Cumplimiento del RGPD

Última actualización: 3 de julio de 2026

Última actualización: 1 de julio de 2026

AirportFusion opera desde la Unión Europea y está comprometida con el pleno cumplimiento del Reglamento (UE) 2016/679 (RGPD). Esta página resume nuestro marco de cumplimiento. Para conocer con detalle qué tratamos y por qué, lea nuestra Política de privacidad.

1. Nuestra función

  • Para el sitio web y las cuentas de viajeros, AirportFusion es el responsable del tratamiento.
  • Para la API pública, cuando su aplicación nos remite datos personales de sus propios usuarios finales (por ejemplo, direcciones que ellos escriben), usted es el responsable del tratamiento y AirportFusion actúa como su encargado del tratamiento, tratando esos datos únicamente para ejecutar búsquedas por cuenta de usted.

2. Principios de protección de datos que aplicamos

  • Minimización de datos: recogemos solo lo que el Servicio necesita. La búsqueda anónima funciona sin cuenta.
  • Seudonimización y anonimización: las direcciones IP se someten a un hash irreversible antes de almacenarse; las sesiones de analítica usan identificadores aleatorios; las solicitudes de IA no contienen identificadores de cuenta.
  • Limitación del plazo de conservación: cada categoría de datos tiene un período de conservación definido (véase § 6).
  • Seguridad desde el diseño: TLS en tránsito, secretos cifrados en reposo, hash de contraseñas con bcrypt, permisos de administración basados en roles y registro de auditoría de las acciones administrativas.
  • Transparencia: esta página, la Política de privacidad y la Política de cookies describen todos los tratamientos en un lenguaje claro.

3. Encargados y subencargados del tratamiento

| Encargado | Finalidad | Ubicación / mecanismo de transferencia | | --- | --- | --- | | Stripe | Pagos, suscripciones, facturación | EE. UU./UE — Marco de Privacidad de Datos UE–EE. UU., CCT | | OpenAI | Recomendaciones de rutas por IA (solo contexto de búsqueda seudonimizado) | EE. UU. — CCT; los datos de la API no se usan para entrenar modelos | | Proveedor de envío de correo | Correo transaccional | UE o cubierto por DPF/CCT | | Proveedor de alojamiento / base de datos | Infraestructura de la aplicación | UE |

Mantenemos acuerdos de tratamiento de datos conforme al artículo 28 con cada encargado y revisamos esta lista antes de añadir otros nuevos.

4. Transferencias internacionales

Cuando los datos salen del EEE (Stripe, OpenAI), las transferencias se amparan en decisiones de adecuación (Marco de Privacidad de Datos UE–EE. UU.) y/o en Cláusulas Contractuales Tipo, con medidas técnicas complementarias (seudonimización, minimización) aplicadas a los datos transferidos.

5. Sus derechos y cómo ejercerlos

En virtud de los artículos 15 a 22 del RGPD, puede solicitar:

  • Acceso: una copia de los datos personales que tenemos sobre usted;
  • Rectificación: la corrección de datos inexactos (buena parte de ellos puede editarse directamente en su cuenta);
  • Supresión: la eliminación de su cuenta y de los datos personales asociados;
  • Limitación: la restricción del tratamiento mientras se resuelve una controversia;
  • Portabilidad: los datos de su cuenta y de sus búsquedas en un formato legible por máquina;
  • Oposición: al tratamiento basado en intereses legítimos, incluida la analítica;
  • Retirada del consentimiento: en cualquier momento, para los tratamientos basados en el consentimiento, como las cookies opcionales.

Envíe sus solicitudes al correo de soporte publicado en este sitio desde la dirección vinculada a su cuenta (o con una prueba de identidad equivalente). Respondemos en el plazo de un mes, prorrogable dos meses más para solicitudes complejas, en cuyo caso le explicaremos el motivo.

También tiene derecho a presentar una reclamación ante una autoridad de control; en Francia, la CNIL (www.cnil.fr), o la autoridad de su residencia habitual.

6. Calendario de conservación (resumen)

| Datos | Conservación | | --- | --- | | Datos de la cuenta | Vida de la cuenta + 30 días | | Registros de búsqueda | Hasta 24 meses; después se eliminan o anonimizan | | Eventos de analítica | Hasta 14 meses | | Registros de uso de la API | Hasta 36 meses (justificante de facturación) | | Facturas | 10 años (obligación legal) | | Registros de correo | Hasta 12 meses | | Registros de auditoría | Hasta 24 meses |

7. Violaciones de la seguridad de los datos personales

Mantenemos un procedimiento de respuesta a incidentes. Cuando una violación pueda entrañar un riesgo para sus derechos y libertades, la notificaremos a la autoridad de control competente en un plazo de 72 horas desde que tengamos constancia de ella (artículo 33), y a los usuarios afectados sin dilación indebida (artículo 34).

8. Delegado de Protección de Datos

Si se designa un DPD, sus datos de contacto se publicarán aquí y se comunicarán a la autoridad de control. Hasta entonces, los asuntos de privacidad los gestiona nuestro equipo de privacidad en el correo de soporte publicado en este sitio.

Cumplimiento del RGPD — AirportFusion