1. Obxecto do encargo
O obxecto do presente acordo é regular os termos e condicións nos que David Torres Rial (en diante, lebbo) tratará os datos persoais dos que é responsable a empresa organizadora de turismo activo (en diante, a Empresa ou o Responsable) para a prestación dos servizos de xestión de reservas, aforo, facturación, calendario, tramitación de autorizacións e demais funcionalidades contratadas.
O tratamento consistirá na recollida, rexistro, estruturación, conservación, consulta, extracción, comunicación (á administración ou a Google, nos supostos previstos neste acordo) e eliminación dos datos dos usuarios que reserven actividades do Responsable a través da plataforma.
2. Datos e categorías tratados
Para a correcta xestión operativa das experiencias de turismo activo, lebbo almacenará e tratará en nome da Empresa os seguintes datos dos clientes finais (interesados):
- Datos identificativos e de contacto: Nome completo, correo electrónico e teléfono (obrigatorio, necesario para que a Empresa poida comunicarse co cliente sobre a súa reserva).
- Datos da actividade: Experiencia reservada, data e hora da actividade, tarifa aplicada, número de prazas de adultos e menores de idade.
- Datos de asignación e material: Equipamento asignado (tallas de kayak, prazas, etc.) e notas operativas adicionais introducidas para a actividade.
- Datos de contacto de emerxencia: Nome e teléfono da persoa de contacto que o cliente facilite para a actividade.
- Datos de participación e seguridade: Rexistro de check-in (asistencia), cobros realizados no sitio, constancia de aceptación da exención de responsabilidade (waiver) e, no seu caso, incidencias durante a actividade (descrición e fotografías).
- Recensións e valoracións: Puntuación, texto da recensión e comentarios privados dirixidos á Empresa tras a actividade.
- Datos de pago e garantía: Identificadores de pago de Stripe e, se a actividade o require, método de pago retido como garantía por non presentación xunto ao consentimento do cliente. lebbo non almacena números de tarxeta.
- Datos temporais (reservas en curso): Mentres o cliente completa o pago, lebbo conserva durante uns minutos os datos da reserva en curso (hold); se non se confirma, esta retención caduca e libérase automaticamente.
- Datos para autorizacións ambientais (se a actividade o require): Datos que a autoridade ambiental competente esixe por participante para emitir a autorización de acceso: nome e apelidos, tipo e número de documento de identidade (DNI, NIE ou pasaporte), data ou ano de nacemento, sexo, nacionalidade/país, enderezo, provincia e localidade. Estes datos, aínda que non constitúen categorías especiais do art. 9 RGPD, trátanse con especial dilixencia, recóllense só cando a actividade necesita permiso e limítanse aos campos esixidos pola administración.
3. Obrigas de lebbo (Encargado)
lebbo comprométese de forma expresa a cumprir as seguintes obrigas legais:
- Tratar os datos unicamente seguindo instrucións: Trataremos os datos persoais seguindo en todo momento as instrucións escritas da Empresa e os termos do Contrato de Servizos, e non os aplicaremos nin utilizaremos con fin distinto, nin os comunicaremos, nin sequera para a súa conservación, a outras persoas, sen prexuízo dos subencargados expresamente autorizados neste documento e das comunicacións a administracións públicas esixidas pola actividade ou pola lei.
- Deber de confidencialidade: Garantimos que o persoal autorizado por lebbo para procesar os datos persoais asinou un acordo formal de confidencialidade e está suxeito á correspondente obriga legal de segredo.
- Asistencia ao Responsable: Prestaremos asistencia á Empresa, na medida do posible e tendo en conta a natureza do tratamento, para responder ás solicitudes de exercicio de dereitos de protección de datos dos interesados.
- Apoio no cumprimento legal: Ofreceremos colaboración razoable á Empresa para garantir o cumprimento das obrigas do RGPD en materia de seguridade, avaliacións de impacto e consultas previas, considerando a información á nosa disposición.
4. Obrigas da empresa (Responsable)
A Empresa, como Responsable do tratamento, comprométese a:
- Garantir que ten base legal lexítima (consentimento do cliente final ou execución da reserva / contrato) para recompilar e transferir os datos persoais dos seus clientes a lebbo, así como para a finalidade de cada tratamento (incluída, no seu caso, a sincronización con Google Contactos).
- Informar debidamente aos clientes finais, na súa propia política de privacidade, de que utiliza a plataforma lebbo como provedor tecnolóxico e encargado de tratamento, da tramitación de autorizacións ante a administración cando proceda, e da sincronización dos seus datos coa conta de Google da Empresa se esta a activa.
- Proporcionar instrucións precisas e lícitas sobre o tratamento da información en todo momento.
5. Tramitación de autorizacións ante administracións
Cando unha actividade se desenvolve nun espazo que require autorización (por exemplo, espazos naturais protexidos), lebbo transmite, en nome da Empresa e do cliente, os datos esixidos á administración competente (por exemplo, a Xunta de Galicia) a través das súas canles oficiais.
- A administración receptora actúa como responsable independente no exercicio das súas competencias públicas; non é un subencargado de lebbo.
- lebbo limítase a transmitir os datos estritamente esixidos para obter a autorización, por canles cifradas, e non os reutiliza para ningunha outra finalidade.
- A Empresa é responsable de que a actividade e a súa tramitación cumpran a normativa ambiental aplicable.
6. Integración opcional con Google Contactos
A Empresa pode, de forma voluntaria, conectar a súa propia conta de Google para que lebbo cree automaticamente un contacto por cada reserva (nome, teléfono, email e unha nota coa referencia e a data) na axenda da Empresa, facilitando o contacto co cliente.
