Política de Privacidad
Última actualización: 24 de abril de 2026 · Versión 1.0
En INDUSTRIAS TURÍSTICAS DINS PINS, S.L. nos tomamos muy en serio la privacidad de nuestros clientes. La presente Política de Privacidad (en adelante, la "Política") explica cómo recabamos, tratamos y protegemos los datos personales que nos facilita a través del sitio web udumbaraformentera.com y del centro Udumbara, de acuerdo con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y demás normativa aplicable.
1. Responsable del tratamiento
Razón social: INDUSTRIAS TURÍSTICAS DINS PINS, S.L.
NIF: B07645070
Dirección: Carretera de la Mola, km 12,3 · 07872 Es Caló · Formentera (Illes Balears)
Teléfono: +34 971 327 019
Email privacidad: [email protected]
Representante para la protección de datos: Ángel Valverde Martín
Delegado de Protección de Datos (DPD): no aplica — la organización no está obligada a designarlo conforme al art. 37 RGPD
2. Datos que tratamos
En función de la relación que mantenga con nosotros recabamos las siguientes categorías de datos:
- Datos identificativos y de contacto: nombre completo, dirección de correo electrónico, número de teléfono, idioma de preferencia.
- Datos de la reserva: servicio solicitado, fecha y hora, notas adicionales, importe, referencia interna.
- Datos de pago: son tratados directamente por Stripe Payments Europe, Ltd. Nosotros no almacenamos números de tarjeta ni CVC. Conservamos únicamente el identificador de la operación, el importe y la fecha del cobro a efectos contables y de reembolso.
- Datos de navegación: dirección IP, tipo de navegador, sistema operativo, páginas visitadas, fecha y hora de acceso. Usados con fines técnicos, estadísticos y de seguridad.
- Categorías especiales de datos (datos de salud): si el cliente opta por incluir voluntariamente en el campo "Notas" información relevante para el tratamiento (embarazo, alergias, lesiones, enfermedades crónicas, medicación, etc.). Estos datos se consideran categoría especial conforme al art. 9 RGPD y reciben protección reforzada. La comunicación de esta información es siempre facultativa; el cliente puede optar por no comunicarla y en ese caso el profesional asumirá las precauciones estándar del sector.
3. Finalidades y base legal
| Finalidad | Base legal (RGPD) |
|---|
| Gestionar su reserva, atenderle en el centro y prestar el servicio contratado | Art. 6.1.b) — Ejecución de un contrato |
| Cobro del anticipo o del servicio completo y emisión de facturas | Art. 6.1.b) — Ejecución de un contrato + Art. 6.1.c) — Obligación legal fiscal |
| Envío de correos transaccionales (acuse, confirmación, pago, cancelación) | Art. 6.1.b) — Ejecución de un contrato |
| Tratamiento de datos de salud facilitados voluntariamente para adaptar el servicio | Art. 9.2.a) — Consentimiento explícito del interesado |
| Prevención de fraude y garantía de la seguridad del servicio | Art. 6.1.f) — Interés legítimo |
| Cumplimiento de obligaciones legales (fiscales, contables, sanitarias) | Art. 6.1.c) — Obligación legal |
4. ¿Durante cuánto tiempo conservamos los datos?
- Datos de la reserva y del cliente: durante la relación comercial y, después, el plazo legal exigible (6 años para facturas por obligación fiscal — art. 66 LGT y art. 30 C. Com).
- Datos de salud del cliente: máximo 2 años desde la última cita, tras lo cual se eliminan o anonimizan completamente.
- Registros de auditoría y seguridad: 12 meses.
- Cookies: ver Política de Cookies.
5. Destinatarios y encargados del tratamiento
No cedemos sus datos personales a terceros, salvo obligación legal. No obstante, para prestar el servicio utilizamos los siguientes proveedores, que actúan como encargados del tratamiento y han firmado con nosotros los correspondientes contratos conforme al art. 28 RGPD:
- Stripe Payments Europe, Ltd. (Irlanda) — procesamiento de pagos con tarjeta.
- Google Ireland Ltd. (Irlanda) — Gmail (Google Workspace) para correo transaccional y Google Calendar para la agenda de citas.
