Privacidad y seguridad

Aviso de Privacidad

Cómo recopilamos, utilizamos y protegemos los datos personales cuando utilizas la plataforma Taplany.

Última actualización: April 29, 2026

1. Responsable del Tratamiento

El responsable del tratamiento de los datos personales tratados en relación con la plataforma Taplany (el "Servicio") es:

Albert Sabaté Martínez @ Taplany Carrer Gretel Ammann Martinez, 12 08020 Barcelona, España NIF: ES47986151D Correo electrónico: hello@taplany.com

Cuando Taplany actúa como encargado del tratamiento por cuenta de una organización cliente (una agencia de viajes que utiliza el Servicio para gestionar los datos de sus viajeros finales), la organización cliente es el responsable del tratamiento y Taplany el encargado. Los términos de esa relación se rigen por el Acuerdo de Tratamiento de Datos (DPA) suscrito entre Taplany y la organización cliente.

2. Ámbito de aplicación

Este Aviso de Privacidad describe cómo Taplany recopila, utiliza, comunica y protege los datos personales de:

  • Visitantes del sitio web comercial taplany.com
  • Titulares de cuenta y usuarios autorizados de las organizaciones cliente que utilizan el Servicio
  • Personas que se ponen en contacto con nosotros a través de formularios, correo electrónico u otros canales

Para los datos personales de los viajeros finales gestionados por las organizaciones cliente a través del Servicio, consulta el aviso de privacidad de la agencia de viajes correspondiente (responsable del tratamiento de esos datos). Taplany trata dichos datos únicamente siguiendo las instrucciones documentadas de la organización cliente, conforme al DPA.

3. Información que Recopilamos

Información que tú nos proporcionas

  • Información de la cuenta: nombre, dirección de correo electrónico, número de teléfono, función dentro de tu organización, organización empleadora, contraseña (almacenada en formato hash)
  • Información de facturación: denominación social, dirección fiscal, número de identificación fiscal, datos del medio de pago (procesados por Stripe; no almacenamos números de tarjeta completos)
  • Comunicaciones: el contenido de tu correspondencia con nosotros por correo electrónico, solicitudes de soporte, formularios de contacto, solicitudes de demostración y comentarios
  • Contenido que cargas: cualquier dato, archivo, imagen o texto que envíes al Servicio en el ejercicio de la operativa de tu agencia de viajes

Información recopilada automáticamente

  • Datos de uso: páginas vistas, funciones utilizadas, clics, duración de la sesión, URL de procedencia
  • Datos de dispositivo y conexión: dirección IP, tipo y versión de navegador, sistema operativo, identificadores de dispositivo, idioma y zona horaria
  • Datos de registro: registros del servidor, informes de errores, identificadores de petición
  • Cookies y tecnologías similares: consulta nuestra Política de Cookies

Información procedente de terceros

  • Proveedores de identidad: si inicias sesión a través de un proveedor de identidad federada, recibimos información básica de perfil (nombre, correo electrónico, avatar)
  • Meta WhatsApp Business: si tu organización conecta una cuenta de WhatsApp Business, recibimos los metadatos de negocio y de mensajes necesarios para operar la integración
  • Procesador de pagos: Stripe nos facilita la confirmación del estado del pago, los cuatro últimos dígitos de la tarjeta y el país de emisión

4. Base Jurídica del Tratamiento

Conforme al Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, "RGPD") y a la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales ("LOPDGDD"), tratamos los datos personales sobre las siguientes bases jurídicas:

  • Ejecución de un contrato (art. 6.1.b RGPD): para prestar el Servicio a ti o a tu organización, gestionar tu cuenta y procesar pagos
  • Cumplimiento de una obligación legal (art. 6.1.c RGPD): para cumplir con la normativa fiscal, contable, de prevención del blanqueo de capitales y de protección de los consumidores aplicable
  • Interés legítimo (art. 6.1.f RGPD): para operar, asegurar y mejorar el Servicio; prevenir el fraude y el abuso; comunicarnos contigo en relación con el Servicio; y defender nuestros derechos legales
  • Consentimiento (art. 6.1.a RGPD): para cookies no esenciales, comunicaciones de marketing y otros tratamientos opcionales

5. Cómo Utilizamos Tu Información

Utilizamos los datos personales para:

  • Prestar, operar y mantener el Servicio
  • Autenticar a los usuarios y administrar las cuentas
  • Procesar los pagos de la suscripción y emitir facturas
  • Enviar comunicaciones transaccionales (cambios de cuenta, facturación, alertas de seguridad, anuncios del Servicio)
  • Prestar soporte y atender consultas
  • Supervisar el rendimiento, depurar errores y mejorar el Servicio
  • Detectar, prevenir y abordar fraudes, abusos e incidentes de seguridad
  • Cumplir con obligaciones legales y atender requerimientos legítimos de las autoridades públicas
  • Enviar comunicaciones de marketing sobre las funcionalidades y ofertas de Taplany, cuando hayas consentido o cuando la ley lo permita (puedes oponerte en cualquier momento)

6. Roles: Responsable vs. Encargado

Tratamos los datos personales en dos calidades distintas:

  • Como responsable de: credenciales y perfiles de los usuarios autorizados, registros de facturación e impuestos, analítica del sitio web comercial, comunicaciones de marketing, correspondencia de soporte y registros de seguridad
  • Como encargado del tratamiento de: datos personales subidos al Servicio por las organizaciones cliente sobre sus clientes finales (p. ej. nombres de viajeros, datos de contacto, preferencias de viaje, datos de pasaporte, datos de pago, comunicaciones). Taplany trata estos datos exclusivamente conforme a las instrucciones documentadas de la organización cliente, en los términos previstos en el DPA. La organización cliente es la responsable del tratamiento y le corresponde facilitar el aviso de privacidad a sus viajeros finales

7. Encargados Adicionales y Comunicaciones

Solo compartimos datos personales con:

  • Encargados que actúan por cuenta nuestra, en virtud de contratos escritos que cumplen los requisitos del art. 28 RGPD. La lista actual de encargados incluye:
    • Cloudflare, Inc. (EE. UU.) — distribución de contenido, edge compute, almacenamiento de objetos R2, protección DDoS
    • Xata.io (EE. UU.) — alojamiento gestionado de base de datos PostgreSQL
    • Stripe, Inc. (EE. UU./IE) — procesamiento de pagos
    • Resend, Inc. (EE. UU.) — envío de correo electrónico transaccional
    • Anthropic PBC (EE. UU.) — funcionalidades de IA generativa (no se utilizan datos personales para entrenar modelos de Anthropic)
    • Sentry (Functional Software, Inc., EE. UU.) — supervisión de errores
    • Mixpanel, Inc. (EE. UU.) — analítica de producto
    • Google Ireland Limited (IE) — Google Analytics para el sitio web comercial
    • Meta Platforms Ireland Limited (IE) — WhatsApp Business API y píxel de Meta
  • Asesores profesionales (abogados, asesores fiscales, auditores) sujetos a deber de confidencialidad
  • Autoridades públicas cuando la ley lo exija, por orden judicial, o para la defensa de derechos
  • Sucesores legales en caso de fusión, adquisición o venta de activos, sujeto a compromisos equivalentes de protección de datos

No vendemos, alquilamos ni cedemos datos personales con fines comerciales.

8. Transferencias Internacionales

Algunos de nuestros encargados están establecidos en países situados fuera del Espacio Económico Europeo (EEE), principalmente en Estados Unidos. Cuando los datos personales se transfieren fuera del EEE, nos basamos en las garantías adecuadas del Capítulo V del RGPD, entre ellas:

  • Decisiones de adecuación de la Comisión Europea (p. ej. el Marco UE–EE. UU. de Privacidad de Datos cuando proceda)
  • Cláusulas Contractuales Tipo de la UE (Decisión (UE) 2021/914)
  • Medidas técnicas y organizativas complementarias cuando lo exija la sentencia Schrems II

Puedes solicitar una copia del mecanismo de transferencia aplicable.

9. Conservación de los Datos

Conservamos los datos personales únicamente durante el tiempo necesario para los fines descritos en este aviso, y en ningún caso por más tiempo que:

  • Datos de cuenta: durante la vigencia de la suscripción y hasta 12 meses tras el cierre de la cuenta, salvo que la ley exija un plazo superior
  • Registros de facturación e impuestos: 6 años, conforme a la Ley General Tributaria (Ley 58/2003) y al Código de Comercio (Real Decreto de 22 de agosto de 1885)
  • Correspondencia de soporte y contacto: hasta 3 años desde la última interacción
  • Analítica del sitio web comercial: según la configuración de la herramienta correspondiente, normalmente entre 14 y 26 meses
  • Registros de seguridad: hasta 12 meses

Cuando los datos personales ya no son necesarios, se suprimen o se anonimizan de forma irreversible.

