PARTE I: DISPOSICIONES GENERALES
1. Responsable del tratamiento de datos personales
ORDEREAT SOFTWORKS, S.A.P.I. DE C.V. (en adelante “OrderEat”, “el Responsable” o “Nosotros”), con domicilio principal en Calle Huatusco número 19, apartamento 9, Colonia Roma Sur, Alcaldía Benito Juárez, Código Postal 06760, Ciudad de México, México, es la entidad responsable de recabar, almacenar, usar, tratar y proteger los datos personales de los usuarios de su plataforma.
La presente Política de Privacidad aplica a todos los usuarios de la plataforma OrderEat, independientemente del país desde el cual accedan al servicio. Cuando la legislación local de un país establezca requisitos adicionales o distintos, estos se detallan en la Parte III del presente documento.
2. Datos personales que recabamos
OrderEat recaba las siguientes categorías de datos personales:
Datos de identificación: nombre completo del usuario (padre, madre o tutor) y del comensal (alumno).
Datos de contacto: número telefónico, correo electrónico, dirección.
Datos escolares: nombre de la institución educativa, grado, grupo u otra información estudiantil necesaria para la prestación del servicio.
Datos financieros: información de tarjeta de crédito o débito procesada a través de plataformas de pago seguras de terceros. OrderEat no almacena números completos de tarjeta.
Fotografías: cuando el Colegio haya activado esta funcionalidad, el usuario podrá subir de manera opcional fotografías de los comensales con la única finalidad de facilitar su identificación visual, conforme a lo establecido en la Sección 3 de esta Política.
Datos biométricos: cuando el Colegio haya activado la funcionalidad de identificación biométrica, se recopilarán datos de huella dactilar conforme a lo establecido en la Sección 5 de esta Política.
Datos de navegación: dirección IP, tipo de navegador, sistema operativo, páginas visitadas y otros datos recopilados mediante cookies y tecnologías de rastreo.
Los datos personales son recabados a través de los siguientes medios: la aplicación móvil de OrderEat, el sitio web (www.ordereat.com), correo electrónico, y directamente a través del Colegio cuando este realiza el registro de comensales.
3. Datos personales sensibles
OrderEat podrá tratar las siguientes categorías de datos personales sensibles, únicamente en aquellos Colegios que hayan activado las funcionalidades correspondientes:
Fotografías de comensales: cuando el Colegio haya activado la funcionalidad de identificación visual, el usuario podrá proporcionar de manera opcional fotografías de los comensales con la única finalidad de facilitar su identificación. Las fotografías de los Comensales, particularmente cuando se trate de menores de edad, se consideran datos personales sensibles en términos de la Ley Federal de Protección de Datos Personales en Posesión de Particulares. El Titular reconoce que la entrega de dichas imágenes es opcional y manifiesta que cuenta con la patria potestad, tutela o autorización legal para proporcionarlas. ORDEREAT aplicará medidas de seguridad administrativas, físicas y técnicas reforzadas para su resguardo, asegurando en todo momento su confidencialidad y uso limitado a las finalidades señaladas en este Aviso de Privacidad.
Datos biométricos (templates de huella dactilar): cuando el Colegio haya activado la funcionalidad de identificación biométrica, se tratarán datos de huella dactilar conforme al procedimiento descrito en la Sección 5 de esta Política.
El tratamiento de datos sensibles requiere el consentimiento expreso y por escrito del titular o, en el caso de menores de edad, de su padre, madre o representante legal. Dicho consentimiento se recabará de forma específica e independiente de la aceptación general de los presentes términos.
4. Finalidades del tratamiento
4.1 Finalidades primarias (necesarias para la prestación del servicio)
Desarrollo y operación del servicio de automatización de pedidos y gestión de comedor escolar.
Registro, identificación y autenticación de usuarios y comensales.
Procesamiento de transacciones comerciales, cobros y recargas.
Generación de reportes de consumo para el Colegio y los padres o representantes legales.
Atención de solicitudes, dudas, quejas y soporte técnico.
4.2 Finalidades secundarias
Envío de comunicaciones informativas sobre el servicio.
