Documentación RGPD
Última actualización: 24 de marzo de 2026 (v2.0)
Esta página contiene los documentos clave relativos a la protección de datos personales en el sistema Resovu conforme al Reglamento (UE) 2016/679 (RGPD), aplicable en toda la UE y el EEE, incluyendo la legislación nacional de protección de datos correspondiente.
Resovu cumple con las regulaciones nacionales de protección de datos en todos los países donde opera: Ley nº 110/2019 Sb. (República Checa), Ley nº 18/2018 Z.z. (Eslovaquia), Bundesdatenschutzgesetz — BDSG (Alemania), Ley de Protección de Datos Personales (Polonia), Ley de Autodeterminación Informativa — adaptación RGPD (Hungría), Ley Orgánica de Protección de Datos — LOPDGDD (España), Personopplysningsloven (Noruega), Loi Informatique et Libertés (Francia).
1. Acuerdo de tratamiento de datos (DPA)
1.1 Partes del acuerdo
Este acuerdo de tratamiento de datos personales (en adelante "DPA") se celebra entre el operador de la empresa que utiliza el sistema Resovu (en adelante "Responsable") y Lubomír Unar, NIF 05000386 (en adelante "Encargado"). El DPA es parte integrante de los términos de uso del servicio Resovu.
1.2 Objeto y duración del tratamiento
El Encargado trata los datos personales de los clientes del Responsable con el fin de proporcionar el sistema de reservas. El tratamiento se lleva a cabo durante la vigencia del contrato de prestación de servicios. Categorías de sujetos: clientes del Responsable que realizan reservas. Categorías de datos: nombre, apellidos, e-mail, teléfono, datos de reservas, campos personalizados opcionales.
1.3 Obligaciones del encargado
El Encargado se compromete a: tratar los datos personales solo según las instrucciones documentadas del Responsable; garantizar que las personas autorizadas para el tratamiento se comprometan a la confidencialidad; adoptar todas las medidas requeridas por el art. 32 del RGPD; cumplir las condiciones para la participación de otro encargado; proporcionar al Responsable la cooperación necesaria para cumplir las obligaciones según los arts. 32 a 36 del RGPD; eliminar o devolver todos los datos personales tras la finalización del contrato; proporcionar al Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones.
1.4 Instrucciones del responsable
El Responsable otorga al Encargado una instrucción general de tratar los datos personales en la medida necesaria para la prestación del servicio Resovu. El Responsable puede emitir instrucciones adicionales a través de la configuración en la administración del sistema. El Encargado informará inmediatamente al Responsable si considera que una instrucción viola el RGPD.
1.5 Subencargados
El Responsable otorga al Encargado un consentimiento general para la participación de otros encargados (subencargados) indicados en la sección Lista de subencargados. El Encargado informará al Responsable de todos los cambios previstos relativos a la adición o sustitución de subencargados. El Responsable tiene la posibilidad de objetar los cambios dentro de los 30 días.
1.6 Medidas de seguridad
El Encargado implementa medidas técnicas y organizativas adecuadas: cifrado de datos AES-256-GCM para campos sensibles; HTTPS/TLS para toda la transmisión de datos; aislamiento de datos de inquilinos mediante Row Level Security; control de acceso basado en roles (RBAC); hash de direcciones IP; eliminación automática de datos personales tras el período de retención; cabeceras de seguridad (CSP, HSTS, X-Frame-Options); limitación de tasa para protección contra abuso.
1.7 Notificación de violación de seguridad
El Encargado notificará al Responsable cualquier violación de la seguridad de los datos personales sin demora indebida tras tener conocimiento de ella, y como máximo en 48 horas. La notificación contendrá: descripción de la naturaleza de la violación, categorías y número aproximado de sujetos afectados, consecuencias probables y medidas adoptadas.
1.8 Cooperación en el ejercicio de derechos
El Encargado proporcionará al Responsable la cooperación necesaria para cumplir la obligación de responder a las solicitudes de los sujetos para el ejercicio de sus derechos según el Capítulo III del RGPD. El sistema permite: exportar datos del cliente (art. 20), anonimizar/eliminar datos (art. 17), vista general de datos tratados (art. 15).
1.9 Auditoría
El Encargado permitirá al Responsable o a su auditor designado realizar auditorías e inspecciones y contribuirá a ellas. El Encargado proporcionará al Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 del RGPD. La auditoría se puede realizar una vez al año con 30 días de antelación.
1.10 Duración del tratamiento y eliminación
Tras la finalización de la prestación de servicios, el Encargado eliminará todos los datos personales en un plazo de 30 días, salvo que la legislación de la UE o del Estado miembro requiera su conservación. El Responsable puede exportar todos los datos antes de la finalización mediante la función de exportación RGPD en la administración del sistema.
