Política de Privacidad — Bicicla.co

Última actualización: mayo de 2026 Versión: 1.0 (borrador profesional)

Índice

1. Responsable del tratamiento y representante UE
2. Delegado de Protección de Datos (DPO)
3. Ámbito de aplicación
4. Categorías de datos personales tratados
5. Fuentes de los datos
6. Finalidades y bases legales del tratamiento
7. Destinatarios y subencargados (subprocessors)
8. Transferencias internacionales de datos
9. Plazos de conservación
10. Derechos de los interesados (RGPD)
11. Derechos de residentes en California (CCPA / CPRA)
12. Derechos en otras jurisdicciones (LGPD, PIPEDA, LFPDPPP)
13. Seguridad de la información y notificación de brechas
14. Menores
15. Cookies
16. Decisiones automatizadas y elaboración de perfiles
17. Modificaciones de la política
18. Contacto y reclamación ante autoridad de control

1. Responsable del tratamiento y representante UE

Responsable del tratamiento:

• Razón social: Thorne Bridge Foundry, LLC
• Jurisdicción: Estado de Delaware, EE. UU.
• EIN: 30-1491515
• Domicilio: [DOMICILIO FISCAL — A COMPLETAR]
• Correo de privacidad: [privacy@bicicla.co — A CONFIRMAR]

Representante en la Unión Europea (artículo 27 RGPD):

Dado que Thorne Bridge Foundry no tiene establecimiento en la UE pero ofrece servicios y monitoriza el comportamiento de personas en territorio europeo (ES, FR, IT, NL, DE), es necesaria la designación formal de un representante UE conforme al artículo 27 del RGPD. Recomendamos contratar un servicio especializado (por ejemplo, EDPO, Prighter, VeraSafe o equivalente). Hasta su formalización, este apartado quedará completado con:

• Representante UE: [NOMBRE ENTIDAD — A DESIGNAR]
• Domicilio: [DOMICILIO UE — A COMPLETAR]
• Contacto: [eu-rep@bicicla.co — A CONFIRMAR]

Adicionalmente, dada la operación en Reino Unido, se recomienda valorar la designación de un representante UK conforme al artículo 27 del UK GDPR.

2. Delegado de Protección de Datos (DPO)

La normativa no impone obligatoriamente un DPO en este caso (el tratamiento no constituye, por su escala actual, observación habitual y sistemática a gran escala). No obstante, recomendamos firmemente designar un DPO externo (modelo «as-a-service») por las siguientes razones: (i) tratamiento de datos de menores potenciales; (ii) tratamiento de datos de pago; (iii) operación multinacional con flujos UE-EE. UU.; (iv) elemento de marketing y de confianza para usuarios.

• DPO designado: [DPO POR DESIGNAR]
• Contacto DPO: [dpo@bicicla.co — A CONFIRMAR]

3. Ámbito de aplicación

Esta política se aplica al tratamiento de datos personales realizado por Bicicla en la prestación de los servicios disponibles en https://bicicla.co y en la app móvil cuando exista. Aplica a Ciclistas, Profesionales y visitantes.

4. Categorías de datos personales tratados

4.1 Datos de identificación y cuenta

• Nombre, dirección de correo electrónico, URL de avatar (recibidos de Google OAuth).
• Identificador único de usuario (UUID interno).
• Idioma y país preferido.

4.2 Datos de transacción

• Importe, divisa, fecha, identificador Stripe de la operación, identificador del Profesional contraparte.
• No almacenamos números completos de tarjetas de crédito. El procesamiento es 100 % delegado en Stripe.

4.3 Datos de los Profesionales

• Información comercial pública (nombre del taller, dirección, teléfono, web), documentación KYC enviada a Stripe, certificados de seguro, IBAN/cuenta bancaria (almacenado en Stripe, no en Bicicla).

4.4 Datos de uso

• Logs de acceso, dirección IP, user agent, páginas visitadas, eventos PostHog (con consentimiento).

4.5 Datos de ubicación

• Solo si el Usuario lo autoriza expresamente (geolocalización aproximada del navegador para mostrar talleres cercanos). No se almacena historial de ubicaciones.

4.6 Comunicaciones

• Correos transaccionales, mensajes de soporte, valoraciones publicadas.

No tratamos categorías especiales del artículo 9 RGPD (salud, biometría, etc.).

5. Fuentes de los datos

Los datos provienen: (a) directamente del Usuario; (b) de Google al iniciar sesión por OAuth; (c) de Stripe en la liquidación de pagos; (d) de OpenStreetMap para fichas de talleres no reclamadas (datos comerciales públicos, no datos personales en sentido estricto).

