Contrato de Encargo de Tratamiento
Última actualización: 14 de mayo de 2026
En cumplimiento del artículo 28 del Reglamento (UE) 2016/679 (RGPD)
El presente Contrato de Encargo de Tratamiento ("Contrato") forma parte integrante del Contrato de Prestación de Servicios ("Contrato Principal") suscrito entre:
El Restaurante o establecimiento de hostelería contratante
Datos identificativos facilitados durante el registro en Sirvo (en adelante, "el Restaurante")
Lava Digital — operador del servicio Sirvo
España · hola@lavadigital.es (en adelante, "Sirvo")
(A) El Restaurante actúa como Responsable del Tratamiento de los datos personales de sus comensales, en los términos del artículo 4.7 del RGPD.
(B) El Restaurante desea contratar los Servicios de Sirvo, que implican el tratamiento de datos personales por cuenta del Restaurante.
(C) Las Partes desean implementar un contrato de encargo de tratamiento conforme a los requisitos del artículo 28 del RGPD y de la normativa vigente.
(D) Las Partes acuerdan las presentes condiciones con efectos desde la fecha de aceptación de los Términos de Servicio de Sirvo por parte del Restaurante.
1. Definiciones e Interpretación
1.1 A menos que se defina de otro modo en el presente documento, los términos en mayúscula utilizados en este Contrato tendrán el siguiente significado:
- 1.1.1 "Contrato": el presente Contrato de Encargo de Tratamiento y sus Anexos.
- 1.1.2 "Datos Personales del Restaurante": cualquier Dato Personal tratado por el Encargado o un Subencargado por cuenta del Restaurante en virtud del Contrato Principal.
- 1.1.3 "Subencargado": cualquier tercero designado por el Encargado para tratar Datos Personales en nombre del Restaurante en el marco de este Contrato.
- 1.1.4 "Normativa de Protección de Datos": el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD), y cualquier otra normativa de protección de datos aplicable.
- 1.1.5 "EEE": el Espacio Económico Europeo.
- 1.1.6 "RGPD": Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
- 1.1.7 "Transferencia de Datos": cualquier transmisión de Datos Personales del Restaurante fuera del EEE o entre el Encargado y un Subencargado, cuando dicha transferencia requiera garantías conforme a la Normativa de Protección de Datos.
- 1.1.8 "Servicios": los servicios de la plataforma Sirvo prestados al Restaurante: widget de reservas web, asistente conversacional de WhatsApp con inteligencia artificial, panel de gestión (dashboard), sistema interactivo de mesas, CRM de comensales, sistema de fianzas con Stripe/Redsys, estadísticas y funciones relacionadas, conforme al Contrato Principal.
- 1.1.9 "Brecha de Seguridad": una violación de la seguridad que ocasione la destrucción, pérdida, alteración, comunicación no autorizada o acceso indebido a Datos Personales del Restaurante.
1.2 Los términos "Comisión", "Responsable", "Interesado", "Estado Miembro", "Datos Personales", "Encargado del Tratamiento", "Tratamiento" y "Autoridad de Control" tendrán el mismo significado que en el RGPD.
2. Tratamiento de Datos Personales del Restaurante
2.1 Sirvo, en su condición de Encargado del Tratamiento, se compromete a:
- Tratar los Datos Personales del Restaurante únicamente conforme a las instrucciones documentadas del Restaurante y en cumplimiento de la Normativa de Protección de Datos aplicable.
- No tratar los Datos Personales del Restaurante para fines distintos a los definidos en el Anexo I, salvo que una obligación legal lo exija, en cuyo caso Sirvo informará al Restaurante con carácter previo, salvo que la ley lo prohíba.
- Informar de inmediato al Restaurante si, en opinión de Sirvo, alguna instrucción vulnera la Normativa de Protección de Datos.
2.2 El Restaurante autoriza expresamente a Sirvo a tratar los Datos Personales del Restaurante conforme a las instrucciones recogidas en el presente Contrato y en el Contrato Principal.
3. Personal del Encargado
Sirvo adoptará medidas razonables para garantizar la fiabilidad de los empleados, agentes o contratistas que puedan tener acceso a los Datos Personales del Restaurante, limitando dicho acceso a las personas estrictamente necesarias para la prestación de los Servicios. Todo el personal con acceso a dichos datos estará sujeto a compromisos de confidencialidad o a obligaciones profesionales o legales de sigilo equivalentes.
4. Seguridad
4.1 Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y fines del Tratamiento, así como los riesgos para los derechos y libertades de las personas físicas, Sirvo implementará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, incluyendo en particular:
- Cifrado: todas las comunicaciones utilizan TLS 1.2 o superior; los datos están cifrados en reposo mediante AES-256.
- Aislamiento multi-tenant: cada Restaurante cuenta con su entorno de base de datos aislado, garantizando la separación lógica entre clientes.
- Control de acceso: autenticación gestionada mediante Supabase Auth con control de roles y principio de mínimo privilegio.