- Ao conectar a súa conta, a Empresa autoriza expresamente a lebbo a crear ditos contactos no seu nome, e declara contar con base legal e información adecuada aos seus clientes para iso.
- lebbo solicita a Google o permiso mínimo de xestión de contactos e úsao exclusivamente para crear o contacto da reserva. Non le, exporta nin modifica os contactos existentes da Empresa.
- As credenciais de acceso (token de actualización de Google) almacénanse cifradas (AES-256) a nivel de aplicación e só se usan en servidor.
- A Empresa pode desconectar a integración en calquera momento desde o seu panel. Os contactos xa creados quedan na conta de Google da Empresa, que é quen os xestiona e, no seu caso, os elimina (tamén para atender dereitos de supresión dos seus clientes).
- O uso por parte de lebbo da información das APIs de Google axústase á Google API Services User Data Policy, incluídos os seus requisitos de Uso Limitado (Limited Use).
7. Medidas de seguridade
lebbo implantou as medidas técnicas e organizativas necesarias para garantir un nivel de seguridade adecuado ao risco de perda, alteración, tratamento ou acceso non autorizado dos datos persoais. Estas medidas inclúen:
- Cifrado en tránsito e repouso: Uso de conexións cifradas TLS (HTTPS) para toda a transferencia de datos e cifrado AES-256 nas bases de datos en repouso. As credenciais de Google das Empresas cífranse adicionalmente a nivel de aplicación.
- Seguridade a nivel de fila (Row Level Security): Políticas de base de datos en Supabase que illan por completo os datos de cada operador para asegurar que ningunha outra empresa poida consultar ou modificar información de terceiros.
- Control de acceso estrito: Autenticación sen contrasinal (OTP) baseada en correo verificado e rate limiting a nivel de API para evitar ataques de forza bruta.
- Resiliencia: Copias de seguridade periódicas automatizadas xestionadas en entornos altamente dispoñibles situados na Unión Europea.
8. Subencargados autorizados
A Empresa outorga a súa autorización xeral a lebbo para subcontratar con terceiros servizos que formen parte do núcleo técnico da plataforma. Os subencargados actuais son:
| Provedor | Finalidade do servizo | Ubicación física dos datos | Mecanismo de transferencia |
|---|---|---|---|
| Supabase Inc. | Aloxamento de base de datos e autenticación de usuarios. | AWS eu-west-1 (Irlanda, UE) | UE-EE. UU. Data Privacy Framework (DPF) / CCT |
| Vercel Inc. | Servidor de aplicacións Next.js e CDN web. | París (Francia, UE) / Frankfurt (UE) | UE-EE. UU. Data Privacy Framework (DPF) / CCT |
| Upstash Inc. | Rate limiting de seguridade e caché de base de datos. | AWS eu-west-1 (Irlanda, UE) | UE-EE. UU. Data Privacy Framework (DPF) / CCT |
| Functional Software (Sentry) | Monitorización e rexistro de erros do software en tempo real. | Frankfurt (Alemaña, UE - rexión .de) | UE-EE. UU. Data Privacy Framework (DPF) / CCT |
| Stripe Payments Europe, Ltd. | Pasarela de pagos seguros online e verificación financeira. | Dublín (Irlanda, UE) | Matriz adherida ao DPF / CCT |
| Google Ireland Ltd. / Google LLC | Analítica de uso (Google Analytics), só con consentimento do cliente final. | Infraestrutura global de Google | UE-EE. UU. Data Privacy Framework (DPF) / CCT |
| Google LLC (People API) | Creación do contacto da reserva na axenda de Google da Empresa (só se a Empresa activa a integración). | Infraestrutura global de Google | UE-EE. UU. Data Privacy Framework (DPF) / CCT |
lebbo informará á Empresa sobre calquera cambio previsto na incorporación ou substitución de subencargados, dándolle a oportunidade de oporse razoablemente por motivos lícitos. A comunicación de datos a administracións públicas para tramitar autorizacións (apartado 5) non constitúe unha subcontratación, senón unha transmisión a un responsable independente.
9. Brechas de seguridade
En caso de que ocorra un incidente de seguridade que afecte á confidencialidade, dispoñibilidade ou integridade dos datos persoais tratados en nome do Responsable, lebbo notificará á Empresa sen dilación indebida e, a máis tardar, nun prazo máximo de 48 horas desde que teña constancia do suceso.
A notificación incluirá detalles sobre a natureza do incidente, categorías de datos afectados, medidas correctivas adoptadas de inmediato e o punto de contacto para coordinar a resposta.
10. Dereitos dos interesados
Se un cliente final exercese os seus dereitos de acceso, rectificación, supresión, oposición, limitación ou portabilidade directamente ante lebbo, redirixiremos dita solicitude de inmediato ao correo da Empresa para a súa resolución. lebbo prestará a asistencia técnica requirida para que a Empresa poida atender dita solicitude a tempo, incluída a eliminación de datos nos sistemas de lebbo. A eliminación de contactos xa creados na conta de Google da Empresa corresponde á propia Empresa.
11. Prazo e destino dos datos
Este acordo terá vixencia mentres dure a relación de prestación de servizos entre a Empresa e lebbo (subscrición activa da conta de operador).
Unha vez finalizado o contrato ou tras a solicitude formal de eliminación da conta por parte do Responsable, lebbo procederá a destruír ou devolver (a elección do Responsable) todos os datos persoais que estean baixo o noso control, salvo aqueles datos transaccionais mínimos que lebbo estea legalmente obrigado a conservar bloqueados durante os prazos de prescrición fiscal (6 anos) conforme ás leis vixentes de España.