Artículo 1 — Responsable del tratamiento

El responsable del tratamiento de los datos de carácter personal es:

Triptic SAS

Domicilio social: 57 rue Raspail, 92300 Levallois-Perret, Francia

SIRET: 889 274 510 00011

Representado por: Olivier BAILLEUX, Presidente

Contacto DPO / Protección de datos:  dpo@triptic.io

Artículo 2 — Datos recopilados

Triptic recopila las siguientes categorías de datos, según el rol del Usuario y el uso que haga de la Plataforma:

2.1 Datos de identificación

• apellido, nombre, dirección de correo electrónico, número de teléfono;
• dirección postal;
• fecha de nacimiento (facultativa);
• profesión (facultativa);
• empleador (facultativo);
• foto de perfil (facultativa);
• nombre de usuario (@username);
• para los Anfitriones profesionales y las Organizaciones: razón social, número SIRET, dirección profesional.

2.2 Datos de conexión y técnicos

• dirección IP, registros de conexión;
• tipo de navegador, sistema operativo, dispositivo utilizado;
• fechas y horas de conexión.

2.3 Datos relativos a las transacciones

• historial de Reservas (fechas, importes, estado);
• información de facturación vinculada a las Suscripciones;
• identificadores de Stripe (Stripe Customer ID, Stripe Connected Account ID); Triptic no almacena los números de tarjeta bancaria, que son tratados exclusivamente por Stripe.

2.4 Datos de contenido

• Anuncios publicados (descripciones, fotos, tarifas, calendarios);
• mensajes intercambiados a través de la mensajería interna;
• opiniones, comentarios, relatos de viaje;
• resultados del cuestionario de personalidad de viajero (etiquetas, arquetipo, puntuaciones).

2.5 Datos de geolocalización

Triptic puede recopilar datos de localización aproximada (ciudad, región) basándose en la dirección IP. La geolocalización precisa se utiliza únicamente para la visualización de mapas (Leaflet/OpenStreetMap) y la geocodificación de direcciones (Nominatim). Estos servicios funcionan del lado del cliente o mediante consultas anónimas y no requieren un consentimiento específico.

Artículo 3 — Finalidades y bases legales del tratamiento

Los datos personales son tratados con las siguientes finalidades:

3.1 Ejecución del contrato (artículo 6.1.b del RGPD)

• gestión de la cuenta de usuario y autenticación;
• puesta en contacto entre Anfitriones y Viajeros;
• tramitación de las Reservas y los pagos;
• comunicación entre Miembros a través de la mensajería;
• provisión de las herramientas SaaS de gestión de alquileres;
• generación del perfil de viajero (Retrato del Viajero).

3.2 Obligación legal (artículo 6.1.c del RGPD)

• conservación de los datos de facturación (obligaciones contables y fiscales);
• conservación de los datos de conexión (obligación del proveedor de alojamiento en virtud de la LCEN);
• respuesta a los requerimientos judiciales y administrativos.

3.3 Interés legítimo (artículo 6.1.f del RGPD)

• mejora de la Plataforma y análisis de audiencia (a través de Umami, sin datos personales);
• prevención del fraude y seguridad de la Plataforma;
• soporte técnico y resolución de litigios;
• envío de comunicaciones relativas al funcionamiento del Servicio (notificaciones de Reserva, actualizaciones de las Condiciones, alertas de seguridad).

3.4 Consentimiento (artículo 6.1.a del RGPD)

• envío de boletines y comunicaciones de marketing;
• instalación de cookies no esenciales en su caso;
• geolocalización precisa.

El consentimiento puede ser retirado en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento efectuado antes de su retirada.

Artículo 4 — Destinatarios de los datos

Los datos personales pueden comunicarse a las siguientes categorías de destinatarios:

4.1 Encargados del tratamiento técnicos

• Stripe (Stripe Payments Europe, Ltd., Irlanda): tramitación de los pagos y prevención del fraude;
• OVH SAS (Francia): alojamiento de la Plataforma y de los datos;
• Brevo / Sendinblue (Francia): envío de correos electrónicos transaccionales y boletines;
• OpenStreetMap Foundation (Reino Unido): cartografía base y geocodificación Nominatim (datos abiertos, consultas anónimas).

Cada encargado del tratamiento está vinculado por un acuerdo de tratamiento de datos (DPA) conforme al artículo 28 del RGPD.

4.2 Otros Miembros

Algunos datos son visibles para los demás Miembros en el marco del funcionamiento de la Plataforma: nombre, foto de perfil, @username, perfil de viajero público, opiniones publicadas, Anuncios. Los datos de contacto completos (correo electrónico, teléfono) solo se comunican en caso de Reserva confirmada, en la medida necesaria para la ejecución del contrato de alquiler.

