TravelSwallow Legal

Inicio / Política de privacidad

Política de privacidad

Cómo TravelSwallow trata los datos personales: cuenta, planes de viaje, clave de IA BYOK, procesamiento por IA, cookies y tus derechos conforme al RGPD y la DSG.

Nos tomamos en serio la protección de sus datos personales. Esta Política de Privacidad le informa, conforme al Reglamento General de Protección de Datos (RGPD) y a la Ley austriaca de Protección de Datos (DSG), sobre qué datos tratamos cuando usa TravelSwallow, con qué finalidad y sobre qué base jurídica.

1. Responsable del tratamiento

El responsable del tratamiento en el sentido del art. 4(7) RGPD es:

Webagentur Hochmeir e.U.
Jonathan Hochmeir
Moorweg 7, 4845 Rutzenmoos, Österreich
E-Mail: hello@webhoch.com
Tel: +43 680 2208354

Para cualquier consulta sobre protección de datos y para el ejercicio de sus derechos puede contactarnos en hello@webhoch.com.

2. Generalidades

Tratamos los datos personales únicamente en la medida necesaria. Se entiende por «datos personales» toda información relativa a una persona física identificada o identificable. El tratamiento solo se realiza si existe una base jurídica o usted ha dado su consentimiento. En la medida en que recabamos su consentimiento para el tratamiento, la base jurídica es el art. 6(1)(a) RGPD; para el tratamiento necesario para la ejecución de un contrato, el art. 6(1)(b) RGPD; para el cumplimiento de obligaciones legales, el art. 6(1)(c) RGPD; y para la salvaguarda de intereses legítimos, el art. 6(1)(f) RGPD.

3. Archivos de registro del servidor

Al acceder a nuestro sitio web, el servidor (nginx) recopila automáticamente información que su navegador transmite y la almacena temporalmente en los denominados archivos de registro del servidor. Se registran:

  • la dirección IP anonimizada o abreviada del dispositivo solicitante,
  • la fecha y la hora del acceso,
  • la URL o el archivo solicitado,
  • la URL de referencia (la página visitada anteriormente),
  • el navegador utilizado y su versión,
  • el sistema operativo,
  • el nombre de host del equipo que accede.

Estos datos sirven para la entrega del sitio web, para garantizar la estabilidad y la seguridad, y para el análisis de errores. La base jurídica es nuestro interés legítimo en un funcionamiento seguro (art. 6(1)(f) RGPD). Los archivos de registro se eliminan al cabo de poco tiempo, salvo que sean necesarios para esclarecer un incidente de seguridad.

4. Alojamiento (hosting)

Nuestra aplicación y base de datos se operan en servidores situados en Austria o dentro de la Unión Europea. Con el proveedor de alojamiento existe un contrato de encargo del tratamiento conforme al art. 28 RGPD que garantiza que los datos se tratan exclusivamente siguiendo nuestras instrucciones y respetando el RGPD. La base jurídica del alojamiento es el art. 6(1)(b) y (f) RGPD.

5. Cuenta / Registro

Para publicar y almacenar de forma permanente planes de viaje, puede crear una cuenta. Para ello tratamos su dirección de correo electrónico y su contraseña, que se almacena exclusivamente como un hash seguro (método: scrypt) — no conocemos su contraseña en texto claro. La base jurídica es la ejecución del contrato de uso (art. 6(1)(b) RGPD). Sin cuenta puede utilizar el constructor (builder) localmente en su navegador.

6. Contenidos de planes de viaje y del usuario

Cuando crea y guarda planes de viaje, tratamos los contenidos que introduce (p. ej., títulos, días, puntos del programa, lugares, notas), así como los archivos PDF adjuntos opcionales (como billetes) que usted mismo sube. Tratamos estos datos para ofrecerle la función «crear, guardar y compartir plan de viaje». La base jurídica es el art. 6(1)(b) RGPD. Los contenidos de los planes publicados son accesibles a través del enlace que comparte o —en caso de protección con contraseña— solo tras introducir la contraseña.

7. Clave de IA propia (BYOK)

TravelSwallow sigue el principio «Bring Your Own Key»: para las funciones de IA utiliza su propia clave API del proveedor correspondiente. De forma predeterminada, esta clave se mantiene exclusivamente de forma local en su navegador. Si decide guardar la clave cómodamente en su cuenta, la almacenamos cifrada con AES-256-GCM. La clave nunca se registra (log) y nunca se devuelve al lado del cliente. La base jurídica es su consentimiento o la ejecución del contrato (art. 6(1)(a) y (b) RGPD). Puede eliminar en cualquier momento una clave almacenada en los ajustes.

