Saltar al contenido
lebbolebbo
Iniciar sesión

Legal

Política de privacidad

Explicamos qué datos recogemos, con qué finalidad los tratamos, cuánto tiempo los conservamos y qué derechos tienes sobre ellos.

Última actualización: 17 de junio de 2026

Resumen rápido: recogemos los datos estrictamente necesarios para gestionar tu cuenta, procesar reservas, tramitar las autorizaciones que algunas actividades requieren y cumplir la ley. Nunca vendemos tus datos a terceros. Puedes ejercer tus derechos escribiendo a privacidad@lebbo.es.

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es:

  • Titular: David Torres Rial (persona física, NIF 35602692A)
  • País: España
  • Domicilio / Notificaciones: Domicilio a efectos de notificaciones: pendiente de actualización. Para cualquier comunicación legal escríbenos a legal@lebbo.es
  • Email para asuntos de privacidad: privacidad@lebbo.es

Cuando reservas una actividad, la empresa organizadora de esa actividad es responsable del tratamiento de tus datos para la prestación de la experiencia; LEBBO actúa como encargado del tratamiento (su proveedor tecnológico) para gestionar la reserva, el aforo, los cobros y, cuando proceda, la tramitación de autorizaciones. Para todo lo relativo a tu cuenta de usuario en la plataforma, el responsable es LEBBO.

2. Datos que tratamos

Tratamos distintas categorías de datos según cómo interactúes con el servicio. Incluimos también los datos temporales (que se guardan solo unos minutos) y los datos técnicos para que tengas la imagen completa:

2.1. Datos de registro y cuenta

  • Nombre y apellidos.
  • Correo electrónico.
  • Datos de autenticación necesarios para el acceso sin contraseña (códigos OTP).
  • Idioma preferido y rol de usuario, empresa o afiliado.

2.2. Datos de reserva

  • Fecha, actividad reservada y número de participantes (adultos, menores, bebés y mascotas).
  • Teléfono de contacto (obligatorio): lo solicitamos siempre porque la empresa organizadora lo necesita para comunicarse contigo sobre tu reserva (cambios de horario, meteorología, punto de encuentro, incidencias) por teléfono o mensajería.
  • Nombre y apellidos del comprador y de cada participante; edad de los participantes.
  • Contacto de emergencia (nombre y teléfono) y notas que aportes para la actividad.
  • Material asignado (tallas de kayak, plazas, etc.) y notas operativas.
  • Datos de pago procesados directamente por Stripe (identificadores de cliente y de pago). No almacenamos números de tarjeta en nuestros sistemas.
  • Garantía de tarjeta / no presentación: si la actividad lo requiere, Stripe guarda un método de pago para una posible penalización por no presentarte, junto con tu consentimiento expreso (fecha y texto aceptado).

2.3. Datos de participación, seguridad y check-in

  • Registro de check-in (asistencia) y, si procede, cobros realizados en el sitio.
  • Aceptación de la exención de responsabilidad (waiver) cuando la actividad la exige; guardamos la constancia de la aceptación, no una firma manuscrita.
  • Incidencias durante la actividad: descripción y, en su caso, fotografías del material o del incidente que registre el personal.

2.4. Reseñas y valoraciones

  • Puntuación y texto de la reseña tras la actividad.
  • Comentarios privados dirigidos a la empresa (no publicados).
  • Si eliges dejar la reseña de forma anónima, no mostramos tu nombre públicamente.

2.5. Datos para autorizaciones ambientales

Algunas actividades se desarrollan en espacios naturales protegidos y exigen una autorización previa de la administración competente. Solo en esos casos, y solo para tramitarla, recogemos los datos que la autoridad exige por persona. Lo detallamos en el apartado 6.

2.6. Datos de empresa

  • Nombre legal, NIF, dirección fiscal y datos bancarios.
  • Actividades publicadas, precios y calendario.
  • Si la empresa lo activa, la cuenta de Google que conecta para sincronizar contactos (ver apartado 7).