- Cloudflare, Inc. (EE. UU.) — CDN y red de distribución global del sitio web, con Cláusulas Contractuales Tipo aprobadas por la Comisión Europea y adhesión al EU-US Data Privacy Framework.
Transferencias internacionales: algunos de los encargados anteriores procesan datos en países fuera del Espacio Económico Europeo. Dichas transferencias están amparadas por decisiones de adecuación de la Comisión Europea y/o Cláusulas Contractuales Tipo.
6. Derechos del interesado
Puede ejercer en cualquier momento los siguientes derechos sobre sus datos personales:
- Acceso: solicitar información sobre los datos que tratamos sobre usted.
- Rectificación: solicitar la corrección de datos inexactos.
- Supresión ("derecho al olvido"): solicitar la eliminación de sus datos.
- Limitación del tratamiento.
- Portabilidad: recibir sus datos en formato estructurado.
- Oposición al tratamiento.
- Revocación del consentimiento otorgado, sin efecto retroactivo.
- No ser objeto de decisiones automatizadas: no tomamos decisiones automatizadas que produzcan efectos jurídicos sobre usted.
Para ejercerlos, envíe un email a [email protected] acompañado de copia de su DNI o documento identificativo oficial. Responderemos en un plazo máximo de un mes.
Si considera que el tratamiento no se ajusta a la normativa, también tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD, www.aepd.es).
7. Medidas de seguridad
Hemos adoptado las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, entre otras:
- Conexión cifrada HTTPS/TLS 1.2+ en todo el sitio.
- Cifrado AES-256-GCM de los tokens de acceso a Google Calendar almacenados en base de datos.
- Contraseñas hasheadas con bcrypt y doble factor de autenticación (TOTP) obligatorio para el personal del centro.
- Registros de auditoría de todas las acciones administrativas.
- Copias de seguridad cifradas.
- Acceso a datos de salud restringido exclusivamente a la profesional que atiende la cita.
8. Edad mínima
Los servicios ofrecidos están dirigidos a personas mayores de 18 años. Los menores de 14 a 17 años únicamente podrán reservar con el consentimiento expreso y escrito de sus padres o tutores legales. No aceptamos reservas de menores de 14 años.
9. Videovigilancia en el hotel
El establecimiento dispone de cámaras de videovigilancia en áreas comunes del hotel (recepción, pasillos, zonas exteriores) con fines de seguridad. No existen cámaras en las salas de tratamiento ni en áreas privadas. Las grabaciones se conservan un máximo de 30 días salvo requerimiento legal. El cartel informativo correspondiente se encuentra a la entrada del establecimiento.
10. Modificaciones
El RESPONSABLE podrá modificar la presente Política para adaptarla a cambios legislativos, jurisprudenciales o de funcionamiento del servicio. Los cambios sustanciales se notificarán al usuario con antelación razonable y, en todo caso, se publicarán en esta misma página.
Política de Privacitat
Última actualització: 24 d'abril de 2026 · Versió 1.0
A INDUSTRIAS TURÍSTICAS DINS PINS, S.L. ens prenem molt seriosament la privacitat dels nostres clients. Aquesta Política de Privacitat explica com recollim, tractem i protegim les dades personals que ens facilita a través del lloc web udumbaraformentera.com i del centre Udumbara, d'acord amb el Reglament (UE) 2016/679 (RGPD), la LOPDGDD i la resta de normativa aplicable.
1. Responsable del tractament
Raó social: INDUSTRIAS TURÍSTICAS DINS PINS, S.L.
NIF: B07645070
Adreça: Carretera de la Mola, km 12,3 · 07872 Es Caló · Formentera (Illes Balears)
Telèfon: +34 971 327 019
Email privacitat: [email protected]
Representant per a la protecció de dades: Ángel Valverde Martín
Delegat de Protecció de Dades (DPD): no aplica
2. Dades que tractem
- Dades identificatives i de contacte: nom complet, email, telèfon, idioma.
- Dades de la reserva: servei, data, hora, notes, import, referència.
- Dades de pagament: tractades directament per Stripe. No emmagatzemem números de targeta ni CVC.
- Dades de navegació: adreça IP, navegador, SO, pàgines visitades, data i hora.
- Categories especials (dades de salut): si el client opta per incloure voluntàriament al camp "Notes" informació rellevant (embaràs, al·lèrgies, lesions, malalties, medicació). Tractades amb protecció reforçada conforme a l'art. 9 RGPD i basades en el consentiment explícit.
3. Finalitats i base legal
| Finalitat | Base legal (RGPD) |
|---|
| Gestionar la reserva i prestar el servei | Art. 6.1.b) — Execució de contracte |
| Cobrament i facturació | Art. 6.1.b) + Art. 6.1.c) — Obligació legal fiscal |
| Correus transaccionals | Art. 6.1.b) — Execució de contracte |
| Dades de salut voluntàries | Art. 9.2.a) — Consentiment explícit |
| Prevenció de frau i seguretat | Art. 6.1.f) — Interès legítim |
| Obligacions legals | Art. 6.1.c) — Obligació legal |
4. Termini de conservació
- Dades de la reserva: durant la relació i 6 anys posteriors (obligació fiscal).
- Dades de salut: màxim 2 anys des de l'última cita.
- Registres d'auditoria: 12 mesos.
- Galetes: veure Política de Galetes.
5. Destinataris i encarregats
No cedim les vostres dades a tercers, excepte obligació legal. Proveïdors que actuen com a encarregats del tractament (art. 28 RGPD):
- Stripe Payments Europe, Ltd. (Irlanda) — pagaments.
- Google Ireland Ltd. (Irlanda) — Gmail i Calendar.
- Cloudflare, Inc. (EUA) — CDN i xarxa global (Clàusules Contractuals Tipus + EU-US Data Privacy Framework).
6. Drets del interessat
Pot exercir en qualsevol moment els drets d'accés, rectificació, supressió, limitació, portabilitat, oposició, revocació del consentiment i a no ser objecte de decisions automatitzades.
Per exercir-los, envieu un email a [email protected] amb còpia del DNI. Respondrem en un màxim d'un mes. Podeu reclamar davant l'AEPD (www.aepd.es).
7. Mesures de seguretat
- Connexió xifrada HTTPS/TLS.
- Xifratge AES-256-GCM dels tokens sensibles.
- Contrasenyes amb bcrypt i 2FA obligatori per al personal.
- Registres d'auditoria i còpies de seguretat xifrades.
- Accés a dades de salut restringit a la professional que atén.
8. Edat mínima
Serveis per a majors de 18 anys. Menors de 14 a 17 anys només amb consentiment escrit dels tutors. No s'accepten menors de 14 anys.
9. Videovigilància
L'establiment disposa de càmeres a les àrees comunes del hotel amb finalitat de seguretat. No hi ha càmeres a les sales de tractament. Les gravacions es conserven un màxim de 30 dies.
10. Modificacions
El RESPONSABLE pot modificar aquesta Política per adaptar-la a canvis legislatius o de funcionament. Els canvis substancials es notificaran amb antelació raonable.
Privacy Policy
Last updated: 24 April 2026 · Version 1.0
At INDUSTRIAS TURÍSTICAS DINS PINS, S.L. we take our customers' privacy very seriously. This Privacy Policy explains how we collect, process and protect the personal data you provide through the website udumbaraformentera.com and the Udumbara centre, in accordance with Regulation (EU) 2016/679 (GDPR), Spanish Organic Law 3/2018 on data protection (LOPDGDD) and other applicable regulations.
1. Data controller
Company name: INDUSTRIAS TURÍSTICAS DINS PINS, S.L.
Spanish Tax ID: B07645070
Address: Carretera de la Mola, km 12.3 · 07872 Es Caló · Formentera (Balearic Islands, Spain)
Phone: +34 971 327 019
Privacy email: [email protected]
Data protection representative: Ángel Valverde Martín
DPO: not applicable — the organisation is not required to appoint one under Art. 37 GDPR.
2. Data we process
- Identification and contact data: full name, email, phone, preferred language.
- Booking data: service, date, time, notes, amount, internal reference.
- Payment data: processed directly by Stripe Payments Europe, Ltd. We do not store card numbers or CVC. We only keep the transaction identifier, amount and date for accounting and refund purposes.
- Browsing data: IP address, browser type, OS, pages visited, date and time. Used for technical, statistical and security purposes.
