Privacy Policy
Last updated: July 3, 2026
This Privacy Policy describes how we process your personal data when you visit our website (notanothertravelapp.com and related domains), join our waitlist, or use the waltru mobile application (the "App"; together with the website, the "Service"). It is drafted in accordance with Regulation (EU) 2016/679 (the "GDPR"), the Spanish Organic Law 3/2018 on the Protection of Personal Data and Guarantee of Digital Rights ("LOPDGDD"), and Directive 2002/58/EC ("ePrivacy Directive") as implemented in Spain by Law 34/2002 (LSSI-CE).
1. Data Controller
The controller of your personal data is:
- Natanael Fiorilla (autónomo)
- NIF: 60345786L
- Registered address: Carrer Llorenç de Villalonga 24, 43007 Tarragona, Spain
- Contact email: waltru@notanothertravelapp.com
We have not appointed a Data Protection Officer because we are not required to do so under Article 37 GDPR. You may nevertheless raise any privacy matter at the address above.
2. Personal Data We Process
We process the following categories of personal data, depending on how you interact with the Service:
- Identity and contact data: first name, last name, email address, language preference, time zone, date of birth (optional), profile picture (optional), and the unique identifier issued by our authentication provider (Auth0 sub).
- Waitlist and partner enquiries: email address and, for partner enquiries only, name, LinkedIn URL, interest category and the free-text message you submit.
- Travel preferences ("Travel DNA"): interests (e.g. architecture, food, nature), travel pace, budget band, crowd tolerance and similar answers you provide in the onboarding quiz.
- Itinerary and usage data: itineraries generated for you, points of interest (POIs) you view, audio guides you play, routes you follow, and in-App interactions.
- Location data — foreground: when you start a tour and grant "while using the app" permission, the App continuously reads your precise GPS position (high accuracy, approximately every 3 seconds, 10-metre movement filter) and transmits it to our servers to detect proximity to POIs, adapt the route and trigger audio guides.
- Location data — background: if you additionally grant "Always" (iOS) or "Allow all the time" (Android) permission, the App continues to collect approximate GPS positions (balanced accuracy, approximately every 30 seconds, 50-metre movement filter) while the App is not in the foreground, solely to keep proximity-triggered features working while your phone is in your pocket. You can withdraw this consent at any time from your device's system settings; the foreground features continue to work without it.
- Payment and purchase data: purchase and entitlement status, product identifier, purchase timestamps and anonymised transaction identifiers received from RevenueCat and, only where the Stripe payment fallback is used, from Stripe. Purchases are one-off; we do not operate recurring subscriptions. Where the Stripe fallback is used, your card number and full payment credentials are collected and processed directly by Stripe and are never stored on our servers.
- Device and technical data: device model, operating system and version, App version, IP address, push-notification token (when you enable notifications), log and error data, and approximate location derived from the IP address.
- Website analytics data: pages viewed, referrer, approximate location (country/city), language, device and browser information, and events such as waitlist sign-up submissions, collected by Google Analytics 4 and, for session recordings and heatmaps, by Microsoft Clarity, when you consent to analytics cookies. Keyboard input in form fields is masked by default in the session-recording tool.
We do not knowingly collect special categories of personal data (Article 9 GDPR). Please do not submit health, religious, political or similar data through free-text fields.
3. Purposes and Legal Bases
We process your personal data for the following purposes, each supported by the legal basis set out below:
- Creating and managing your account and delivering the App (authentication, profile, itinerary generation, foreground GPS, audio guides, customer support) — performance of a contract (Article 6(1)(b) GDPR).
- Background location tracking during a tour — your explicit consent (Article 6(1)(a) GDPR), given through the operating-system permission dialog and confirmed through our in-App rationale screen. You can withdraw it at any time in your device settings without affecting the lawfulness of processing carried out before withdrawal.
- Personalising your itinerary using artificial intelligence (see Section 6) — performance of a contract (Article 6(1)(b) GDPR); personalisation is an essential element of the Service.
- Payments, subscriptions and invoicing — performance of a contract (Article 6(1)(b) GDPR) and compliance with tax and accounting obligations (Article 6(1)(c) GDPR, in connection with Spanish tax law).
- Push notifications with operational or tour information — your consent (Article 6(1)(a) GDPR), given through the system prompt.
