Política de privacidad

El responsable del tratamiento de los datos personales de los arrendadores (usuarios de la plataforma) es:

Respecto a los datos personales de los viajeros, el responsable del tratamiento es el arrendador que utiliza la plataforma, en su condición de obligado legal por el RD 933/2021. CheckInTrip actúa como encargado del tratamiento en su nombre, conforme al artículo 28 del RGPD.

2.1 Datos de arrendadores (usuarios de la plataforma)

• •Datos de cuenta: nombre, dirección de email, contraseña (almacenada en hash bcrypt).
• •Datos de apartamentos: nombre, dirección, NRUA, CRU y demás campos del inmueble.
• •Credenciales SES: usuario y contraseña del WS SOAP del Ministerio, almacenados cifrados con AES-256-GCM.
• •Datos de uso: registros de acceso, acciones en el panel (audit log), dirección IP.
• •Datos de facturación: gestionados íntegramente por Stripe; CheckInTrip no almacena datos de tarjeta de pago.

2.2 Datos de viajeros (tratados por encargo del arrendador)

En cumplimiento del Real Decreto 933/2021 y la Ley Orgánica 4/2015, la plataforma recoge los siguientes datos de cada viajero a través del formulario de check-in:

• •Nombre completo (nombre, primer y segundo apellido)
• •Sexo y fecha de nacimiento
• •Tipo y número de documento de identidad (DNI, pasaporte o TIE)
• •Número de soporte del DNI (reverso)
• •Nacionalidad
• •Dirección de residencia habitual, localidad y país
• •Teléfono y correo electrónico (opcional)
• •Fecha de entrada y salida del alojamiento
• •Evidencia de consentimiento: timestamp de firma e IP del envío

• •Ministerio del Interior — SES.HOSPEDAJES: los datos de los viajeros se comunican al sistema del Ministerio en cumplimiento del RD 933/2021. Esta comunicación es una obligación legal del arrendador.
• •Stripe: procesador de pagos. Trata los datos de facturación conforme a su propia política y bajo certificación PCI DSS Level 1.
• •Resend: proveedor de envío de correo electrónico transaccional. Los emails contienen únicamente los datos necesarios para la notificación.
• •Proveedores de infraestructura: servidores y base de datos alojados en la Unión Europea o bajo cláusulas contractuales tipo aprobadas por la Comisión Europea.

No se ceden datos a terceros con fines comerciales ni publicitarios. No se realizan transferencias internacionales fuera del EEE salvo las indicadas anteriormente y con las garantías adecuadas.

• •Datos de viajeros: 3 años desde la fecha de salida, conforme al artículo 4 del RD 933/2021. Transcurrido este plazo, los datos personales identificables son anonimizados automáticamente.
• •Datos de cuenta del arrendador: mientras la cuenta esté activa y, tras la baja, durante el plazo legal de conservación de obligaciones contractuales (generalmente 5 años).
• •Audit log: 2 años desde el registro de cada evento.
• •Datos de facturación: 5 años conforme a la normativa fiscal española.

Puedes ejercer en cualquier momento los siguientes derechos enviando un email a privacidad@checkintrip.es con copia de tu documento de identidad:

• •Acceso: conocer qué datos tuyos tratamos.
• •Rectificación: corregir datos inexactos o incompletos.
• •Supresión: solicitar el borrado cuando ya no sean necesarios.
• •Limitación: solicitar que suspendamos el tratamiento en determinadas circunstancias.
• •Portabilidad: recibir tus datos en formato estructurado y legible por máquina.
• •Oposición: oponerte al tratamiento basado en interés legítimo.

Si consideras que el tratamiento vulnera la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

• •Contraseñas de usuario almacenadas con hash bcrypt (factor de coste 12).
• •Credenciales SES cifradas en base de datos con AES-256-GCM.
• •Comunicaciones cifradas con TLS 1.2+.
• •Acceso a datos de viajeros restringido al arrendador propietario (arquitectura multi-tenant).
• •Audit log de todas las acciones sensibles sobre datos personales.
• •Anonimización automática de datos PII al vencer el plazo de retención legal.

Cookies técnicas (necesarias). La plataforma utiliza cookies estrictamente necesarias para el funcionamiento de la sesión autenticada (cookie de sesión JWT, HttpOnly, SameSite=Lax). Estas cookies no requieren consentimiento conforme al artículo 22.2 de la LSSI-CE.

Cookies analíticas (Google Analytics). En las páginas públicas de la web utilizamos Google Analytics 4 (proveedor: Google Ireland Ltd.) para obtener estadísticas agregadas y anónimas de uso. Estas cookies solo se instalan si las aceptas en el aviso de cookies que se muestra al acceder. Si las rechazas, no se carga ningún script de Google ni se establece ninguna cookie analítica.

Puedes cambiar o retirar tu consentimiento en cualquier momento pulsando el botón flotante 🍪 situado en la esquina inferior izquierda de la web, con la misma facilidad con la que lo otorgaste.

El formulario público de check-in no establece ninguna cookie analítica ni de seguimiento.

Podemos actualizar esta política para reflejar cambios legales o en la plataforma. Te notificaremos por email con al menos 15 días de antelación antes de que los cambios entren en vigor. La versión vigente siempre estará disponible en esta página.

Para cualquier consulta sobre privacidad o para ejercer tus derechos: