Sobremesa

Política de Privacidad

Vigencia: 29 de mayo de 2026

Sobremesa es una plataforma de fidelización para restaurantes operada por Greenfield AI. Esta política explica qué datos recolectamos, por qué los recolectamos, con quién los compartimos y qué derechos tenés sobre ellos. Está escrita en lenguaje claro porque no creemos que los términos legales deban ser oscuros.

Si tenés preguntas o querés ejercer tus derechos, escribinos a privacy@sobremesa.app.

1. Quiénes somos

El responsable del tratamiento de datos es Greenfield AI, una empresa que opera la plataforma Sobremesa. Si sos miembro de un programa de fidelización de un restaurante específico, el restaurante actúa como co-responsable de tus datos junto con nosotros.

2. Qué datos recolectamos

2.1 Si sos cliente de un restaurante (miembro)

  • Identificación: tu número de WhatsApp en formato E.164 es tu identidad principal. Opcionalmente: nombre, email, idioma, cumpleaños.
  • Transacciones: cada ticket que escaneás (foto + monto + comercio + fecha + ítems detectados por la IA), puntos acreditados, canjes realizados, nivel actual.
  • Comunicaciones: los mensajes que te enviamos por WhatsApp / SMS / email, su estado de entrega, y si los abriste (cuando aplica).
  • Sesión: si iniciás sesión en el portal /me, guardamos una cookie firmada httpOnly por 30 días. No usamos cookies de seguimiento de terceros sin tu consentimiento.
  • Ubicación (opcional): solo si vos lo activás explícitamente desde tu perfil. Guardamos solo la última ubicación conocida, no tu historial completo.

2.2 Si sos operador de un restaurante

  • Identificación: email, nombre, rol dentro de la organización.
  • Configuración: restaurantes, premios, reglas de puntos, plantillas, segmentos, branding.
  • Auditoría: cada acción administrativa (crear premio, ajustar puntos, cambiar rol) queda registrada en el log con tu identidad, IP y timestamp. El registro es append-only y se conserva indefinidamente para cumplimiento.

3. Para qué los usamos

  • Operar el programa de fidelización (sumar puntos, canjear premios).
  • Enviar comunicaciones transaccionales (códigos OTP, confirmaciones de canje).
  • Enviar campañas de marketing solo si diste consentimiento explícito (toggle separado en tu perfil).
  • Generar predicciones agregadas para el operador (riesgo de churn, LTV, próxima visita). Los modelos son heurísticos y no se comparten fuera de la organización.
  • Detectar fraude (recibos duplicados, números falsos).
  • Cumplir obligaciones legales y fiscales del restaurante operador.

4. Con quién compartimos tus datos

Sobremesa funciona como una capa sobre varios servicios externos. Cada uno tiene su propia política y procesa datos solo para la función descrita.

  • Twilio (US): envío de SMS y voz. Recibe tu número y el contenido del mensaje (códigos OTP, alertas).
  • Meta WhatsApp Cloud API (US/IE): envío de mensajes WhatsApp. Recibe tu número y el contenido. Está sujeto a las políticas de WhatsApp.
  • Google (Gemini API, US): lectura de la foto del ticket. La imagen se envía codificada en base64, el modelo devuelve el texto extraído. Google no usa estos datos para entrenar modelos (Gemini API enterprise grade).
  • Resend (US): envío de emails transaccionales y de marketing.
  • n8n self-hosted (Greenfield AI): orquesta el dispatcher de comunicaciones. Datos no salen de nuestra infraestructura.
  • Supabase (PostgreSQL, US): nuestra base de datos. Aislada por organización vía Row Level Security.
  • Vercel (US/EU edge): hosting del frontend.
  • Sentry (US/EU): monitoreo de errores. Solo recibe stack traces y metadatos técnicos, no contenido de mensajes ni números de teléfono.
  • Integraciones del restaurante: si el operador configuró webhooks salientes, eventos como transaction.validated se envían a su sistema (por ejemplo, su POS o CRM). Solo ven los eventos relativos a su propia organización.