- Waitlist, partner enquiries and service-related communications — your consent (Article 6(1)(a) GDPR) when you submit your email, and our legitimate interest in responding to your enquiry (Article 6(1)(f) GDPR).
- Commercial communications about products similar to those you requested — Article 21.2 LSSI-CE and your consent where required. You can opt out in every message at no cost.
- Website analytics, performance monitoring and functional cookies — your consent through our cookie banner (Article 22 LSSI-CE and Article 6(1)(a) GDPR).
- Security, fraud prevention, abuse detection and enforcement of our Terms — our legitimate interest in keeping the Service safe and available (Article 6(1)(f) GDPR).
- Compliance with legal obligations and responding to lawful requests — Article 6(1)(c) GDPR.
- Defending legal claims — our legitimate interest (Article 6(1)(f) GDPR) and Article 9(2)(f) GDPR where applicable.
4. Recipients and Processors
We share your personal data only with the recipients necessary to run the Service, under written data-processing agreements (Article 28 GDPR) that include the EU Standard Contractual Clauses where required. Our current sub-processors are:
- Okta, Inc. (Auth0) — identity and authentication. EU tenant (dev-waltru.eu.auth0.com).
- Amazon Web Services, Inc. — application hosting, database and object storage (Amazon S3) for generated audio narration.
- Anthropic, PBC — large-language-model processing (Claude) used to generate your personalised itinerary from your Travel DNA and the POI catalogue. Inputs are not used by Anthropic to train its general models.
- Google LLC / Google Ireland Ltd. — Google Maps Platform (routing, map tiles), Google Cloud Text-to-Speech (audio narration), Firebase Hosting for the website, and, on the website only, Google Analytics 4 (when you consent).
- Stripe Payments Europe, Ltd. — payment processing (independent controller for payment data).
- RevenueCat, Inc. — subscription management and entitlement verification.
- Expo (650 Industries, Inc.) — build services and Expo Push Notifications (routing of push tokens to Apple APNs and Google FCM).
- PostHog, Inc. — in-App product analytics and session replay.
- Microsoft Corporation (Clarity) — website session-recording and heatmap analytics (loaded only with your consent; keyboard input in forms masked by default).
- Apple Inc. and Google LLC — distribution of the App through the App Store and Google Play, and delivery of push notifications.
- EmailJS — transactional delivery of waitlist and partner-enquiry emails submitted through the website.
- Prospect One Sp. z o.o. (jsDelivr) and Unsplash, Inc. — content-delivery network for website scripts and hosting of city images shown on the website; these may process your IP address and request headers in standard server logs.
We do not sell your personal data, do not share it for cross-context behavioural advertising, and do not use it to train third-party AI models.
We may also disclose data to competent public authorities (police, courts, tax authorities) when legally required, and to professional advisers (lawyers, auditors) under duties of confidentiality, or to an acquirer in the context of a corporate transaction, in which case you will be informed in advance.
5. International Data Transfers
Some of the processors listed above are located in, or may access data from, countries outside the European Economic Area, principally the United States. Where no European Commission adequacy decision applies, transfers are protected by the EU Standard Contractual Clauses (2021/914) together with supplementary technical and organisational measures (encryption in transit and at rest, access controls, contractual limitations on government-access requests). Several US providers we rely on (including Google, Stripe, AWS and Anthropic) are also certified under the EU-US Data Privacy Framework where applicable. You can request a copy of the relevant transfer mechanism by writing to waltru@notanothertravelapp.com.
6. Automated Processing and Profiling
To build your itinerary we combine your Travel DNA, your coarse location and our POI catalogue, and submit them to a large-language-model service (Anthropic Claude). The output is a suggested route that you can edit, reject or ignore. This processing involves profiling within the meaning of Article 4(4) GDPR, but it does not produce legal effects or similarly significant effects on you within the meaning of Article 22(1) GDPR: the App is a travel companion and you remain free to follow, change or abandon the suggestions at any time. You can request human review of a suggestion or challenge it by writing to us.
7. Retention
We keep personal data only as long as necessary for the purposes described in this Policy:
- Account and profile data: for as long as your account is active, and up to 30 days after deletion to complete wind-down, plus any period required by law.
- Travel DNA and itineraries: while your account exists, so you can revisit past trips. You can delete individual itineraries at any time from the App.
