Política de Privacidad

En TravelDesk nos tomamos tu privacidad muy en serio. Esta Política de Privacidad explica cómo recopilamos, usamos y protegemos los datos personales de las agencias de viaje que usan nuestro servicio, en cumplimiento del Reglamento General de Protección de Datos (RGPD) (UE) 2016/679 y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de mytraveldesk.app es:

Razón social: Valuc Global Services S.L.
Nombre comercial: TravelDesk
Email de contacto: contacto@mytraveldesk.app
Web: mytraveldesk.app

Datos que recopilamos

Recopilamos los siguientes tipos de datos:

Datos de registro de la agencia:

Nombre de la agencia, nombre y apellidos del administrador
Dirección de correo electrónico
Teléfono de contacto (opcional)
CIF/NIF de la agencia (para facturación)
Dirección fiscal (para facturación)

Datos de uso del servicio:

Registros de acceso (IP, navegador, fecha/hora) para seguridad y auditoría
Funcionalidades utilizadas y frecuencia de uso (analytics agregados, sin identificación individual)
Errores y eventos técnicos para mejora del servicio

Datos de facturación:

Información de pago gestionada directamente por el proveedor de pagos (Stripe). TravelDesk no almacena datos de tarjetas.
Historial de facturas y suscripciones

Datos introducidos por la agencia (datos de clientes finales):

Información de clientes de la agencia (nombre, contacto, DNI, etc.)
Expedientes de viaje, facturas, contratos y documentación
Estos datos son tratados por TravelDesk como encargado del tratamiento (ver sección 5)

Finalidades del tratamiento

Tratamos los datos personales para las siguientes finalidades:

Prestación del servicio: Crear y gestionar la cuenta de la agencia, dar acceso al panel, gestionar usuarios.
Facturación: Gestionar suscripciones, emitir facturas, procesar pagos a través de Stripe.
Soporte técnico: Atender consultas, incidencias y solicitudes relacionadas con el uso del servicio.
Seguridad: Detectar y prevenir fraudes, accesos no autorizados y actividades maliciosas.
Mejora del producto: Analizar el uso agregado del servicio para mejorar funcionalidades (datos anonimizados).
Comunicaciones comerciales: Solo si la agencia ha dado su consentimiento explícito, enviar novedades del producto, actualizaciones y ofertas.

Base jurídica del tratamiento

El tratamiento de datos se basa en las siguientes legitimaciones del RGPD:

Ejecución de un contrato (Art. 6.1.b RGPD): El tratamiento necesario para prestar el servicio contratado (registro, acceso, facturación).
Interés legítimo (Art. 6.1.f RGPD): Seguridad de la plataforma, prevención de fraudes, mejora del servicio (datos agregados).
Obligación legal (Art. 6.1.c RGPD): Conservación de facturas y datos fiscales según la normativa aplicable.
Consentimiento (Art. 6.1.a RGPD): Comunicaciones comerciales y newsletters, con posibilidad de revocar en cualquier momento.

Doble rol: responsable y encargado del tratamiento

Esta sección es especialmente relevante si eres una agencia de viajes.

TravelDesk opera en dos roles distintos según los datos tratados:

Como Responsable del Tratamiento: respecto a los datos de las agencias que contratan el servicio (nombre, email, facturación, registros de uso). TravelDesk decide los fines y medios de este tratamiento.

Como Encargado del Tratamiento: respecto a los datos de los clientes finales que las agencias introducen en el sistema (viajeros, expedientes, contratos). En este caso, la Agencia es la Responsable del Tratamiento y TravelDesk actúa únicamente siguiendo sus instrucciones.

Como Encargado del Tratamiento, TravelDesk se compromete a:

Tratar los datos únicamente para prestar el servicio contratado, nunca para fines propios.
No ceder los datos de clientes de la agencia a terceros sin instrucción expresa de la Agencia.
Implementar las medidas de seguridad técnicas y organizativas adecuadas.
Asistir a la Agencia en el ejercicio de derechos de sus clientes.
Eliminar o devolver los datos al finalizar la relación contractual.
Informar a la Agencia de cualquier brecha de seguridad que afecte a sus datos.

📋 Para agencias: Al usar TravelDesk, actúas como Responsable del Tratamiento de los datos de tus clientes. Debes asegurarte de tener base jurídica válida para tratar dichos datos (normalmente el contrato de viaje o el consentimiento del cliente) y cumplir con tus obligaciones como responsable bajo el RGPD.

Conservación de datos

Los datos se conservan durante los siguientes plazos:

Datos de cuenta: Mientras la cuenta esté activa. Tras la baja o cancelación, se conservan durante 90 días para posibles reclamaciones y luego se eliminan o anonimizan.
Datos de facturación: 5 años desde la emisión de la factura, según la normativa fiscal española (Ley General Tributaria).
Registros de acceso y seguridad: 12 meses.
Datos de clientes de la agencia (datos en calidad de Encargado): Mientras la agencia tenga cuenta activa. Se eliminan o devuelven tras la solicitud de la agencia o al finalizar la relación contractual.
Comunicaciones comerciales: Hasta que se revoque el consentimiento.

Las cuentas inactivas (sin acceso durante más de 12 meses) pueden eliminarse previa notificación por correo electrónico con 30 días de antelación.

Tus derechos bajo el RGPD

Como interesado, tienes los siguientes derechos sobre tus datos personales:

👁️

Acceso

Conocer qué datos tenemos sobre ti y cómo los tratamos.

✏️

Rectificación

Corregir datos inexactos o incompletos.

🗑️

Supresión

Solicitar el borrado de tus datos ("derecho al olvido").

⏸️

Limitación

Restringir el tratamiento de tus datos en determinadas circunstancias.

📦

Portabilidad

Recibir tus datos en formato estructurado y legible por máquina.

🚫

Oposición

Oponerte al tratamiento basado en interés legítimo o para marketing directo.

Para ejercer cualquiera de estos derechos, envía un correo a contacto@mytraveldesk.app con el asunto "Ejercicio de derechos RGPD" indicando el derecho que deseas ejercer y adjuntando una copia de tu documento de identidad. Responderemos en el plazo máximo de 30 días.

Si consideras que el tratamiento de tus datos vulnera el RGPD, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

Subencargados y transferencias internacionales

Para prestar el servicio, TravelDesk utiliza los siguientes proveedores (subencargados del tratamiento), todos ellos con garantías adecuadas de conformidad con el RGPD:

Supabase (infraestructura y base de datos): Almacenamiento de datos en región EU (Europa). Supabase cuenta con certificaciones SOC 2 Type II y cumplimiento RGPD. Los datos NO salen de la UE.
Netlify (hosting y funciones serverless): Proveedor de alojamiento web. Datos procesados en Europa cuando es posible.
Stripe (pagos): Procesador de pagos certificado PCI DSS Level 1. Las transferencias a EE.UU. están cubiertas por el Data Privacy Framework UE-EE.UU.

No realizamos transferencias internacionales de datos fuera del EEE (Espacio Económico Europeo) salvo las indicadas, las cuales cuentan con las garantías adecuadas exigidas por el RGPD (cláusulas contractuales tipo o mecanismos equivalentes).

Seguridad de los datos

TravelDesk implementa las siguientes medidas técnicas y organizativas para proteger los datos:

Cifrado en tránsito: Toda comunicación con la plataforma usa HTTPS/TLS 1.3.
Cifrado en reposo: Los datos almacenados en la base de datos están cifrados.
Control de acceso por roles: Sistema multi-tenant con aislamiento estricto por agencia. Ninguna agencia puede acceder a los datos de otra.
Autenticación segura: Contraseñas hasheadas con bcrypt. Opción de autenticación de doble factor (próximamente).
Auditoría: Registro de accesos y cambios para detección de accesos no autorizados.
Backups: Copias de seguridad automáticas diarias con retención de 30 días.
Actualizaciones: Parches de seguridad aplicados de forma regular.

En caso de brecha de seguridad que afecte a datos personales, notificaremos a la AEPD en un plazo máximo de 72 horas y a las agencias afectadas sin demora indebida, conforme al Art. 33 y 34 del RGPD.

Cookies

TravelDesk utiliza cookies y tecnologías similares. A continuación, el detalle de las cookies utilizadas:

Cookie	Tipo	Finalidad	Duración
`sb-auth-token`	Necesaria	Sesión de autenticación de Supabase. Mantiene al usuario logueado.	30 días (si "Recordarme" activo) o sesión
`td_theme`	Preferencias	Guarda la preferencia de tema visual del usuario (claro/oscuro).	1 año
`td_lang`	Preferencias	Idioma preferido de la interfaz.	1 año

Sin cookies de seguimiento: TravelDesk no utiliza cookies de terceros, cookies publicitarias ni cookies de rastreo entre sitios. No usamos Google Analytics, Meta Pixel ni herramientas similares de seguimiento.

Las cookies necesarias no requieren consentimiento ya que son imprescindibles para el funcionamiento del servicio. Las cookies de preferencias pueden desactivarse desde la configuración del navegador, aunque esto puede afectar a la experiencia de uso.

Menores de edad

TravelDesk está dirigido exclusivamente a profesionales del sector turístico (agencias de viaje). No está destinado a menores de 18 años y no recopilamos intencionalmente datos de menores de edad como usuarios del servicio.

Los datos de menores que puedan aparecer como viajeros en expedientes gestionados por las agencias son tratados bajo la responsabilidad de la agencia, que debe contar con el consentimiento del representante legal o tutores del menor.

Cambios en la Política de Privacidad

Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en el servicio, en la legislación aplicable o en nuestras prácticas de tratamiento de datos.

Ante cambios materiales, notificaremos a las agencias por correo electrónico con al menos 15 días de antelación a la entrada en vigor de la nueva versión. La fecha de "última actualización" al inicio de este documento indicará siempre cuándo fue la última revisión.

El uso continuado del servicio tras la entrada en vigor de los cambios implica la aceptación de la política actualizada.

Contacto y DPO

Para cualquier consulta sobre esta Política de Privacidad, el ejercicio de tus derechos, o cualquier cuestión relacionada con el tratamiento de datos personales, puedes contactar con nosotros:

Email de privacidad: contacto@mytraveldesk.app
Asunto recomendado: "Privacidad RGPD — [tu consulta]"
Empresa: Valuc Global Services S.L.
Web: mytraveldesk.app

Nos comprometemos a responder todas las consultas relacionadas con privacidad en un plazo máximo de 30 días, conforme al RGPD. En casos complejos, podemos extender este plazo otros 2 meses, notificándote en todo caso.

También puedes presentar una reclamación ante la autoridad de control competente: la Agencia Española de Protección de Datos (AEPD) — www.aepd.es.