Saltar ao contido
lebbolebbo
Iniciar sesión

Legal

Política de privacidade

Explicamos que datos recollemos, con que finalidade os tratamos, canto tempo os conservamos e que dereitos tes sobre eles.

Última actualización: 17 de junio de 2026

Resumo rápido: recollemos os datos estritamente necesarios para xestionar a túa conta, procesar reservas, tramitar as autorizacións que algunhas actividades requiren e cumprir a lei. Nunca vendemos os teus datos a terceiros. Podes exercer os teus dereitos escribindo a privacidad@lebbo.es.

1. Responsable do tratamento

O responsable do tratamento dos teus datos persoais é:

  • Titular: David Torres Rial (persoa física, NIF 35602692A)
  • País: España
  • Domicilio / Notificacións: Domicilio a efectos de notificaciones: pendiente de actualización. Para cualquier comunicación legal escríbenos a legal@lebbo.es
  • Email para asuntos de privacidade: privacidad@lebbo.es

Cando reservas unha actividade, a empresa organizadora dela é responsable do tratamento dos teus datos para a prestación da experiencia; LEBBO actúa como encargado do tratamento (o seu provedor tecnolóxico) para xestionar a reserva, o aforo, os cobros e, cando proceda, a tramitación de autorizacións. Para todo o relativo á túa conta de usuario na plataforma, o responsable é LEBBO.

2. Datos que tratamos

Tratamos distintas categorías de datos segundo como interactúes co servizo. Incluímos tamén os datos temporais (que se gardan só uns minutos) e os datos técnicos para que teñas a imaxe completa:

2.1. Datos de rexistro e conta

  • Nome e apelidos.
  • Correo electrónico.
  • Datos de autenticación necesarios para o acceso sen contrasinal (códigos OTP).
  • Idioma preferido e rol de usuario, empresa ou afiliado.

2.2. Datos de reserva

  • Data, actividade reservada e número de participantes (adultos, menores, bebés e mascotas).
  • Teléfono de contacto (obrigatorio): solicitámolo sempre porque a empresa organizadora necesítao para comunicarse contigo sobre a túa reserva (cambios de horario, meteoroloxía, punto de encontro, incidencias) por teléfono ou mensaxería.
  • Nome e apelidos do comprador e de cada participante; idade dos participantes.
  • Contacto de emerxencia (nome e teléfono) e notas que achegues para a actividade.
  • Material asignado (tallas de kayak, prazas, etc.) e notas operativas.
  • Datos de pago procesados directamente por Stripe (identificadores de cliente e de pago). Non almacenamos números de tarxeta nos nosos sistemas.
  • Garantía de tarxeta / non presentación: se a actividade o require, Stripe garda un método de pago para unha posible penalización por non presentarte, xunto co teu consentimento expreso (data e texto aceptado).

2.3. Datos de participación, seguridade e check-in

  • Rexistro de check-in (asistencia) e, se procede, cobros realizados no sitio.
  • Aceptación da exención de responsabilidade (waiver) cando a actividade a esixe; gardamos a constancia da aceptación, non unha sinatura manuscrita.
  • Incidencias durante a actividade: descrición e, no seu caso, fotografías do material ou do incidente que rexistre o persoal.

2.4. Recensións e valoracións

  • Puntuación e texto da recensión tras a actividade.
  • Comentarios privados dirixidos á empresa (non publicados).
  • Se escolles deixar a recensión de forma anónima, non mostramos o teu nome publicamente.

2.5. Datos para autorizacións ambientais

Algunhas actividades desenvólvense en espazos naturais protexidos e esixen unha autorización previa da administración competente. Só nese caso, e só para tramitala, recollemos os datos que a autoridade esixe por persoa. Detallámolo no apartado 6.

2.6. Datos de empresa

  • Nome legal, NIF, enderezo fiscal e datos bancarios.
  • Actividades publicadas, prezos e calendario.
  • Se a empresa o activa, a conta de Google que conecta para sincronizar contactos (ver apartado 7).