- Foreground and background GPS logs: up to 90 days in identifiable form, after which we aggregate or delete them. Logs linked to a saved itinerary are retained with that itinerary until you delete it.
- Generated audio narration cache: up to 12 months from last playback.
- Payment and invoicing records: 6 years (Article 30 of the Spanish Commercial Code) and up to 10 years where anti-money-laundering rules apply.
- Waitlist email: until the product launches in your city, you unsubscribe, or 24 months of inactivity, whichever comes first.
- Partner enquiry data: up to 12 months after the enquiry is resolved, unless a longer period is legally required.
- Support correspondence: up to 3 years after the case is closed.
- Website analytics: up to 14 months (GA4 default) from last interaction.
- Security, fraud and access logs: up to 12 months.
After these periods expire we delete or irreversibly anonymise the data. We may retain data for longer where necessary to establish, exercise or defend legal claims, or where an applicable law requires a longer period.
8. Your Rights
Under the GDPR and the LOPDGDD you have the right to:
- Access the personal data we hold about you (Article 15 GDPR);
- Rectify inaccurate or incomplete data (Article 16 GDPR);
- Erase your data ("right to be forgotten") (Article 17 GDPR);
- Restrict processing in the cases listed in Article 18 GDPR;
- Data portability — receive your data in a structured, commonly used, machine-readable format or have it transmitted to another controller (Article 20 GDPR);
- Object to processing based on our legitimate interests and to direct marketing at any time (Article 21 GDPR);
- Withdraw your consent at any time, without affecting the lawfulness of processing carried out before withdrawal (Article 7(3) GDPR);
- Not be subject to decisions based solely on automated processing that produce legal or similarly significant effects on you (Article 22 GDPR);
- Issue instructions regarding your personal data after your death, in accordance with Article 96 LOPDGDD.
To exercise any of these rights, write to us at waltru@notanothertravelapp.com with enough information to identify you. We will reply within one month (Article 12(3) GDPR), extendable by two further months for complex requests. The exercise of these rights is free of charge, save for manifestly unfounded or excessive requests.
You also have the right to lodge a complaint with a supervisory authority, in particular the Spanish Data Protection Agency (Agencia Española de Protección de Datos, www.aepd.es, C/ Jorge Juan 6, 28001 Madrid), or with the supervisory authority of your EU/EEA country of residence or work.
9. Cookies and Similar Technologies
Our website uses strictly-necessary storage and, subject to your consent, analytics cookies from Google Analytics 4 (e.g. _ga, _ga_*) and Microsoft Clarity (e.g. _clck, _clsk, MUID, CLID), plus functional storage (such as remembering your language preference in localStorage). Analytics services load only after you accept through our cookie consent banner, and you can withdraw consent at any time from the "Cookie preferences" link at the bottom of every page. Full details are set out in our Cookie Policy. The mobile App does not use browser cookies but relies on equivalent local-storage mechanisms to keep you signed in and to store your preferences on the device.
10. Security
We apply technical and organisational measures appropriate to the risk (Article 32 GDPR), including HTTPS/TLS in transit, encryption at rest for audio and database storage, role-based access controls, least-privilege credentials, logging and monitoring, periodic backups, and contractual confidentiality obligations for our staff and processors. No system is perfectly secure; if a personal-data breach is likely to result in a risk to your rights, we will notify the AEPD within 72 hours and, where required, inform you directly (Articles 33–34 GDPR).
11. Children
The Service is not directed at children under the age of 14 (the age of digital consent in Spain under Article 7 LOPDGDD) and we do not knowingly collect their data. If you believe a child has provided us with personal data, please contact us and we will delete it.
12. Changes to This Policy
We may update this Privacy Policy to reflect changes in our practices, new features, or legal requirements. When changes are material we will inform you by email or through an in-App notice at least 30 days before they take effect, and we will update the "Last updated" date above. Continued use of the Service after the effective date of the updated Policy means you have read it; where the change relies on consent we will ask for it again.
13. Contact
For any question or request related to this Policy or your personal data, contact us at waltru@notanothertravelapp.com.
