Política de privacidad.
Versión: [POLICY_VERSION]
Fecha de entrada en vigor: [POLICY_EFFECTIVE_DATE]
Aplicable a: airworth.app, www.airworth.app (el “Sitio”)
Documento redactado por una IA y aún no revisado por abogado colegiado. Es OBLIGATORIA la revisión por un abogado colegiado en España y un abogado colegiado en EE. UU. antes de la publicación en cualquier dominio en producción. Los marcadores entre corchetes ([NIF], [ADDRESS], etc.) están deliberadamente sin rellenar hasta el visto bueno legal.
La presente Política de Privacidad explica cómo Refugio del Castor SL (“Airworth”, “nosotros”) recopila y trata los datos personales cuando usted visita el Sitio o se inscribe en la lista de espera de nuestros productos Airworth Hangar y Airworth Flights. Las aplicaciones de producto Airworth (portal.airworth.app, fpl.airworth.app) se rigen por sus propias políticas de privacidad.
Esta Política se ajusta al Reglamento (UE) 2016/679 (“RGPD”), al RGPD del Reino Unido, a la Ley Orgánica 3/2018 (“LOPD-GDD”), a la Ley 34/2002 (“LSSI-CE”) y a las leyes estatales estadounidenses de privacidad aplicables (CCPA/CPRA de California, VCDPA de Virginia, CPA de Colorado, CTDPA de Connecticut).
1. Quiénes somos y cómo contactar
El responsable del tratamiento es:
- Refugio del Castor SL (“Airworth”)
- NIF: [NIF]
- Domicilio social: [ADDRESS]
- Inscripción en el Registro Mercantil: [MERCANTILE_REGISTRY]
- Correo electrónico: [CONTACT_EMAIL]
No hemos designado un Delegado de Protección de Datos porque nuestro tratamiento no alcanza los umbrales del art. 37.1 RGPD. Si esto cambiara, designaríamos un DPO y actualizaríamos esta Política. Para cualquier consulta en materia de protección de datos, escriba a [CONTACT_EMAIL].
Para los interesados residentes en el Reino Unido, el responsable es la misma entidad española. No hemos designado un representante en el Reino Unido al amparo del art. 27 del UK GDPR.
2. Qué datos tratamos y por qué
| Categoría | Ejemplos | Origen |
|---|---|---|
| Datos de contacto | Dirección de correo electrónico | Usted, al enviar el formulario |
| Perfil opcional | Rol, país | Usted (campos opcionales) |
| Metadatos del consentimiento | Fecha y hora, IP truncada (IPv4 /24 o IPv6 /64), user-agent, URL de origen, hash SHA-256 de la copia, fecha de confirmación, fecha y método de retirada | Automáticamente |
| Preferencias | Preferencia de idioma (cookie propia lang_pref) | Su navegador |
| Telemetría de seguridad | Resultado del reto Turnstile (efímero) | Su navegador |
| Analítica agregada | Conteos de visitas sin cookies, vía Plausible | Automáticamente |
| Interacción con correos | Eventos de apertura/clic | Resend |
No recopilamos: identificadores oficiales, datos de pago, ubicación geográfica precisa, datos biométricos, categorías especiales de datos (art. 9 RGPD), ni datos de menores que sepamos identificados como tales.
3. Bases jurídicas (RGPD / LOPD-GDD)
| Actividad | Base jurídica |
|---|---|
| Confirmación, bienvenida y novedades | Consentimiento — art. 6.1.a RGPD; art. 21 LSSI-CE |
| Conservación del registro de consentimiento | Obligación legal — art. 6.1.c RGPD |
| Operación del Sitio, idioma, seguridad (Turnstile) | Interés legítimo — art. 6.1.f; cookies estrictamente necesarias exentas por art. 22.2 LSSI-CE |
| Analítica agregada sin cookies (Plausible) | Interés legítimo — art. 6.1.f |
| Atención de solicitudes de derechos | Obligación legal — art. 6.1.c |
| Defensa de reclamaciones | Interés legítimo — art. 6.1.f |
Cuando la base sea el consentimiento, podrá retirarlo en cualquier momento sin afectar a la licitud previa (art. 7.3 RGPD).
