Saltar al contenido
lebbolebbo
Iniciar sesión

Legal

Acuerdo de Encargo de Tratamiento (DPA)

Este documento regula el tratamiento de datos personales de los clientes finales por parte de lebbo en nombre y por cuenta de la empresa organizadora de actividades.

Última actualización: 25 de mayo de 2026

Nota explicativa: En cumplimiento del Reglamento General de Protección de Datos (RGPD - Art. 28), este Acuerdo de Tratamiento de Datos (DPA) regula la relación entre tu empresa (como Responsable del Tratamiento, ya que decides qué datos recoger de tus clientes) y lebbo (como Encargado del Tratamiento, ya que únicamente almacenamos y procesamos dicha información para posibilitar tus reservas y operativa diaria).

1. Objeto del encargo

El objeto del presente acuerdo es regular los términos y condiciones en los que David Torres Rial (en adelante, lebbo) tratará los datos personales de los que es responsable la empresa organizadora de turismo activo (en adelante, la Empresa o el Responsable) para la prestación de los servicios de gestión de reservas, aforo, facturación y calendario contratados.

El tratamiento consistirá en la recogida, registro, estructuración, conservación, consulta, extracción y eliminación de los datos de los usuarios que reserven actividades del Responsable a través de la plataforma.

2. Datos y categorías tratados

Para la correcta gestión operativa de las experiencias de turismo activo, lebbo almacenará y tratará en nombre de la Empresa los siguientes datos de los clientes finales (interesados):

  • Datos identificativos: Nombre completo, correo electrónico, teléfono.
  • Datos de la actividad: Experiencia reservada, fecha y hora de la actividad, tarifa aplicada, número de plazas de adultos y menores de edad.
  • Datos de asignación y material: Equipamiento asignado (tallas de kayak, bicicletas, etc.) y notas operativas adicionales introducidas para la actividad.
  • Datos de permisos ambientales (si aplica): Datos requeridos por autoridades ambientales competentes para tramitar autorizaciones de acceso (ej. DNI/Pasaporte, fecha de nacimiento, sexo, dirección fiscal) que el cliente introduce voluntariamente.

3. Obligaciones de lebbo (Encargado)

lebbo se compromete de forma expresa a cumplir las siguientes obligaciones legales:

  1. Tratar los datos únicamente siguiendo instrucciones: Trataremos los datos personales siguiendo en todo momento las instrucciones escritas de la Empresa y los términos del Contrato de Servicios, y no los aplicaremos ni utilizaremos con fin distinto, ni los comunicaremos, ni siquiera para su conservación, a otras personas, sin perjuicio de los subencargados expresamente autorizados en este documento.
  2. Deber de confidencialidad: Garantizamos que el personal autorizado por lebbo para procesar los datos personales ha firmado un acuerdo formal de confidencialidad y está sujeto a la correspondiente obligación legal de secreto.
  3. Asistencia al Responsable: Prestaremos asistencia a la Empresa, en la medida de lo posible y teniendo en cuenta la naturaleza del tratamiento, para responder a las solicitudes de ejercicio de derechos de protección de datos de los interesados.
  4. Apoyo en cumplimiento legal: Ofreceremos colaboración razonable a la Empresa para garantizar el cumplimiento de las obligaciones del RGPD en materia de seguridad, evaluaciones de impacto y consultas previas, considerando la información a nuestra disposición.

4. Obligaciones de la empresa (Responsable)

La Empresa, como Responsable del tratamiento, se compromete a:

  • Garantizar que tiene base legal legítima (consentimiento del cliente final o ejecución de la reserva / contrato) para recopilar y transferir los datos personales de sus clientes a lebbo.
  • Informar debidamente a los clientes finales en su propia política de privacidad sobre el hecho de que utiliza la plataforma lebbo como proveedor tecnológico y encargado de tratamiento para la gestión operativa de las reservas.
  • Proporcionar instrucciones precisas y lícitas sobre el tratamiento de la información en todo momento.