- Monitorización: detección y registro de errores e incidentes a través de Sentry.
- Copias de seguridad: copias de seguridad diarias automatizadas con retención mínima de 7 días.
4.2 Sirvo evaluará periódicamente la idoneidad de las medidas implantadas y las actualizará cuando sea necesario para mantener un nivel de protección adecuado.
5. Subencargados
5.1 El Restaurante, mediante la aceptación del presente Contrato, autoriza expresamente a Sirvo a recurrir a los Subencargados listados en el Anexo II, los cuales han sido evaluados y cumplen con las garantías exigidas por la Normativa de Protección de Datos.
5.2 Sirvo notificará al Restaurante con antelación razonable cualquier incorporación o sustitución de Subencargados, ofreciéndole la posibilidad de oponerse a dicho cambio.
5.3 Cuando Sirvo recurra a un Subencargado para llevar a cabo actividades de tratamiento específicas, impondrá a dicho Subencargado, mediante contrato, las mismas obligaciones en materia de protección de datos que las establecidas en el presente Contrato, conforme al artículo 28.4 del RGPD.
6. Derechos de los Interesados
6.1 Teniendo en cuenta la naturaleza del Tratamiento, Sirvo asistirá al Restaurante mediante medidas técnicas y organizativas apropiadas para que este pueda cumplir con su obligación de responder a las solicitudes de ejercicio de derechos de los Interesados previstas en la Normativa de Protección de Datos.
6.2 Sirvo se compromete a:
- Notificar sin demora indebida al Restaurante si recibe una solicitud de un Interesado en relación con los Datos Personales del Restaurante.
- No responder a dicha solicitud sin las instrucciones documentadas del Restaurante, salvo que la normativa aplicable así lo exija, en cuyo caso informará al Restaurante en la medida permitida por la ley.
7. Brechas de Seguridad
7.1 Sirvo notificará al Restaurante, sin dilación indebida y en todo caso en un plazo máximo de 24 horas desde que tenga conocimiento de una Brecha de Seguridad que afecte a los Datos Personales del Restaurante, facilitando la información suficiente para que el Restaurante pueda cumplir con sus obligaciones de notificación ante la Agencia Española de Protección de Datos (AEPD) y, en su caso, ante los Interesados.
7.2 Sirvo colaborará con el Restaurante y adoptará las medidas razonables que este indique para investigar, mitigar y remediar cada Brecha de Seguridad.
8. Evaluaciones de Impacto y Consulta Previa
Sirvo prestará asistencia razonable al Restaurante en la realización de evaluaciones de impacto relativas a la protección de datos (EIPD) y en las consultas previas a la autoridad de control que el Restaurante considere necesarias en virtud de los artículos 35 y 36 del RGPD o de disposiciones equivalentes de la Normativa de Protección de Datos aplicable, en la medida en que dichas evaluaciones o consultas guarden relación con el Tratamiento realizado por Sirvo y con la información disponible para el Encargado.
9. Supresión o Devolución de Datos
9.1 A elección del Restaurante, expresada por escrito, Sirvo suprimirá o devolverá todos los Datos Personales del Restaurante una vez finalizada la prestación de los Servicios, salvo que la normativa aplicable exija su conservación.
9.2 La supresión o devolución de datos se llevará a cabo en un plazo máximo de 10 días hábiles desde la fecha de cese del Servicio o desde la solicitud del Restaurante.
9.3 Sirvo destruirá de forma segura, y exigirá a los Subencargados la destrucción, de todas las copias existentes de los Datos Personales del Restaurante, salvo que una obligación legal imponga su conservación durante un período adicional.
10. Derechos de Auditoría
10.1 Sirvo pondrá a disposición del Restaurante, previa solicitud razonada, toda la información necesaria para demostrar el cumplimiento del presente Contrato, y permitirá y colaborará en auditorías e inspecciones realizadas por el Restaurante o por un auditor designado por este en relación con el Tratamiento de los Datos Personales del Restaurante.
10.2 Los derechos de información y auditoría del Restaurante reconocidos en la cláusula 10.1 se entenderán limitados a aquellas materias que no estén ya cubiertas por la información y los derechos de auditoría reconocidos en la Normativa de Protección de Datos.
10.3 El ejercicio del derecho de auditoría se realizará con previo aviso mínimo de 15 días naturales, en horario laboral, sin perturbar la actividad ordinaria de Sirvo, y con sujeción a los compromisos de confidencialidad acordados.
11. Transferencias Internacionales de Datos
11.1 Sirvo no transferirá ni autorizará la transferencia de Datos Personales del Restaurante a países fuera del EEE sin el consentimiento previo y por escrito del Restaurante, salvo en los casos en que dichas transferencias se realicen con las garantías adecuadas previstas en el Capítulo V del RGPD.
11.2 Los Subencargados ubicados fuera del EEE (identificados en el Anexo II) operan bajo Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, constituyendo las garantías adecuadas para la transferencia internacional de datos conforme al artículo 46 del RGPD.
