Política de Privacidad
Última actualización: [FECHA_VIGENCIA] · Versión 1.0
1. Información básica sobre Protección de Datos
| Responsable | Sombrilleo (en adelante, "Sombrilleo") |
| Finalidad | Prestación del servicio de reserva de hamacas y sombrillas en zonas de playa, gestión de la cuenta de usuario, atención al cliente y cumplimiento de obligaciones legales |
| Legitimación | Ejecución de un contrato del que el interesado es parte (art. 6.1.b RGPD); consentimiento del interesado (art. 6.1.a RGPD) en supuestos específicos; cumplimiento de obligaciones legales (art. 6.1.c RGPD); interés legítimo (art. 6.1.f RGPD) en supuestos específicos |
| Destinatarios | Encargados del tratamiento listados en el apartado 7. No se cederán datos a terceros salvo obligación legal |
| Derechos | Acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de los datos y retirada del consentimiento, según se detalla en el apartado 9 |
| Información adicional | Puede consultar la información detallada en los apartados siguientes |
2. Responsable del tratamiento
El responsable del tratamiento de los datos personales recogidos a través de la plataforma Sombrilleo es:
- Razón social: Sombrilleo
- CIF: [CIF]
- Domicilio social: [DIRECCION_FISCAL]
- Inscripción registral: [INSCRIPCION_REGISTRO]
- Correo de privacidad: privacidad@sombrilleo.com
- Correo general: info@sombrilleo.com
Sombrilleo no ha designado Delegado de Protección de Datos (DPO) por no concurrir los supuestos del artículo 37 del RGPD ni del artículo 34 de la LOPDGDD. No obstante, el correo privacidad@sombrilleo.com está habilitado para canalizar todas las consultas y ejercicio de derechos en materia de protección de datos.
3. Datos personales que tratamos
Sombrilleo trata las siguientes categorías de datos personales según la finalidad:
3.1 Datos de cuenta de usuario
Recogidos al registrarse en la plataforma:
- Nombre completo
- Correo electrónico
- Teléfono (opcional, salvo para hamaqueros donde es necesario)
- Contraseña (almacenada de forma encriptada por Supabase Inc., no accesible por Sombrilleo)
- Rol en la plataforma (cliente, hamaquero o administrador)
3.2 Datos de reserva
Recogidos al realizar una reserva:
- Nombre completo
- Correo electrónico
- Teléfono
- Fechas de la reserva (entrada y salida)
- Zona seleccionada y sombrilla específica
- Número de hamacas
- Importe total de la reserva
- Método de pago (Stripe, Bizum o efectivo en zona)
- Identificador del pago en Stripe (en su caso)
- Fechas y horas de check-in y check-out
- Hora estimada de llegada (si se proporciona)
- Motivo de cancelación (si la reserva se cancela)
Importante: los datos de tarjeta bancaria nunca pasan por los servidores de Sombrilleo. El procesamiento del pago se realiza directamente en los sistemas de Stripe Payments Europe Limited mediante un iframe seguro, conforme al estándar PCI-DSS.
3.3 Datos de comunicación
- Contenido textual de los mensajes intercambiados con el hamaquero
- Identidad del emisor (cliente o hamaquero)
- Marcas temporales de envío
3.4 Datos de valoración
- Puntuaciones numéricas en distintos criterios (limpieza, ubicación, servicio, etc.)
- Comentario textual
- Tipo de acompañante (si lo proporciona)
3.5 Datos técnicos y de uso
- Dirección IP
- Datos del dispositivo y navegador (user-agent)
- Páginas visitadas dentro de la plataforma
- Idioma del navegador
- Geolocalización aproximada (solo si el usuario concede el permiso explícito al navegador)
- Eventos de error técnico (capturados por Sentry para diagnóstico)
- Cookies y tecnologías similares (ver Política de Cookies)
3.6 Datos de comunicaciones operativas
- Mensajes WhatsApp con detalles de confirmación, cancelación o modificación
- Correos electrónicos transaccionales (confirmación, comprobante, cancelación, recordatorios)
4. Finalidades del tratamiento
- Gestión del registro y autenticación del usuario en la plataforma.
- Procesamiento de reservas, incluyendo la creación, modificación, confirmación y cancelación de las mismas.
- Procesamiento de pagos a través de proveedores de servicios de pago.
- Comunicación operativa con el usuario sobre el estado de su reserva (confirmaciones, recordatorios, cancelaciones, comprobantes), por correo electrónico y/o WhatsApp.
- Mediación entre cliente y hamaquero mediante el chat asociado a cada reserva.
- Atención al cliente y resolución de incidencias.
