare: DNS, CDN y protección contra DDoS. Cloudflare procesa direcciones IP y metadatos de solicitudes. Consulte la Política de Privacidad de Cloudflare.
- Cloudflare Turnstile: Protección contra bots (CAPTCHA invisible). Procesa señales del dispositivo y del navegador. No se almacenan datos personales.
- Resend: Envío de correos electrónicos transaccionales. Procesa direcciones de correo electrónico únicamente para fines de entrega. Consulte la Política de Privacidad de Resend.
- Stripe: Procesamiento de pagos (cuando la facturación por suscripción está activa). Procesa datos de tarjetas de pago, dirección de facturación y correo electrónico. Stripe es un responsable independiente del tratamiento de los datos de pago. Consulte la Política de Privacidad de Stripe.
Tenemos Acuerdos de Tratamiento de Datos (ATD) vigentes con todos los subencargados que tratan datos personales en nuestro nombre.
13. Menores
Nuestro servicio está destinado al uso empresarial por parte de operadores de restaurantes. No recopilamos intencionadamente datos personales de personas menores de 16 años. Si tenemos conocimiento de que hemos recopilado datos de un menor, los eliminaremos de inmediato.
14. Cambios en esta política
Podemos actualizar esta Política de Privacidad periódicamente. Los cambios sustanciales se comunicarán por correo electrónico a los restaurantes registrados y se publicarán en esta página con una fecha de "Última actualización" revisada. El uso continuado del servicio tras los cambios implica la aceptación de la política actualizada.
15. Contacto
Para cualquier consulta sobre esta Política de Privacidad, sus datos o para ejercer sus derechos: