Privacy Policy

POLÍTICA DE PRIVACIDAD
Sitio web wedely.com y aplicación móvil Wedely
Última actualización: 29 de abril de 2026

1. Identidad del responsable del tratamiento
La presente política se aplica a los tratamientos de datos personales efectuados por:

Wedely S.à r.l.
Sociedad de responsabilidad limitada de derecho luxemburgués
Domicilio social: 5, rue Aldringen, L-1118 Luxemburgo
RCS Luxemburgo: B233559
NIF intracomunitario: LU31754380

Delegado de Protección de Datos (DPD): privacy@wedely.com

2. Marco normativo
El tratamiento de datos personales por parte de Wedely se rige por:
  • el Reglamento (UE) 2016/679 de 27 de abril de 2016 (« RGPD ») ;
  • la ley luxemburguesa de 1 de agosto de 2018 relativa a la organización de la Comisión Nacional para la Protección de Datos y el régimen general de protección de datos;
  • la ley modificada de 30 de mayo de 2005 sobre las comunicaciones electrónicas (en materia de cookies y otros rastreadores);
  • las directrices y recomendaciones de la autoridad de control luxemburguesa y del Comité Europeo de Protección de Datos (EDPB).
3. Datos tratados y finalidades
Wedely trata sus datos personales exclusivamente en la medida necesaria para las finalidades indicadas. Los datos que tratamos proceden de:
  • Usted mismo/a: cuando crea una cuenta, realiza un pedido, deja una reseña, contacta con el servicio de atención al cliente o elige acceder mediante un servicio de inicio de sesión externo (Google, Apple);
  • Su dispositivo: cuando utiliza el sitio web o la aplicación, recopilamos automáticamente cierta información técnica (dirección IP, tipo de dispositivo, navegador, sistema operativo, parámetros de conexión, identificadores anónimos);
  • Servicios de terceros que ha vinculado expresamente a su cuenta: cuando elige registrarse o acceder mediante una cuenta social, recibimos del proveedor externo únicamente la información mínima necesaria para la autenticación (nombre y correo electrónico). No recuperamos ni conservamos ninguna otra información que el proveedor pudiera poner a disposición (como foto de perfil, contactos o contenido compartido).
A continuación se detallan las categorías de datos tratados con sus finalidades, bases jurídicas y plazos de conservación:

Identificación
Finalidad: creación y gestión de su cuenta de cliente
Base jurídica: ejecución del contrato (art. 6.1.b RGPD)   •   Conservación: duración de la cuenta + 3 años desde la última actividad
Datos de contacto (dirección de entrega, número de teléfono)
Finalidad: preparación, entrega y seguimiento de los pedidos
Base jurídica: ejecución del contrato (art. 6.1.b RGPD)   •   Conservación: 10 años (obligación contable)
Datos de transacción (pedidos, facturas)
Finalidad: facturación, trazabilidad, contabilidad
Base jurídica: obligación legal fiscal y contable (art. 6.1.c RGPD)   •   Conservación: 10 años desde la factura
Datos de pago
Finalidad: pago del pedido — tratados por Stripe (certificado PCI-DSS); Wedely no conserva los números de tarjeta
Base jurídica: ejecución del contrato (art. 6.1.b RGPD)   •   Conservación: según la política del proveedor de pago
Dirección IP, identificador de dispositivo, registro de conexión
Finalidad: seguridad, prevención del fraude, registro
Base jurídica: interés legítimo (art. 6.1.f RGPD)   •   Conservación: 12 meses
Reseñas y comentarios
Finalidad: publicación de reseñas, mejora de los servicios
Base jurídica: interés legítimo (art. 6.1.f RGPD)   •   Conservación: mientras el contenido sea útil para la finalidad
Datos de navegación y cookies
Finalidad: medición de audiencia, marketing (con consentimiento)
Base jurídica: consentimiento para las cookies no esenciales (art. 6.1.a RGPD)   •   Conservación: máximo 13 meses
Dirección de correo electrónico (newsletter)
Finalidad: envío de información comercial
Base jurídica: consentimiento (art. 6.1.a RGPD)   •   Conservación: hasta la retirada del consentimiento
Datos del formulario de contacto
Finalidad: respuesta a las solicitudes
Base jurídica: interés legítimo (art. 6.1.f RGPD)   •   Conservación: 3 años desde el último contacto

Nuestro sitio web puede contener enlaces a sitios de terceros. La presente política se aplica exclusivamente a los datos tratados por Wedely; le invitamos a consultar las políticas de privacidad de dichos sitios de terceros.