- Sistema de reseñas y valoraciones de las zonas, con el fin de informar a futuros usuarios.
- Cumplimiento de obligaciones legales, contables, fiscales y administrativas.
- Prevención del fraude y de usos abusivos de la plataforma.
- Mejora del servicio mediante el análisis técnico de errores y el comportamiento agregado de uso.
- Atención a derechos de los interesados en materia de protección de datos.
Sombrilleo no realiza decisiones automatizadas con efectos jurídicos sobre el usuario ni elabora perfiles que tengan tales efectos.
5. Base legal del tratamiento
| Finalidad | Base legal (art. 6 RGPD) |
|---|---|
| Registro, autenticación y gestión de cuenta | Ejecución contractual (art. 6.1.b) |
| Procesamiento de reservas y pagos | Ejecución contractual (art. 6.1.b) |
| Comunicaciones operativas relativas a la reserva | Ejecución contractual (art. 6.1.b) |
| Atención al cliente | Ejecución contractual (art. 6.1.b) |
| Sistema de reseñas tras la estancia | Consentimiento (art. 6.1.a) |
| Obligaciones contables, fiscales y administrativas | Cumplimiento de obligación legal (art. 6.1.c) |
| Prevención del fraude | Interés legítimo (art. 6.1.f) |
| Mejora del servicio (errores técnicos, métricas agregadas) | Interés legítimo (art. 6.1.f) |
| Cookies no esenciales | Consentimiento (art. 6.1.a y art. 22 LSSI) |
El interés legítimo se ha valorado conforme al test de ponderación previsto en el RGPD: en los supuestos indicados, prevalece sobre los intereses, derechos y libertades del interesado dado el carácter razonablemente esperado del tratamiento, su limitada incidencia en la privacidad y las medidas adicionales de protección aplicadas.
6. Plazos de conservación
| Categoría de datos | Plazo de conservación |
|---|---|
| Datos de cuenta de usuario activa | Mientras el usuario mantenga su cuenta activa |
| Datos de cuenta tras solicitud de baja | 30 días desde la solicitud (periodo de gracia para reactivación), luego eliminación |
| Datos de reserva | 6 años desde la fecha de la reserva (artículo 30 del Código de Comercio y obligaciones fiscales) |
| Datos contables y fiscales | 6 años (artículo 30 del Código de Comercio) |
| Mensajes del chat de reserva | Igual plazo que la reserva asociada (6 años) |
| Reseñas | Mientras la zona esté activa en la plataforma. El usuario puede solicitar su retirada en cualquier momento |
| Logs de error técnico (Sentry) | 90 días desde su captura |
| Cookies técnicas | Sesión o hasta su expiración natural (ver Política de Cookies) |
| Cookies opcionales | Hasta retirada del consentimiento o expiración |
Tras los plazos indicados, los datos serán bloqueados durante el plazo necesario para atender posibles responsabilidades derivadas del tratamiento, y posteriormente suprimidos.
7. Destinatarios y encargados del tratamiento
Para la prestación del servicio, Sombrilleo recurre a los siguientes proveedores que actúan como encargados del tratamiento (artículo 28 RGPD). Todos han firmado los correspondientes contratos de encargo de tratamiento o sus términos contractuales así lo establecen.
7.1 Infraestructura y datos
| Proveedor | Finalidad | Ubicación | Marco de transferencia |
|---|---|---|---|
| Supabase Inc. | Almacenamiento de la base de datos y autenticación de usuarios | Frankfurt, Alemania (UE) | No aplica — UE |
| Vercel Inc. | Alojamiento de la aplicación web | Estados Unidos | SCC + Data Privacy Framework |
| Sentry (Functional Software, Inc.) | Captura y análisis de errores técnicos | Estados Unidos | Cláusulas Contractuales Tipo (SCC) |
7.2 Pagos
| Proveedor | Finalidad | Ubicación | Marco de transferencia |
|---|---|---|---|
| Stripe Payments Europe Limited | Procesamiento de pagos con tarjeta bancaria | Irlanda (UE) | No aplica — UE |
7.3 Comunicaciones
| Proveedor | Finalidad | Ubicación | Marco de transferencia |
|---|---|---|---|
| 360dialog GmbH | Envío de notificaciones por WhatsApp Business | Alemania (UE) | No aplica — UE |
| Resend Inc. | Envío de correos electrónicos transaccionales | Estados Unidos | SCC + Data Privacy Framework |
7.4 Mapas y geolocalización
| Proveedor | Finalidad | Ubicación | Marco de transferencia |
|---|---|---|---|
| Google Ireland Limited / Google LLC | Renderizado del mapa interactivo y geocodificación de zonas | Irlanda y Estados Unidos | Data Privacy Framework |
7.5 Otros destinatarios
Adicionalmente, los datos podrán comunicarse a las siguientes categorías de destinatarios cuando exista obligación legal:
- Administraciones tributarias (AEAT, agencias autonómicas).
