Legal
Política de Privacidad
Última actualización: 28 de junio de 2026
Esta política de privacidad describe cómo [[Razón social, p. ej. Veltya, S.L.]] (en adelante, «Veltya», «nosotros») trata los datos personales de las personas que utilizan el sitio web veltya.es, la aplicación móvil y el resto de servicios asociados (en adelante, los «Servicios»). Se redacta en cumplimiento del Reglamento (UE) 2016/679 («RGPD»), la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales («LOPDGDD») y, en lo aplicable, la Ley 34/2002, de servicios de la sociedad de la información («LSSI-CE»).
1. Responsable del tratamiento
El responsable del tratamiento de tus datos personales es:
- Identidad: [[Razón social, p. ej. Veltya, S.L.]]
- NIF / CIF: [[NIF/CIF, p. ej. B12345678]]
- Domicilio: [[domicilio social completo]]
- Inscripción: [[Registro Mercantil y datos de inscripción]]
- Email de privacidad: privacy@veltya.es
2. Delegado de Protección de Datos (DPD)
Hemos designado un Delegado de Protección de Datos al que puedes contactar para cualquier cuestión sobre el tratamiento de tus datos o el ejercicio de tus derechos: dpd@veltya.es.
3. Categorías de datos que tratamos
- Datos identificativos: nombre, apellidos, email, teléfono, fotografía de perfil, idioma y país.
- Documento de identidad oficial (DNI, NIE, pasaporte) — exigido por la normativa de prevención del fraude y verificación de identidad. Se almacena cifrado en reposo con AES-256-GCM; no se muestra a otras personas usuarias.
- Dirección postal y país de residencia, almacenados también cifrados en reposo, recogidos durante la verificación básica (KYC).
- Datos de cuenta: contraseña (almacenada como hash con algoritmo de derivación adaptativa, nunca en claro), tokens de sesión y dispositivos asociados.
- Datos de actividad y uso: anuncios publicados, reservas realizadas, mensajes intercambiados dentro de la plataforma, reseñas, fechas y acciones registradas en el log de auditoría.
- Datos económicos y de transacción: importes, IVA, comisiones, IBAN o cuenta de payout. Los datos completos de tarjeta los gestiona exclusivamente Stripe — Veltya nunca los almacena ni los procesa.
- Datos de conexión: dirección IP, agente de usuario, marcas de tiempo de inicio de sesión, identificador de petición.
- Datos de geolocalización aproximada: provincia y, para los anuncios publicados, coordenadas con redondeo de privacidad (no se expone la ubicación exacta del anfitrión).
- Comunicaciones que nos dirijas (consultas a soporte, reclamaciones, reportes de seguridad).
No tratamos categorías especiales de datos (art. 9 RGPD: salud, origen étnico, opiniones políticas, etc.) ni datos de menores de 14 años; los Servicios están dirigidos exclusivamente a personas mayores de edad.
4. Origen de los datos
Todos los datos provienen directamente de ti, salvo: (i) los datos de actividad generados por tu uso de los Servicios; y (ii) las reseñas que otras personas usuarias puedan dejarte tras una reserva.
5. Finalidades del tratamiento y bases jurídicas
Tratamos tus datos para las siguientes finalidades, cada una con su base legal:
| Finalidad | Base jurídica |
|---|---|
| Crear y mantener tu cuenta; permitir el uso de los Servicios; comunicación transaccional asociada (reservas, mensajes). | Ejecución del contrato (art. 6.1.b RGPD). |
| Procesar pagos y comisiones; emitir facturas; gestionar reembolsos e incidencias económicas. | Ejecución del contrato (art. 6.1.b). |
| Verificación de identidad (KYC) y cumplimiento de la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo. | Obligación legal (art. 6.1.c). |
| Conservación contable de facturas y justificantes de pago. | Obligación legal (art. 6.1.c — art. 30 Código de Comercio, art. 29 LGT). |
| Prevención del fraude, seguridad de la plataforma, defensa ante posibles reclamaciones, registro auditable de eventos sensibles. | Interés legítimo (art. 6.1.f) — proteger la integridad del Servicio y de las personas usuarias. |
| Atender consultas, reclamaciones y peticiones de derechos. | Ejecución del contrato (art. 6.1.b) u obligación legal (art. 6.1.c) según el caso. |
| Métricas internas agregadas y anonimizadas para mejorar el producto. | Interés legítimo (art. 6.1.f). |
| Comunicaciones comerciales sobre nuevas funcionalidades o promociones. | Consentimiento (art. 6.1.a) — revocable en cualquier momento. |
Cuando la base sea el consentimiento, podrás retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo. La revocación se hace desde tu panel o escribiendo a privacy@veltya.es.
6. Carácter obligatorio o facultativo de los datos
Los datos marcados como obligatorios en cada formulario son necesarios para prestar el Servicio solicitado. Su no facilitación impedirá completar la operación (por ejemplo, sin DNI/NIE no podrás superar el KYC básico y, por tanto, no podrás publicar un anuncio ni recibir pagos). Los datos opcionales pueden no facilitarse sin consecuencia para el resto del Servicio.
7. Decisiones automatizadas y elaboración de perfiles
Veltya no toma decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos en ti o te afecten significativamente en el sentido del art. 22 RGPD. Realizamos comprobaciones automáticas anti-fraude (límites de intentos de inicio de sesión, detección de patrones anómalos), pero cualquier decisión que limite tu cuenta es revisada por una persona antes de ejecutarse.
