Política de privacidad

1. Responsable del tratamiento

El responsable del tratamiento de sus datos personales es:

• Denominación: PayTravel (REVIEW NEEDED: razón social registrada)
• Domicilio social: REVIEW NEEDED: domicilio social en España
• Contacto de privacidad: privacy@paytravel.co
• Contacto general: support@paytravel.co

No hemos designado Delegado de Protección de Datos (DPD); conforme al artículo 37 del RGPD no estamos obligados a ello. Para cualquier cuestión relativa a la privacidad escriba a privacy@paytravel.co.

2. Datos personales que tratamos

Tratamos las siguientes categorías de datos personales:

2.1 Datos de cuenta y servicio

• Nombre, correo electrónico, hash de contraseña y datos de la organización facilitados al registrarse.
• Contenido que usted aporta al Servicio (viajes, solicitudes, registros de clientes, archivos subidos).
• Comunicaciones que nos envía (correos de soporte, formularios de contacto).
• Metadatos de pago devueltos por nuestro procesador de pagos. No almacenamos números completos de tarjeta.

2.2 Datos de uso y dispositivo (analítica)

• Páginas visitadas, clics, desplazamiento, duración de la sesión, sitio de procedencia.
• Información del dispositivo y del navegador (user agent, tamaño de pantalla, idioma).
• Ubicación aproximada derivada de su dirección IP (a nivel de ciudad o región, nunca una coordenada GPS precisa).
• Identificadores almacenados en cookies y almacenamiento local utilizados para reconocer su navegador entre visitas (véase nuestra Política de cookies).

2.3 Identificadores con hash procedentes de formularios (datos proporcionados por el usuario de Google)

Cuando usted envía un formulario en nuestro sitio (por ejemplo, el formulario de contacto o un formulario de solicitud), nuestra etiqueta de Google puede detectar campos como su correo electrónico, teléfono, nombre o dirección, aplicarles una función de hash SHA-256 en su dispositivo y enviar los valores con hash a Google. Google utiliza estos hashes para mejorar la medición de conversiones y la coincidencia de audiencias en sus servicios. Solo realizamos este envío cuando usted ha concedido consentimiento de analítica o marketing en nuestro banner de cookies. Los valores en claro nunca salen de su dispositivo.

No recopilamos de forma consciente categorías especiales de datos personales (artículo 9 del RGPD) tales como datos de salud, biométricos o políticos, ni datos de menores de 16 años.

3. Base jurídica (artículo 6 del RGPD)

• Ejecución de un contrato (art. 6.1.b) — para prestarle el Servicio a usted y a su organización (creación de cuenta, autenticación, almacenamiento de sus datos, envío de correos transaccionales).
• Interés legítimo (art. 6.1.f) — para mantener el Servicio seguro, prevenir fraudes y abusos, y depurar incidencias técnicas.
• Consentimiento (art. 6.1.a) — para todas las cookies y tecnologías similares de analítica, publicidad y personalización, y para el hash de datos de formulario descrito arriba. Usted otorga este consentimiento mediante nuestro banner de cookies y puede retirarlo en cualquier momento (véase la sección 8).
• Obligación legal (art. 6.1.c) — cuando sea necesario cumplir la normativa aplicable (por ejemplo, atender un requerimiento judicial).

4. Finalidades del tratamiento

4.1 Necesarias para la prestación del Servicio

Autenticarle, almacenar los viajes, solicitudes, reservas y registros de clientes que usted crea, enviar correos transaccionales (enlaces mágicos, confirmaciones de reserva) y mantener la plataforma segura.

4.2 Analítica y medición (consentidas)

Comprender cómo se encuentra y se utiliza el Servicio para mejorarlo. Utilizamos Google Analytics 4 con Google signals activado, lo que asocia su actividad con su cuenta de Google iniciada solo si usted tiene activada la personalización de anuncios en dicha cuenta.

4.3 Publicidad y remarketing (consentidas)

Medir la eficacia de las campañas publicitarias, construir audiencias de remarketing en los servicios de Google y mejorar la precisión de esas mediciones mediante datos proporcionados por el usuario con hash.

No vendemos sus datos personales. No los compartimos con terceros para fines de marketing independientes.