2.7. Datos de afiliados

  • Información del solicitante: nombre, email, audiencia y canal principal.
  • Clics, conversiones y comisiones generadas.
  • Cuenta bancaria o medio de pago para liquidaciones.

2.8. Datos temporales, técnicos y de seguridad

  • Reservas temporales (holds): mientras completas el pago, guardamos durante unos minutos los datos de la reserva en curso (participantes, contacto y, si aplica, datos del permiso). Si no se confirma, esa retención temporal caduca y se libera automáticamente.
  • Cookies de sesión y técnicas: autenticación de tu sesión y un identificador temporal de seguridad (estado anti-CSRF) durante la conexión con Google. Consulta la Política de cookies.
  • Registros de consentimiento: cuando aceptas un documento (p. ej. el acuerdo de tratamiento o la garantía de tarjeta), guardamos la versión aceptada, la fecha y la dirección IP como prueba.
  • Eventos de email: estado de entrega de los correos transaccionales (entregado, rebotado, marcado como spam) para no seguir escribiendo a direcciones que fallan.
  • Dirección IP, usada para rate limiting, prevención de abuso y, en su caso, bloqueos de seguridad temporales.
  • Analítica (Google Analytics) mediante cookies, que solo se activan con tu consentimiento.
  • Eventos de error y rendimiento (a través de Sentry) para detectar y resolver problemas técnicos.

3. Finalidades y base legal

FinalidadBase legal
Crear y gestionar tu cuenta de usuarioEjecución del contrato (art. 6.1.b RGPD)
Procesar reservas y cobrosEjecución del contrato (art. 6.1.b RGPD)
Comunicación operativa de la reserva con la empresa organizadora (teléfono, avisos de cambios, punto de encuentro)Ejecución del contrato (art. 6.1.b RGPD)
Tramitar autorizaciones ambientales ante la administración competente cuando la actividad lo requiereEjecución del contrato (art. 6.1.b RGPD) y cumplimiento de la normativa de espacios protegidos; la administración trata los datos en el ejercicio de sus competencias (art. 6.1.e RGPD)
Sincronizar el contacto de la reserva en la agenda de Google de la empresa organizadora, cuando esta lo haya activadoInterés legítimo de la empresa organizadora de poder contactarte (art. 6.1.f RGPD)
Cumplir obligaciones contables y fiscalesObligación legal (art. 6.1.c RGPD)
Gestionar comisiones de afiliadosEjecución del contrato (art. 6.1.b RGPD)
Enviar comunicaciones transaccionales (confirmaciones, recordatorios, avisos operativos)Ejecución del contrato (art. 6.1.b RGPD)
Seguridad, prevención de fraude y protección de la plataformaInterés legítimo (art. 6.1.f RGPD)
Analítica de uso (Google Analytics)Consentimiento (art. 6.1.a RGPD)

4. Plazos de conservación

  • Datos de cuenta: mientras mantengas la cuenta activa. Tras su eliminación, conservamos datos mínimos durante 6 años si han existido transacciones, por obligaciones contables y fiscales.
  • Reservas y facturas: 6 años, conforme al Código de Comercio y plazos fiscales aplicables.
  • Reservas temporales (holds): se liberan y eliminan automáticamente a los pocos minutos si la reserva no se confirma.
  • Reseñas e incidencias: mientras la reseña esté disponible y durante la gestión de la incidencia; las fotos de incidencias se conservan los plazos legales aplicables.
  • Datos de autorizaciones ambientales: el tiempo necesario para tramitar la autorización y atender posibles comprobaciones de la administración; después se bloquean durante los plazos legales aplicables y se eliminan.
  • Contactos en Google de la empresa: LEBBO solo crea el contacto; una vez creado, queda bajo el control de la empresa en su propia cuenta de Google y se rige por la conservación que esta aplique.
  • Comunicaciones transaccionales: mientras dure la relación contractual y los plazos legales aplicables.
  • Logs de seguridad e IPs: máximo 12 meses, salvo necesidad de conservarlos para investigar abusos o incidencias.
  • Cookies: consulta la Política de cookies.