Nunca vendemos tus datos. Nunca los compartimos con anunciantes ni agencias de marketing. Las únicas excepciones son las obligaciones legales (orden judicial, requerimiento fiscal).

5. Cuánto tiempo los guardamos

  • Mientras estés activo: tus datos se mantienen mientras tu cuenta esté activa en algún programa.
  • Si pedís ser olvidado (artículo 17 GDPR): borramos tus datos en 30 días, conservando solo lo que la ley fiscal exige (por ejemplo, montos de transacciones agregadas sin identificadores personales).
  • Si te das de baja (opt-out): tu cuenta se marca como opt-out y dejamos de enviarte comunicaciones inmediatamente. Tus datos se conservan agregados/anonimizados por 6 meses para reporting histórico.
  • Auditoría: registros append-only se conservan 5 años por requisitos de cumplimiento.

6. Tus derechos

Tenés derecho a:

  • Acceso: pedir una copia de todos los datos que tenemos sobre vos.
  • Rectificación: corregir datos incorrectos desde tu perfil o pidiéndolo por email.
  • Borrado: pedir que eliminemos tus datos (con las excepciones legales).
  • Portabilidad: exportar tus datos en formato JSON desde tu perfil.
  • Retiro de consentimiento: dar de baja el opt-in de marketing en cualquier momento desde tu perfil.
  • Objeción: oponerte al procesamiento basado en interés legítimo (por ejemplo, perfilado para predicciones).

Para ejercer cualquiera de estos derechos, escribinos a privacy@sobremesa.app desde el email asociado a tu cuenta. Respondemos en máximo 30 días.

7. Cookies

Usamos tres tipos de cookies:

  • Necesarias (siempre activas): cookies de sesión (httpOnly), preferencia de idioma, estado de colapso del sidebar.
  • Analíticas (opt-in): nos ayudan a entender qué features se usan. Anonimizadas. Sin tracking individual.
  • Marketing (opt-in): no usamos ninguna actualmente. Reservadas para futuras integraciones con consentimiento explícito.

Podés revisar y ajustar tus preferencias desde el banner que aparece la primera vez que visitás el sitio, o desde el link "Cookies" en el footer.

8. Seguridad

  • Todas las conexiones usan TLS 1.2+.
  • Las contraseñas y tokens se guardan con SHA-256 + sales únicas (cuando aplica argon2id está reservado).
  • Acceso a tus datos solo para personal autorizado de tu organización, via RLS (Row Level Security) a nivel base de datos.
  • Sin servidores en países que no cumplan estándares mínimos (todos en US/EU).
  • Auditoría continua de cambios administrativos.

Si detectamos un breach de seguridad que te afecte, te notificamos en máximo 72 horas, según GDPR artículo 33.

9. Menores de edad

Sobremesa no está dirigido a menores de 16 años. Si descubrimos que un miembro es menor sin consentimiento parental verificable, borramos la cuenta sin demora.

10. Transferencias internacionales

Algunos de nuestros procesadores (Twilio, Google, Vercel, Supabase) están en Estados Unidos. Donde aplica, las transferencias se hacen bajo Cláusulas Contractuales Estándar de la UE (SCCs).

11. Cambios a esta política

Si cambiamos la política, te avisamos por el canal que tenés activo (por defecto WhatsApp si sos cliente, email si sos operador) con 30 días de anticipación cuando el cambio sea sustancial.

12. Contacto y autoridad de control

Dudas o quejas: privacy@sobremesa.app. Si no estás satisfecho con nuestra respuesta, podés escalar a la autoridad de protección de datos de tu país (en Nicaragua, la Dirección General de Bienes Inmuebles; en Costa Rica, PRODHAB; en México, INAI; en la UE, tu autoridad nacional).

Volver al inicio