Lista de sub-procesadores · Playa Reservas

¿Qué es esto? Esta página cumple con el deber de transparencia del Art. 13.1.e + Art. 28 RGPD: identifica todos los proveedores externos (sub-encargados) a los que el Establecimiento confía el procesamiento de tus datos personales para operar el portal de reservas y los servicios asociados. Cada sub-procesador opera bajo un contrato de encargo (DPA) firmado con el Establecimiento, conforme al Art. 28.3 RGPD.

Índice

Stripe · pasarela de pago
Redsys (TPV virtual) · pasarela de pago
Twilio · SMS / WhatsApp
360dialog · WhatsApp Business
Bunny Fonts · tipografías web
Google Sign-In · OAuth federado
Hosting/CDN · infraestructura
Servidor SMTP · envío de emails

Pasarelas de pago

Pasarela de pago

Stripe Payments Europe Ltd.

Domicilio: 1 Grand Canal Street Lower, Grand Canal Dock, Dublín D02 H210, Irlanda UE
Finalidad: Procesamiento de pagos online (tarjeta, Bizum, Apple Pay, Google Pay, SEPA) cuando el cliente paga su reserva o pedido por adelantado.
Datos tratados: Datos de la tarjeta (PAN, CVV, expiry — Stripe los recibe directamente, NO pasan por nuestro servidor), email, nombre del titular, IP, importe.
Base legal: Ejecución contractual (Art. 6.1.b RGPD) — sin pago no hay reserva confirmada.
Plazo conservación: Hasta 7 años (obligación fiscal Art. 30 Código de Comercio + Stripe retiene logs ~6 años por exigencia PCI-DSS).
Transferencia int.: UE-IE Servidores principales en Dublín. Subprocessor list global puede activar transferencias a EE.UU. amparadas por SCC (Standard Contractual Clauses 2021/914) SCC.
Certificaciones: PCI-DSS Level 1 · SOC 1 · SOC 2 Type II · ISO 27001
DPA: stripe.com/legal/dpa aceptado vía dashboard
Privacidad: stripe.com/es/privacy

Pasarela de pago · TPV virtual bancario

Servired, Sociedad Española de Medios de Pago, S.A. (Redsys)

Domicilio: Calle Francisco Sancha 12, 28034 Madrid, España UE
Finalidad: Procesamiento de pagos vía TPV virtual bancario (alternativa a Stripe, configurada por el Establecimiento si su banco usa Redsys).
Datos tratados: Datos de la tarjeta (capturados directamente por Redsys vía iframe), importe, IDOPER (referencia interna), email opcional para recibo.
Base legal: Ejecución contractual (Art. 6.1.b RGPD).
Plazo conservación: Lo establecido por el banco emisor del comercio. Redsys conserva logs operativos ≤ 5 años.
Transferencia int.: UE-ES Servidores en España. NO hay transferencias internacionales — todo el procesamiento es onshore.
Certificaciones: PCI-DSS · 3-D Secure 2 · ISO 27001
DPA: Firmado entre el Establecimiento y su banco/entidad adquirente, que actúa como responsable mancomunado.
Privacidad: redsys.es/aviso-legal-y-privacidad

Comunicaciones (SMS / WhatsApp / Email)

Mensajería SMS y WhatsApp

Twilio Ireland Ltd.

Domicilio: 3 Dublin Landings, North Wall Quay, Dublín 1, Irlanda UE
Finalidad: Envío de SMS y mensajes WhatsApp Business (confirmación de reserva, recordatorios, notificaciones operativas).
Datos tratados: Número de teléfono móvil, contenido del mensaje, fecha/hora, estado de entrega (DLR), código de error si falla.
Base legal: Operativo (recordatorios) → Art. 6.1.b ejecución contractual. Marketing → Art. 6.1.a consentimiento separado.
Plazo conservación: Twilio retiene metadata ~13 meses por defecto. Nuestros logs en notification_log: anonimización del teléfono a los 5 años (cron-retention.php).
Transferencia int.: UE-IE + EE.UU. en routing global. Amparado por SCC + Data Privacy Framework UE-USA SCC + DPF.
Certificaciones: SOC 2 Type II · ISO 27001 · ISO 27018
DPA: twilio.com/legal/data-protection-addendum
Privacidad: twilio.com/legal/privacy

WhatsApp Business API

360dialog GmbH

Domicilio: Torstraße 61, 10119 Berlín, Alemania UE
Finalidad: Proveedor alternativo a Twilio para WhatsApp Cloud API (ruta directa Meta + soporte en alemán/europeo).
Datos tratados: Número de teléfono, contenido del mensaje, plantillas pre-aprobadas, DLR.
Base legal: Operativo (recordatorios) → Art. 6.1.b. Marketing → Art. 6.1.a consentimiento.
Plazo conservación: 360dialog retiene metadata 90 días. Backend de Meta WhatsApp puede retener hasta el ciclo natural de la cuenta.
Transferencia int.: UE-DE 360dialog opera en UE. Sub-encargado Meta puede transferir a EE.UU. SCC
DPA: 360dialog.com/legal
Privacidad: 360dialog.com/data-privacy

Infraestructura técnica

Tipografías web (CDN GDPR-safe)

Bunny.net (BunnyWay d.o.o.)