4.3 Autoridades públicas

Triptic puede verse obligada a comunicar datos personales a las autoridades judiciales, administrativas o fiscales en respuesta a un requerimiento legal.

Artículo 5 — Transferencias fuera de la UE

Los datos están alojados en Francia (OVH). El encargado del tratamiento Stripe puede transferir datos a países situados fuera del Espacio Económico Europeo (EEE), en particular Estados Unidos. Los servicios de cartografía (OpenStreetMap, Nominatim) funcionan mediante consultas anónimas sin transferencia de datos personales.

Estas transferencias están enmarcadas por las garantías previstas por el RGPD:

• decisión de adecuación de la Comisión Europea (EU-US Data Privacy Framework para Estados Unidos, en su caso);
• cláusulas contractuales tipo (SCC) adoptadas por la Comisión Europea;
• medidas técnicas adicionales (cifrado, seudonimización) cuando resulten necesarias.

Artículo 6 — Plazo de conservación

Los datos personales se conservan durante los siguientes plazos:

• Datos de la cuenta (identificación, perfil): durante toda la duración del registro, y posteriormente eliminados en un plazo de treinta (30) días tras el cierre de la cuenta, sin perjuicio de las obligaciones de archivo legal.
• Datos de facturación: diez (10) años a partir del cierre del ejercicio contable (obligación contable).
• Datos de conexión (registros, IP): un (1) año a partir de la creación del dato (obligación LCEN).
• Mensajes intercambiados: durante toda la duración de la cuenta, y posteriormente anonimizados o eliminados al cierre.
• Datos de Reserva: cinco (5) años después del fin de la estancia (plazo de prescripción civil).
• Datos de consentimiento (boletín): tres (3) años desde el último contacto o desde la recogida del consentimiento.
• Datos de Suscripción tras la cancelación: seis (6) meses (período de reactivación), y posteriormente eliminados o anonimizados.

Artículo 7 — Derechos de los interesados

De conformidad con el RGPD (artículos 15 a 22) y la ley francesa de Protección de Datos, todo Usuario dispone de los siguientes derechos:

• Derecho de acceso (art. 15): obtener la confirmación de que se están tratando datos que le conciernen y recibir una copia de los mismos.
• Derecho de rectificación (art. 16): solicitar la corrección de los datos inexactos o incompletos.
• Derecho de supresión (art. 17): solicitar la supresión de sus datos, sin perjuicio de las obligaciones legales de conservación.
• Derecho a la limitación del tratamiento (art. 18): solicitar la suspensión del tratamiento en los casos previstos por el RGPD.
• Derecho a la portabilidad (art. 20): recibir sus datos en un formato estructurado, de uso común y legible por máquina, y transmitirlos a otro responsable del tratamiento.
• Derecho de oposición (art. 21): oponerse al tratamiento de sus datos basado en el interés legítimo o la prospección comercial.
• Derecho a retirar el consentimiento: retirar su consentimiento en cualquier momento para los tratamientos basados en el consentimiento, sin que ello afecte a la licitud del tratamiento anterior.
• Directrices post mortem: definir directrices relativas al destino de sus datos tras su fallecimiento (derecho específico francés, art. 85 de la ley de Protección de Datos).

Para ejercer estos derechos, el Usuario puede dirigir su solicitud:

• por correo electrónico:  dpo@triptic.io;
• por correo postal: Triptic SAS — DPO — 57 rue Raspail, 92300 Levallois-Perret, Francia.

Triptic se compromete a responder en un plazo de un (1) mes desde la recepción de la solicitud, prorrogable en dos (2) meses en caso de complejidad.

En caso de dificultad, el Usuario puede presentar una reclamación ante la Comisión Nacional de Informática y Libertades (CNIL): https://www.cnil.fr.

Artículo 8 — Seguridad de los datos

Triptic implementa las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adaptado al riesgo, de conformidad con el artículo 32 del RGPD, y en particular:

• cifrado de las comunicaciones en tránsito (HTTPS/TLS);
• cifrado de los datos sensibles en reposo;
• control de acceso estricto a los servidores y a los datos;
• supervisión de los accesos y detección de intrusiones (fail2ban, registros de auditoría);
• copias de seguridad periódicas y plan de continuidad de la actividad;
• actualización periódica de los sistemas y dependencias de software.

En caso de violación de datos de carácter personal que presente un riesgo para los derechos y libertades de los interesados, Triptic notificará a la CNIL en un plazo de setenta y dos (72) horas e informará a las personas afectadas a la mayor brevedad, de conformidad con los artículos 33 y 34 del RGPD.

Artículo 9 — Menores

La Plataforma no está destinada a personas menores de dieciocho (18) años. Triptic no recopila deliberadamente datos personales de menores. Si Triptic descubriera que ha recopilado datos de un menor sin el consentimiento de su representante legal, dichos datos serían eliminados sin demora.