1. Objeto del encargo
El objeto del presente acuerdo es regular los términos y condiciones en los que David Torres Rial (en adelante, lebbo) tratará los datos personales de los que es responsable la empresa organizadora de turismo activo (en adelante, la Empresa o el Responsable) para la prestación de los servicios de gestión de reservas, aforo, facturación, calendario, tramitación de autorizaciones y demás funcionalidades contratadas.
El tratamiento consistirá en la recogida, registro, estructuración, conservación, consulta, extracción, comunicación (a la administración o a Google, en los supuestos previstos en este acuerdo) y eliminación de los datos de los usuarios que reserven actividades del Responsable a través de la plataforma.
2. Datos y categorías tratados
Para la correcta gestión operativa de las experiencias de turismo activo, lebbo almacenará y tratará en nombre de la Empresa los siguientes datos de los clientes finales (interesados):
- Datos identificativos y de contacto: Nombre completo, correo electrónico y teléfono (obligatorio, necesario para que la Empresa pueda comunicarse con el cliente sobre su reserva).
- Datos de la actividad: Experiencia reservada, fecha y hora de la actividad, tarifa aplicada, número de plazas de adultos y menores de edad.
- Datos de asignación y material: Equipamiento asignado (tallas de kayak, plazas, etc.) y notas operativas adicionales introducidas para la actividad.
- Datos de contacto de emergencia: Nombre y teléfono de la persona de contacto que el cliente facilite para la actividad.
- Datos de participación y seguridad: Registro de check-in (asistencia), cobros realizados en el sitio, constancia de aceptación de la exención de responsabilidad (waiver) y, en su caso, incidencias durante la actividad (descripción y fotografías).
- Reseñas y valoraciones: Puntuación, texto de la reseña y comentarios privados dirigidos a la Empresa tras la actividad.
- Datos de pago y garantía: Identificadores de pago de Stripe y, si la actividad lo requiere, método de pago retenido como garantía por no presentación junto al consentimiento del cliente. lebbo no almacena números de tarjeta.
- Datos temporales (reservas en curso): Mientras el cliente completa el pago, lebbo conserva durante unos minutos los datos de la reserva en curso (hold); si no se confirma, esta retención caduca y se libera automáticamente.
- Datos para autorizaciones ambientales (si la actividad lo requiere): Datos que la autoridad ambiental competente exige por participante para emitir la autorización de acceso: nombre y apellidos, tipo y número de documento de identidad (DNI, NIE o pasaporte), fecha o año de nacimiento, sexo, nacionalidad/país, dirección, provincia y localidad. Estos datos, aunque no constituyen categorías especiales del art. 9 RGPD, se tratan con especial diligencia, se recogen solo cuando la actividad necesita permiso y se limitan a los campos exigidos por la administración.
3. Obligaciones de lebbo (Encargado)
lebbo se compromete de forma expresa a cumplir las siguientes obligaciones legales:
- Tratar los datos únicamente siguiendo instrucciones: Trataremos los datos personales siguiendo en todo momento las instrucciones escritas de la Empresa y los términos del Contrato de Servicios, y no los aplicaremos ni utilizaremos con fin distinto, ni los comunicaremos, ni siquiera para su conservación, a otras personas, sin perjuicio de los subencargados expresamente autorizados en este documento y de las comunicaciones a administraciones públicas exigidas por la actividad o por ley.
- Deber de confidencialidad: Garantizamos que el personal autorizado por lebbo para procesar los datos personales ha firmado un acuerdo formal de confidencialidad y está sujeto a la correspondiente obligación legal de secreto.
- Asistencia al Responsable: Prestaremos asistencia a la Empresa, en la medida de lo posible y teniendo en cuenta la naturaleza del tratamiento, para responder a las solicitudes de ejercicio de derechos de protección de datos de los interesados.
- Apoyo en cumplimiento legal: Ofreceremos colaboración razonable a la Empresa para garantizar el cumplimiento de las obligaciones del RGPD en materia de seguridad, evaluaciones de impacto y consultas previas, considerando la información a nuestra disposición.
4. Obligaciones de la empresa (Responsable)
La Empresa, como Responsable del tratamiento, se compromete a:
- Garantizar que tiene base legal legítima (consentimiento del cliente final o ejecución de la reserva / contrato) para recopilar y transferir los datos personales de sus clientes a lebbo, así como para la finalidad de cada tratamiento (incluida, en su caso, la sincronización con Google Contactos).
- Informar debidamente a los clientes finales, en su propia política de privacidad, de que utiliza la plataforma lebbo como proveedor tecnológico y encargado de tratamiento, de la tramitación de autorizaciones ante la administración cuando proceda, y de la sincronización de sus datos con la cuenta de Google de la Empresa si esta la activa.
- Proporcionar instrucciones precisas y lícitas sobre el tratamiento de la información en todo momento.
5. Tramitación de autorizaciones ante administraciones
Cuando una actividad se desarrolla en un espacio que requiere autorización (por ejemplo, espacios naturales protegidos), lebbo transmite, en nombre de la Empresa y del cliente, los datos exigidos a la administración competente (por ejemplo, la Xunta de Galicia) a través de sus canales oficiales.
- La administración receptora actúa como responsable independiente en el ejercicio de sus competencias públicas; no es un subencargado de lebbo.
- lebbo se limita a transmitir los datos estrictamente exigidos para obtener la autorización, por canales cifrados, y no los reutiliza para ninguna otra finalidad.
- La Empresa es responsable de que la actividad y su tramitación cumplan la normativa ambiental aplicable.
6. Integración opcional con Google Contactos
La Empresa puede, de forma voluntaria, conectar su propia cuenta de Google para que lebbo cree automáticamente un contacto por cada reserva (nombre, teléfono, email y una nota con la referencia y la fecha) en la agenda de la Empresa, facilitando el contacto con el cliente.