4. Destinatarios y encargados del tratamiento
Para las finalidades indicadas anteriormente, sus datos pueden ser comunicados:

Para la ejecución del contrato y la entrega de su pedido:
  • Restaurante asociado encargado de la preparación: recibe a través de su sistema de impresión el contenido del pedido, su nombre, la dirección de entrega, el número de teléfono, las posibles instrucciones de acceso (telefonillo) y las notas que haya introducido — información necesaria para preparar correctamente el pedido y ponerse en contacto con usted si fuera necesario.
  • Repartidor independiente encargado de la entrega: recibe su nombre, la dirección de entrega (textual), el número de teléfono, las posibles instrucciones de acceso y el contenido del pedido, en la medida estrictamente necesaria para realizar correctamente la entrega.
A proveedores técnicos que actúan como encargados del tratamiento (art. 28 RGPD):
  • LeaseWeb Deutschland GmbH (Fráncfort, Alemania — UE) — alojamiento principal e infraestructura técnica del sitio wedely.com;
  • Amazon Web Services (AWS, UE) — servicios de almacenamiento en la nube (por ejemplo, para imágenes y archivos);
  • Google LLC y Google Ireland Ltd. — servicios ofimáticos (Google Workspace), cartografía (Google Maps Platform), medición de audiencia (Google Analytics 4) y autenticación (Google Sign-In);
  • Apple Inc. (Estados Unidos) — autenticación mediante « Sign in with Apple » (sitio web y aplicación móvil) y, exclusivamente en la aplicación móvil, medición de atribución de instalaciones procedentes de la App Store;
  • Stripe Payments Europe Ltd. (Irlanda / Estados Unidos) — proveedor de servicios de pago certificado PCI-DSS, actúa como responsable independiente para las funciones de prevención del fraude;
  • Brevo (antes Sendinblue, Francia) — envío de correos electrónicos transaccionales y newsletter;
  • Twilio Inc. (Estados Unidos) — envío de SMS de notificación;
  • Meta Platforms Ireland Ltd. (Facebook, Estados Unidos) y Microsoft Ireland Operations Ltd. (Bing Ads, Estados Unidos) — servicios de publicidad en línea, activados exclusivamente con su consentimiento previo a las cookies de marketing;
  • Hotjar Ltd. / Contentsquare (Estados Unidos / UE) — herramientas de análisis de la experiencia del usuario, activadas exclusivamente con su consentimiento previo a las cookies funcionales.
  • OpenAI Ireland Ltd. (Irlanda / Estados Unidos) — proporciona el modelo de lenguaje que alimenta el asistente conversacional de atención al cliente (véase sección 9). Los datos que le enviamos están seudonimizados de antemano mediante la sustitución de nombre, apellidos, teléfono, dirección, nombre del telefonillo y notas de entrega por marcadores opacos: el asistente trabaja por tanto en un contexto sin identificadores directos. OpenAI actúa como encargado del tratamiento en virtud del art. 28 RGPD sobre la base del Acuerdo de Encargo de Tratamiento de Datos firmado con Wedely, no utiliza los datos de API para entrenar sus modelos y aplica una conservación técnica máxima de 30 días a efectos de prevención de abusos.
La lista actualizada de los encargados del tratamiento y de sus respectivos acuerdos de encargo (DPA) está disponible previa solicitud a privacy@wedely.com. A destinatarios para finalidades legales:
  • Administración tributaria luxemburguesa (DAC7 — Directiva (UE) 2021/514);
  • Autoridades judiciales o administrativas, previa solicitud legalmente fundamentada.
5. Transferencias fuera de la Unión Europea
Algunos de nuestros proveedores técnicos están establecidos o pueden tratar sus datos en terceros países respecto a la Unión Europea, en particular en Estados Unidos (Google, Apple, Stripe, Twilio, Meta, Microsoft, Hotjar/Contentsquare). En tal caso, la transferencia se enmarca:
  • en la decisión de adecuación EU-US Data Privacy Framework (Decisión de Ejecución (UE) 2023/1795 de 10 de julio de 2023), cuando el destinatario esté válidamente certificado;
  • o en las cláusulas contractuales tipo adoptadas por la Decisión de Ejecución (UE) 2021/914, completadas en su caso con medidas suplementarias conforme a la jurisprudencia Schrems II y a las Recomendaciones 01/2020 del EDPB.
6. Cookies y tecnologías de rastreo
En su primera visita, un banner le informa de la presencia de cookies y le permite rechazarlas, aceptarlas o personalizar su elección. Las cookies estrictamente necesarias se instalan sin consentimiento; las cookies funcionales, de medición de audiencia no exenta y de marketing se instalan exclusivamente con su consentimiento previo.