8. Tratamiento mediante IA/LLM

Cuando activa una generación con IA, las entradas necesarias para ello (contenido del prompt, p. ej. preferencias de viaje) se transmiten al proveedor de IA correspondiente y se procesan allí. Deben distinguirse dos situaciones:

  • Generaciones financiadas por nosotros (opción predeterminada): las generaciones gratuitas del nivel gratuito, así como las generaciones de los tarifas y paquetes de pago, se procesan a través de nuestro proveedor de IA Anthropic (Claude), a nuestro cargo y con nuestra clave.
  • Con clave propia (BYOK): si ha guardado su propia clave API, el tratamiento se realiza a través del proveedor que haya elegido (Anthropic, OpenAI o Google) con su clave.

Se aplican las disposiciones de protección de datos del proveedor utilizado en cada caso. Según el proveedor, puede producirse una transferencia a un tercer país (en particular, EE. UU.); en tal caso, los proveedores se basan en garantías adecuadas, como las Cláusulas Contractuales Tipo de la UE (CCT). No conservamos el contenido de los prompts más tiempo del necesario para prestar la función. Le rogamos que no incluya datos personales sensibles de terceros en las entradas de IA. La base jurídica es el art. 6(1)(b) RGPD (provisión de la función) o (a) (consentimiento).

9. Meteorología en directo

Los planes de viaje pueden mostrar datos meteorológicos actuales. Esta consulta se realiza del lado del cliente (en su navegador) directamente a api.open-meteo.com, transmitiendo las coordenadas del lugar del plan de viaje correspondiente. Al hacerlo, el proveedor Open-Meteo puede tratar su dirección IP por motivos técnicos. Se aplican las disposiciones de protección de datos de Open-Meteo. La base jurídica es el art. 6(1)(f) RGPD (provisión de la función solicitada).

10. Cookies

Utilizamos exclusivamente cookies técnicamente necesarias. En concreto, son:

  • una cookie de sesión que mantiene su sesión iniciada tras el inicio de sesión, y
  • cookies de desbloqueo que recuerdan que ya ha introducido correctamente la contraseña de un plan protegido por contraseña.

No utilizamos cookies de análisis, seguimiento o marketing ni integramos servicios de ese tipo. Dado que las cookies mencionadas son estrictamente necesarias para el funcionamiento de las funciones que usted solicita, no requieren consentimiento; la base jurídica es el art. 6(1)(f) RGPD.

11. Procesamiento de pagos

Para los tarifas de pago (Plus, Pro), el complemento «+5 planes» y los paquetes únicos de generaciones de IA, procesamos los pagos a través del proveedor de servicios de pago Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublín, Irlanda). En particular, se tratan los siguientes datos:

  • su nombre y su dirección de correo electrónico,
  • los datos de pago (p. ej., datos de tarjeta de crédito o bancarios) que usted introduce directamente en Stripe y que nosotros mismos no podemos ver ni almacenar,
  • los identificadores de cliente, de suscripción y de pago que Stripe nos devuelve para asignar su pedido.

La base jurídica es la ejecución del contrato relativo a la prestación de pago (art. 6(1)(b) RGPD). Stripe trata los datos como responsable independiente con arreglo a sus propias condiciones; encontrará los detalles en la política de privacidad de Stripe en stripe.com/privacy. Mientras no contrate una prestación de pago, no se tratan datos a través de Stripe.

12. Socios de afiliación y enlaces de reserva

Los planes de viaje pueden contener enlaces de reserva o de entradas a proveedores externos (p. ej., GetYourGuide, Tiqets). Se trata de enlaces de afiliación identificados como «publicidad» («Anzeige»): si reserva algo a través de un enlace de este tipo, podemos recibir una comisión, sin coste adicional para usted. Cuando hace clic en un enlace de afiliación o de reserva, se le redirige al socio correspondiente; el acceso al sitio del socio lo inicia usted mismo. Al hacerlo, no transmitimos activamente ningún dato personal al socio. No obstante, en el sitio de destino pueden activarse cookies o mecanismos de seguimiento del socio sobre los que no tenemos influencia; a estos se les aplican las disposiciones de protección de datos del socio correspondiente. La base jurídica es nuestro interés legítimo en la financiación de la oferta gratuita (art. 6(1)(f) RGPD).