Mejora de la plataforma y experiencia del usuario.
Elaboración de estadísticas y análisis agregados (no identificables) sobre el uso del servicio.
Si usted no desea que sus datos personales se utilicen para las finalidades secundarias, podrá comunicarlo a través de los medios de contacto indicados en la Sección 9.
El Responsable no es responsable de la veracidad ni la precisión de los datos proporcionados por el usuario, ni se obliga a verificar la identidad de los usuarios.
5. Tratamiento de datos biométricos
5.1 Alcance
La presente sección aplica exclusivamente a aquellas instituciones educativas (en adelante, “Colegios”) que, en el marco de los servicios prestados por OrderEat, hayan optado por implementar funcionalidades de identificación de usuarios mediante datos biométricos. Si el Colegio donde está inscrito el alumno no utiliza esta funcionalidad, la presente sección no resulta aplicable.
5.2 Qué datos biométricos recopilamos y cómo los procesamos
Cuando un Colegio activa la funcionalidad de identificación biométrica, OrderEat puede recopilar datos de huella dactilar de los alumnos con el único fin de identificarlos en el sistema de comedor escolar.
Es importante destacar que OrderEat no almacena la imagen original de la huella dactilar ni el dato biométrico en bruto en ningún momento. El proceso técnico es el siguiente:
Captura momentánea. Al momento del registro inicial, el dispositivo lector captura la huella dactilar del alumno.
Conversión inmediata a template matemático. El sistema extrae automáticamente un conjunto de puntos característicos de la huella y los convierte en una representación matemática cifrada denominada “template biométrico”. Este template es un código numérico único que no contiene ni reproduce la imagen de la huella.
Proceso irreversible. El template se genera mediante un proceso criptográfico de hash irreversible. Esto significa que no es posible reconstruir, reproducir ni obtener la imagen original de la huella dactilar a partir del template almacenado, ni por OrderEat ni por terceros.
Descarte automático de la imagen original. Una vez generado el template, la imagen capturada de la huella es descartada automáticamente. En ningún momento se almacena, transmite, conserva o respalda la imagen biométrica original.
Verificación por comparación. Cada vez que el alumno se identifica en el comedor, el dispositivo genera un nuevo template temporal a partir de la lectura y lo compara con el template registrado. Si coinciden, se autentica la identidad. El template temporal se descarta inmediatamente después de cada verificación.
En resumen: OrderEat únicamente almacena un código matemático cifrado e irreversible derivado de la huella dactilar, nunca la huella en sí ni su imagen. Este diseño responde al principio de minimización de datos y privacidad por diseño.
5.3 Finalidad del tratamiento biométrico
El template biométrico se utiliza única y exclusivamente para:
Identificar y autenticar al alumno en el punto de servicio del comedor escolar.
Registrar el consumo de alimentos asociado a su cuenta.
Generar reportes de uso del servicio de comedor para el Colegio y los padres o representantes legales.
Los datos biométricos no serán utilizados para ningún otro fin, incluyendo pero sin limitarse a: elaboración de perfiles, publicidad, seguimiento de comportamiento, cesión o venta a terceros, ni cualquier propósito ajeno a la operación del comedor escolar.
5.4 Consentimiento para datos biométricos
El uso de la identificación biométrica es estrictamente voluntario y requiere consentimiento previo, expreso, libre, informado, específico e inequívoco.
Para alumnos menores de edad: se requiere el consentimiento del padre, madre o tutor legal. En jurisdicciones donde la legislación permita que adolescentes a partir de cierta edad otorguen su propio consentimiento, se respetará dicha normativa como complemento al consentimiento parental.
Revocación libre: el consentimiento podrá ser revocado en cualquier momento, sin necesidad de expresar causa, mediante comunicación escrita al Colegio o directamente a OrderEat al correo contacto@ordereat.com. La revocación surtirá efecto dentro de los cinco (5) días hábiles siguientes y no afectará la licitud del tratamiento realizado con anterioridad.
Alternativa no biométrica: en caso de no otorgarse o revocarse el consentimiento, el alumno podrá utilizar el servicio de comedor mediante un método alternativo de identificación (código personal, tarjeta u otro medio que disponga el Colegio). La negativa al uso de datos biométricos no implicará restricción, discriminación ni limitación alguna en el acceso al servicio.
5.5 Medidas de seguridad para datos biométricos
Además de las medidas generales descritas en la Sección 7, OrderEat aplica las siguientes protecciones adicionales para los templates biométricos:
Cifrado en tránsito mediante protocolos TLS/SSL y cifrado en reposo mediante algoritmos estándar de la industria.
Almacenamiento en infraestructura con controles de acceso lógico y físico restringidos.
Acceso limitado exclusivamente al personal autorizado, bajo el principio de privilegio mínimo.
Registros de auditoría que documentan todo acceso o evento relacionado con templates biométricos.
Evaluaciones periódicas de seguridad y pruebas de vulnerabilidad.
5.6 Retención y eliminación de datos biométricos
El template biométrico será conservado únicamente mientras se cumplan simultáneamente las siguientes condiciones:
el alumno se encuentre matriculado en el Colegio;
el Colegio mantenga vigente su contrato de servicios con OrderEat; y
el consentimiento del representante legal no haya sido revocado.
Al dejar de cumplirse cualquiera de estas condiciones, el template biométrico será eliminado de forma segura, definitiva e irreversible en un plazo máximo de treinta (30) días calendario. A solicitud del Colegio o del representante legal, OrderEat emitirá una constancia escrita de eliminación.
5.7 Incidentes de seguridad relacionados con datos biométricos
En caso de producirse un incidente de seguridad que pueda comprometer los templates biométricos, OrderEat notificará al Colegio afectado y, cuando la legislación local así lo exija, a la autoridad de protección de datos competente, dentro de los plazos establecidos por la normativa aplicable. Se informará igualmente a los representantes legales de los alumnos afectados cuando el incidente pueda suponer un riesgo para sus derechos.
6. Uso de tecnologías de rastreo
OrderEat utiliza cookies y tecnologías similares para recopilar datos de navegación de los usuarios. Estas tecnologías permiten mejorar la experiencia de uso, recordar preferencias y realizar análisis estadísticos del tráfico web.
El usuario podrá deshabilitar las cookies desde la configuración de su navegador. Para mayor información sobre cómo hacerlo, puede contactarnos a través de los medios indicados en la Sección 9.
7. Medidas de seguridad
OrderEat implementa medidas de seguridad técnicas, administrativas y físicas para proteger los datos personales contra daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado. Entre estas medidas se incluyen:
Cifrado de contraseñas mediante algoritmo PBKDF2.
Comunicaciones cifradas mediante protocolos TLS/SSL.
Controles de acceso basados en roles y principio de privilegio mínimo.
Almacenamiento en servidores con certificaciones de seguridad de la industria.
Políticas internas de confidencialidad para el personal con acceso a datos personales.
Los datos personales del usuario serán tratados bajo la más estricta confidencialidad, cuidando las medidas de seguridad administrativas, técnicas y físicas para su protección.
8. Transferencias de datos personales
8.1 Transferencias a terceros
OrderEat podrá transferir datos personales a las siguientes categorías de terceros, únicamente para las finalidades descritas en la Sección 4:
Colegios o instituciones educativas con las que el usuario tiene una relación contractual de servicio de comedor.
Proveedores de servicios alimentarios que operan los comedores escolares.
Procesadores de pago para la gestión de transacciones financieras.
Proveedores de servicios tecnológicos (hosting, infraestructura en la nube) necesarios para la operación de la plataforma.
En todos los casos, OrderEat exige a dichos terceros el cumplimiento de estándares equivalentes de protección de datos personales.
8.2 Transferencias internacionales
Debido a la naturaleza de las operaciones de OrderEat, los datos personales podrán ser almacenados o procesados en servidores ubicados en un país distinto al del usuario. OrderEat garantiza que dichos datos contarán con un nivel de protección equivalente o superior al exigido por la legislación local aplicable, mediante cláusulas contractuales, estándares de seguridad u otros mecanismos de garantía reconocidos por la normativa vigente.