5. Medidas de seguridad

lebbo ha implantado las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado al riesgo de pérdida, alteración, tratamiento o acceso no autorizado de los datos personales. Estas medidas incluyen:

  • Cifrado en tránsito y reposo: Uso de conexiones cifradas TLS (HTTPS) para toda la transferencia de datos y cifrado AES-256 en las bases de datos en reposo.
  • Seguridad a nivel de fila (Row Level Security): Políticas de base de datos en Supabase que aíslan por completo los datos de cada operador para asegurar que ninguna otra empresa pueda consultar o modificar información de terceros.
  • Control de acceso estricto: Autenticación sin contraseña (OTP) basada en correo verificado y rate limiting a nivel de API para evitar ataques de fuerza bruta.
  • Resiliencia: Copias de seguridad periódicas automatizadas gestionadas en entornos altamente disponibles ubicados en la Unión Europea.

6. Subencargados autorizados

La Empresa otorga su autorización general a lebbo para subcontratar con terceros servicios que formen parte del núcleo técnico de la plataforma. Los subencargados actuales contratados que procesan datos dentro del EEE (o bajo salvaguardas legales equivalentes) son:

ProveedorFinalidad del servicioUbicación física de los datosMecanismo de transferencia
Supabase Inc.Alojamiento de base de datos y autenticación de usuarios.AWS eu-west-1 (Irlanda, UE)UE-EE. UU. Data Privacy Framework (DPF) / CCT
Vercel Inc.Servidor de aplicaciones Next.js y CDN web.París (Francia, UE) / Frankfurt (UE)UE-EE. UU. Data Privacy Framework (DPF) / CCT
Upstash Inc.Rate limiting de seguridad y caché de base de datos.AWS eu-west-1 (Irlanda, UE)UE-EE. UU. Data Privacy Framework (DPF) / CCT
Functional Software (Sentry)Monitorización y registro de errores del software en tiempo real.Frankfurt (Alemania, UE - región .de)UE-EE. UU. Data Privacy Framework (DPF) / CCT
Stripe Payments Europe, Ltd.Pasarela de pagos seguros online y verificación financiera.Dublín (Irlanda, UE)Matriz adherida al DPF / CCT

lebbo informará a la Empresa sobre cualquier cambio previsto en la incorporación o sustitución de subencargados, dándole la oportunidad de oponerse razonablemente por motivos lícitos.

7. Brechas de seguridad

En caso de que ocurra un incidente de seguridad que afecte a la confidencialidad, disponibilidad o integridad de los datos personales tratados en nombre del Responsable, lebbo notificará a la Empresa sin dilación indebida y, a más tardar, en un plazo máximo de 48 horas desde que tenga constancia del suceso.

La notificación incluirá detalles sobre la naturaleza del incidente, categorías de datos afectados, medidas correctivas adoptadas de inmediato y el punto de contacto para coordinar la respuesta.

8. Derechos de los interesados

Si un cliente final ejercitara sus derechos de acceso, rectificación, supresión, oposición, limitación o portabilidad directamente ante lebbo, redirigiremos dicha solicitud de inmediato al correo de la Empresa para su resolución. lebbo prestará la asistencia técnica requerida para que la Empresa pueda atender dicha solicitud a tiempo.

9. Plazo y destino de los datos

Este acuerdo tendrá vigencia mientras dure la relación de prestación de servicios entre la Empresa y lebbo (suscripción activa de la cuenta de operador).

Una vez finalizado el contrato o tras la solicitud formal de eliminación de la cuenta por parte del Responsable, lebbo procederá a destruir o devolver (a elección del Responsable) todos los datos personales que estén bajo nuestro control, salvo aquellos datos transaccionales mínimos que lebbo esté legalmente obligado a conservar bloqueados durante los plazos de prescripción fiscal (6 años) conforme a las leyes vigentes de España.