4. Subencargados
| Subencargado | Función | Ubicación | Mecanismo de transferencia | DPA |
|---|---|---|---|---|
| Cloudflare, Inc. | Edge, DNS, Turnstile, D1 (registro de consentimiento) | Edge UE + región D1 UE | DPF UE-EE. UU. + CCT 2021 | Sí |
| Resend (Resend, Inc.) | Correo transaccional y de marketing; eu-west-1 | Envío UE; metadata en EE. UU. | DPF + CCT 2021 | Sí |
| Sentry (Functional Software, Inc.) | Monitorización de errores | EE. UU. | DPF + CCT 2021 | Sí |
| Plausible Insights OÜ | Analítica agregada sin cookies | UE (Fráncfort) | N/A (intra-EEE) | Sí |
No vendemos sus datos personales y no los compartimos para publicidad conductual entre contextos en los términos de la CCPA/CPRA de California.
5. Transferencias internacionales (Resend, Cloudflare)
Cuando los datos se transfieren fuera del EEE o del Reino Unido, nos amparamos en:
- La Decisión de adecuación de la Comisión Europea relativa al Marco UE-EE. UU. de Privacidad de Datos (Decisión (UE) 2023/1795).
- Las Cláusulas Contractuales Tipo de la UE de 2021 (Decisión (UE) 2021/914).
- Para transferencias al Reino Unido, el IDTA de la ICO o el Adendum del Reino Unido.
Hemos analizado el impacto de la sentencia Schrems II y consideramos que, dado el alcance limitado de los datos transferidos (un correo de contacto y metadatos del consentimiento), las garantías ofrecen un nivel de protección esencialmente equivalente. Copia de las CCT a petición a [CONTACT_EMAIL].
6. Plazos de conservación
| Datos | Plazo |
|---|---|
| Correo y perfil de la lista de espera | Hasta retirada del consentimiento, después borrado en 30 días |
| Registro de consentimiento | 3 años desde withdrawn_at |
| Eventos de interacción con correos | 13 meses, ventana móvil |
| Analítica Plausible | Agregado; sin registros individuales |
| Logs Sentry | 90 días |
| Copias de seguridad | Hasta 35 días |
Solo conservaremos un registro mínimo más allá cuando sea estrictamente necesario para cumplir una obligación legal o defender una reclamación (art. 17.3 RGPD).
7. Tus derechos y cómo ejercerlos
Conforme al RGPD / UK GDPR / LOPD-GDD, dispone de los derechos de acceso, rectificación, supresión, limitación, portabilidad, oposición, retirar el consentimiento, no ser objeto de decisiones automatizadas, y reclamar ante una autoridad de control.
Residentes en California disponen además de los derechos CCPA/CPRA. Residentes en Virginia, Colorado, Connecticut, Texas, Utah disponen de derechos sustancialmente equivalentes.
Para ejercerlos: escriba a [CONTACT_EMAIL] desde la dirección que figure en nuestros registros. Le responderemos en un mes (art. 12.3 RGPD) o 45 días (CCPA), prorrogable una sola vez cuando lo justifique la complejidad.
8. Consentimiento de marketing y lista de espera
Si se inscribe en la lista de espera, le enviamos un correo de doble confirmación (DOI). Solo después de pulsar el enlace le añadimos a la Audience correspondiente de Resend.
Puede darse de baja pulsando el enlace de baja en cualquier correo, visitando /preferences o escribiendo a [CONTACT_EMAIL]. Atendemos las bajas de inmediato y, en todo caso, en 10 días hábiles (CAN-SPAM).
9. Cookies
El Sitio utiliza únicamente cookies estrictamente necesarias, exentas del consentimiento previo (art. 22.2 LSSI-CE). Consulte la Política de cookies.
10. Cambios en esta política
Podremos actualizar esta Política. La versión y la fecha que figuran al inicio reflejan la edición vigente. Para cambios sustanciales, publicaremos la versión actualizada con al menos 15 días de antelación y, cuando afecte materialmente a sus derechos, lo notificaremos por correo. Versiones anteriores disponibles a petición.
Puede presentar reclamación ante la AEPD (España), ICO (Reino Unido), su autoridad nacional del EEE, la California Privacy Protection Agency o la autoridad estatal equivalente. Le agradeceríamos la oportunidad de atender previamente sus dudas escribiendo a [CONTACT_EMAIL].
Contacto
- Correo electrónico: [CONTACT_EMAIL]
- Postal: Refugio del Castor SL, [ADDRESS]