13. Correos electrónicos transaccionales

En el marco de la ejecución del contrato, enviamos a la dirección de correo electrónico que nos haya facilitado los correos transaccionales necesarios (p. ej., confirmaciones de pedidos, suscripciones u operaciones de la cuenta). El envío se realiza a través de nuestro propio servidor de correo. La base jurídica es el art. 6(1)(b) RGPD (ejecución del contrato) o el art. 6(1)(f) RGPD (interés legítimo en informar sobre operaciones relevantes para el servicio).

14. Plazo de conservación

Conservamos los datos de la cuenta y de los planes hasta la finalización de la relación de uso o hasta la eliminación de su cuenta. Puede eliminar usted mismo su cuenta y todos los datos asociados en cualquier momento en los ajustes; tras ello, los datos se eliminan. Los datos relativos a pedidos de pago se conservan para cumplir las obligaciones legales de conservación (en particular, fiscales y mercantiles) durante el periodo prescrito en cada caso. Los archivos de registro del servidor se eliminan a corto plazo, como se describe en el punto 3.

15. Destinatarios / categorías de destinatarios

Sus datos se ceden únicamente a los destinatarios necesarios para el funcionamiento, en particular:

  • el proveedor de alojamiento (encargado del tratamiento, servidores en Austria/UE),
  • nuestro proveedor de IA Anthropic (en las generaciones financiadas por nosotros) o el proveedor de IA que haya elegido (Anthropic, OpenAI o Google) al utilizar una clave propia,
  • el proveedor de servicios de pago Stripe (solo en pedidos de pago, véase el punto 11),
  • los socios de afiliación — únicamente mediante su propio clic en un enlace de reserva (véase el punto 12),
  • Open-Meteo (consulta meteorológica del lado del cliente),
  • las autoridades, en la medida en que estemos legalmente obligados a ello.

Excluimos la venta de sus datos o su cesión con fines publicitarios.

16. Transferencia de datos a terceros países

Una transferencia a terceros países se produce, en particular, en relación con el tratamiento de IA (véase el punto 8), cuando el proveedor utilizado trata los datos allí, así como, en su caso, en el marco del procesamiento de pagos a través de Stripe. Esta transferencia se basa en garantías adecuadas (en particular, las Cláusulas Contractuales Tipo de la UE) o en una decisión de adecuación, cuando exista.

17. Medidas técnicas y organizativas (MTO)

Adoptamos medidas técnicas y organizativas adecuadas para proteger sus datos, entre otras, el cifrado en el transporte (TLS/HTTPS), el almacenamiento de contraseñas con hash (scrypt), el cifrado AES-256-GCM de las claves de IA almacenadas, restricciones de acceso y la actualización periódica del software utilizado.

18. Sus derechos

Como interesado, le asisten los siguientes derechos:

  • derecho de acceso (art. 15 RGPD),
  • derecho de rectificación (art. 16 RGPD),
  • derecho de supresión (art. 17 RGPD),
  • derecho a la limitación del tratamiento (art. 18 RGPD),
  • derecho a la portabilidad de los datos (art. 20 RGPD),
  • derecho de oposición al tratamiento (art. 21 RGPD),
  • derecho a retirar un consentimiento prestado con efectos para el futuro (art. 7(3) RGPD).

Para ejercer sus derechos basta con un mensaje informal a hello@webhoch.com.

19. Derecho de reclamación

Sin perjuicio de cualquier otro recurso, tiene derecho a presentar una reclamación ante una autoridad de control. Para Austria, esta es la Autoridad Austriaca de Protección de Datos, Barichgasse 40–42, 1030 Viena (www.dsb.gv.at).

20. Ausencia de decisiones automatizadas

No se realizan decisiones automatizadas, incluida la elaboración de perfiles, en el sentido del art. 22 RGPD. Los resultados de las funciones de IA son meras sugerencias y no producen ningún efecto jurídico respecto de usted.

21. Modificaciones de esta Política de Privacidad

Nos reservamos el derecho a adaptar esta Política de Privacidad para que cumpla en todo momento los requisitos legales vigentes o para implementar cambios en nuestros servicios. Para su próxima visita se aplicará la versión vigente en ese momento.