cEats v2Términos y Condiciones →

Política de Privacidad

Anexo 1 – Acuerdo de Tratamiento de Datos Personales (DPA)

Partes y roles

Responsable (Cliente): Razón social del restaurante, domicilio y RFC conforme a Orden/Plan.

Encargado (Proveedor): C EATS2, con domicilio en Sta. Catalina de Siena 1065, Rinconada Del Valle, 45047 Zapopan, Jal., contacto: info@ceats.app.

Objeto

Regular el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable para operar la Plataforma y servicios relacionados.

1. Instrucciones y finalidades

El Encargado tratará datos sólo conforme a instrucciones del Responsable y para:

  • Cursar pedidos y mensajes transaccionales
  • Brindar soporte
  • Analítica operativa y mejora del servicio
  • Cumplimiento legal/auditor

No usará datos para fines propios o de terceros no instruidos.

2. Categorías de datos y titulares

Consumidores del Responsable: nombre, teléfono, datos de pedido (artículos, importes, fecha/hora), ubicación de entrega (si aplica), notas/preferencias.

Personal del Responsable: identificación/contacto para accesos y soporte.

Datos sensibles: no previstos; si el consumidor comunica alergias u otros, el Responsable garantiza base legal y el Encargado aplicará minimización y medidas reforzadas.

3. Subencargados

El Encargado podrá usar subencargados (nube/hosting, monitoreo, mensajería), imponiendo obligaciones equivalentes de confidencialidad y seguridad. Mantendrá un listado disponible a solicitud del Responsable. El Encargado responde frente al Responsable por el actuar de sus subencargados.

4. Remisiones y transferencias

Las remisiones al Encargado o a subencargados por cuenta del Responsable no constituyen transferencias a terceros distintos. Si el Responsable instruye transferencias a terceros, definirá la base legal y el Encargado adherirá las garantías contractuales necesarias.

5. Medidas de seguridad

El Encargado aplicará controles administrativos, técnicos y físicos proporcionales al riesgo, incluyendo al menos:

  • Cifrado en tránsito y reposo
  • Control de accesos con MFA
  • Registros de eventos
  • Segregación de ambientes
  • Backups y continuidad
  • Pruebas periódicas razonables
  • Política de retención/borrado

6. Incidentes de seguridad

El Encargado notificará al Responsable sin dilación indebida y dentro de 72 horas de conocer un incidente que afecte datos personales, incluyendo descripción, categorías/volumen, impactos, medidas adoptadas y recomendaciones. El Responsable decidirá notificaciones a titulares y autoridades.

7. Derechos de titulares (ARCO) y solicitudes

El Encargado no atenderá directamente solicitudes de titulares, salvo instrucción. Brindará apoyo razonable (búsquedas, exportaciones, bloqueo/borrado) dentro de 5 (cinco) días hábiles desde la instrucción del Responsable.

8. Auditorías y verificaciones

A petición del Responsable, el Encargado pondrá a disposición evidencias de controles (resúmenes, reportes o certificaciones). El Responsable podrá realizar una auditoría anual con 15 días de aviso, en horario hábil, sin acceso a información de otros clientes. Auditorías extraordinarias ante incidentes graves.

9. Retención y eliminación

Concluidas las finalidades o al terminar el servicio, el Encargado eliminará o devolverá los datos (a elección del Responsable) dentro de 30 días, salvo conservación mínima requerida por ley o defensa de derechos (en bloqueo).

10. Confidencialidad

El personal del Encargado y subencargados está sujeto a deber de confidencialidad que subsiste tras la terminación. Acceso bajo necesidad de saber y capacitación correspondiente.

11. Responsabilidad y límites

La responsabilidad del Encargado frente al Responsable en materia de datos queda sujeta a los límites del Contrato principal; no cubre daños indirectos.

Vigencia: igual al Contrato principal.

Prevalencia: este Anexo prevalece sobre cualquier disposición contradictoria en materia de datos.