10. Tus Derechos en virtud del RGPD

Te asisten los siguientes derechos sobre tus datos personales:

  • Derecho de acceso (art. 15): obtener una copia de los datos personales que tenemos sobre ti
  • Derecho de rectificación (art. 16): que se rectifiquen los datos inexactos o incompletos
  • Derecho de supresión (art. 17): solicitar la supresión, con sujeción a las obligaciones legales de conservación
  • Derecho a la limitación del tratamiento (art. 18): en los supuestos previstos en el RGPD
  • Derecho a la portabilidad de los datos (art. 20): recibir tus datos en un formato estructurado, de uso común y de lectura mecánica
  • Derecho de oposición (art. 21): oponerte al tratamiento basado en el interés legítimo y, en cualquier momento, al tratamiento con fines de marketing directo
  • Derecho a retirar el consentimiento (art. 7.3): en cualquier momento, sin que afecte a la licitud del tratamiento previo a la retirada
  • Derecho a no ser objeto de decisiones automatizadas (art. 22): Taplany no adopta decisiones que produzcan efectos jurídicos o similares basadas exclusivamente en un tratamiento automatizado

Para ejercer cualquiera de estos derechos, escríbenos a hello@taplany.com desde la dirección de correo electrónico asociada a tu cuenta, indicando en el asunto "Solicitud de Derechos del Interesado". Responderemos en el plazo de un mes, prorrogable por dos meses adicionales en caso de solicitudes complejas, conforme al art. 12.3 RGPD. Si eres un viajero final cuyos datos están en posesión de una organización cliente, dirige tu solicitud directamente a dicha organización (responsable del tratamiento); asistiremos al responsable según lo previsto en el DPA.

11. Seguridad

Implementamos medidas técnicas y organizativas adecuadas para proteger los datos personales, conforme al art. 32 RGPD, entre las que se incluyen:

  • Cifrado TLS en tránsito y cifrado AES en reposo
  • Seguridad a nivel de fila (RLS) y aislamiento por tenant en la capa de base de datos
  • Control de acceso basado en roles con principio de mínimo privilegio
  • Registro de auditoría y monitorización de seguridad
  • Revisiones periódicas de dependencias, vulnerabilidades y accesos
  • Procedimientos de respuesta a incidentes y notificación de brechas en 72 horas conforme al art. 33 RGPD

12. Cookies y Tecnologías Similares

El Servicio y el sitio web comercial utilizan cookies y tecnologías similares. Consulta nuestra Política de Cookies para conocer las cookies que utilizamos, su finalidad, duración y cómo gestionar tus preferencias.

13. Privacidad de los Menores

El Servicio es un producto B2B destinado a agencias de viajes profesionales y a su personal autorizado. No se dirige a menores de 16 años y no recopilamos conscientemente datos personales de menores. Si tenemos conocimiento de haberlos recopilado sin el consentimiento parental verificable, los suprimiremos sin demora.

14. Reclamaciones

Si consideras que el tratamiento de tus datos personales infringe el RGPD o la normativa española de protección de datos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos:

Agencia Española de Protección de Datos (AEPD) C/ Jorge Juan, 6 28001 Madrid, España Web: www.aepd.es

También puedes presentar una reclamación ante la autoridad de control del país del EEE en el que residas.

15. Modificaciones de este Aviso

Podemos actualizar este Aviso de Privacidad para reflejar cambios en nuestras prácticas, en la tecnología o en la normativa aplicable. La fecha de "Última actualización" indicada al principio de este documento muestra cuándo entraron en vigor los últimos cambios. Comunicaremos las modificaciones sustanciales por correo electrónico o a través del Servicio.

16. Contacto

Para cualquier cuestión relativa a este Aviso de Privacidad o al tratamiento de tus datos personales, contacta con nosotros en:

Albert Sabaté Martínez @ Taplany Carrer Gretel Ammann Martinez, 12 08020 Barcelona, España Correo electrónico: hello@taplany.com