cEats v2Términos y Condiciones →

Política de Privacidad

Anexo 1 – Acuerdo de Tratamiento de Datos Personales (DPA)

Partes y roles

Responsable (Cliente): Razón social del restaurante, domicilio y RFC conforme a Orden/Plan.

Encargado (Proveedor): C EATS2, con domicilio en Sta. Catalina de Siena 1065, Rinconada Del Valle, 45047 Zapopan, Jal., contacto: info@ceats.app.

Objeto

Regular el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable para operar la Plataforma y servicios relacionados.

1. Instrucciones y finalidades

El Encargado tratará datos sólo conforme a instrucciones del Responsable y para:

  • Cursar pedidos y mensajes transaccionales
  • Brindar soporte
  • Analítica operativa y mejora del servicio
  • Cumplimiento legal/auditor

No usará datos para fines propios o de terceros no instruidos.

2. Categorías de datos y titulares

Consumidores del Responsable: nombre, teléfono, datos de pedido (artículos, importes, fecha/hora), ubicación de entrega (si aplica), notas/preferencias.

Personal del Responsable: identificación/contacto para accesos y soporte.

Datos sensibles: no previstos; si el consumidor comunica alergias u otros, el Responsable garantiza base legal y el Encargado aplicará minimización y medidas reforzadas.

3. Subencargados

El Encargado podrá usar subencargados (nube/hosting, monitoreo, mensajería), imponiendo obligaciones equivalentes de confidencialidad y seguridad. Mantendrá un listado disponible a solicitud del Responsable. El Encargado responde frente al Responsable por el actuar de sus subencargados.

4. Remisiones y transferencias

Las remisiones al Encargado o a subencargados por cuenta del Responsable no constituyen transferencias a terceros distintos. Si el Responsable instruye transferencias a terceros, definirá la base legal y el Encargado adherirá las garantías contractuales necesarias.

5. Medidas de seguridad

El Encargado aplicará controles administrativos, técnicos y físicos proporcionales al riesgo, incluyendo al menos:

  • Cifrado en tránsito y reposo
  • Control de accesos con MFA
  • Registros de eventos
  • Segregación de ambientes
  • Backups y continuidad
  • Pruebas periódicas razonables
  • Política de retención/borrado

6. Incidentes de seguridad

El Encargado notificará al Responsable sin dilación indebida y dentro de 72 horas de conocer un incidente que afecte datos personales, incluyendo descripción, categorías/volumen, impactos, medidas adoptadas y recomendaciones. El Responsable decidirá notificaciones a titulares y autoridades.

7. Derechos de titulares (ARCO) y solicitudes

El Encargado no atenderá directamente solicitudes de titulares, salvo instrucción. Brindará apoyo razonable (búsquedas, exportaciones, bloqueo/borrado) dentro de 5 (cinco) días hábiles desde la instrucción del Responsable.

8. Auditorías y verificaciones

A petición del Responsable, el Encargado pondrá a disposición evidencias de controles (resúmenes, reportes o certificaciones). El Responsable podrá realizar una auditoría anual con 15 días de aviso, en horario hábil, sin acceso a información de otros clientes. Auditorías extraordinarias ante incidentes graves.

9. Retención y eliminación

Concluidas las finalidades o al terminar el servicio, el Encargado eliminará o devolverá los datos (a elección del Responsable) dentro de 30 días, salvo conservación mínima requerida por ley o defensa de derechos (en bloqueo).

10. Confidencialidad

El personal del Encargado y subencargados está sujeto a deber de confidencialidad que subsiste tras la terminación. Acceso bajo necesidad de saber y capacitación correspondiente.

11. Integración con WhatsApp Business Platform y Meta

La Plataforma utiliza WhatsApp Business Platform (proporcionado por Meta Platforms, Inc.) para facilitar la comunicación entre restaurantes y consumidores. Esta integración implica el tratamiento adicional de datos:

  • Datos de conversaciones: Los mensajes intercambiados a través de WhatsApp se procesan y almacenan temporalmente para permitir la gestión de pedidos y el soporte al cliente.
  • Números de teléfono: Los números de teléfono de consumidores se comparten con Meta conforme a las políticas de WhatsApp Business Platform para el funcionamiento del servicio.
  • Plantillas de mensajes: Utilizamos plantillas de mensajes aprobadas por Meta para enviar notificaciones transaccionales (confirmaciones de pedido, actualizaciones de estado, etc.).
  • Retención de mensajes: Los mensajes de WhatsApp se retienen durante el tiempo necesario para cumplir con las finalidades del servicio y los requisitos legales aplicables, típicamente hasta 30 días después de la finalización del pedido o según instrucción del Responsable.
  • Consentimiento: Al iniciar una conversación a través de WhatsApp, el consumidor consiente implícitamente el tratamiento de sus datos para la gestión del pedido. El consumidor puede retirar su consentimiento en cualquier momento.

El uso de WhatsApp Business Platform está sujeto a las políticas y términos de servicio de Meta. El Responsable es responsable de cumplir con las políticas de uso de WhatsApp y de obtener los consentimientos necesarios de los consumidores.

12. Responsabilidad y límites

La responsabilidad del Encargado frente al Responsable en materia de datos queda sujeta a los límites del Contrato principal; no cubre daños indirectos.

Vigencia: igual al Contrato principal.

Prevalencia: este Anexo prevalece sobre cualquier disposición contradictoria en materia de datos.