Política de Privacidad
Última actualización: 3 de julio de 2026
Esta Política de Privacidad describe cómo tratamos tus datos personales cuando visitas nuestra página web (notanothertravelapp.com y dominios asociados), te inscribes en nuestra lista de espera o usas la aplicación móvil de waltru (la "App"; junto con la página web, el "Servicio"). Se redacta conforme al Reglamento (UE) 2016/679 (el "RGPD"), la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales ("LOPDGDD") y la Directiva 2002/58/CE ("Directiva ePrivacy") en su transposición española mediante la Ley 34/2002 (LSSI-CE).
1. Responsable del Tratamiento
El responsable del tratamiento de tus datos personales es:
- Natanael Fiorilla (autónomo)
- NIF: 60345786L
- Domicilio: Carrer Llorenç de Villalonga 24, 43007 Tarragona, España
- Correo electrónico de contacto: waltru@notanothertravelapp.com
No hemos designado un Delegado de Protección de Datos porque no estamos obligados a hacerlo en virtud del artículo 37 del RGPD. De todos modos, puedes plantearnos cualquier cuestión de privacidad en la dirección indicada.
2. Datos Personales que Tratamos
Tratamos las siguientes categorías de datos personales, según cómo interactúes con el Servicio:
- Datos de identidad y contacto: nombre, apellidos, dirección de correo electrónico, idioma preferido, zona horaria, fecha de nacimiento (opcional), foto de perfil (opcional) y el identificador único que emite nuestro proveedor de autenticación (Auth0, campo sub).
- Lista de espera y consultas de partners: dirección de correo electrónico y, solo en el formulario de partners, nombre, URL de LinkedIn, categoría de interés y el mensaje libre que envíes.
- Preferencias de viaje ("Travel DNA"): intereses (p. ej. arquitectura, gastronomía, naturaleza), ritmo de viaje, nivel de presupuesto, tolerancia al volumen de gente y demás respuestas que facilites en el cuestionario de bienvenida.
- Datos de itinerario y uso: itinerarios generados para ti, puntos de interés (POIs) que visualizas, audioguías que reproduces, rutas que sigues e interacciones dentro de la App.
- Datos de ubicación — primer plano: cuando inicias una visita y concedes el permiso "mientras uso la app", la App lee de forma continua tu posición GPS precisa (alta precisión, aproximadamente cada 3 segundos, con filtro de movimiento de 10 metros) y la transmite a nuestros servidores para detectar proximidad a los POIs, adaptar la ruta y activar las audioguías.
- Datos de ubicación — segundo plano: si además concedes el permiso "Siempre" (iOS) o "Permitir en todo momento" (Android), la App sigue recopilando posiciones GPS aproximadas (precisión balanceada, aproximadamente cada 30 segundos, con filtro de movimiento de 50 metros) mientras la App no está en primer plano, con el único fin de mantener operativas las funciones de proximidad cuando llevas el teléfono en el bolsillo. Puedes retirar este consentimiento en cualquier momento desde los ajustes del sistema del dispositivo; las funciones en primer plano seguirán funcionando sin él.
- Datos de pago y compra: estado de compra y de derechos de acceso, identificador de producto, marcas temporales de compra e identificadores anonimizados de transacción que recibimos de RevenueCat y, únicamente cuando se usa el sistema subsidiario de pago de Stripe, de Stripe. Las compras son de pago único; no operamos suscripciones recurrentes. Cuando se usa el sistema subsidiario de Stripe, tu número de tarjeta y las credenciales completas de pago las recopila y trata directamente Stripe y nunca se almacenan en nuestros servidores.
- Datos técnicos y del dispositivo: modelo del dispositivo, sistema operativo y versión, versión de la App, dirección IP, token de notificaciones push (cuando las activas), registros y datos de error y ubicación aproximada derivada de la IP.
- Datos analíticos de la web: páginas vistas, fuente de referencia, ubicación aproximada (país/ciudad), idioma, información de dispositivo y navegador, y eventos como el envío del formulario de lista de espera, recogidos por Google Analytics 4 y, para grabaciones de sesión y mapas de calor, por Microsoft Clarity, cuando consientes las cookies de analítica. La introducción por teclado en los campos de formulario se enmascara por defecto en la herramienta de grabación de sesiones.
No recogemos de forma consciente categorías especiales de datos personales (artículo 9 del RGPD). Por favor, no introduzcas datos de salud, religiosos, políticos o similares en los campos de texto libre.