Puede modificar sus preferencias en cualquier momento en la página wedely.com/cookies_consent. La lista detallada de cookies está disponible en nuestra Política de Cookies.

7. Sus derechos
Conforme a los artículos 15 a 22 del RGPD, dispone de los siguientes derechos:
  • Derecho de acceso a sus datos y a obtener una copia;
  • Derecho de rectificación de los datos inexactos o incompletos;
  • Derecho de supresión de sus datos en los casos previstos en el artículo 17 del RGPD;
  • Derecho a la limitación del tratamiento;
  • Derecho a la portabilidad de sus datos en un formato estructurado y legible por máquina;
  • Derecho de oposición al tratamiento, en particular con fines de marketing directo;
  • Derecho a retirar su consentimiento en cualquier momento, sin que ello afecte a la licitud de los tratamientos anteriores;
  • Derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos o le afecte significativamente.
Wedely puede utilizar herramientas automatizadas para mejorar el servicio (por ejemplo, para sugerirle restaurantes relevantes, asignar su pedido al repartidor más cercano, prevenir fraudes y abusos). No tomamos decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos significativos: toda decisión que afecte a sus derechos contractuales (por ejemplo, suspensión de la cuenta o rechazo de un pedido) está sujeta a intervención humana.

Para ejercer sus derechos, contacte con nuestro DPD en la dirección privacy@wedely.com indicando su nombre, la dirección de correo electrónico asociada a su cuenta Wedely y el derecho que desea ejercer. Su solicitud será atendida en el plazo de un mes desde la verificación de su identidad, prorrogable por dos meses para solicitudes complejas (art. 12.3 RGPD). Podríamos solicitarle información adicional para confirmar su identidad por razones de seguridad.

Si considera que sus derechos no son respetados, puede presentar una reclamación ante la Commission nationale pour la protection des données (CNPD): https://cnpd.public.lu, 15 boulevard du Jazz, L-4370 Belvaux.

8. Marketing directo
Tiene derecho a oponerse en cualquier momento al tratamiento de sus datos con fines de marketing directo, incluida la elaboración de perfiles con fines de marketing. Puede hacerlo:
  • haciendo clic en el enlace « Cancelar suscripción » que figura al pie de cada correo electrónico comercial que reciba;
  • actualizando sus preferencias en la configuración de su cuenta Wedely;
  • escribiendo a privacy@wedely.com.
La oposición al marketing directo es gratuita y produce efecto inmediato. Continuará recibiendo únicamente las comunicaciones de servicio estrictamente necesarias para la ejecución de los pedidos (confirmaciones, notificaciones de entrega, facturas).

8.1. Elaboración de perfiles y personalización
Para ofrecerle una experiencia útil y relevante, Wedely realiza los siguientes niveles de tratamiento:
  • Personalización del sitio web y de la aplicación: utilizamos su historial de pedidos y sus interacciones para sugerirle restaurantes relevantes y mejorar su experiencia de navegación (base jurídica: interés legítimo);
  • Segmentación de las comunicaciones: si ha dado su consentimiento a la newsletter, podemos enviarle ofertas seleccionadas en función de sus intereses y hábitos de pedido (base jurídica: consentimiento);
  • Seguimiento publicitario entre sitios: si ha aceptado las cookies de marketing, nuestros socios publicitarios (Meta, Google Ads, Microsoft Bing Ads) y los identificadores publicitarios móviles (IDFA/AAID) nos permiten medir la eficacia de nuestras campañas y mostrarle anuncios relevantes en otros sitios web y aplicaciones que visite (base jurídica: consentimiento a las cookies de marketing).
Lo que NO hacemos: no llevamos a cabo decisiones automatizadas de alto riesgo (por ejemplo, puntuaciones sociales, puntuaciones crediticias, exclusión automática de la cuenta, valoraciones discriminatorias). Toda decisión que afecte a sus derechos contractuales está siempre sujeta a revisión humana.

Tiene derecho a oponerse en cualquier momento a la elaboración de perfiles con fines de marketing directo, mediante los mismos procedimientos descritos anteriormente (enlace de cancelación en los correos electrónicos, configuración de la cuenta, correo electrónico al DPD).

9. Comunicaciones de atención al cliente (chatbot y chat)
Wedely pone a su disposición algunas herramientas de atención al cliente accesibles desde el sitio web y la aplicación:
  • Asistente conversacional (chatbot) basado en inteligencia artificial. Cuando contacta con el servicio de atención al cliente desde el sitio web o la aplicación, sus preguntas son procesadas por un modelo de lenguaje proporcionado por OpenAI Ireland Ltd. (modelo actualmente en uso: GPT de la familia o-mini, sujeto a actualizaciones). Para reducir la exposición de sus datos personales, antes del envío al modelo aplicamos una seudonimización automática: nombre, apellidos, número de teléfono, dirección, nombre del telefonillo y notas de entrega son sustituidos por marcadores opacos (por ejemplo <<NOMBRE>>, <<TELÉFONO>>); el valor real se reinserta únicamente en la respuesta que usted lee, en el lado Wedely. El asistente recibe por tanto únicamente la información operativa necesaria para responderle (código de pedido, restaurante, estado de entrega, distancia del repartidor, importes, etc.) pero no los identificadores directos de quién es usted. El chatbot proporciona información y no adopta decisiones con efectos jurídicos frente a usted en el sentido del art. 22 RGPD: los reembolsos, cancelaciones y modificaciones de pedidos son siempre gestionados por personal humano. Puede solicitar en cualquier momento hablar con un operador escribiendo «humano» o utilizando el formulario de la página contacto.
  • Mensajes libres vinculados a un pedido. Para comunicar un problema o solicitar asistencia puede enviar un breve mensaje libre (máximo 256 caracteres) vinculado a un pedido concreto. El mensaje se conserva junto con el pedido con fines de trazabilidad y gestión de posibles reclamaciones y puede ser leído por nuestro personal de atención al cliente.
  • Chat con el repartidor durante la entrega. Desde el momento en que un repartidor acepta su pedido y hasta la entrega, puede comunicarse con usted mediante un chat en la aplicación limitado a la ejecución de la entrega. El chat permanece consultable durante un breve periodo tras el pedido para la gestión de posibles reclamaciones y no es procesado por sistemas de inteligencia artificial.
Base jurídica del chatbot de IA. Ejecución del contrato y medidas precontractuales (art. 6.1.b RGPD) para las solicitudes vinculadas a un pedido en curso, e interés legítimo (art. 6.1.f RGPD) en proporcionar una atención escalable y reducir los tiempos de respuesta, equilibrado con la seudonimización automática y la posibilidad de pasar en cualquier momento a un operador humano. Transferencias. Si OpenAI procesa los datos fuera del Espacio Económico Europeo, la transferencia está cubierta por el Data Privacy Framework y/o las cláusulas contractuales tipo (SCC) previstas en el art. 46 RGPD. Conservación. Las conversaciones con el chatbot se conservan en nuestros sistemas junto con el pedido de referencia durante el periodo de retención correspondiente; OpenAI conserva los datos de API durante un máximo de 30 días únicamente a efectos de prevención de abusos y no los utiliza para entrenar sus modelos. Distinción con la sección 11. La integración opcional con asistentes de IA externos (Model Context Protocol) descrita en la sección 11 es un canal separado que usted activa vinculando un conector a su asistente de IA personal: no recibe ni lee el contenido de las conversaciones de atención al cliente descritas aquí.

10. Seguridad
Wedely adopta medidas técnicas y organizativas adecuadas para garantizar la seguridad de sus datos: cifrado de las comunicaciones en tránsito, gestión rigurosa de los accesos, copias de seguridad periódicas, registro de actividades, formación del personal y pruebas de seguridad periódicas.

Medidas de seguridad y prevención del fraude. Para proteger el servicio frente a abusos y accesos automatizados, Wedely aplica controles técnicos (CAPTCHA más estricto, limitación de la frecuencia de envío de SMS de verificación, verificación adicional) cuya intensidad varía en función de indicadores estadísticos de riesgo — entre ellos la geolocalización aproximada de la dirección IP, utilizada como señal de riesgo y no como dato de carácter personal relativo a la nacionalidad. Base jurídica: art. 6.1.f RGPD (interés legítimo en la prevención del fraude). Estos controles no constituyen una decisión automatizada en el sentido del art. 22 RGPD; en caso de bloqueo automático, garantizamos la intervención de un operador humano escribiendo a info@wedely.com. Puedes oponerte al tratamiento en virtud del art. 21 RGPD escribiendo a privacy@wedely.com. Los criterios de riesgo se basan en datos estadísticos de abuso y no en la nacionalidad como tal.