12. Disposiciones Generales
12.1 Confidencialidad. Cada Parte tratará como confidencial la información que reciba de la otra Parte en el marco del presente Contrato y no la utilizará ni divulgará sin el consentimiento previo y por escrito de la otra Parte, excepto cuando: (a) la divulgación sea requerida por ley; o (b) la información sea de dominio público.
12.2 Notificaciones. Todas las comunicaciones y notificaciones derivadas del presente Contrato deberán realizarse por escrito y dirigirse a las direcciones indicadas en el encabezado. Para el Restaurante, a los datos facilitados durante el registro en Sirvo. Para Sirvo, a hola@lavadigital.es.
12.3 Modificaciones. Sirvo podrá actualizar el presente Contrato para adaptarlo a cambios normativos o técnicos, notificando al Restaurante con al menos 30 días de antelación. La continuación en el uso del Servicio tras dicho plazo implicará la aceptación de la nueva versión.
12.4 Prelación. En caso de conflicto entre el presente Contrato y el Contrato Principal en materia de protección de datos, prevalecerán las disposiciones del presente Contrato.
13. Ley Aplicable y Jurisdicción
13.1 El presente Contrato se rige por el Derecho español y, en particular, por el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
13.2 Para la resolución de cualquier controversia derivada del presente Contrato que las Partes no puedan resolver amistosamente, las Partes se someten a la jurisdicción exclusiva de los Juzgados y Tribunales de Madrid, con renuncia a cualquier otro fuero que pudiera corresponderles.
Anexo I — Descripción del Tratamiento
Objeto y duración del tratamiento
El tratamiento tiene por objeto la prestación de los Servicios de la plataforma Sirvo al Restaurante. La duración del tratamiento coincide con la vigencia del Contrato Principal y, una vez resuelto, con el plazo estrictamente necesario para la supresión o devolución de los datos conforme a la cláusula 9.
Naturaleza y finalidad del tratamiento
- Gestión y confirmación de reservas de comensales.
- Operación del asistente conversacional de WhatsApp con inteligencia artificial.
- Gestión del panel de control, sistema de mesas y agenda.
- Mantenimiento del CRM de comensales (historial de visitas, preferencias, no-shows).
- Procesamiento de fianzas y pagos a través de Stripe.
- Generación de estadísticas e informes operativos para el Restaurante.
- Monitorización técnica del servicio y gestión de incidencias.
Categorías de datos personales tratados
| Colectivo | Categorías de datos |
|---|---|
| Comensales | Nombre, teléfono, correo electrónico, fecha/hora de reserva, número de comensales, notas (incluidas posibles alergias o preferencias dietéticas), historial de conversaciones de WhatsApp, historial de visitas y no-shows. |
| Personal del Restaurante | Credenciales de acceso (email), registro de actividad en el dashboard. |
| Datos de pago (fianzas) | Gestionados exclusivamente por Stripe bajo PCI-DSS. Sirvo únicamente recibe el estado de la transacción; no almacena datos de tarjeta en ningún momento. |
Categorías especiales de datos
Las notas de reserva pueden contener referencias a alergias o restricciones alimentarias, que constituyen datos de salud conforme al artículo 9 del RGPD. El Restaurante es responsable de obtener el consentimiento explícito del comensal antes de recabar y tratar esta información.
Anexo II — Subencargados Autorizados
El Restaurante autoriza expresamente el recurso a los siguientes Subencargados:
| Subencargado | Actividad de tratamiento | País | Garantía |
|---|---|---|---|
| Supabase, Inc. | Base de datos, autenticación y almacenamiento de archivos | EE. UU. | CCT (Dec. 2021) |
| Meta Platforms Ireland Ltd. | Canal WhatsApp Business API — mensajería con comensales | Irlanda (EEE) | RGPD aplicable |
| Stripe, Inc. | Procesamiento de pagos, retenciones y reembolsos (sistema de fianzas) | EE. UU. | CCT + PCI-DSS |
| Functional Software, Inc. (Sentry) | Monitorización de errores técnicos de la aplicación | EE. UU. | CCT (Dec. 2021) |
| Proveedores de IA (Anthropic / OpenAI u otros) | Procesamiento de lenguaje natural para el asistente conversacional | EE. UU. | CCT (Dec. 2021) |
Las Cláusulas Contractuales Tipo (CCT) referenciadas son las aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021.
Aceptación y Firma
Al completar el registro en la plataforma Sirvo, el Restaurante acepta el presente Contrato de Encargo de Tratamiento en nombre propio. Dicha aceptación electrónica tiene plena validez legal conforme al artículo 3 del Reglamento (UE) nº 910/2014 (eIDAS) y a la Ley 34/2002, de 11 de julio (LSSI-CE).
Sirvo es un producto desarrollado y operado por Lava Digital.
Para consultas legales, contacte con hola@lavadigital.es