- Special categories (health data): if the customer voluntarily includes relevant information in the "Notes" field (pregnancy, allergies, injuries, chronic illnesses, medication, etc.). This data is treated as a special category under Art. 9 GDPR with reinforced protection. Providing this information is always optional.
3. Purposes and legal basis
| Purpose | Legal basis (GDPR) |
|---|
| Manage your booking and provide the service | Art. 6.1.b) — Contract performance |
| Payment and invoicing | Art. 6.1.b) + Art. 6.1.c) — Legal tax obligation |
| Transactional emails | Art. 6.1.b) — Contract performance |
| Voluntary health data processing | Art. 9.2.a) — Explicit consent |
| Fraud prevention and service security | Art. 6.1.f) — Legitimate interest |
| Legal obligations | Art. 6.1.c) — Legal obligation |
4. Retention period
- Booking and customer data: during the commercial relationship and then the applicable legal period (6 years for invoices, Spanish tax law).
- Health data: maximum 2 years from the last appointment, after which it is deleted or fully anonymised.
- Audit and security logs: 12 months.
- Cookies: see Cookie Policy.
5. Recipients and data processors
We do not transfer your personal data to third parties, except where legally required. However, we use the following service providers, who act as data processors with the corresponding contracts under Art. 28 GDPR:
- Stripe Payments Europe, Ltd. (Ireland) — card payment processing.
- Google Ireland Ltd. (Ireland) — Gmail for transactional emails and Google Calendar for the appointments agenda.
- Cloudflare, Inc. (USA) — CDN and global website delivery network, covered by Standard Contractual Clauses approved by the European Commission and adherence to the EU-US Data Privacy Framework.
International transfers: some processors handle data outside the EEA, covered by European Commission adequacy decisions and/or Standard Contractual Clauses.
6. Your rights
You may exercise the following rights over your personal data at any time:
- Access, rectification, erasure ("right to be forgotten"), restriction, portability, objection.
- Withdraw consent previously given, without retroactive effect.
- Not to be subject to automated decisions with legal effects.
To exercise these rights, send an email to [email protected] with a copy of your ID or equivalent official document. We will respond within a maximum of one month.
If you consider that the processing does not comply with the regulations, you may also lodge a complaint with the Spanish Data Protection Agency (AEPD, www.aepd.es).
7. Security measures
- HTTPS/TLS 1.2+ encrypted connection across the entire site.
- AES-256-GCM encryption for Google Calendar access tokens stored in the database.
- Bcrypt-hashed passwords and mandatory two-factor authentication (TOTP) for staff.
- Audit logs for all administrative actions.
- Encrypted backups.
- Health data access restricted exclusively to the professional attending the appointment.
8. Minimum age
Services are aimed at persons aged 18 or over. Minors aged 14-17 may only book with the express written consent of their parents or legal guardians. We do not accept bookings for children under 14.
9. Video surveillance at the hotel
The establishment has CCTV cameras in common areas of the hotel (reception, corridors, outdoor areas) for security purposes. There are no cameras in treatment rooms or private areas. Recordings are kept for a maximum of 30 days unless legally required. Informative signage is placed at the entrance to the establishment.
10. Changes
The CONTROLLER may amend this Policy to reflect legal changes, case law or service operations. Substantial changes will be notified to the user with reasonable advance notice and will be published on this page.
Informativa sulla Privacy
Ultimo aggiornamento: 24 aprile 2026 · Versione 1.0
INDUSTRIAS TURÍSTICAS DINS PINS, S.L. prende molto sul serio la privacy dei suoi clienti. La presente Informativa spiega come raccogliamo, trattiamo e proteggiamo i dati personali forniti tramite il sito udumbaraformentera.com e il centro Udumbara, in conformità al Regolamento (UE) 2016/679 (GDPR), alla Legge Organica spagnola 3/2018 (LOPDGDD) e alla normativa applicabile.
1. Titolare del trattamento
Ragione sociale: INDUSTRIAS TURÍSTICAS DINS PINS, S.L.
NIF: B07645070
Indirizzo: Carretera de la Mola, km 12,3 · 07872 Es Caló · Formentera (Isole Baleari, Spagna)
Telefono: +34 971 327 019
Email privacy: [email protected]
Rappresentante per la protezione dei dati: Ángel Valverde Martín
DPO: non applicabile
2. Dati trattati
- Dati identificativi e di contatto: nome, email, telefono, lingua.