9. Derechos de los titulares de datos personales
Todo titular de datos personales, o su representante legal debidamente acreditado, podrá ejercer los siguientes derechos:
Acceso: conocer qué datos personales tenemos sobre usted y las condiciones de su tratamiento.
Rectificación: solicitar la corrección de datos personales inexactos o incompletos.
Cancelación / Supresión: solicitar la eliminación de sus datos personales cuando considere que no están siendo tratados conforme a los principios y deberes aplicables.
Oposición: oponerse al tratamiento de sus datos personales para fines específicos.
Portabilidad: solicitar la entrega de sus datos en formato estructurado, de uso común y lectura mecánica, cuando la legislación local así lo contemple.
Revocación del consentimiento: retirar en cualquier momento el consentimiento otorgado para el tratamiento de sus datos personales, sin efecto retroactivo.
9.1 Cómo ejercer sus derechos
Para ejercer cualquiera de los derechos mencionados, el titular o su representante legal podrá presentar una solicitud a través de:
Correo electrónico: contacto@ordereat.com
Dirección postal: Calle Huatusco número 19, apartamento 9, Colonia Roma Sur, Alcaldía Benito Juárez, C.P. 06760, Ciudad de México, México.
A través del Colegio: canalizando la solicitud mediante la administración del Colegio donde esté inscrito el alumno.
La solicitud deberá contener: (i) nombre del titular, (ii) domicilio o correo electrónico para recibir la respuesta, (iii) documentos que acrediten la identidad o, en su caso, la representación legal, (iv) descripción clara de los datos y el derecho que se desea ejercer, y (v) cualquier otro elemento que facilite la localización de los datos.
OrderEat dará respuesta en un plazo máximo de veinte (20) días hábiles contados desde la recepción de la solicitud completa. Este plazo podrá ser menor cuando la legislación local del país del titular establezca un término más corto.
9.2 Responsable de protección de datos
La persona o departamento encargado de la protección de datos personales y de atender las solicitudes de los titulares es:
Nombre: Departamento de Protección de Datos Personales
Correo: contacto@ordereat.com
Teléfono: +598 94 155 451
10. Retención de datos personales
OrderEat conservará los datos personales únicamente durante el tiempo necesario para cumplir con las finalidades descritas en esta Política, o por el tiempo que la legislación aplicable lo requiera. Como criterio general:
Los datos de cuenta del usuario se conservan mientras la cuenta esté activa y durante el período que establezca la legislación fiscal y comercial aplicable después de su cancelación.
Los datos de comensales se conservan mientras el alumno esté matriculado en un Colegio que utilice la plataforma OrderEat.
Los datos biométricos se rigen por la política específica de la Sección 5.6.
Los datos de navegación (cookies) se rigen por la vigencia de cada cookie según su tipo.
Una vez cumplidos los plazos de retención, los datos serán eliminados o anonimizados de forma segura.
11. Excepciones al consentimiento
De conformidad con la legislación aplicable, existen supuestos en los cuales OrderEat podrá tratar datos personales sin el consentimiento del titular, incluyendo pero sin limitarse a: cuando sea necesario para el cumplimiento de una obligación legal, cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo, cuando los datos figuren en fuentes de acceso público, o cuando sean necesarios para el ejercicio o defensa de un derecho en un proceso judicial.
12. Cambios a esta Política de Privacidad
OrderEat podrá modificar la presente Política de Privacidad en cualquier momento. Cualquier cambio será informado a través de:
Publicación de la versión actualizada en el sitio web www.ordereat.com.
Notificación mediante correo electrónico cuando se trate de cambios sustanciales.
Comunicación a través de los Colegios cuando los cambios afecten el tratamiento de datos de comensales.
Si las modificaciones involucran cambios en las finalidades del tratamiento o en las categorías de datos sensibles recopilados, se solicitará nuevamente el consentimiento del titular cuando la legislación aplicable así lo requiera.