3. Finalidades y Bases Jurídicas
Tratamos tus datos personales para las siguientes finalidades, amparadas en la base jurídica indicada:
- Creación y gestión de tu cuenta y prestación de la App (autenticación, perfil, generación de itinerarios, GPS en primer plano, audioguías, atención al usuario) — ejecución de un contrato (artículo 6.1.b del RGPD).
- Seguimiento de ubicación en segundo plano durante una visita — tu consentimiento explícito (artículo 6.1.a del RGPD), otorgado mediante el diálogo de permisos del sistema operativo y confirmado a través de nuestra pantalla justificativa en la App. Puedes retirarlo en cualquier momento desde los ajustes del dispositivo, sin que ello afecte a la licitud del tratamiento previo a la retirada.
- Personalización de tu itinerario mediante inteligencia artificial (ver Sección 6) — ejecución de un contrato (artículo 6.1.b del RGPD); la personalización es un elemento esencial del Servicio.
- Pagos, suscripciones y facturación — ejecución de un contrato (artículo 6.1.b del RGPD) y cumplimiento de obligaciones fiscales y contables (artículo 6.1.c del RGPD, en relación con la normativa tributaria española).
- Notificaciones push con información operativa o relativa a la visita — tu consentimiento (artículo 6.1.a del RGPD), otorgado a través del diálogo del sistema.
- Lista de espera, consultas de partners y comunicaciones relativas al Servicio — tu consentimiento (artículo 6.1.a del RGPD) al enviar tu correo, y nuestro interés legítimo en atender tu consulta (artículo 6.1.f del RGPD).
- Comunicaciones comerciales sobre productos similares a los que nos solicitaste — artículo 21.2 de la LSSI-CE y tu consentimiento cuando resulte necesario. Puedes darte de baja gratuitamente en cualquier mensaje.
- Analítica web, monitorización de rendimiento y cookies funcionales — tu consentimiento a través de nuestro banner de cookies (artículo 22 de la LSSI-CE y artículo 6.1.a del RGPD).
- Seguridad, prevención del fraude, detección de abusos y cumplimiento de nuestras Condiciones — nuestro interés legítimo en mantener el Servicio seguro y disponible (artículo 6.1.f del RGPD).
- Cumplimiento de obligaciones legales y respuesta a requerimientos lícitos — artículo 6.1.c del RGPD.
- Defensa de reclamaciones — nuestro interés legítimo (artículo 6.1.f del RGPD) y artículo 9.2.f del RGPD cuando resulte aplicable.
4. Destinatarios y Encargados del Tratamiento
Solo compartimos tus datos personales con los destinatarios necesarios para operar el Servicio, mediante contratos escritos de encargo del tratamiento (artículo 28 del RGPD) que incluyen las Cláusulas Contractuales Tipo de la UE cuando corresponde. Nuestros subencargados actuales son:
- Okta, Inc. (Auth0) — identidad y autenticación. Tenant en la UE (dev-waltru.eu.auth0.com).
- Amazon Web Services, Inc. — alojamiento de la aplicación, base de datos y almacenamiento de objetos (Amazon S3) para la narración de audio generada.
- Anthropic, PBC — tratamiento mediante modelos de lenguaje de gran tamaño (Claude) utilizado para generar tu itinerario personalizado a partir de tu Travel DNA y el catálogo de POIs. Anthropic no utiliza las entradas para entrenar sus modelos generales.
- Google LLC / Google Ireland Ltd. — Google Maps Platform (rutas, mosaicos de mapa), Google Cloud Text-to-Speech (narración de audio), Firebase Hosting para la web y, únicamente en la web, Google Analytics 4 (cuando lo consientes).
- Stripe Payments Europe, Ltd. — procesamiento de pagos (responsable independiente de los datos de pago).
- RevenueCat, Inc. — gestión de suscripciones y verificación de derechos de acceso.
- Expo (650 Industries, Inc.) — servicios de compilación y Expo Push Notifications (enrutamiento de tokens de notificación hacia Apple APNs y Google FCM).
- PostHog, Inc. — analítica de producto y grabación de sesiones en la App.
- Microsoft Corporation (Clarity) — grabación de sesiones y mapas de calor en la web (se carga solo con tu consentimiento; la introducción por teclado en formularios se enmascara por defecto).