- Al conectar su cuenta, la Empresa autoriza expresamente a lebbo a crear dichos contactos en su nombre, y declara contar con base legal e información adecuada a sus clientes para ello.
- lebbo solicita a Google el permiso mínimo de gestión de contactos y lo usa exclusivamente para crear el contacto de la reserva. No lee, exporta ni modifica los contactos existentes de la Empresa.
- Las credenciales de acceso (token de actualización de Google) se almacenan cifradas (AES-256) a nivel de aplicación y solo se usan en servidor.
- La Empresa puede desconectar la integración en cualquier momento desde su panel. Los contactos ya creados quedan en la cuenta de Google de la Empresa, que es quien los gestiona y, en su caso, los elimina (también para atender derechos de supresión de sus clientes).
- El uso por parte de lebbo de la información de las APIs de Google se ajusta a la Google API Services User Data Policy, incluidos sus requisitos de Uso Limitado (Limited Use).
7. Medidas de seguridad
lebbo ha implantado las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado al riesgo de pérdida, alteración, tratamiento o acceso no autorizado de los datos personales. Estas medidas incluyen:
- Cifrado en tránsito y reposo: Uso de conexiones cifradas TLS (HTTPS) para toda la transferencia de datos y cifrado AES-256 en las bases de datos en reposo. Las credenciales de Google de las Empresas se cifran adicionalmente a nivel de aplicación.
- Seguridad a nivel de fila (Row Level Security): Políticas de base de datos en Supabase que aíslan por completo los datos de cada operador para asegurar que ninguna otra empresa pueda consultar o modificar información de terceros.
- Control de acceso estricto: Autenticación sin contraseña (OTP) basada en correo verificado y rate limiting a nivel de API para evitar ataques de fuerza bruta.
- Resiliencia: Copias de seguridad periódicas automatizadas gestionadas en entornos altamente disponibles ubicados en la Unión Europea.
8. Subencargados autorizados
La Empresa otorga su autorización general a lebbo para subcontratar con terceros servicios que formen parte del núcleo técnico de la plataforma. Los subencargados actuales son:
| Proveedor | Finalidad del servicio | Ubicación física de los datos | Mecanismo de transferencia |
|---|---|---|---|
| Supabase Inc. | Alojamiento de base de datos y autenticación de usuarios. | AWS eu-west-1 (Irlanda, UE) | UE-EE. UU. Data Privacy Framework (DPF) / CCT |
| Vercel Inc. | Servidor de aplicaciones Next.js y CDN web. | París (Francia, UE) / Frankfurt (UE) | UE-EE. UU. Data Privacy Framework (DPF) / CCT |
| Upstash Inc. | Rate limiting de seguridad y caché de base de datos. | AWS eu-west-1 (Irlanda, UE) | UE-EE. UU. Data Privacy Framework (DPF) / CCT |
| Functional Software (Sentry) | Monitorización y registro de errores del software en tiempo real. | Frankfurt (Alemania, UE - región .de) | UE-EE. UU. Data Privacy Framework (DPF) / CCT |
| Stripe Payments Europe, Ltd. | Pasarela de pagos seguros online y verificación financiera. | Dublín (Irlanda, UE) | Matriz adherida al DPF / CCT |
| Google Ireland Ltd. / Google LLC | Analítica de uso (Google Analytics), solo con consentimiento del cliente final. | Infraestructura global de Google | UE-EE. UU. Data Privacy Framework (DPF) / CCT |
| Google LLC (People API) | Creación del contacto de la reserva en la agenda de Google de la Empresa (solo si la Empresa activa la integración). | Infraestructura global de Google | UE-EE. UU. Data Privacy Framework (DPF) / CCT |
lebbo informará a la Empresa sobre cualquier cambio previsto en la incorporación o sustitución de subencargados, dándole la oportunidad de oponerse razonablemente por motivos lícitos. La comunicación de datos a administraciones públicas para tramitar autorizaciones (apartado 5) no constituye una subcontratación, sino una transmisión a un responsable independiente.
9. Brechas de seguridad
En caso de que ocurra un incidente de seguridad que afecte a la confidencialidad, disponibilidad o integridad de los datos personales tratados en nombre del Responsable, lebbo notificará a la Empresa sin dilación indebida y, a más tardar, en un plazo máximo de 48 horas desde que tenga constancia del suceso.
La notificación incluirá detalles sobre la naturaleza del incidente, categorías de datos afectados, medidas correctivas adoptadas de inmediato y el punto de contacto para coordinar la respuesta.
10. Derechos de los interesados
Si un cliente final ejercitara sus derechos de acceso, rectificación, supresión, oposición, limitación o portabilidad directamente ante lebbo, redirigiremos dicha solicitud de inmediato al correo de la Empresa para su resolución. lebbo prestará la asistencia técnica requerida para que la Empresa pueda atender dicha solicitud a tiempo, incluida la eliminación de datos en los sistemas de lebbo. La eliminación de contactos ya creados en la cuenta de Google de la Empresa corresponde a la propia Empresa.
11. Plazo y destino de los datos
Este acuerdo tendrá vigencia mientras dure la relación de prestación de servicios entre la Empresa y lebbo (suscripción activa de la cuenta de operador).
Una vez finalizado el contrato o tras la solicitud formal de eliminación de la cuenta por parte del Responsable, lebbo procederá a destruir o devolver (a elección del Responsable) todos los datos personales que estén bajo nuestro control, salvo aquellos datos transaccionales mínimos que lebbo esté legalmente obligado a conservar bloqueados durante los plazos de prescripción fiscal (6 años) conforme a las leyes vigentes de España.