13. Consentimiento del titular
Al utilizar la plataforma OrderEat, el titular manifiesta que: (i) la presente Política de Privacidad le ha sido dada a conocer por el Responsable; (ii) ha leído, entendido y aceptado los términos aquí contenidos; y (iii) otorga su consentimiento para el tratamiento de sus datos personales conforme a las finalidades y condiciones establecidas.
PARTE II: LEGISLACIÓN APLICABLE
PARTE III: DISPOSICIONES ESPECÍFICAS POR PAÍS
Las siguientes disposiciones complementan las secciones generales de esta Política y aplican únicamente a los usuarios ubicados en el país correspondiente. En caso de conflicto, las disposiciones específicas por país prevalecen sobre las generales.
15. Disposiciones específicas para México
Las siguientes disposiciones complementan las secciones generales de esta Política en cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento
15.1 Aviso de privacidad
El presente documento constituye el Aviso de Privacidad integral de OrderEat en los términos del artículo 15 de la LFPDPPP. Se pone a disposición del titular antes o al momento de recabar sus datos personales.
15.2 Derechos ARCO
Los titulares en México podrán ejercer sus derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) conforme a los procedimientos establecidos en la Sección 9 de esta Política. El plazo de respuesta será de veinte (20) días hábiles conforme a la LFPDPPP.
15.3 Limitación de uso y divulgación
El titular podrá solicitar la limitación del uso o divulgación de sus datos personales enviando su solicitud a contacto@ordereat.com. Asimismo, podrá inscribirse en el Registro Público para Evitar Publicidad (REPEP) de la PROFECO.
15.4 Transferencias
El Responsable podrá transferir datos personales a terceros nacionales o extranjeros en los términos de los artículos 36 y 37 de la LFPDPPP. El consentimiento del titular no será necesario cuando la transferencia se encuentre dentro de las excepciones previstas en el artículo 37 de dicha Ley.
15.5 Datos sensibles conforme a la LFPDPPP
De conformidad con la LFPDPPP, los datos sensibles (incluyendo fotografías de menores y datos biométricos) requieren consentimiento expreso y por escrito del titular, el cual se recabará mediante formatos específicos independientes de la aceptación general de esta Política.
16. Disposiciones específicas para Chile
Las siguientes disposiciones complementan las secciones generales de esta Política en cumplimiento de la Ley 19.628 sobre Protección de la Vida Privada y la Ley 21.719 que la modifica (vigente a partir del 1 de diciembre de 2026).
16.1 Datos biométricos como datos sensibles
Conforme a la legislación chilena, los datos biométricos (incluido el template de huella dactilar) son considerados datos personales sensibles que requieren un nivel de protección reforzado. El tratamiento de estos datos se realiza en estricto cumplimiento del principio de proporcionalidad y necesidad.
16.2 Consentimiento para datos de menores de edad
El tratamiento de datos personales de niños, niñas y adolescentes se realizará atendiendo al interés superior del menor y al respeto de su autonomía progresiva. Para menores de 14 años, se requiere el consentimiento del padre, madre o representante legal. Para adolescentes mayores de 14 años, la legislación chilena permite que sean los propios adolescentes quienes otorguen su consentimiento informado de forma complementaria al consentimiento parental.
16.3 Derechos específicos bajo la Ley 21.719
Además de los derechos generales descritos en la Sección 9, los titulares en Chile podrán ejercer el derecho de portabilidad de sus datos personales, así como el derecho a no ser objeto de decisiones individuales automatizadas, en los términos que establezca la Ley 21.719.
16.4 Notificación de brechas de seguridad
En caso de incidente de seguridad que afecte datos personales de titulares en Chile, OrderEat notificará a la Agencia de Protección de Datos Personales y a los titulares afectados conforme a los plazos y procedimientos que establezca la Ley 21.719.
16.5 Evaluación de impacto
Cuando el tratamiento de datos biométricos de menores de edad en colegios chilenos lo amerite, OrderEat realizará una Evaluación de Impacto en la Protección de Datos conforme a los lineamientos que establezca la autoridad competente.