- Apple Inc. y Google LLC — distribución de la App a través de la App Store y Google Play, y entrega de notificaciones push.
- EmailJS — entrega transaccional de los correos de lista de espera y de consultas de partners enviados desde la web.
- Prospect One Sp. z o.o. (jsDelivr) y Unsplash, Inc. — red de distribución de contenidos para los scripts de la web y alojamiento de las imágenes de ciudades mostradas en la web; pueden tratar tu dirección IP y las cabeceras de la solicitud en registros de servidor estándar.
No vendemos tus datos personales, no los compartimos para publicidad conductual entre contextos y no los utilizamos para entrenar modelos de IA de terceros.
También podemos comunicar tus datos a autoridades públicas competentes (policía, tribunales, autoridades tributarias) cuando la ley lo exija, a asesores profesionales (abogados, auditores) sujetos a obligaciones de confidencialidad, o a un adquirente en el marco de una operación societaria, en cuyo caso te informaremos con antelación.
5. Transferencias Internacionales de Datos
Algunos de los encargados anteriores están ubicados en, o pueden acceder a datos desde, países fuera del Espacio Económico Europeo, principalmente los Estados Unidos. Cuando no resulta aplicable una decisión de adecuación de la Comisión Europea, las transferencias se protegen mediante las Cláusulas Contractuales Tipo de la UE (2021/914) junto con medidas técnicas y organizativas complementarias (cifrado en tránsito y en reposo, controles de acceso, limitaciones contractuales frente a requerimientos gubernamentales de acceso). Varios proveedores estadounidenses en los que confiamos (entre ellos Google, Stripe, AWS y Anthropic) están además certificados bajo el Marco de Privacidad de Datos UE-EE. UU. cuando resulta aplicable. Puedes solicitar una copia del mecanismo de transferencia correspondiente escribiendo a waltru@notanothertravelapp.com.
6. Tratamiento Automatizado y Elaboración de Perfiles
Para construir tu itinerario combinamos tu Travel DNA, tu ubicación aproximada y nuestro catálogo de POIs, y los enviamos a un servicio de modelos de lenguaje de gran tamaño (Anthropic Claude). El resultado es una ruta sugerida que puedes editar, rechazar o ignorar. Este tratamiento implica elaboración de perfiles en el sentido del artículo 4.4 del RGPD, pero no produce efectos jurídicos ni efectos significativamente similares sobre ti en el sentido del artículo 22.1 del RGPD: la App es un compañero de viaje y conservas en todo momento la libertad de seguir, modificar o abandonar las sugerencias. Puedes solicitar la intervención humana sobre una sugerencia o impugnarla escribiéndonos.
7. Conservación
Conservamos tus datos personales únicamente durante el tiempo necesario para las finalidades descritas en esta Política:
- Datos de cuenta y perfil: mientras tu cuenta esté activa, y hasta 30 días tras su eliminación para completar el cierre, más cualquier período exigido por ley.
- Travel DNA e itinerarios: mientras exista tu cuenta, para que puedas revisitar tus viajes anteriores. Puedes eliminar itinerarios concretos en cualquier momento desde la App.
- Registros de GPS en primer y segundo plano: hasta 90 días en forma identificable, tras lo cual los agregamos o eliminamos. Los registros vinculados a un itinerario guardado se conservan con dicho itinerario hasta que lo elimines.
- Caché de narración de audio generada: hasta 12 meses desde la última reproducción.
- Registros de pago y facturación: 6 años (artículo 30 del Código de Comercio español) y hasta 10 años cuando resulte aplicable la normativa de prevención del blanqueo de capitales.
- Correo de lista de espera: hasta que el producto se lance en tu ciudad, te des de baja, o se cumplan 24 meses de inactividad, lo que antes ocurra.
- Datos de consultas de partners: hasta 12 meses tras resolverse la consulta, salvo que un plazo mayor sea legalmente exigible.
- Correspondencia de soporte: hasta 3 años tras el cierre del caso.
- Analítica web: hasta 14 meses (valor por defecto de GA4) desde la última interacción.
- Registros de seguridad, fraude y accesos: hasta 12 meses.