- Dati della prenotazione: servizio, data, ora, note, importo, riferimento.
- Dati di pagamento: gestiti direttamente da Stripe. Non conserviamo numeri di carta né CVC.
- Dati di navigazione: IP, browser, SO, pagine visitate, data e ora.
- Categorie particolari (dati sanitari): se il cliente sceglie di includere volontariamente nel campo "Note" informazioni rilevanti (gravidanza, allergie, lesioni, malattie, farmaci). Trattati con protezione rinforzata ex art. 9 GDPR e basati sul consenso esplicito.
3. Finalità e base giuridica
| Finalità | Base giuridica (GDPR) |
|---|
| Gestione della prenotazione e del servizio | Art. 6.1.b) — Esecuzione di un contratto |
| Pagamento e fatturazione | Art. 6.1.b) + 6.1.c) — Obbligo fiscale |
| Email transazionali | Art. 6.1.b) — Esecuzione di un contratto |
| Dati sanitari volontari | Art. 9.2.a) — Consenso esplicito |
| Prevenzione frodi e sicurezza | Art. 6.1.f) — Interesse legittimo |
| Obblighi legali | Art. 6.1.c) — Obbligo legale |
4. Periodo di conservazione
- Dati della prenotazione: durante il rapporto e 6 anni successivi (fiscalità spagnola).
- Dati sanitari: massimo 2 anni dall'ultimo appuntamento.
- Registri di audit: 12 mesi.
- Cookie: vedi Cookie Policy.
5. Destinatari e responsabili del trattamento
Non cediamo i dati a terzi salvo obbligo legale. Utilizziamo i seguenti fornitori come responsabili del trattamento (art. 28 GDPR):
- Stripe Payments Europe, Ltd. (Irlanda) — pagamenti.
- Google Ireland Ltd. (Irlanda) — Gmail e Calendar.
- Cloudflare, Inc. (USA) — CDN globale (CCT + EU-US DPF).
6. Diritti dell'interessato
Può esercitare i diritti di accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, revoca del consenso e a non essere sottoposto a decisioni automatizzate inviando email a [email protected] con copia del documento d'identità. Risponderemo entro un mese. Ha anche il diritto di reclamo presso l'AEPD spagnola (www.aepd.es).
7. Misure di sicurezza
- HTTPS/TLS 1.2+, cifratura AES-256-GCM per token sensibili, password bcrypt, 2FA obbligatorio per il personale, log di audit, backup cifrati, accesso ai dati sanitari limitato alla professionista.
8. Età minima
Servizi per maggiorenni (18+). Minori 14-17 solo con consenso scritto dei tutori. Minori di 14 anni non ammessi.
9. Videosorveglianza
Presente solo nelle aree comuni dell'hotel (reception, corridoi, esterni) per finalità di sicurezza. Non ci sono telecamere nelle sale di trattamento. Registrazioni conservate massimo 30 giorni.
10. Modifiche
Il TITOLARE può modificare la presente Informativa per adeguarla a variazioni normative o del servizio; le modifiche sostanziali saranno notificate con ragionevole anticipo.
Politique de Confidentialité
Dernière mise à jour : 24 avril 2026 · Version 1.0
Chez INDUSTRIAS TURÍSTICAS DINS PINS, S.L. nous prenons très au sérieux la confidentialité de nos clients. La présente Politique explique comment nous recueillons, traitons et protégeons les données personnelles que vous nous fournissez via le site udumbaraformentera.com et le centre Udumbara, conformément au Règlement (UE) 2016/679 (RGPD), à la Loi Organique espagnole 3/2018 (LOPDGDD) et à la réglementation applicable.
1. Responsable du traitement
Dénomination sociale : INDUSTRIAS TURÍSTICAS DINS PINS, S.L.
NIF : B07645070
Adresse : Carretera de la Mola, km 12,3 · 07872 Es Caló · Formentera (Îles Baléares, Espagne)
Téléphone : +34 971 327 019
Email confidentialité : [email protected]
Représentant pour la protection des données : Ángel Valverde Martín
DPO : non applicable
2. Données traitées
- Données d'identification et de contact : nom, email, téléphone, langue.
- Données de la réservation : service, date, heure, notes, montant, référence.