17. Disposiciones específicas para Uruguay
Las siguientes disposiciones complementan las secciones generales de esta Política en cumplimiento de la Ley 18.331 de Protección de Datos Personales y Acción de Habeas Data y su Decreto Reglamentario 414/009.
17.1 Registro de base de datos
En cumplimiento de la legislación uruguaya, OrderEat registrará ante la Unidad Reguladora y de Control de Datos Personales (URCDP) las bases de datos que contengan datos personales de titulares en Uruguay, cuando corresponda conforme a la normativa vigente.
17.2 Datos sensibles
Conforme al artículo 18 de la Ley 18.331, los datos sensibles (incluyendo datos biométricos cuando habiliten la identificación de una persona) solo podrán ser tratados cuando exista consentimiento expreso y escrito del titular, o cuando sean necesarios para razones de interés general autorizadas por ley. Ninguna persona podrá ser obligada a proporcionar datos sensibles.
17.3 Evaluación de impacto para datos biométricos
El tratamiento de datos biométricos en colegios uruguayos estará sujeto a la realización previa de una evaluación de impacto en la protección de datos personales, conforme al artículo 9 de la Ley 18.331 y las disposiciones reglamentarias aplicables.
17.4 Derechos de los titulares en Uruguay
Los titulares en Uruguay podrán ejercer los derechos de acceso, rectificación, actualización, inclusión, supresión y oposición conforme a la Ley 18.331, así como la acción de Habeas Data ante los tribunales competentes cuando consideren que sus derechos han sido vulnerados. El plazo de respuesta a solicitudes de acceso será de cinco (5) días hábiles conforme a la legislación uruguaya.
17.5 Transferencias internacionales
La transferencia de datos personales de titulares en Uruguay a países que no cuenten con un nivel adecuado de protección se realizará únicamente mediante la adopción de garantías adecuadas reconocidas por la URCDP, incluyendo cláusulas contractuales tipo o el consentimiento expreso e informado del titular.
18. Disposiciones específicas para Argentina
Las siguientes disposiciones complementan las secciones generales de esta Política en cumplimiento de la Ley 25.326 de Protección de Datos Personales y su Decreto Reglamentario 1558/2001.
18.1 Registro de base de datos
En cumplimiento de la legislación argentina, OrderEat registrará ante la Agencia de Acceso a la Información Pública (AAIP) las bases de datos que contengan datos personales de titulares en Argentina, cuando corresponda conforme a la normativa vigente.
18.2 Datos sensibles
Conforme al artículo 7 de la Ley 25.326, ninguna persona puede ser obligada a proporcionar datos sensibles. Los datos biométricos que permitan identificar a una persona se consideran datos sensibles cuando de ellos pueda revelarse información adicional susceptible de generar discriminación. En todos los casos, el tratamiento de datos sensibles requiere consentimiento expreso y escrito del titular.
18.3 Consentimiento de menores de edad
El tratamiento de datos personales de menores de edad en Argentina se rige por el principio de autonomía progresiva establecido en el Código Civil y Comercial de la Nación y la Convención sobre los Derechos del Niño. Para menores de 13 años, se requiere el consentimiento de los padres o representantes legales. Los adolescentes entre 13 y 18 años podrán otorgar su consentimiento para el tratamiento de datos personales no sensibles de conformidad con los lineamientos de la AAIP.
18.4 Derechos de los titulares en Argentina
Los titulares en Argentina podrán ejercer los derechos de acceso, rectificación, actualización y supresión conforme a la Ley 25.326. El derecho de acceso podrá ejercerse de forma gratuita a intervalos no menores de seis (6) meses, salvo interés legítimo. El plazo de respuesta será de diez (10) días hábiles para solicitudes de acceso y de cinco (5) días hábiles para solicitudes de rectificación, actualización o supresión. Los titulares también podrán interponer la acción de Habeas Data ante los tribunales competentes.
18.5 Transferencias internacionales
La transferencia de datos personales de titulares en Argentina a países que no proporcionen un nivel adecuado de protección se realizará únicamente cuando se cumplan las excepciones previstas en el artículo 12 de la Ley 25.326, o mediante la adopción de garantías contractuales adecuadas aprobadas por la AAIP.