5. Encargados del tratamiento y destinatarios

Nos apoyamos en los siguientes encargados, que actúan siguiendo nuestras instrucciones en virtud de un Contrato de Encargo del Tratamiento (artículo 28 del RGPD):

• Google LLC (Google Tag Manager + Google Analytics 4, Google signals) — gestor de etiquetas, analítica, medición de audiencias y publicidad. Puede tratar datos en Estados Unidos al amparo del Marco de Privacidad de Datos UE-EE. UU., del que Google es participante certificado. Consulte la política de privacidad de Google y la lista del Data Privacy Framework.
• Cloudflare, Inc. — alojamiento, distribución de contenido, seguridad en el borde, envío de correos transaccionales, base de datos (D1) y almacenamiento de objetos (R2). Tratamiento principalmente en la Unión Europea; parte del tráfico puede servirse desde el nodo Cloudflare más cercano a escala global. Consulte la política de privacidad de Cloudflare.
• Stripe Payments Europe, Ltd. — procesamiento de pagos y prevención del fraude en el proceso de pago. Stripe actúa como responsable independiente para determinadas actividades (p. ej., detección del fraude); consulte la política de privacidad de Stripe.
• Functional Software, Inc. (Sentry) — monitorización de errores y rendimiento. Captura trazas de pila, metadatos de la petición y, cuando esté disponible, el identificador del usuario con fines de diagnóstico. Puede tratar datos en Estados Unidos al amparo del Marco de Privacidad de Datos UE-EE. UU. Consulte la política de privacidad de Sentry.
• PostHog, Inc. — analítica de producto y análisis de sesiones y eventos en el panel autenticado. Alojado en la UE cuando es posible; consulte la política de privacidad de PostHog.
• Microsoft Corporation (Microsoft Clarity) — grabación de sesiones y mapas de calor para entender cómo interactúan los visitantes con nuestras páginas. Puede tratar datos en Estados Unidos al amparo del Marco de Privacidad de Datos UE-EE. UU., del que Microsoft es participante certificado. Consulte la declaración de privacidad de Microsoft.

6. Transferencias internacionales

Algunos encargados, en particular Google, están establecidos en Estados Unidos. Las transferencias fuera del Espacio Económico Europeo se amparan en el Marco de Privacidad de Datos UE-EE. UU. (Decisión de Ejecución (UE) 2023/1795) cuando el destinatario está certificado, o en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, complementadas con medidas técnicas como truncamiento de IP y cifrado en tránsito.

7. Seguimiento entre dispositivos (Google signals)

Con su consentimiento, activamos Google signals. Esta funcionalidad permite que Google Analytics asocie la actividad de los usuarios que han iniciado sesión en Google con su cuenta de Google a través de los distintos dispositivos que utilizan, cuando tienen activada la personalización de anuncios en su cuenta. Nosotros únicamente vemos informes agregados en nuestro panel de analítica; no recibimos la identidad de su cuenta de Google. Puede desactivar la personalización de anuncios en su cuenta de Google en cualquier momento, con independencia de nuestro banner de cookies.

8. Plazos de conservación

• Datos de eventos y usuarios de Google Analytics 4: 14 meses desde la última visita; Google los elimina automáticamente después.
• Datos de cuenta: mientras su cuenta esté activa, más un breve periodo posterior a la baja para atender obligaciones legales o financieras.
• Registro de consentimiento (cookie cookie_consent): 6 meses desde su última elección; tras ese plazo solicitamos el consentimiento de nuevo.
• Registros de servidor: habitualmente 30 días por motivos de seguridad y depuración.
• Registros de correo electrónico: mientras sea comercial o legalmente necesario.

9. Sus derechos

Conforme a los artículos 15 a 22 del RGPD y a la LOPDGDD, usted tiene derecho a:

• Acceso a los datos personales que tratamos sobre usted (art. 15).
• Rectificación de datos inexactos o incompletos (art. 16).
• Supresión ("derecho al olvido") (art. 17).
• Limitación del tratamiento (art. 18).
• Portabilidad en un formato legible por máquina (art. 20).
• Oposición al tratamiento basado en el interés legítimo (art. 21).
• Retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo a la retirada (art. 7.3).

Para ejercer cualquiera de estos derechos escriba a privacy@paytravel.co. Responderemos en el plazo máximo de un mes que exige el artículo 12.3 del RGPD.

10. Retirada del consentimiento

Abra sus preferencias de cookies en cualquier momento mediante el enlace Preferencias de cookies del pie de página. Desde ahí puede desactivar las categorías de analítica, marketing y personalización; su nueva elección sustituye a cualquier consentimiento anterior y surte efecto en cada carga de página posterior.

11. Derecho a presentar reclamación

Si considera que nuestro tratamiento de sus datos personales infringe el RGPD, tiene derecho a presentar reclamación ante la autoridad de control española, la Agencia Española de Protección de Datos:

• Web: www.aepd.es
• Dirección: C/ Jorge Juan, 6, 28001 Madrid, España

Le agradeceríamos que nos diera la oportunidad de atender sus inquietudes antes de presentar una reclamación: por favor escriba a privacy@paytravel.co.

12. Modificaciones de esta Política

Podemos actualizar esta Política para reflejar cambios en nuestras prácticas o en la normativa. Los cambios sustanciales se anunciarán en esta página y se modificará la fecha de "Última actualización". El uso continuado del Servicio tras un cambio implica la aceptación de la Política actualizada.

13. Contacto

Cuestiones de privacidad: privacy@paytravel.co
Soporte general: support@paytravel.co