Información legal

Política de privacidad

Última actualización: 5 de mayo de 2026 · Versión de textos legales: 2026-05

1. Responsable del tratamiento

  • Responsable: Ángel Manuel Montesinos García (Rosales 14)
  • NIF: 34829710M
  • Domicilio: Paseo Rosales 14, 3.º A, 30500 Molina de Segura, Murcia, España
  • Correo electrónico: info@rosales14.com
  • Autoridad de control: Agencia Española de Protección de Datos (AEPD) — aepd.es

No se ha designado Delegado de Protección de Datos (DPO) por no concurrir los supuestos del art. 37.1 RGPD; el responsable asume directamente las funciones en materia de protección de datos.

2. Finalidades del tratamiento

Tratamos tus datos personales con las siguientes finalidades:

  • Reservar y formalizar la estancia: consultar disponibilidad, gestionar la reserva, formalizar el contrato de alojamiento o de arrendamiento por temporada y enviar la confirmación.
  • Cumplir el registro de viajeros: recoger los datos identificativos de cada huésped y comunicarlos al Ministerio del Interior a través de la plataforma SES Hospedajes, conforme al Real Decreto 933/2021.
  • Cobrar y facturar: procesar el pago a través de la pasarela del banco con tokenización de la tarjeta (sin almacenar el número completo en nuestros sistemas), emitir factura simplificada o nominativa y conservar el soporte contable.
  • Comunicarnos contigo: enviarte por correo electrónico confirmaciones, instrucciones de check-in, códigos de acceso, recordatorios de pago y la factura. Atenderte por WhatsApp Business durante la reserva si abres el canal.
  • Llevar la contabilidad y cumplir obligaciones fiscales: mantener el libro de ingresos y gastos, preparar las declaraciones (Modelo 130 IRPF y, en su caso, 303 IVA) y conservar el soporte documental exigido por la AEAT.
  • Medir el uso de la web: conocer, de forma agregada y solo previo consentimiento, cómo se navega el sitio para mejorarlo (cookies analíticas con IP anonimizada).
  • Mantener la seguridad y prevenir el fraude: registrar accesos, detectar abusos, mantener un audit log de las acciones administrativas y responder a incidentes.

3. Base jurídica

  • La ejecución de un contrato o la aplicación de medidas precontractuales a petición del interesado (art. 6.1.b RGPD): reservar, cobrar, comunicar la operativa de la estancia.
  • El cumplimiento de obligaciones legales aplicables al responsable (art. 6.1.c RGPD): registro de viajeros (RD 933/2021), conservación contable y fiscal (Código de Comercio art. 30, Ley General Tributaria 58/2003 art. 66), obligaciones de la propia normativa de protección de datos (arts. 12 a 22 RGPD).
  • El interés legítimo del responsable (art. 6.1.f RGPD): atender incidencias, prevenir el fraude, mantener la seguridad de los sistemas y conservar un histórico mínimo de las comunicaciones para defensa frente a posibles reclamaciones.
  • El consentimiento del interesado (art. 6.1.a RGPD): cookies analíticas no estrictamente necesarias y, en su caso, comunicaciones comerciales no amparadas en otra base.

4. Categorías de datos que tratamos

  • Identificativos: nombre y apellidos, tipo y número de documento (DNI, NIE o pasaporte), fecha de nacimiento, sexo, nacionalidad.
  • Contacto: email y teléfono.
  • Domicilio: dirección, municipio, provincia, código postal y país (cuando sea exigido por el registro de viajeros o por una factura nominativa).
  • Económicos: importe, divisa, método de pago, token de tarjeta y código de autorización emitidos por la pasarela. El número completo de tarjeta nunca llega a nuestros sistemas.
  • Técnicos: IP, user agent, idioma del navegador, eventos de navegación.
  • Contenido libre en WhatsApp: el texto, audio, imagen o ubicación que envíes voluntariamente al canal de soporte por WhatsApp.

No tratamos categorías especiales del art. 9 RGPD (salud, ideología, religión, datos biométricos, etc.). Si involuntariamente las facilitas por canal libre (por ejemplo en WhatsApp), no se utilizan para perfilado ni se comparten con terceros distintos de los encargados del tratamiento listados más abajo.

5. Destinatarios y encargados de tratamiento

Para prestar el servicio recurrimos a los siguientes encargados del tratamiento (art. 28 RGPD), todos ellos con el correspondiente acuerdo de tratamiento de datos suscrito al aceptar las condiciones del proveedor:

  • Cloudflare, Inc. — hosting y entrega de la web (Pages, Workers, KV, R2 y CDN).
  • Turso (ChiselStrike Inc.) — base de datos relacional de reservas, registro de viajeros, transacciones y facturación.
  • Google Cloud (Google Ireland Ltd. / Google LLC) — Firestore, Cloud Run, Drive (PDFs de facturas), Cloud Logging y herramientas de comunicación interna.
  • Resend, Inc. — envío de correo electrónico transaccional (confirmaciones, OTP, recordatorios, factura).
  • Paycomet, S.L. (Banco Sabadell) — procesamiento de pagos por tarjeta o Bizum, con tokenización en entorno PCI-DSS. Encargado establecido en la UE.
  • Zoho Corporation B.V. (Zoho Sign) — firma electrónica de los contratos de arrendamiento, con certificado de auditoría conforme al Reglamento eIDAS.
  • Google LLC (Gemini API / Vertex AI) — OCR de facturas y respuestas asistidas en el canal de WhatsApp; se utiliza la API de pago, que por defecto no destina los prompts ni respuestas al entrenamiento de modelos.
  • Meta Platforms Ireland Ltd. / WhatsApp LLC — transporte y entrega de los mensajes en el canal de WhatsApp Business.