2.7. Datos de afiliados

  • Información do solicitante: nome, email, audiencia e canle principal.
  • Clics, conversións e comisións xeradas.
  • Conta bancaria ou medio de pago para liquidacións.

2.8. Datos temporais, técnicos e de seguridade

  • Reservas temporais (holds): mentres completas o pago, gardamos durante uns minutos os datos da reserva en curso (participantes, contacto e, se aplica, datos do permiso). Se non se confirma, esa retención temporal caduca e libérase automaticamente.
  • Cookies de sesión e técnicas: autenticación da túa sesión e un identificador temporal de seguridade (estado anti-CSRF) durante a conexión con Google. Consulta a Política de cookies.
  • Rexistros de consentimento: cando aceptas un documento (p. ex. o acordo de tratamento ou a garantía de tarxeta), gardamos a versión aceptada, a data e o enderezo IP como proba.
  • Eventos de email: estado de entrega dos correos transaccionais (entregado, rebotado, marcado como spam) para non seguir escribindo a enderezos que fallan.
  • Enderezo IP, usado para rate limiting, prevención de abuso e, no seu caso, bloqueos de seguridade temporais.
  • Analítica (Google Analytics) mediante cookies, que só se activan co teu consentimento.
  • Eventos de erro e rendemento (a través de Sentry) para detectar e resolver problemas técnicos.

3. Finalidades e base legal

FinalidadeBase legal
Crear e xestionar a túa conta de usuarioExecución do contrato (art. 6.1.b RGPD)
Procesar reservas e cobrosExecución do contrato (art. 6.1.b RGPD)
Comunicación operativa da reserva coa empresa organizadora (teléfono, avisos de cambios, punto de encontro)Execución do contrato (art. 6.1.b RGPD)
Tramitar autorizacións ambientais ante a administración competente cando a actividade o requireExecución do contrato (art. 6.1.b RGPD) e cumprimento da normativa de espazos protexidos; a administración trata os datos no exercicio das súas competencias (art. 6.1.e RGPD)
Sincronizar o contacto da reserva na axenda de Google da empresa organizadora, cando esta o teña activadoInterese lexítimo da empresa organizadora de poder contactarte (art. 6.1.f RGPD)
Cumprir obrigas contables e fiscaisObriga legal (art. 6.1.c RGPD)
Xestionar comisións de afiliadosExecución do contrato (art. 6.1.b RGPD)
Enviar comunicacións transaccionais (confirmacións, recordatorios, avisos operativos)Execución do contrato (art. 6.1.b RGPD)
Seguridade, prevención de fraude e protección da plataformaInterese lexítimo (art. 6.1.f RGPD)
Analítica de uso (Google Analytics)Consentimento (art. 6.1.a RGPD)

4. Prazos de conservación

  • Datos de conta: mentres manteñas a conta activa. Tras a súa eliminación, conservamos datos mínimos durante 6 anos se houbo transaccións, por obrigas contables e fiscais.
  • Reservas e facturas: 6 anos, conforme ao Código de Comercio e prazos fiscais aplicables.
  • Reservas temporais (holds): libéranse e elimínanse automaticamente aos poucos minutos se a reserva non se confirma.
  • Recensións e incidencias: mentres a recensión estea dispoñible e durante a xestión da incidencia; as fotos de incidencias consérvanse os prazos legais aplicables.
  • Datos de autorizacións ambientais: o tempo necesario para tramitar a autorización e atender posibles comprobacións da administración; despois bloquéanse durante os prazos legais aplicables e elimínanse.
  • Contactos en Google da empresa: LEBBO só crea o contacto; unha vez creado, queda baixo o control da empresa na súa propia conta de Google e réxese pola conservación que esta aplique.
  • Comunicacións transaccionais: mentres dure a relación contractual e os prazos legais aplicables.
  • Logs de seguridade e IPs: máximo 12 meses, salvo necesidade de conservalos para investigar abusos ou incidencias.
  • Cookies: consulta a Política de cookies.

5. Destinatarios

Compartimos datos cos seguintes encargados de tratamento, con contratos conforme ao art. 28 RGPD cando aplica:

ProvedorFinalidadeUbicación física dos datosSede da empresa
Supabase Inc.Base de datos e autenticaciónAWS eu-west-1 (Irlanda, UE)EE. UU. — DPF
Vercel Inc.Aloxamento web e CDNcdg1 / eu-west-3 (París, Francia, UE)EE. UU. — DPF
Upstash Inc.Rate limiting e cachéAWS eu-west-1 (Irlanda, UE)EE. UU. — DPF
Functional Software, Inc. (Sentry)Monitorización de errosFrankfurt (Alemaña, UE) — rexión .deEE. UU. — DPF
Stripe Payments Europe, Ltd.Procesamento de pagosDublín (Irlanda, UE)Matriz EE. UU. — DPF
Google Ireland Ltd. / Google LLCAnalítica de uso (Google Analytics), só co teu consentimentoInfraestrutura global de GoogleEE. UU. — DPF
Google LLC (People API)Creación do contacto da reserva na axenda de Google da empresa, se esta o activaInfraestrutura global de GoogleEE. UU. — DPF

Ademais, cando reservas unha actividade, os teus datos de reserva póñense a disposición da empresa organizadora correspondente, que os necesita para prestarche o servizo. E comunicamos datos a administracións públicas cando exista obriga legal (Facenda, Seguridade Social, autoridades ambientais ou xudiciais).

6. Tramitación de autorizacións (DNI e datos sensibles)

Algunhas actividades (por exemplo, rutas en espazos naturais protexidos como o illote de Areoso) requiren unha autorización de acceso que emite a administración ambiental competente (por exemplo, a Xunta de Galicia). Para tramitala no teu nome, a autoridade esixe identificar a cada participante.

Unicamente cando a actividade o require, e só para ese fin, tratamos:

  • Nome e apelidos.
  • Tipo e número de documento de identidade (DNI, NIE ou pasaporte).
  • Data ou ano de nacemento.
  • Sexo (no formato que esixe o formulario oficial).
  • Nacionalidade / país, enderezo, provincia e localidade de residencia.

Estes datos non son «categorías especiais» do art. 9 RGPD, pero tratámolos con especial coidado:

  • Minimización: só se solicitan se a actividade necesita permiso, e só os campos que a administración esixe.
  • Finalidade limitada: úsanse exclusivamente para tramitar a autorización ante a administración e para nada máis.
  • Destinatario: transmítense á administración competente, que actúa como responsable independente no exercicio das súas competencias. A transmisión realízase por canles oficiais e cifradas.
  • Conservación: segundo os prazos do apartado 4.
  • Reutilización opcional: se o autorizas ao reservar, gardamos estes datos no teu perfil para non telos que volver pedir en futuras reservas. Podes solicitar a súa eliminación cando queiras.

7. Acceso ás APIs de Google

As empresas organizadoras poden, de forma opcional, conectar a súa conta de Google para que o contacto de cada reserva se engada automaticamente á súa axenda e poder comunicarse contigo máis rápido. Esta conexión realízaa e autorízaa a empresa.

  • Solicitamos o permiso mínimo imprescindible de Google (xestión de contactos) e usámolo só para crear o contacto da reserva (nome, teléfono, email e unha nota coa referencia e a data) na conta da empresa.
  • Non lemos, exportamos nin modificamos os contactos existentes da empresa, nin compartimos esa información con terceiros.
  • As credenciais de acceso a Google da empresa gárdanse cifradas e só se usan en servidor.

O uso por parte de LEBBO da información recibida das APIs de Google axústase á Google API Services User Data Policy, incluídos os seus requisitos de Uso Limitado (Limited Use).

8. Transferencias internacionais

A práctica totalidade dos datos persoais procésase en infraestrutura situada fisicamente dentro do Espazo Económico Europeo (EEE). Concretamente: Supabase e Upstash en AWS Irlanda (eu-west-1), Vercel en París (cdg1, eu-west-3), Sentry en Frankfurt (rexión europea .de) e Stripe en Dublín.

