app.yefris.com --- Plataforma de gestión para hostelería
Versión inicial --- 15 de marzo de 2026
Responsable: [NOMBRE COMPLETO] ([NIF PENDIENTE --- completar tras alta autónomo])
⚠️ Esta política aplica a los usuarios de la plataforma Yefris (propietarios y empleados de restaurantes) y a los interesados cuyos datos son tratados a través de la plataforma. Yefris actúa como Encargado del Tratamiento conforme al Art. 28 RGPD; el restaurante cliente es el Responsable del Tratamiento.
Yefris actúa como encargado del tratamiento (Art. 4.8 RGPD) respecto de los datos personales procesados a través de la plataforma app.yefris.com. El restaurante que contrata el servicio es el responsable del tratamiento (Art. 4.7 RGPD) y determina los fines y medios del procesamiento de datos de sus empleados, comensales y proveedores.
Esta distinción implica que:
Yefris trata los datos exclusivamente según las instrucciones del restaurante cliente.
El restaurante debe informar a sus empleados y comensales del tratamiento de sus datos conforme al Art. 13 RGPD.
El Contrato de Encargo de Tratamiento (CET), suscrito como anexo a los Términos y Condiciones del servicio, regula en detalle las obligaciones de ambas partes conforme al Art. 28.3 RGPD.
Para la información sobre cómo Yefris trata los datos propios de los representantes de restaurantes (nombre, email, contraseña de acceso a la plataforma), véase la Sección 2.
Finalidad: Gestión de la relación contractual, acceso a la plataforma, facturación del servicio y comunicaciones de soporte técnico y producto.
Datos: nombre, correo electrónico corporativo, datos de facturación (CIF del restaurante, razón social, dirección fiscal) y datos de método de pago (gestionados íntegramente por Stripe; Yefris no almacena datos de tarjeta).
Base jurídica: Ejecución del contrato de prestación de servicios (Art. 6.1.b RGPD) y cumplimiento de obligaciones legales de facturación (Art. 6.1.c RGPD).
Conservación: Durante la vigencia del contrato y 6 años adicionales por obligaciones fiscales y mercantiles (Art. 30 Código de Comercio, Art. 66 LGT).
3.1 Empleados del restaurante (gestión TPV y turnos)
Datos: nombre, rol/categoría profesional, PIN de acceso al TPV (almacenado con hash Argon2id, nunca en texto plano), registros de actividad en el TPV (logs de auditoría inmutables), turnos de caja.
Finalidad para el responsable (restaurante): control de acceso al sistema TPV, seguimiento de operaciones de caja, gestión de turnos.
Base jurídica para el responsable: Ejecución del contrato laboral (Art. 6.1.b RGPD) y obligación legal de control de la actividad (Art. 6.1.c RGPD).
3.2 Comensales (gestión de reservas)
Datos: nombre, teléfono y/o correo electrónico, número de comensales, fecha y hora de la reserva, y, cuando el restaurante solicite garantía de no-show, referencia tokenizada del método de pago (gestionada por Stripe; nunca se almacena el PAN completo).
Finalidad para el responsable: gestión de la agenda de reservas del restaurante.
Base jurídica para el responsable: Ejecución de medidas precontractuales (Art. 6.1.b) y, para el cargo de garantía, consentimiento explícito del comensal (Art. 6.1.a RGPD).
3.3 Facturas de proveedores (OCR con IA)
Datos: datos fiscales del proveedor (razón social, CIF/NIF, dirección), importes, referencias de productos y servicios contratados.
El procesamiento OCR se realiza mediante la API de Gemini 2.5 Flash (Google LLC), con quien se ha suscrito DPA conforme al Art. 28 RGPD y cuya prestación se realiza en región UE. Las imágenes de facturas no son conservadas por Google para entrenamiento de modelos.
Finalidad para el responsable: automatización de la contabilidad de compras.
Base jurídica para el responsable: Interés legítimo en la eficiencia administrativa (Art. 6.1.f RGPD) y obligación legal de conservación contable (Art. 6.1.c RGPD).
3.4 Tickets de venta (VeriFactu / facturación)
Datos: importes, líneas de producto, fecha, hora, número de mesa, empleado que realizó la venta. No se almacenan datos personales de los consumidores finales en los tickets (ventas anónimas).
Los registros de facturación incluyen hash criptográfico encadenado (SHA-256) conforme al Real Decreto 1007/2023 (VeriFactu). Conservación: mínimo 4 años (Art. 66 LGT), recomendado 6 años (Art. 30 CCom).
