1. Responsable del tratamiento
- Responsable: Splat Tour
- Email de contacto: support@splattour.com
2. Datos que recopilamos
Datos de cuenta
Email (al registrarte con magic link o vía Google OAuth) y nombre (vía Google OAuth, opcional).
Datos de pago
Procesados directamente por Stripe Payments Europe Ltd. (Irlanda). Nosotros no almacenamos datos de tarjeta. Solo recibimos tu customer_id, el tier de suscripción y el estado del pago.
Datos del producto (vídeos y reconstrucciones)
Los vídeos MP4 que subes o grabas (desde la web o desde la app móvil SplatTour para Android e iOS), los frames extraídos durante el procesamiento, los archivos PLY/SOG generados (la reconstrucción 3D) y los metadatos del piso (nombres de habitación, fecha de subida).
Aplicación móvil (Android/iOS)
La app SplatTour usa tu misma cuenta y envía los vídeos al mismo servicio que la web. Para funcionar solicita permiso de cámara (grabar el recorrido del inmueble) y de fotos/galería (guardar el clip grabado y, opcionalmente, elegir vídeos ya existentes para subir). La app no recopila datos adicionales y no incluye analítica, publicidad ni SDKs de seguimiento de terceros. Los pagos no se realizan dentro de la app.
Datos técnicos
Dirección IP y user-agent (en los logs HTTP de Cloudflare, retenidos ~30 días) y cookies estrictamente técnicas de sesión.
3. Finalidades y base legal
| Finalidad | Base legal |
|---|---|
| Crear y gestionar tu cuenta | Ejecución del contrato (art. 6.1.b GDPR) |
| Procesar tus vídeos para generar tours 3D | Ejecución del contrato |
| Cobrar la suscripción | Ejecución del contrato |
| Enviar emails operativos (magic link, recibos, notificaciones de tour listo) | Ejecución del contrato |
| Logs de seguridad y debug | Interés legítimo (art. 6.1.f GDPR) |
No usamos tus datos para perfilado publicitario ni los vendemos a terceros.
4. Sub-encargados del tratamiento
Compartimos datos estrictamente operativos con los siguientes proveedores:
| Proveedor | Servicio | Localización | Datos compartidos |
|---|---|---|---|
| Cloudflare, Inc. | Hosting, R2 storage, D1 database, email forwarding, DNS | EE. UU. (servidores edge globales) | Email, vídeos, PLYs, IP |
| Modal Labs, Inc. | Cómputo GPU para reconstrucción 3D | EE. UU. (Iowa) | Frames del vídeo durante el procesamiento (~10 min); se borran tras subir el resultado |
| Stripe Payments Europe Ltd. | Cobro de suscripciones | Irlanda | Email, customer_id, dirección de facturación |
| Resend, Inc. | Envío de emails transaccionales | EE. UU. / EU | Email, contenido del mensaje |
| Google LLC | Autenticación OAuth (opcional) | EE. UU. / EU | Email, nombre, foto de perfil |
Las transferencias a EE. UU. se amparan en el EU–US Data Privacy Framework (Decisión de Adecuación de la Comisión Europea, julio 2023) cuando el proveedor está certificado, o en Cláusulas Contractuales Tipo (SCCs) en su defecto.
5. Plazos de conservación
| Dato | Plazo |
|---|---|
| Cuenta y email | Mientras la cuenta esté activa + 30 días tras solicitar baja |
| Vídeos subidos (MP4 originales) | 30 días tras procesamiento exitoso, luego se borran |
| PLY/SOG generados | Mientras la cuenta esté activa + 30 días de gracia tras cancelar suscripción |
| Logs HTTP / acceso | 30 días |
| Datos de facturación | 6 años (art. 30 Código de Comercio) |
6. Tus derechos
Como titular de los datos puedes ejercer los siguientes derechos:
- Acceso: solicitar copia de tus datos.
- Rectificación: corregir datos inexactos.
- Supresión («derecho al olvido»): borrar tus datos.
- Portabilidad: recibir tus datos en formato estructurado (JSON).
- Oposición y limitación del tratamiento.
Para ejercerlos: support@splattour.com con asunto «GDPR — [tu derecho]». Responderemos en un máximo de 30 días.
Desde la app móvil también puedes eliminar tu cuenta y tus datos directamente en Mi cuenta → Eliminar cuenta.
Si consideras que tratamos tus datos indebidamente, puedes presentar reclamación ante la Agencia Española de Protección de Datos (AEPD): aepd.es.
7. Cookies
Usamos exclusivamente cookies técnicas necesarias:
splattour_session: cookie de sesión (autenticación). Caduca al cerrar sesión o tras 30 días.- Cookies de Stripe durante el checkout (gestionadas por Stripe en su dominio).
No usamos cookies analíticas, de publicidad ni tracking de terceros.
8. Seguridad
- HTTPS forzado en toda la web (TLS 1.3).
- Tokens de magic link de un solo uso, caducan en 15 minutos.
- Secrets (API keys, claves Stripe) almacenados en Cloudflare Workers Secrets (cifrado en reposo).
- Acceso a R2 vía URLs presignadas con expiración corta.
9. Cambios en esta política
Si modificamos esta política avisaremos por email a los usuarios activos al menos 30 días antes de su entrada en vigor. La fecha de «Última actualización» arriba refleja la versión vigente.