1. Responsable del tratamiento
En cumplimiento del artículo 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD) y del artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), le informamos que el responsable del tratamiento de sus datos personales es:
| Denominación social | PRW Costa Brava S.L.U. |
| CIF/NIF | B70887708 |
| Domicilio social | Blanes, Girona, España |
| Teléfono | +34 625 57 16 21 |
| Email de contacto | info@atlantis.com.es |
| Email de privacidad | privacidad@atlantisblanes.com |
| Sitio web | https://atlantis.com.es |
El responsable no ha designado un Delegado de Protección de Datos (DPD) de forma obligatoria, al no concurrir los supuestos del artículo 37 del RGPD. Para cualquier consulta sobre el tratamiento de sus datos, puede dirigirse al correo indicado como email de privacidad.
2. Datos personales que tratamos y sus finalidades
Recogemos y tratamos únicamente los datos personales estrictamente necesarios para prestar nuestros servicios. A continuación se detallan las actividades de tratamiento, su finalidad, base jurídica y plazos de conservación:
2.1 Gestión de reservas
| Dato | Finalidad | Base jurídica |
|---|---|---|
| Nombre y apellidos | Identificación del cliente y emisión de documentación de reserva | Art. 6(1)(b) RGPD — ejecución de un contrato |
| Dirección de correo electrónico | Envío de confirmación de reserva, comunicaciones operativas | |
| Número de teléfono | Contacto en caso de incidencias, cambios o cancelaciones | |
| País de residencia | Adaptación del servicio e información estadística agregada | |
| Tamaño del grupo | Gestión de capacidad y planificación operativa | |
| Método de pago elegido | Tramitación del cobro de la excursión contratada | |
| Datos de pago con tarjeta | Proceso de cobro seguro | Art. 6(1)(b) RGPD — ejecución del contrato; tratamiento delegado en Stripe Payments Europe, Ltd. |
| Detalles de la reserva (fecha, tipo de excursión) | Registro contractual y operativo de la reserva | Art. 6(1)(b) RGPD — ejecución de un contrato |
2.2 Datos de sesión de administración
| Dato | Finalidad | Base jurídica |
|---|---|---|
Identificador de sesión (cookie connect.sid, httpOnly) |
Autenticación y control de acceso al panel de administración | Art. 6(1)(f) RGPD — interés legítimo del responsable en la seguridad del sistema |
3. Base jurídica del tratamiento
El tratamiento de sus datos personales se sustenta en las siguientes bases legales del artículo 6 del RGPD:
- Art. 6(1)(b) — Ejecución de un contrato: el tratamiento de los datos de reserva es necesario para la formalización y ejecución del contrato de excursión en barco que usted solicita. Sin estos datos no es posible prestarle el servicio.
- Art. 6(1)(c) — Cumplimiento de obligación legal: la conservación de datos contables y de facturación durante el plazo legal establecido (Ley 58/2003, General Tributaria).
- Art. 6(1)(f) — Interés legítimo: el mantenimiento de la seguridad del sistema de administración interna mediante el control de acceso por sesión autenticada.
No se utilizan sus datos para ninguna finalidad incompatible con las aquí descritas sin su previo consentimiento.
4. Plazos de conservación
| Categoría de datos | Plazo de conservación | Fundamento |
|---|---|---|
| Datos de reserva completa (incluyendo datos de pago) | 3 años desde la fecha de la excursión | Obligaciones contables y fiscales (Ley General Tributaria, art. 66) |
| Datos de cliente (sin reservas activas) | 2 años desde la última reserva | Plazo de prescripción de acciones contractuales (Código Civil, art. 1964) |
| Datos de sesión de administración | 8 horas (expiración automática de la cookie) | Configuración técnica de la sesión |
Una vez transcurridos dichos plazos, los datos serán suprimidos de forma segura o anonimizados de manera irreversible.
5. Destinatarios y encargados del tratamiento
Sus datos personales no se venden, alquilan ni ceden a terceros con fines comerciales. No obstante, para la prestación del servicio recurrimos a los siguientes encargados del tratamiento, todos ellos vinculados por contratos de tratamiento de datos conformes al RGPD:
| Proveedor | Servicio | Datos transferidos | Garantías |
|---|---|---|---|
| Google LLC (Google Fonts) |
Carga de fuentes tipográficas desde CDN | Dirección IP del visitante (conexión técnica a servidores de Google) | Cláusulas Contractuales Tipo (CCT) de la Comisión Europea; Privacy Shield sucesor (DPF) |
| Stripe Payments Europe, Ltd. | Procesamiento de pagos con tarjeta bancaria | Datos de pago y datos de identificación necesarios para el cobro (solo si elige pago con tarjeta) | Entidad establecida en Irlanda (UE); conforme a PCI-DSS y RGPD |
| Proveedor SMTP / correo electrónico | Envío de confirmaciones de reserva y comunicaciones operativas | Nombre y dirección de correo electrónico del cliente | Contrato de encargo del tratamiento; medidas técnicas y organizativas adecuadas |
| Replit, Inc. | Infraestructura de alojamiento web y base de datos | Todos los datos almacenados en la aplicación | Cláusulas Contractuales Tipo (CCT); política de privacidad publicada en replit.com/privacy |
Con excepción de los proveedores anteriores, no se realizan comunicaciones de datos a terceros salvo obligación legal (p. ej., requerimiento judicial o de las autoridades fiscales competentes).