3.5 Imágenes del restaurante (onboarding)
Durante el proceso de onboarding, el representante del restaurante puede subir fotografías del plano del local, de la carta/menú y del logotipo. Estas imágenes son procesadas por Gemini 2.5 Flash para extraer información estructurada y, salvo el logotipo almacenado para personalización visual, no se conservan las imágenes originales más allá del proceso de importación.
3.6 Chatbot de onboarding «Yefri»
La plataforma dispone de un asistente conversacional denominado "Yefri" que ayuda al representante del restaurante durante el proceso de configuración inicial.
ℹ️ Aviso de transparencia IA (Art. 50.1 del Reglamento UE 2024/1689, AI Act): Yefri es un asistente basado en inteligencia artificial. Las conversaciones son procesadas mediante la API de Gemini 2.5 Flash (Google). No almacenamos el historial completo de conversaciones tras finalizar la sesión de onboarding.
Yefris ha contratado los siguientes subencargados para la prestación del servicio, todos con DPA suscrito conforme al Art. 28.4 RGPD:
Contabo GmbH --- infraestructura de alojamiento (VPS). Sede en Alemania (UE). Transferencia de datos en territorio UE.
Google LLC (Google Cloud / Gemini API) --- procesamiento IA (OCR y chatbot). Sede en EE.UU., con garantías mediante SCCs. Los datos de usuarios del EEE son procesados en región UE conforme al DPA de Google Cloud.
Stripe Inc. --- procesamiento de pagos (garantías de reserva, suscripción al servicio). Sede en EE.UU., con garantías mediante SCCs. Certificado PCI DSS nivel 1.
Brevo (Sendinblue SAS) --- envío de correos transaccionales (notificaciones de reserva, confirmaciones). Sede en Francia (UE).
Backblaze Inc. --- almacenamiento de copias de seguridad cifradas. Sede en EE.UU., región EU Central (Ámsterdam), con garantías mediante SCCs.
Netlify Inc. --- alojamiento de la web corporativa yefris.com. Sede en EE.UU., con garantías mediante SCCs.
Los restaurantes clientes, como responsables del tratamiento, quedan informados de la lista de subencargados y serán notificados de cualquier cambio con antelación suficiente para ejercer su derecho de oposición conforme al Art. 28.2 RGPD.
Los empleados y comensales cuyos datos son tratados a través de la plataforma deben dirigir el ejercicio de sus derechos al restaurante correspondiente (responsable del tratamiento). Yefris asistirá al restaurante en el cumplimiento de dichas solicitudes conforme al Art. 28.3.e RGPD.
Los representantes de restaurantes (usuarios directos de la plataforma) pueden ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad escribiendo a kike@yefris.com con el asunto "Ejercicio de derechos LOPD". Responderemos en el plazo máximo de un mes.
En todo caso, cualquier interesado puede presentar reclamación ante la AEPD (www.aepd.es).
En caso de brecha de seguridad que afecte a datos personales con riesgo para los derechos y libertades de los interesados, Yefris notificará al restaurante responsable sin dilación indebida y, en todo caso, en un plazo máximo de 72 horas desde que tenga conocimiento de ella (Art. 33 RGPD), para que el responsable pueda cumplir con sus propias obligaciones de notificación.
Las principales medidas técnicas y organizativas implementadas incluyen:
Cifrado en tránsito: TLS 1.3 para todas las comunicaciones. HSTS activo.
Cifrado de contraseñas y PINs: Argon2id (estado del arte en 2026).
Aislamiento multi-tenant: Row Level Security (RLS) en PostgreSQL 16, impidiendo el acceso cruzado entre restaurantes.
Copias de seguridad: WAL-G cifrado con punto de recuperación objetivo de 15 minutos, almacenadas en Backblaze EU Central. Retención de 7 días.
Control de acceso: autenticación por PIN (empleados TPV) y contraseña con hash (administradores), con registro de auditoría inmutable.
Monitorización: fail2ban activo, logs de acceso, endpoint de health check.
Procesamiento de pagos: nunca se almacenan datos de tarjeta (tokenización vía Stripe, certificado PCI DSS nivel 1).
Los datos tratados en la plataforma se conservarán durante la vigencia del contrato de servicio. Tras la baja o cancelación del servicio, Yefris conservará los datos durante un período adicional de 6 años para cumplir con las obligaciones legales de conservación contable y fiscal (Art. 30 CCom, Art. 66 LGT), transcurrido el cual procederá a su eliminación segura.
El restaurante puede solicitar la exportación de sus datos en cualquier momento desde la plataforma o escribiendo a kike@yefris.com.
Esta Política de Privacidad puede ser actualizada para adaptarse a cambios normativos, funcionales o en la lista de subencargados. Los restaurantes clientes serán notificados de cambios sustanciales por correo electrónico con un mínimo de 30 días de antelación.
Fecha de última actualización: 15 de marzo de 2026