5. Destinatarios

Compartimos datos con los siguientes encargados de tratamiento, con contratos conforme al art. 28 RGPD cuando aplica:

ProveedorFinalidadUbicación física de los datosSede de la empresa
Supabase Inc.Base de datos y autenticaciónAWS eu-west-1 (Irlanda, UE)EE. UU. — DPF
Vercel Inc.Alojamiento web y CDNcdg1 / eu-west-3 (París, Francia, UE)EE. UU. — DPF
Upstash Inc.Rate limiting y cachéAWS eu-west-1 (Irlanda, UE)EE. UU. — DPF
Functional Software, Inc. (Sentry)Monitorización de erroresFrankfurt (Alemania, UE) — región .deEE. UU. — DPF
Stripe Payments Europe, Ltd.Procesamiento de pagosDublín (Irlanda, UE)Matriz EE. UU. — DPF
Google Ireland Ltd. / Google LLCAnalítica de uso (Google Analytics), solo con tu consentimientoInfraestructura global de GoogleEE. UU. — DPF
Google LLC (People API)Creación del contacto de la reserva en la agenda de Google de la empresa, si esta lo activaInfraestructura global de GoogleEE. UU. — DPF

Además, cuando reservas una actividad, tus datos de reserva se ponen a disposición de la empresa organizadora correspondiente, que los necesita para prestarte el servicio. Y comunicamos datos a administraciones públicas cuando exista obligación legal (Hacienda, Seguridad Social, autoridades ambientales o judiciales).

6. Tramitación de autorizaciones (DNI y datos sensibles)

Algunas actividades (por ejemplo, rutas en espacios naturales protegidos como el islote de Areoso) requieren una autorización de acceso que emite la administración ambiental competente (por ejemplo, la Xunta de Galicia). Para tramitarla en tu nombre, la autoridad exige identificar a cada participante.

Únicamente cuando la actividad lo requiere, y solo para ese fin, tratamos:

  • Nombre y apellidos.
  • Tipo y número de documento de identidad (DNI, NIE o pasaporte).
  • Fecha o año de nacimiento.
  • Sexo (en el formato que exige el formulario oficial).
  • Nacionalidad / país, dirección, provincia y localidad de residencia.

Estos datos no son «categorías especiales» del art. 9 RGPD, pero los tratamos con especial cuidado:

  • Minimización: solo se solicitan si la actividad necesita permiso, y solo los campos que la administración exige.
  • Finalidad limitada: se usan exclusivamente para tramitar la autorización ante la administración y no para ninguna otra cosa.
  • Destinatario: se transmiten a la administración competente, que actúa como responsable independiente en el ejercicio de sus competencias. La transmisión se realiza por canales oficiales y cifrados.
  • Conservación: según los plazos del apartado 4.
  • Reutilización opcional: si lo autorizas al reservar, guardamos estos datos en tu perfil para no tener que volver a pedírtelos en futuras reservas. Puedes solicitar su eliminación cuando quieras.

7. Acceso a las APIs de Google

Las empresas organizadoras pueden, de forma opcional, conectar su cuenta de Google para que el contacto de cada reserva se añada automáticamente a su agenda y poder comunicarse contigo más rápido. Esta conexión la realiza y autoriza la empresa.

  • Solicitamos el permiso mínimo imprescindible de Google (gestión de contactos) y lo usamos solo para crear el contacto de la reserva (nombre, teléfono, email y una nota con la referencia y la fecha) en la cuenta de la empresa.
  • No leemos, exportamos ni modificamos los contactos existentes de la empresa, ni compartimos esa información con terceros.
  • Las credenciales de acceso a Google de la empresa se guardan cifradas y solo se usan en servidor.

El uso por parte de LEBBO de la información recibida de las APIs de Google se ajusta a la Google API Services User Data Policy, incluidos sus requisitos de Uso Limitado (Limited Use).

8. Transferencias internacionales

La práctica totalidad de los datos personales se procesa en infraestructura ubicada físicamente dentro del Espacio Económico Europeo (EEE). Concretamente: Supabase y Upstash en AWS Irlanda (eu-west-1), Vercel en París (cdg1, eu-west-3), Sentry en Frankfurt (región europea .de) y Stripe en Dublín.