6. Transferencias internacionales de datos
Algunos de los proveedores indicados en la sección anterior (Google LLC, Replit Inc.) tienen su sede en Estados Unidos. Las transferencias de datos personales a estos países se realizan con las siguientes garantías:
- Marco de Privacidad de Datos UE–EE.UU. (DPF): para los proveedores adheridos a dicho marco, reconocido como adecuado por la Comisión Europea mediante Decisión de Adecuación de 10 de julio de 2023.
- Cláusulas Contractuales Tipo (CCT): en su versión aprobada por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, para los proveedores que no estén adheridos al DPF.
Stripe Payments Europe, Ltd. está establecida en Irlanda, dentro del Espacio Económico Europeo, por lo que no constituye una transferencia internacional de datos.
Puede solicitar información sobre las garantías específicas aplicadas a cada transferencia enviando un correo a privacidad@atlantisblanes.com.
7. Sus derechos en materia de protección de datos
De conformidad con los artículos 15 a 22 del RGPD y los artículos 12 a 18 de la LOPDGDD, usted tiene derecho a:
- Acceso (art. 15 RGPD): conocer qué datos suyos tratamos, con qué finalidad y durante cuánto tiempo.
- Rectificación (art. 16 RGPD): solicitar la corrección de datos inexactos o la completación de datos incompletos.
- Supresión / "derecho al olvido" (art. 17 RGPD): pedir la eliminación de sus datos cuando, entre otros motivos, ya no sean necesarios para la finalidad con que fueron recogidos.
- Portabilidad (art. 20 RGPD): recibir sus datos en formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable, cuando el tratamiento se base en el consentimiento o en un contrato y se efectúe por medios automatizados.
- Oposición (art. 21 RGPD): oponerse al tratamiento de sus datos por razones relacionadas con su situación particular, cuando dicho tratamiento se base en el interés legítimo del responsable.
- Limitación del tratamiento (art. 18 RGPD): solicitar que se suspenda temporalmente el tratamiento de sus datos en determinadas circunstancias.
Cómo ejercer sus derechos
Para ejercer cualquiera de los derechos anteriores, envíe un correo electrónico a privacidad@atlantisblanes.com indicando:
- Su nombre completo y datos de contacto.
- Copia de su DNI, NIE, pasaporte u otro documento de identidad válido.
- El derecho concreto que desea ejercer y, en su caso, la solicitud específica.
Responderemos a su solicitud en el plazo máximo de un mes desde su recepción, plazo que podrá prorrogarse dos meses adicionales cuando sea necesario, teniendo en cuenta la complejidad y el número de solicitudes, en cuyo caso le informaremos de dicha prórroga.
Reclamación ante la Autoridad de Control
Si considera que el tratamiento de sus datos personales vulnera la normativa vigente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
- Sitio web: www.aepd.es
- Dirección: C/ Jorge Juan, 6, 28001 Madrid
- Teléfono: 901 100 099 / 912 663 517
Le recomendamos que, antes de presentar una reclamación ante la AEPD, se ponga en contacto con nosotros para intentar resolver cualquier incidencia de forma directa.
8. Decisiones automatizadas y elaboración de perfiles
No llevamos a cabo ningún proceso de toma de decisiones basado exclusivamente en el tratamiento automatizado de datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre usted o le afecte de forma significativa similar (art. 22 RGPD).
9. Seguridad de los datos
Hemos adoptado las medidas técnicas y organizativas necesarias para garantizar la seguridad de sus datos personales y prevenir su alteración, pérdida, acceso no autorizado o cualquier otro tratamiento no autorizado, de conformidad con el artículo 32 del RGPD, entre las que se incluyen:
- Transmisión de datos mediante protocolo HTTPS con cifrado TLS.
- Cookies de sesión con atributos
httpOnlyySecure, con expiración automática a las 8 horas. - Acceso restringido a los datos de reservas únicamente al personal autorizado.
- Procesamiento de pagos con tarjeta delegado íntegramente en Stripe, entidad certificada PCI-DSS nivel 1; en ningún momento almacenamos los datos completos de tarjeta de crédito en nuestros servidores.
10. Menores de edad
Nuestros servicios no están dirigidos a menores de 14 años. No recabamos conscientemente datos personales de menores de dicha edad. Si tiene conocimiento de que un menor de 14 años nos ha facilitado datos personales sin el consentimiento de sus padres o tutores legales, le rogamos que lo comunique a privacidad@atlantisblanes.com para proceder a su supresión.
11. Actualizaciones de esta política
Nos reservamos el derecho de modificar la presente Política de Privacidad para adaptarla a cambios legislativos, jurisprudenciales o de nuestras prácticas de tratamiento de datos. En caso de modificaciones sustanciales, lo notificaremos mediante un aviso visible en el sitio web o, si fuera posible, a través de los datos de contacto que nos haya facilitado.
La versión vigente siempre estará disponible en atlantis.com.es/politica-privacidad.html. Le recomendamos que la consulte periódicamente.
Versión: 1.0 — Fecha de entrada en vigor: febrero de 2025.