Domicilio: Cesta v Mestni log 88a, 1000 Liubliana, Eslovenia UE
Finalidad: Servir las tipografías DM Sans + Plus Jakarta Sans (alternativa GDPR-safe a Google Fonts: NO trackea IPs ni envía datos a EE.UU.).
Datos tratados: IP del navegador (estándar de cualquier petición HTTP). NO se persiste — Bunny destruye logs en 24h.
Base legal: Interés legítimo (Art. 6.1.f) — funcionamiento técnico del portal. Sin opt-in cookies (por eso elegimos Bunny en lugar de Google Fonts).
Transferencia int.: UE-SI Sin transferencias fuera del EEE.
Privacidad: bunny.net/privacy

OAuth federado (opcional)

Google Ireland Ltd. (Sign-In)

Domicilio: Gordon House, Barrow Street, Dublín D04 E5W5, Irlanda UE
Finalidad: Autenticación opcional "Iniciar sesión con Google" en el portal cliente. Solo se activa si el cliente lo elige explícitamente.
Datos tratados: Email Google, nombre, ID público (sub), foto de perfil. NO se accede a Gmail, Drive ni Calendar.
Base legal: Consentimiento (Art. 6.1.a) — activado solo al pulsar el botón.
Transferencia int.: UE-IE + EE.UU. Amparado por SCC + Data Privacy Framework SCC + DPF
Privacidad: policies.google.com/privacy

Hosting + base de datos

Proveedor de hosting del Establecimiento

Identidad: Variable según el Establecimiento. Consulta el Aviso Legal del establecimiento concreto para conocer la denominación social y ubicación física del servidor.
Finalidad: Almacenamiento de la base de datos MySQL (reservas, clientes, pagos, audit_log) y archivos PHP del backend.
Datos tratados: Toda la información persistida por el portal (ver Política de Privacidad).
Base legal: Ejecución contractual (Art. 6.1.b) + interés legítimo del responsable.
Transferencia int.: Solo proveedores con servidores en la UE/EEE son aceptables. Si el Establecimiento usa hosting fuera de la UE, lo declara explícitamente en su Aviso Legal.
DPA: Firmado entre el Establecimiento y el proveedor de hosting (típicamente parte del contrato de servicio del cPanel).

Servidor SMTP de envío

Servidor SMTP del Establecimiento

Identidad: Variable según configuración (típicamente el SMTP del proveedor de hosting o servicios como SendGrid, Mailgun, Postmark, etc.).
Finalidad: Envío de emails transaccionales: confirmación de reserva, recibo de pago, password reset, recordatorios.
Datos tratados: Email del destinatario, contenido del mensaje, metadatos de entrega.
Base legal: Ejecución contractual (Art. 6.1.b) — sin email no se puede enviar el recibo/confirmación al cliente.
Plazo conservación: 5 años en email_log con anonimización del recipient (cron-retention.php).

Monitorización de errores

Functional Software, Inc. (Sentry)

Domicilio: 45 Fremont Street, 8th Floor, San Francisco, CA 94105, EE.UU.
Finalidad: Captura automática de excepciones y errores fatales en backend PHP y frontend JS para detectar bugs en producción antes de que afecten a más usuarios. Activación opt-in vía sentry.enabled en php/config.php.
Datos tratados: Stack traces, mensajes de error, navegador/OS del cliente, URL de la página, identificador opaco de usuario (hash SHA-256 del token de sesión — NUNCA el username/email real). Los emails, teléfonos, DNI/NIE, IBAN, JWT, claves Stripe y headers Authorization son scrubeados (replaced) server-side ANTES del envío.
Base legal: Interés legítimo (Art. 6.1.f RGPD) — garantizar la integridad técnica del servicio. Documentado en DPIA (docs/legal/DPIA-Evaluacion-Impacto.md).
Plazo conservación: 90 días en plan Free de Sentry (configurable hasta 1 año en planes pagos). Eventos antiguos se borran automáticamente.
Transferencia int.: EE.UU. Sentry US-hosted. Amparada por el EU-US Data Privacy Framework (DPF) — Sentry inscrita en la lista oficial del Department of Commerce. SCC suplementarias (2021/914 Módulo 2) incluidas en el DPA.
Certificaciones: SOC 2 Type II · ISO 27001 · HIPAA-compliant tier disponible
DPA: sentry.io/legal/dpa aceptado al activar
Privacidad: sentry.io/privacy

Tus derechos

Si quieres ejercer tus derechos RGPD (acceso, rectificación, supresión, portabilidad, oposición, limitación del tratamiento) sobre los datos que cualquiera de estos sub-procesadores trate en nombre del Establecimiento, dirígete SIEMPRE al Establecimiento responsable (datos en el Aviso Legal). El Establecimiento gestionará la solicitud y, si procede, instruirá al sub-procesador para ejecutarla.

No contactes directamente con el sub-procesador para ejercer derechos sobre datos de tu reserva — ellos no pueden identificarte ni atenderte sin el contexto del responsable.

Autoridad de control: Agencia Española de Protección de Datos (AEPD) · aepd.es

Cambios y actualizaciones

Esta lista se actualiza siempre que se incorpore o sustituya un sub-procesador. Si el cambio es material (nueva categoría de tratamiento, nuevo país de transferencia internacional sin SCC), se solicitará nuevamente el consentimiento al cliente la próxima vez que acceda al portal. El histórico de versiones se mantiene a disposición del interesado durante 5 años en el repositorio del proyecto.

Playa Reservas · Lista de sub-procesadores · ← Volver al portal