Transcurridos estos plazos, eliminamos o anonimizamos de forma irreversible los datos. Podemos conservarlos durante un período superior cuando resulte necesario para formular, ejercer o defender reclamaciones, o cuando lo exija la normativa aplicable.
8. Tus Derechos
En virtud del RGPD y de la LOPDGDD tienes derecho a:
- Acceso a los datos personales que tratamos sobre ti (artículo 15 del RGPD);
- Rectificación de datos inexactos o incompletos (artículo 16 del RGPD);
- Supresión de tus datos ("derecho al olvido") (artículo 17 del RGPD);
- Limitación del tratamiento en los supuestos del artículo 18 del RGPD;
- Portabilidad de los datos — recibirlos en un formato estructurado, de uso común y lectura mecánica, o que los transmitamos a otro responsable (artículo 20 del RGPD);
- Oposición al tratamiento basado en nuestro interés legítimo y a las comunicaciones comerciales en cualquier momento (artículo 21 del RGPD);
- Retirar tu consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento anterior a la retirada (artículo 7.3 del RGPD);
- No ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o similares sobre ti (artículo 22 del RGPD);
- Impartir instrucciones sobre tus datos personales tras tu fallecimiento, conforme al artículo 96 de la LOPDGDD.
Para ejercer cualquiera de estos derechos, escríbenos a waltru@notanothertravelapp.com con información suficiente para identificarte. Responderemos en el plazo de un mes (artículo 12.3 del RGPD), prorrogable en dos meses más cuando la solicitud sea compleja. El ejercicio de los derechos es gratuito, salvo en solicitudes manifiestamente infundadas o excesivas.
Tienes también derecho a presentar una reclamación ante una autoridad de control, en particular ante la Agencia Española de Protección de Datos (AEPD, www.aepd.es, C/ Jorge Juan 6, 28001 Madrid), o ante la autoridad de control del Estado miembro de la UE/EEE en el que residas o trabajes.
9. Cookies y Tecnologías Similares
Nuestra página web usa almacenamiento estrictamente necesario y, sujetas a tu consentimiento, cookies analíticas de Google Analytics 4 (p. ej. _ga, _ga_*) y de Microsoft Clarity (p. ej. _clck, _clsk, MUID, CLID), además de almacenamiento funcional (como la memorización de tu idioma preferido en localStorage). Los servicios de analítica se cargan solo después de que aceptes a través de nuestro banner de cookies, y puedes retirar el consentimiento en cualquier momento desde el enlace «Preferencias de cookies» al pie de cada página. Los detalles completos están en nuestra Política de Cookies. La App móvil no usa cookies de navegador, pero utiliza mecanismos equivalentes de almacenamiento local para mantener tu sesión y guardar tus preferencias en el dispositivo.
10. Seguridad
Aplicamos medidas técnicas y organizativas apropiadas al riesgo (artículo 32 del RGPD), entre ellas HTTPS/TLS en tránsito, cifrado en reposo para los audios y la base de datos, controles de acceso por rol, credenciales con mínimo privilegio, registro y monitorización, copias de seguridad periódicas, y obligaciones contractuales de confidencialidad para nuestro personal y encargados. Ningún sistema es totalmente seguro; si una violación de la seguridad de datos personales pudiera suponer un riesgo para tus derechos, la notificaremos a la AEPD en un plazo de 72 horas y, cuando proceda, te informaremos directamente (artículos 33 y 34 del RGPD).
11. Menores
El Servicio no está dirigido a menores de 14 años (edad de consentimiento digital en España conforme al artículo 7 de la LOPDGDD) y no recopilamos conscientemente sus datos. Si crees que un menor nos ha facilitado datos personales, por favor, contáctanos y los eliminaremos.
12. Cambios en esta Política
Podemos actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas, nuevas funcionalidades o requisitos legales. Cuando los cambios sean sustanciales, te informaremos por correo electrónico o mediante un aviso dentro de la App con al menos 30 días de antelación a su entrada en vigor, y actualizaremos la fecha de "Última actualización" que figura más arriba. El uso continuado del Servicio tras la fecha de entrada en vigor de la Política actualizada supone que la has leído; cuando el cambio se base en el consentimiento, te lo volveremos a solicitar.
13. Contacto
Para cualquier consulta o solicitud relacionada con esta Política o con tus datos personales, contáctanos en waltru@notanothertravelapp.com.