- Fuerzas y Cuerpos de Seguridad del Estado, Jueces y Tribunales en el ámbito de sus competencias.
- Asesoría jurídica y fiscal de Sombrilleo, sujeta a deber de confidencialidad.
Sombrilleo no vende, cede ni comparte sus datos personales con fines comerciales con terceros ajenos a la plataforma.
8. Transferencias internacionales de datos
Algunos de los proveedores indicados en el apartado 7 están establecidos fuera del Espacio Económico Europeo. En todos los casos, las transferencias se realizan al amparo de:
- Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, conforme al artículo 46 RGPD.
- EU-US Data Privacy Framework (Decisión de adecuación de la Comisión Europea de 10 de julio de 2023), cuando el proveedor está adherido al mismo.
Puede solicitar copia de las garantías aplicables escribiendo a privacidad@sombrilleo.com.
9. Derechos del interesado
Conforme al RGPD y la LOPDGDD, el usuario tiene derecho a:
- Acceso:conocer qué datos personales tratamos sobre su persona y obtener una copia.
- Rectificación:corregir datos inexactos o incompletos.
- Supresión ("derecho al olvido"):solicitar que sus datos sean eliminados, salvo que su conservación sea necesaria por obligación legal.
- Oposición:oponerse al tratamiento de sus datos en determinados supuestos, especialmente cuando el tratamiento se base en interés legítimo.
- Limitación del tratamiento:solicitar que se restrinja el tratamiento de sus datos en supuestos específicos previstos en el artículo 18 RGPD.
- Portabilidad:recibir los datos personales que ha proporcionado en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.
- Retirada del consentimiento:revocar en cualquier momento los consentimientos prestados, sin que ello afecte a la licitud del tratamiento previo a la retirada.
- No ser objeto de decisiones automatizadas:tal y como se ha indicado, Sombrilleo no realiza decisiones automatizadas con efectos jurídicos.
10. Cómo ejercer los derechos
El usuario puede ejercer sus derechos enviando un correo electrónico a:
Indicando:
- Nombre completo
- Derecho que desea ejercitar
- Petición concreta
- Copia de un documento identificativo válido (DNI, NIE, pasaporte) en caso de duda razonable sobre la identidad del solicitante
Sombrilleo responderá a la solicitud en el plazo de un mes desde su recepción. Este plazo podrá prorrogarse otros dos meses cuando la complejidad y el número de solicitudes lo requiera. El ejercicio de los derechos es gratuito.
11. Reclamaciones ante la Autoridad de Control
Si el usuario considera que el tratamiento de sus datos personales infringe la normativa de protección de datos, tiene derecho a presentar una reclamación ante:
Agencia Española de Protección de Datos (AEPD)
Sede electrónica: www.aepd.es
Domicilio: C/ Jorge Juan, 6, 28001 Madrid
Teléfono: 901 100 099 / 91 266 35 17
12. Información sobre menores de edad
El uso de Sombrilleo está reservado a personas mayores de 18 años con plena capacidad de obrar. Sombrilleo no recoge intencionadamente datos personales de menores de 14 años. Los menores de entre 14 y 17 años solo podrán utilizar la plataforma con el consentimiento expreso de sus padres o tutores legales.
Si detecta esta circunstancia, contacte con privacidad@sombrilleo.com.
13. Medidas de seguridad
Sombrilleo aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 RGPD. Entre otras:
- Cifrado de las comunicaciones mediante TLS 1.2 o superior (HTTPS).
- Cifrado de las contraseñas mediante funciones de hash robustas.
- Acceso restringido a los datos personales en función del rol y la necesidad de conocer.
- Registro de accesos y operaciones críticas (auditoría).
- Copias de seguridad periódicas.
- Procedimientos de notificación de quiebras de seguridad conforme a los artículos 33 y 34 RGPD.
En caso de quiebra de seguridad, Sombrilleo lo notificará a la AEPD en un plazo máximo de 72 horas y, si el riesgo es alto, también a los interesados afectados.
14. Cambios en la Política de Privacidad
Sombrilleo se reserva el derecho a modificar esta Política de Privacidad para adaptarla a novedades legislativas o jurisprudenciales. Cuando se introduzcan cambios sustanciales, se notificará al usuario por correo electrónico y/o mediante un aviso destacado en la plataforma. La fecha de la última actualización figura al inicio de este documento.