- Données de paiement : traitées directement par Stripe. Nous ne stockons ni numéros de carte ni CVC.
- Données de navigation : IP, navigateur, SE, pages visitées, date et heure.
- Catégories particulières (données de santé) : si le client décide d'inclure volontairement dans le champ "Notes" des informations pertinentes (grossesse, allergies, blessures, maladies, médication). Traitées avec protection renforcée selon l'art. 9 RGPD et basées sur le consentement explicite.
3. Finalités et base juridique
| Finalité | Base juridique (RGPD) |
|---|
| Gérer la réservation et fournir le service | Art. 6.1.b) — Exécution d'un contrat |
| Paiement et facturation | Art. 6.1.b) + 6.1.c) — Obligation fiscale |
| Emails transactionnels | Art. 6.1.b) — Exécution d'un contrat |
| Données de santé volontaires | Art. 9.2.a) — Consentement explicite |
| Prévention de fraude et sécurité | Art. 6.1.f) — Intérêt légitime |
| Obligations légales | Art. 6.1.c) — Obligation légale |
4. Durée de conservation
- Données de la réservation : durée de la relation + 6 ans (fiscalité espagnole).
- Données de santé : 2 ans maximum depuis le dernier rendez-vous.
- Registres d'audit : 12 mois.
- Cookies : voir Politique de Cookies.
5. Destinataires et sous-traitants
Nous ne cédons pas vos données à des tiers sauf obligation légale. Nous utilisons les prestataires suivants comme sous-traitants (art. 28 RGPD) :
- Stripe Payments Europe, Ltd. (Irlande) — paiements.
- Google Ireland Ltd. (Irlande) — Gmail et Calendar.
- Cloudflare, Inc. (USA) — CDN mondial (CCT + EU-US DPF).
6. Droits des personnes concernées
Vous pouvez exercer à tout moment vos droits d'accès, rectification, effacement, limitation, portabilité, opposition, retrait du consentement et de ne pas faire l'objet de décisions automatisées, en envoyant un email à [email protected] avec copie de votre pièce d'identité. Nous répondrons dans un délai maximum d'un mois. Vous pouvez également déposer une réclamation auprès de l'AEPD espagnole (www.aepd.es).
7. Mesures de sécurité
- HTTPS/TLS 1.2+, chiffrement AES-256-GCM des tokens sensibles, mots de passe bcrypt, 2FA obligatoire pour le personnel, journaux d'audit, sauvegardes chiffrées, accès aux données de santé restreint à la professionnelle.
8. Âge minimum
Services destinés aux personnes majeures (18+). Mineurs 14-17 ans uniquement avec consentement écrit des tuteurs. Mineurs de moins de 14 ans non admis.
9. Vidéosurveillance
Caméras présentes uniquement dans les parties communes de l'hôtel (réception, couloirs, extérieurs) à des fins de sécurité. Pas de caméras dans les salles de soin. Enregistrements conservés 30 jours maximum.
10. Modifications
Le RESPONSABLE peut modifier la présente Politique pour l'adapter à l'évolution législative ou du service ; les modifications substantielles seront notifiées avec un préavis raisonnable.
Datenschutzerklärung
Zuletzt aktualisiert: 24. April 2026 · Version 1.0
Bei INDUSTRIAS TURÍSTICAS DINS PINS, S.L. nehmen wir den Datenschutz unserer Kunden sehr ernst. Diese Datenschutzerklärung erläutert, wie wir die personenbezogenen Daten erheben, verarbeiten und schützen, die Sie uns über die Website udumbaraformentera.com und das Zentrum Udumbara zur Verfügung stellen, im Einklang mit der Verordnung (EU) 2016/679 (DSGVO), dem spanischen Organgesetz 3/2018 (LOPDGDD) und weiteren geltenden Vorschriften.
1. Verantwortlicher
Firmenname: INDUSTRIAS TURÍSTICAS DINS PINS, S.L.
Spanische Steuernummer: B07645070
Anschrift: Carretera de la Mola, km 12,3 · 07872 Es Caló · Formentera (Balearen, Spanien)
Telefon: +34 971 327 019
Datenschutz-E-Mail: [email protected]
Datenschutzbeauftragter-Vertreter: Ángel Valverde Martín
DSB: nicht zutreffend
2. Verarbeitete Daten
- Identifikations- und Kontaktdaten: Name, E-Mail, Telefon, bevorzugte Sprache.