8. Destinatarios y encargados del tratamiento
Compartimos datos estrictamente necesarios con los siguientes encargados, que actúan en nuestro nombre bajo contrato de encargo (art. 28 RGPD):
| Proveedor | Finalidad | Ubicación |
|---|---|---|
| Stripe Payments Europe Ltd. | Procesamiento de pagos y custodia hasta confirmación. | Irlanda (EEE). |
| Cloudflare, Inc. (R2 + CDN) | Alojamiento de fotografías de anuncios y entrega CDN. CSP estricto evita cargas de terceros no controlados. | EEUU, con SCC. |
| Resend (sociedad legalmente designada) | Envío de emails transaccionales. | EEUU, con SCC. |
| Functional Software, Inc. (Sentry) | Monitorización técnica de errores. Configurado para no almacenar PII de usuario final (cuerpos de petición, headers de cookies). | EEUU, con SCC. |
| CARTO (basemaps.cartocdn.com) | Servir las teselas del mapa base en la sección de exploración. Al cargar el mapa, el navegador comunica su dirección IP a este proveedor. Función estrictamente necesaria para mostrar el mapa; configurable mediante otro proveedor de teselas. | EEUU, con SCC. |
No vendemos tus datos a terceros, ni los cedemos para finalidades publicitarias o deprofiling comercial fuera de los Servicios.
9. Transferencias internacionales
Algunos encargados (Cloudflare, Sentry, Resend, CARTO) tienen su sede en Estados Unidos. En esos casos las transferencias se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914), complementadas por garantías técnicas adicionales (cifrado en tránsito, minimización de PII en telemetría). Puedes obtener una copia de las cláusulas aplicables solicitándolo a privacy@veltya.es.
10. Plazos de conservación
- Datos de cuenta: mientras la cuenta esté activa. Tras la baja, se eliminan en un plazo máximo de 30 días, salvo lo dispuesto a continuación.
- Facturas y datos contables: 6 años desde la emisión (art. 30 Código de Comercio y art. 29.2 LGT).
- Datos de KYC y prevención del blanqueo: 10 años desde la finalización de la relación (art. 25 Ley 10/2010).
- Registros de seguridad y auditoría: hasta 5 años, conforme a las recomendaciones de respuesta a incidentes.
- Mensajes entre personas usuarias: mientras la cuenta esté activa, o 2 años desde el último mensaje, lo que ocurra primero.
- Cookies y datos de sesión: conforme a la Política de Cookies.
Transcurridos los plazos, los datos se eliminan o anonimizan. Mientras se mantengan por obligación legal, quedan bloqueados — solo accesibles a la Administración competente cuando lo requiera.
11. Tus derechos
En cualquier momento puedes ejercer los siguientes derechos sobre tus datos personales:
- Acceso (art. 15 RGPD): conocer qué datos tratamos.
- Rectificación (art. 16): corregir datos inexactos o incompletos.
- Supresión / «derecho al olvido» (art. 17): eliminar tus datos cuando no resulten necesarios o retires el consentimiento. Se respetan los plazos legales de conservación indicados arriba.
- Limitación del tratamiento (art. 18) y oposición (art. 21), incluidos los tratamientos basados en interés legítimo.
- Portabilidad (art. 20): recibir tus datos en un formato estructurado, de uso común y lectura mecánica.
- No ser objeto de decisiones automatizadas individualizadas (art. 22) — ver sección 7.
- Retirar el consentimiento en cualquier momento, cuando esa sea la base del tratamiento.
Cómo ejercerlos:
- Desde la sección Privacidad de tu cuenta puedes exportar todos tus datos (acceso + portabilidad en JSON) y solicitar la eliminación.
- Por email a privacy@veltya.es o al DPD en dpd@veltya.es. Para verificar tu identidad podremos pedirte copia de un documento oficial, que se eliminará tras la verificación.
- Por correo postal a la dirección indicada en la sección 1.
Responderemos en el plazo de un mes desde la recepción, prorrogable dos meses más cuando la complejidad o el número de solicitudes lo justifique (art. 12.3 RGPD).
12. Derecho a reclamar ante la autoridad de control
Si consideras que el tratamiento de tus datos infringe la normativa, o que tus derechos no han sido atendidos satisfactoriamente, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
- C/ Jorge Juan 6, 28001 Madrid.
- Sede electrónica: www.aepd.es.
- Teléfono: 901 100 099 / 912 663 517.
13. Medidas de seguridad
Aplicamos medidas técnicas y organizativas conforme al art. 32 RGPD, evaluadas periódicamente, entre otras:
- Cifrado en tránsito (HTTPS / HSTS) y en reposo con AES-256-GCM para documento de identidad y dirección postal.
- Almacenamiento de contraseñas con algoritmo de derivación adaptativa (no se guardan en claro ni se transmiten).
- Limitación de intentos de inicio de sesión por cuenta y por IP, además de cabeceras de seguridad estrictas (CSP, HSTS, X-Frame-Options DENY, Permissions-Policy restrictiva).
- Registro auditable de eventos sensibles (cambios de KYC, moderación, eventos de pago, accesos administrativos).
- Acceso al panel administrativo gateado por rol y registrado en auditoría.
- Pruebas periódicas de copias de seguridad y plan documentado de respuesta a incidentes con notificación a la AEPD en 72 h cuando proceda (art. 33 RGPD).
14. Menores de edad
Los Servicios están dirigidos exclusivamente a mayores de 18 años. No recopilamos de forma consciente datos de menores; si detectamos un registro de menor de edad, la cuenta se cancela y los datos se eliminan.
15. Cambios en esta política
Esta política puede actualizarse para reflejar cambios legales, técnicos u operativos. Las modificaciones sustanciales te las comunicaremos con antelación razonable por email o aviso destacado en la plataforma. La fecha de última actualización figura al inicio del documento; las versiones anteriores quedan disponibles bajo solicitud a privacy@veltya.es.