11. Integración con asistentes de IA (Model Context Protocol)
Wedely ofrece una integración opcional con asistentes de IA de terceros mediante el Model Context Protocol (MCP). La integración es estrictamente opt-in y se activa únicamente si vincula expresamente Wedely como conector personalizado dentro de su asistente de IA.

Sin acceso a su cuenta Wedely. La integración no lee nombre, correo electrónico, teléfono, direcciones guardadas, métodos de pago, historial de pedidos ni ningún dato de su perfil Wedely. Cada sesión de pedido mediante IA es anónima desde nuestro punto de vista, identificada únicamente por un token aleatorio opaco generado para cada intento de pedido.

Qué recibimos a través de MCP. El asistente de IA nos envía exclusivamente los datos operativos necesarios para construir el pedido, es decir, los que usted mismo ha escrito en la conversación: dirección de entrega (y coordenadas geocodificadas correspondientes), contenido del carrito, hora de entrega elegida, un token de sesión aleatorio y un identificador anónimo de la plataforma de IA utilizada.

Qué devolvemos. En respuesta a las llamadas del asistente de IA, Wedely proporciona únicamente información pública (nombres y direcciones de restaurantes, menús, precios, horarios, opciones de entrega). Ningún dato personal de ningún usuario se incluye en las respuestas MCP.

Conservación. La sesión temporal de IA se conserva durante un máximo de 2 horas de inactividad, tras las cuales expira automáticamente; las sesiones expiradas se eliminan en un plazo de 24 horas. Si confirma el pedido en wedely.com, el pedido se crea en su cuenta según la sección 3 de la presente política. Si no se confirma ningún pedido, la sesión y su contenido se eliminan al expirar y no forman nunca parte de una cuenta de usuario.

Responsables separados y transferencias internacionales. El proveedor del asistente de IA es un responsable del tratamiento autónomo para la conversación que mantiene con su herramienta. Wedely y el proveedor del asistente de IA no son corresponsables ni están vinculados por una relación del art. 28 RGPD. Cuando el proveedor opera fuera del Espacio Económico Europeo, los datos que introduce en el asistente de IA son tratados según su política de privacidad y sus mecanismos de transferencia (DPF, cláusulas contractuales tipo). Wedely no transfiere sus datos personales al proveedor del asistente de IA.

Base jurídica. Medidas precontractuales a su solicitud (art. 6.1.b RGPD) junto con el consentimiento explícito (art. 6.1.a RGPD), prestado al vincular el conector MCP. Puede retirar su consentimiento en cualquier momento eliminando el conector de la configuración de su asistente de IA. No existe ningún proceso de toma de decisiones automatizado en el sentido del art. 22 RGPD: los pedidos siempre son confirmados manualmente por usted en wedely.com.

12. Contenidos generados o retocados con inteligencia artificial
Algunas imágenes ilustrativas publicadas en el sitio web y en la aplicación — en particular las fotos de los platos y las categorías de cocina — pueden estar generadas o retocadas con herramientas de inteligencia artificial. Estas imágenes tienen una finalidad puramente ilustrativa: representan una idea visual del plato y no constituyen una fotografía exacta del producto entregado, que puede diferir en emplatado, porción, ingredientes o presentación.

Control humano. Todas las imágenes generadas o retocadas con IA pasan por una revisión editorial humana a cargo del equipo Wedely (o del restaurante/establecimiento asociado) antes de ser publicadas.

Ningún dato personal de los clientes. Para producir estas imágenes, Wedely envía a sus proveedores de IA exclusivamente la descripción textual del plato, producto, cocina o establecimiento y la escena fotográfica. Ningún dato personal de los clientes es comunicado y no se representa ningún rostro ni persona real.

13. Modificaciones de la presente política
Wedely puede modificar la presente política para reflejar una evolución normativa, técnica u organizativa. Cualquier modificación sustancial se le comunicará mediante aviso en el sitio web o por correo electrónico.

14. Contacto
Para cualquier consulta relativa a la presente política:
  • Correo electrónico: privacy@wedely.com
  • Dirección postal: Wedely S.à r.l. — DPD, 5, rue Aldringen, L-1118 Luxemburgo