Excepcións (servizos de Google): se a empresa organizadora activa a sincronización de contactos, os datos de contacto da reserva transfírense a Google (infraestrutura global, EE. UU.). Así mesmo, a analítica de uso (Google Analytics), se a aceptas, implica tratamento por Google. Estas transferencias ampáranse no EU-U.S. Data Privacy Framework e en Cláusulas Contractuais Tipo.

Ademais, varios dos provedores anteriores son sociedades con sede en EE. UU.; aínda que os datos non saen do EEE de forma rutineira, pode existir acceso puntual desde fóra do EEE por parte das matrices para soporte, seguridade ou enxeñaría. Como garantías:

  • Os provedores estadounidenses cos que traballamos (Supabase, Vercel, Upstash, Sentry, Stripe e Google) están adheridos ao EU-U.S. Data Privacy Framework (DPF), recoñecido pola Comisión Europea como mecanismo de adecuación.
  • Asínanse Cláusulas Contractuais Tipo (CCT) aprobadas pola Comisión Europea como salvagarda contractual adicional.

Podes solicitar información adicional sobre estas garantías escribindo a privacidad@lebbo.es.

9. Os teus dereitos

Tes dereito a:

  • Acceso: saber que datos tratamos e obter unha copia.
  • Rectificación: corrixir datos inexactos.
  • Supresión: solicitar a eliminación dos teus datos cando proceda.
  • Oposición: oporte a tratamentos baseados en interese lexítimo ou marketing.
  • Limitación: solicitar que restrinxamos o tratamento.
  • Portabilidade: recibir os teus datos en formato estruturado.
  • Revogar consentimentos outorgados, sen efecto retroactivo.
  • Non ser obxecto de decisións automatizadas con efectos xurídicos significativos.

Para exercelos, escribe a privacidad@lebbo.es achegando copia do teu DNI ou documento equivalente. Responderemos no prazo máximo legal dun mes. Se os teus datos os trata unha empresa organizadora como responsable (por exemplo, os contactos sincronizados no seu Google), axudarémoste a dirixir a túa solicitude a quen corresponda.

Se consideras que tratamos os teus datos de forma indebida, podes presentar unha reclamación ante a Axencia Española de Protección de Datos (AEPD), con domicilio na C/ Jorge Juan 6, 28001 Madrid, teléfono 901 100 099 / 912 663 517.

10. Seguridade

Aplicamos medidas técnicas e organizativas para protexer os teus datos, incluíndo cifrado en tránsito (TLS) e en repouso (AES-256) cando procede, control de acceso baseado en roles, políticas de seguridade a nivel de fila que illan os datos de cada empresa, rate limiting, monitorización de erros e copias de seguridade na UE. As credenciais de Google das empresas almacénanse cifradas a nivel de aplicación. Os pagos procésanse a través de Stripe, con certificación PCI-DSS nivel 1.

11. Menores de idade

Os nosos servizos de rexistro e creación de conta non están dirixidos a menores de 14 anos, polo que non permitimos o rexistro directo de usuarios menores de dita idade. Non obstante, as actividades de turismo activo e experiencias ofertadas a través da plataforma poden ir dirixidas a ou permitir a participación de menores de idade. Nestes casos, a participación do menor está condicionada a que vaia sempre acompañado por un adulto responsable (pai, nai, titor legal ou adulto debidamente autorizado), quen se encargará de realizar a reserva no seu nome e de proporcionar os datos estritamente necesarios para a xestión operativa, loxística e de seguridade da actividade (como tallas de material, idade, nomes ou datos para a tramitación de permisos ambientais obrigatorios).

Ao proporcionar ditos datos, o adulto responsable declara posuír a patria potestade, tutela ou autorización legal para facilitar a información do menor e consentir o seu tratamento no seu nome. Se detectamos a recollida de datos dun menor de 14 anos sen a debida autorización parental ou do titor, eliminaremos dita información dos nosos sistemas coa maior brevidade.

12. Cambios na política

Podemos actualizar esta política para reflectir cambios legais ou operativos. A data de última revisión aparece ao inicio do documento. Se os cambios son substanciais, notificarémoscho por email ou mediante aviso destacado antes de que entren en vigor.