Excepciones (servicios de Google): si la empresa organizadora activa la sincronización de contactos, los datos de contacto de la reserva se transfieren a Google (infraestructura global, EE. UU.). Asimismo, la analítica de uso (Google Analytics), si la aceptas, implica tratamiento por Google. Estas transferencias se amparan en el EU-U.S. Data Privacy Framework y en Cláusulas Contractuales Tipo.

Además, varios de los proveedores anteriores son sociedades con sede en EE. UU.; aunque los datos no salen del EEE de forma rutinaria, puede existir acceso puntual desde fuera del EEE por parte de las matrices para soporte, seguridad o ingeniería. Como garantías:

  • Los proveedores estadounidenses con los que trabajamos (Supabase, Vercel, Upstash, Sentry, Stripe y Google) están adheridos al EU-U.S. Data Privacy Framework (DPF), reconocido por la Comisión Europea como mecanismo de adecuación.
  • Se firman Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea como salvaguarda contractual adicional.

Puedes solicitar información adicional sobre estas garantías escribiendo a privacidad@lebbo.es.

9. Tus derechos

Tienes derecho a:

  • Acceso: saber qué datos tratamos y obtener una copia.
  • Rectificación: corregir datos inexactos.
  • Supresión: solicitar la eliminación de tus datos cuando proceda.
  • Oposición: oponerte a tratamientos basados en interés legítimo o marketing.
  • Limitación: solicitar que restrinjamos el tratamiento.
  • Portabilidad: recibir tus datos en formato estructurado.
  • Revocar consentimientos otorgados, sin efecto retroactivo.
  • No ser objeto de decisiones automatizadas con efectos jurídicos significativos.

Para ejercerlos, escribe a privacidad@lebbo.es adjuntando copia de tu DNI o documento equivalente. Responderemos en el plazo máximo legal de un mes. Si tus datos los trata una empresa organizadora como responsable (por ejemplo, los contactos sincronizados en su Google), te ayudaremos a dirigir tu solicitud a quien corresponda.

Si consideras que hemos tratado tus datos de forma indebida, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), con domicilio en C/ Jorge Juan 6, 28001 Madrid, teléfono 901 100 099 / 912 663 517.

10. Seguridad

Aplicamos medidas técnicas y organizativas para proteger tus datos, incluyendo cifrado en tránsito (TLS) y en reposo (AES-256) cuando procede, control de acceso basado en roles, políticas de seguridad a nivel de fila que aíslan los datos de cada empresa, rate limiting, monitorización de errores y copias de seguridad en la UE. Las credenciales de Google de las empresas se almacenan cifradas a nivel de aplicación. Los pagos se procesan a través de Stripe, con certificación PCI-DSS nivel 1.

11. Menores de edad

Nuestros servicios de registro y creación de cuenta no están dirigidos a menores de 14 años, por lo que no permitimos el registro directo de usuarios menores de dicha edad. No obstante, las actividades de turismo activo y experiencias ofertadas a través de la plataforma pueden ir dirigidas a o permitir la participación de menores de edad. En estos casos, la participación del menor está condicionada a que vaya siempre acompañado por un adulto responsable (padre, madre, tutor legal o adulto debidamente autorizado), quien se encargará de realizar la reserva en su nombre y de proporcionar los datos estrictamente necesarios para la gestión operativa, logística y de seguridad de la actividad (como tallas de material, edad, nombres o datos para la tramitación de permisos ambientales obligatorios).

Al proporcionar dichos datos, el adulto responsable declara poseer la patria potestad, tutela o autorización legal para facilitar la información del menor y consentir su tratamiento en nombre del mismo. Si detectamos la recogida de datos de un menor de 14 años sin la debida autorización parental o del tutor, eliminaremos dicha información de nuestros sistemas con la mayor brevedad.

12. Cambios en la política

Podemos actualizar esta política para reflejar cambios legales u operativos. La fecha de última revisión aparece al inicio del documento. Si los cambios son sustanciales, te lo notificaremos por email o mediante aviso destacado antes de que entren en vigor.