Saltar ao contido
lebbolebbo
Iniciar sesión

Legal

Acordo de Encargo de Tratamiento (DPA)

Este documento regula o tratamento de datos persoais dos clientes finais por parte de lebbo en nome e por conta da empresa organizadora de actividades.

Última actualización: 25 de mayo de 2026

Nota explicativa: En cumprimento do Regulamento Xeral de Protección de Datos (RGPD - Art. 28), este Acordo de Tratamento de Datos (DPA) regula a relación entre a túa empresa (como Responsable do Tratamento, xa que decides que datos recoller dos teus clientes) e lebbo (como Encargado do Tratamiento, xa que unicamente almacenamos e procesamos dita información para posibilitar as túas reservas e operativa diaria).

1. Obxecto do encargo

O obxecto do presente acordo é regular os termos e condicións nos que David Torres Rial (en diante, lebbo) tratará os datos persoais dos que é responsable a empresa organizadora de turismo activo (en diante, a Empresa ou o Responsable) para a prestación dos servizos de xestión de reservas, aforo, facturación e calendario contratados.

O tratamento consistirá na recollida, rexistro, estruturación, conservación, consulta, extracción e eliminación dos datos dos usuarios que reserven actividades do Responsable a través da plataforma.

2. Datos e categorías tratados

Para a correcta xestión operativa das experiencias de turismo activo, lebbo almacenará e tratará en nome da Empresa os seguintes datos dos clientes finais (interesados):

  • Datos identificativos: Nome completo, correo electrónico, teléfono.
  • Datos da actividade: Experiencia reservada, data e hora da actividade, tarifa aplicada, número de prazas de adultos e menores de idade.
  • Datos de asignación e material: Equipamento asignado (tallas de kayak, bicicletas, etc.) e notas operativas adicionais introducidas para a actividade.
  • Datos de permisos ambientais (se aplica): Datos requiridos por autoridades ambientais competentes para tramitar autorizacións de acceso (ex. DNI/Pasaporte, data de nacemento, sexo, dirección fiscal) que o cliente introduce voluntariamente.

3. Obrigas de lebbo (Encargado)

lebbo comprométese de forma expresa a cumprir as seguintes obrigas legais:

  1. Tratar os datos unicamente seguindo instrucións: Trataremos os datos persoais seguindo en todo momento as instrucións escritas da Empresa e os termos do Contrato de Servizos, e non os aplicaremos nin utilizaremos con fin distinto, nin os comunicaremos, nin sequera para a súa conservación, a outras persoas, sen prexuízo dos subencargados expresamente autorizados neste documento.
  2. Deber de confidencialidade: Garantimos que o persoal autorizado por lebbo para procesar os datos persoais asinou un acordo formal de confidencialidade e está suxeito á correspondente obriga legal de segredo.
  3. Asistencia ao Responsable: Prestaremos asistencia á Empresa, na medida do posible e tendo en conta a natureza do tratamento, para responder ás solicitudes de exercicio de dereitos de protección de datos dos interesados.
  4. Apoio no cumprimento legal: Ofreceremos colaboración razoable á Empresa para garantir o cumprimento das obrigas do RGPD en materia de seguridade, avaliacións de impacto e consultas previas, considerando a información á nosa disposición.

4. Obrigas da empresa (Responsable)

A Empresa, como Responsable do tratamento, comprométese a:

  • Garantir que ten base legal lexítima (consentimento do cliente final ou execución da reserva / contrato) para recopilar e transferir os datos persoais dos seus clientes a lebbo.
  • Informar debidamente aos clientes finais na súa propia política de privacidade sobre o feito de que utiliza a plataforma lebbo como provedor tecnolóxico e encargado de tratamento para a xestión operativa das reservas.
  • Proporcionar instrucións precisas e lícitas sobre o tratamento da información en todo momento.

5. Medidas de seguridade

lebbo implantou as medidas técnicas e organizativas necesarias para garantir un nivel de seguridade adecuado ao risco de perda, alteración, tratamento ou acceso non autorizado dos datos persoais. Estas medidas inclúen:

  • Cifrado en tránsito e reposo: Uso de conexións cifradas TLS (HTTPS) para toda a transferencia de datos e cifrado AES-256 nas bases de datos en reposo.
  • Seguridade a nivel de fila (Row Level Security): Políticas de base de datos en Supabase que aíslan por completo os datos de cada operador para asegurar que ningunha outra empresa poida consultar ou modificar información de terceiros.
  • Control de acceso estrito: Autenticación sen contrasinal (OTP) baseada en correo verificado e rate limiting a nivel de API para evitar ataques de forza bruta.
  • Resiliencia: Copias de seguridade periódicas automatizadas xestionadas en contornos altamente dispoñibles localizados na Unión Europea.

6. Subencargados autorizados

La Empresa outorga a súa autorización xeral a lebbo para subcontratar con terceiros servizos que formen parte do núcleo técnico da plataforma. Os subencargados actuais contratados que procesan datos dentro do EEE (ou baixo salvagardas legais equivalentes) son:

ProvedorFinalidade do servizoUbicación física dos datosMecanismo de transferencia
Supabase Inc.Aloxamento de base de datos e autenticación de usuarios.AWS eu-west-1 (Irlanda, UE)UE-EE. UU. Data Privacy Framework (DPF) / CCT
Vercel Inc.Servidor de aplicacións Next.js e CDN web.París (Francia, UE) / Frankfurt (UE)UE-EE. UU. Data Privacy Framework (DPF) / CCT
Upstash Inc.Rate limiting de seguridade e caché de base de datos.AWS eu-west-1 (Irlanda, UE)UE-EE. UU. Data Privacy Framework (DPF) / CCT
Functional Software (Sentry)Monitorización e rexistro de erros do software en tempo real.Frankfurt (Alemaña, UE - rexión .de)UE-EE. UU. Data Privacy Framework (DPF) / CCT
Stripe Payments Europe, Ltd.Pasarela de pagos seguros online e verificación financeira.Dublín (Irlanda, UE)Matriz adherida ao DPF / CCT

lebbo informará á Empresa sobre calquera cambio previsto na incorporación o substitución de subencargados, dándolle a oportunidade de oponerse razoablemente por motivos lícitos.

7. Brechas de seguridade

En caso de que ocorra un incidente de seguridade que afecte á confidencialidade, dispoñibilidade ou integridade dos datos persoais tratados en nome do Responsable, lebbo notificará á Empresa sen dilación indebida e, a máis tardar, nun prazo máximo de 48 horas desde que teña constancia do suceso.

A notificación incluirá detalles sobre a natureza do incidente, categorías de datos afectados, medidas correctivas adoptadas de inmediato e o punto de contacto para coordinar a resposta.

8. Dereitos dos interesados

Se un cliente final exercitara os seus dereitos de acceso, rectificación, supresión, oposición, limitación ou portabilidade directamente ante lebbo, redirixiremos dita solicitude de inmediato ao correo de la Empresa para a súa resolución. lebbo prestará a asistencia técnica requirida para que a Empresa poida atender dita solicitude a tempo.

9. Prazo e destino dos datos

Este acordo terá vixencia mentres dure a relación de prestación de servizos entre a Empresa y lebbo (suscripción activa da conta de operador).

Unha vez finalizado o contrato o tras a solicitude formal de eliminación da conta por parte do Responsable, lebbo procederá a destruír ou devolver (a elección do Responsable) todos os datos persoais que estean baixo o noso control, salvo aqueles datos transaccionais mínimos que lebbo estea legalmente obrigado a conservar bloqueados durante os prazos de prescrición fiscal (6 anos) conforme ás leis vixentes de España.