Además, comunicamos datos por obligación legal a los siguientes destinatarios:

  • SES Hospedajes — Ministerio del Interior (Dirección General de la Policía): registro de viajeros conforme al RD 933/2021. Esta comunicación no requiere consentimiento (art. 6.1.c RGPD).
  • Agencia Estatal de Administración Tributaria (AEAT) cuando se presenten los modelos fiscales o ante un requerimiento.
  • Banco Sabadell como entidad de crédito ordenante de los cobros, en su condición de responsable independiente.

6. Transferencias internacionales

Algunos de los encargados anteriores procesan datos en Estados Unidos. Estas transferencias se realizan al amparo de las siguientes garantías:

  • Decisión de adecuación de la Comisión Europea sobre el Data Privacy Framework UE-EE.UU. (Decisión 2023/1795). Aplica a Cloudflare, Inc., Google LLC, Resend, Inc., Zoho Corporation, B.V. y Meta Platforms, Inc., todas ellas adheridas y verificables en la lista pública del DPF (dataprivacyframework.gov/list).
  • Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914), módulo 2 responsable-encargado, como salvaguarda subsidiaria incorporada al DPA estándar de cada proveedor. Aplica especialmente a Turso (ChiselStrike Inc.) por no figurar individualmente adherida al DPF.

Paycomet, S.L. (Banco Sabadell) procesa los pagos íntegramente en territorio de la Unión Europea, por lo que no implica transferencia internacional.

7. Plazo de conservación

Los plazos aplicables a cada tipo de dato son los siguientes:

  • 3 años desde la salida del huésped para los datos del registro de viajeros (art. 5 RD 933/2021). Vencido ese plazo, los datos identificativos se anonimizan de forma irreversible y solo se conservan agregados estadísticos.
  • 6 años para los datos de facturación y soporte contable, contados desde el cierre del ejercicio en que se emitió la factura (Código de Comercio art. 30 + Ley General Tributaria art. 66 + 2 años de margen prudencial).
  • 1 año tras la última estancia para las comunicaciones operativas (email y WhatsApp) y los logs técnicos y de acceso (criterio AEPD).
  • 2 años para el audit log de acciones administrativas, como medida de defensa frente a reclamaciones contables y de consumo.
  • 14 meses para las cookies analíticas de Google Analytics 4 con IP anonimizada (criterio AEPD/CNIL). Más detalle en la Política de Cookies.
  • 3 años desde su resolución para los expedientes de ejercicio de derechos.

Cuando el tratamiento se base en el consentimiento, los datos se conservarán hasta que lo retires, sin perjuicio de los bloqueos y conservaciones legalmente exigibles.

8. Derechos del interesado

Puedes ejercer en cualquier momento los siguientes derechos:

  • Acceso (art. 15 RGPD).
  • Rectificación (art. 16 RGPD).
  • Supresión —"derecho al olvido"— (art. 17 RGPD), salvo que debamos conservar los datos por obligación legal (registro de viajeros 3 años, contabilidad 6 años).
  • Limitación del tratamiento (art. 18 RGPD).
  • Oposición (art. 21 RGPD).
  • Portabilidad (art. 20 RGPD), cuando el tratamiento se base en consentimiento o contrato y se realice por medios automatizados.
  • No ser objeto de decisiones automatizadas con efectos jurídicos (art. 22 RGPD): el responsable no toma este tipo de decisiones.

Canales para ejercerlos:

  • Canal preferente: el panel /cuenta/mis-datos (estará disponible próximamente: permitirá descargar tus datos en JSON/CSV y solicitar el borrado en línea).
  • Canal alternativo: correo electrónico a info@rosales14.com indicando en el asunto "Protección de Datos".

Plazo de respuesta: un mes desde la recepción, prorrogable a dos meses con motivación cuando la solicitud sea compleja o se hayan acumulado varias del mismo interesado (art. 12.3 RGPD). Podemos solicitarte información adicional razonable para verificar tu identidad cuando sea necesario.

Reclamación ante la autoridad de control: si consideras que el tratamiento no se ajusta a la normativa, puedes presentar reclamación ante la Agencia Española de Protección de Datos en aepd.es (art. 77 RGPD).

9. Seguridad

Aplicamos medidas técnicas y organizativas apropiadas para proteger los datos personales frente a destrucción, pérdida, alteración, acceso no autorizado o tratamiento ilícito. En particular: cifrado en tránsito mediante TLS 1.2 o superior en todos los endpoints públicos, control de acceso con autenticación reforzada para el panel administrativo, tokenización de los datos de tarjeta en el entorno PCI-DSS de la pasarela y registro de auditoría de las acciones sensibles.

No obstante, debes ser consciente de que las medidas de seguridad en Internet no son inexpugnables y que el uso de medios electrónicos implica riesgos inherentes.

10. Cookies

El Sitio Web utiliza cookies propias y de terceros. El uso de cookies no necesarias queda supeditado a tu consentimiento previo. Puedes consultar el detalle en la Política de Cookies.

11. Cambios en esta política

Esta política puede actualizarse para adaptarla a cambios normativos, criterios de autoridades de control o evoluciones del servicio. La versión vigente en cada momento es la publicada en esta página, identificada por el campo Versión de textos legales que figura en la cabecera. Cuando los cambios sean sustantivos, publicaremos la nueva fecha y versión y, si tienes una cuenta activa, recibirás notificación a tu correo electrónico.