2. Registros de actividades de tratamiento (ROPA)
Registros según el art. 30 del RGPD sobre las actividades de tratamiento realizadas a través del sistema Resovu.
| Finalidad del tratamiento | Base legal | Categorías de datos | Categorías de sujetos | Período de conservación |
|---|---|---|---|---|
| Gestión de reservas | Art. 6(1)(b) — ejecución del contrato | Nombre, e-mail, teléfono, fecha de reserva, nota | Clientes que realizan reservas | Configurable (predeterminado 365 días) |
| Comunicación (confirmaciones, recordatorios) | Art. 6(1)(b) — ejecución del contrato | Nombre, e-mail, teléfono, detalle de la reserva | Clientes con reserva activa | Según el período de retención de reservas |
| Procesamiento de pagos | Art. 6(1)(b) — ejecución del contrato | Datos de pago (procesados por Stripe, nunca almacenados en Resovu) | Clientes que realizan pago en línea | Según los términos de Stripe |
| Marketing (con consentimiento) | Art. 6(1)(a) — consentimiento | Nombre, e-mail | Clientes que han dado consentimiento de marketing | Hasta la revocación del consentimiento |
| Seguridad y protección contra abuso | Art. 6(1)(f) — interés legítimo | Direccion IP, user-agent (temporalmente para rate limiting) | Todos los usuarios del sistema | Según el período de retención del registro de auditoría |
| Contabilidad y facturación | Art. 6(1)(c) — obligación legal | Nombre comercial, NIF, CIF, e-mail, dirección | Operadores (inquilinos) del sistema | 5 años (ley de contabilidad) |
3. Procedimiento ante violación de seguridad de datos personales
3.1 Detección y notificación
Resovu implementa sistemas de monitorización para la detección de incidentes de seguridad. Todo empleado o colaborador está obligado a informar inmediatamente de cualquier sospecha de violación de seguridad de datos a la dirección de la empresa.
3.2 Evaluación de la gravedad
Tras la detección del incidente, la persona responsable evaluará inmediatamente: el alcance de los datos afectados, el número de sujetos afectados, el impacto probable en los derechos y libertades de los sujetos, si los datos estaban cifrados, si es posible mitigar el impacto.
3.3 Notificación a la autoridad de control
Si la violación de seguridad probablemente representa un riesgo para los derechos y libertades de las personas físicas, Resovu notificará el incidente a la autoridad de control competente en un plazo de 72 horas desde la detección. La notificación contendrá: descripción de la naturaleza de la violación, datos de contacto del DPO, descripción de las consecuencias probables, descripción de las medidas adoptadas. Autoridades de control: ÚOOÚ — www.uoou.cz (República Checa), ÚOOU SR — www.dataprotection.gov.sk (Eslovaquia), BfDI — www.bfdi.bund.de (Alemania), UODO — www.uodo.gov.pl (Polonia), NAIH — www.naih.hu (Hungría), AEPD — www.aepd.es (España), Datatilsynet — www.datatilsynet.no (Noruega); CNIL — www.cnil.fr (Francia).
3.4 Notificación a los sujetos de datos
Si la violación probablemente representa un alto riesgo para los derechos y libertades de las personas físicas, Resovu informará sin demora indebida a los sujetos afectados. La notificación se realizará en un lenguaje comprensible y contendrá recomendaciones para mitigar los impactos.
3.5 Documentación
Todos los incidentes de seguridad se registran en un registro interno, incluyendo: fecha de detección, descripción del incidente, datos y sujetos afectados, medidas adoptadas, decisión sobre la notificación a la autoridad y a los sujetos, resultados de la investigación.
3.6 Contacto para la notificación de incidentes
Informe los incidentes de seguridad a: security@resovu.com. En el asunto indique "Incidente de seguridad". Proporcione toda la información posible sobre la naturaleza y el alcance del incidente.
4. Lista de subencargados
| Proveedor | Servicio | Ubicación de datos | Garantías |
|---|---|---|---|
| Supabase (AWS) | Base de datos, autenticación, almacenamiento | UE (Fráncfort, eu-central-1) | DPA, SOC 2 Type II |
| Stripe | Procesamiento de pagos | UE (Irlanda) + EE. UU. | DPA, SCC, PCI DSS Level 1 |
| Vercel | Alojamiento, Edge Network, serverless | CDN global (edge en UE) | DPA, SOC 2 Type II |
| Resend | E-mails transaccionales | EE. UU. | DPA, SCC |
| Infobip | Recordatorios por SMS | UE (Frankfurt) + global | DPA, SCC, ISO 27001 |
| Sincronización de calendario (opcional) | EE. UU. | DPA, SCC | |
| Sentry (Functional Software Inc.) | Monitoreo de errores | US | DPA, SCC, SOC 2 |
| Upstash | Rate limiting (Redis) | UE (Frankfurt) | DPA, SOC 2 |