- Buchungsdaten: Behandlung, Datum, Uhrzeit, Notizen, Betrag, Referenz.
- Zahlungsdaten: direkt von Stripe verarbeitet. Wir speichern weder Kartennummern noch CVC.
- Nutzungsdaten: IP-Adresse, Browser, Betriebssystem, besuchte Seiten, Datum und Uhrzeit.
- Besondere Datenkategorien (Gesundheitsdaten): wenn der Kunde freiwillig im Notizfeld relevante Informationen (Schwangerschaft, Allergien, Verletzungen, chronische Erkrankungen, Medikation) mitteilt. Diese werden gemäß Art. 9 DSGVO mit verstärktem Schutz verarbeitet und basieren auf der ausdrücklichen Einwilligung.
3. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage (DSGVO) |
|---|
| Buchung verwalten und Leistung erbringen | Art. 6 Abs. 1 lit. b) — Vertragserfüllung |
| Zahlung und Rechnungsstellung | Art. 6 Abs. 1 lit. b) + lit. c) — Rechtliche Pflicht |
| Transaktionale E-Mails | Art. 6 Abs. 1 lit. b) — Vertragserfüllung |
| Freiwillige Gesundheitsdaten | Art. 9 Abs. 2 lit. a) — Ausdrückliche Einwilligung |
| Betrugsprävention und Sicherheit | Art. 6 Abs. 1 lit. f) — Berechtigtes Interesse |
| Rechtliche Verpflichtungen | Art. 6 Abs. 1 lit. c) — Rechtliche Pflicht |
4. Speicherdauer
- Buchungs- und Kundendaten: während der Geschäftsbeziehung und 6 Jahre danach (spanische Steuerpflicht).
- Gesundheitsdaten: höchstens 2 Jahre nach dem letzten Termin.
- Audit- und Sicherheitsprotokolle: 12 Monate.
- Cookies: siehe Cookie-Richtlinie.
5. Empfänger und Auftragsverarbeiter
Wir geben Ihre Daten nicht an Dritte weiter, außer wenn gesetzlich vorgeschrieben. Wir nutzen folgende Anbieter als Auftragsverarbeiter (Art. 28 DSGVO):
- Stripe Payments Europe, Ltd. (Irland) — Zahlungsabwicklung.
- Google Ireland Ltd. (Irland) — Gmail und Calendar.
- Cloudflare, Inc. (USA) — globales CDN (SCC + EU-US Data Privacy Framework).
6. Betroffenenrechte
Sie können jederzeit die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Widerruf der Einwilligung und darauf, keiner automatisierten Entscheidung unterworfen zu werden, ausüben. Senden Sie dazu eine E-Mail an [email protected] mit einer Kopie Ihres amtlichen Ausweises. Wir antworten innerhalb eines Monats. Sie können auch Beschwerde bei der spanischen Datenschutzbehörde AEPD einlegen (www.aepd.es).
7. Sicherheitsmaßnahmen
- HTTPS/TLS 1.2+, AES-256-GCM-Verschlüsselung für sensible Tokens, Bcrypt-Passwörter, obligatorische 2FA für Personal, Audit-Protokolle, verschlüsselte Backups, Zugriff auf Gesundheitsdaten nur für die behandelnde Fachkraft.
8. Mindestalter
Leistungen richten sich an Personen ab 18 Jahren. Minderjährige zwischen 14 und 17 Jahren können nur mit schriftlicher Einwilligung der Erziehungsberechtigten buchen. Unter 14 Jahren werden keine Buchungen angenommen.
9. Videoüberwachung
Im Hotel gibt es Überwachungskameras in Gemeinschaftsbereichen (Rezeption, Flure, Außenbereiche) zu Sicherheitszwecken. In den Behandlungsräumen und privaten Bereichen gibt es keine Kameras. Aufnahmen werden maximal 30 Tage gespeichert.
10. Änderungen
Der VERANTWORTLICHE behält sich das Recht vor, diese Erklärung an gesetzliche oder betriebliche Änderungen anzupassen; wesentliche Änderungen werden mit angemessener Frist mitgeteilt.