6. Finalidades y bases legales del tratamiento

| Finalidad | Base legal (art. 6 RGPD) | |---|---| | Crear y mantener la cuenta de Usuario | Ejecución del contrato (art. 6.1.b) | | Procesar Reservas y pagos | Ejecución del contrato (art. 6.1.b) | | Cumplir obligaciones contables y fiscales | Obligación legal (art. 6.1.c) | | Prevenir fraude y abuso | Interés legítimo (art. 6.1.f) | | Soporte al cliente | Ejecución del contrato + interés legítimo | | Analítica de producto (PostHog) | Consentimiento (art. 6.1.a) | | Comunicaciones de marketing | Consentimiento (art. 6.1.a) | | Notificaciones operacionales (transaccionales) | Ejecución del contrato (art. 6.1.b) | | Atender derechos de los interesados | Obligación legal (art. 6.1.c) | | Geolocalización aproximada | Consentimiento (art. 6.1.a) |

7. Destinatarios y subencargados (subprocessors)

Los siguientes proveedores tratan datos por cuenta de Bicicla, en virtud de contratos de encargo del tratamiento (DPA) que cumplen con el artículo 28 RGPD:

| Proveedor | Función | País principal | Mecanismo de transferencia | |---|---|---|---| | Supabase, Inc. | Autenticación y base de datos | EE. UU. (con regiones UE disponibles) | SCCs UE 2021/914 + medidas adicionales | | Stripe, Inc. / Stripe Payments Europe, Ltd. | Procesamiento de pagos | EE. UU. / Irlanda | DPF (EU-US Data Privacy Framework) y SCCs | | Vercel, Inc. | Hosting y CDN | EE. UU. (regiones globales) | DPF + SCCs | | Resend (Resend, Inc.) | Email transaccional (futuro) | EE. UU. | SCCs | | Mapbox, Inc. | Cartografía y geocoding | EE. UU. | SCCs | | PostHog, Inc. | Analítica de producto (instancia EU disponible) | EE. UU. / UE | SCCs (instancia UE preferida) | | Google LLC | OAuth (autenticación) | EE. UU. | DPF + SCCs |

La lista actualizada de subencargados está disponible solicitándola a [privacy@bicicla.co — A CONFIRMAR]. Cualquier alta de nuevo subencargado material se notificará con antelación razonable.

8. Transferencias internacionales de datos

Algunos subencargados tratan datos en EE. UU. Estas transferencias se amparan en:

• EU-US Data Privacy Framework (DPF): para los proveedores que estén certificados (Google, Stripe, Vercel, etc.).
• Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (Decisión 2021/914), complementadas con medidas técnicas y organizativas adicionales (cifrado en tránsito y en reposo, controles de acceso, evaluación TIA conforme a Schrems II).

Los Usuarios pueden solicitar copia de las garantías aplicables mediante escrito a [privacy@bicicla.co — A CONFIRMAR].

9. Plazos de conservación

| Dato | Plazo | |---|---| | Cuenta y perfil | Mientras la cuenta esté activa | | Datos de transacción y facturación | 4 años tras la operación (obligación fiscal y mercantil) | | Logs técnicos | 12 meses | | Eventos PostHog | 12 meses | | Datos KYC de Profesionales | El plazo exigido por la normativa AML aplicable a Stripe (mínimo 5 años tras fin de relación) | | Reclamaciones y disputas | Hasta resolución firme + plazos legales de prescripción | | Cookies | Ver Política de Cookies |

Tras los plazos, los datos se eliminan o anonimizan de forma irreversible.

10. Derechos de los interesados (RGPD)

Cualquier persona en la UE tiene derecho a:

• Acceso (art. 15): conocer qué datos suyos tratamos.
• Rectificación (art. 16): corregir datos inexactos.
• Supresión (art. 17): «derecho al olvido», con excepciones legales.
• Limitación del tratamiento (art. 18).
• Oposición (art. 21), incluyendo oposición a tratamientos basados en interés legítimo.
• Portabilidad (art. 20): recibir los datos en formato estructurado.
• No ser objeto de decisiones automatizadas con efectos jurídicos (art. 22).
• Retirar el consentimiento en cualquier momento, sin efecto retroactivo.

Cómo ejercerlos: enviando solicitud a [privacy@bicicla.co — A CONFIRMAR] con indicación del derecho ejercitado e identificación. Responderemos en el plazo de un (1) mes, prorrogable a 3 meses en casos complejos.

Reclamación: los Usuarios tienen derecho a presentar reclamación ante la autoridad de control competente. En España, la Agencia Española de Protección de Datos (AEPD) — https://www.aepd.es.

11. Derechos de residentes en California (CCPA / CPRA)

Si reside en California, dispone de los siguientes derechos:

• Right to Know: conocer qué información personal recogemos, usamos y compartimos.
• Right to Delete: solicitar la supresión de información personal.
• Right to Correct: rectificar información inexacta.
• Right to Opt-Out of Sale or Sharing: Bicicla no vende ni comparte información personal en el sentido del CCPA/CPRA. No obstante, puede ejercer este derecho enviando un correo a [privacy@bicicla.co].
• Right to Limit Use of Sensitive Personal Information: no tratamos categorías sensibles más allá de lo estrictamente necesario.
• Right to Non-Discrimination: no aplicaremos trato discriminatorio por ejercer estos derechos.

Las solicitudes pueden remitirse a [privacy@bicicla.co — A CONFIRMAR]. Verificaremos la identidad antes de actuar.

12. Derechos en otras jurisdicciones (LGPD, PIPEDA, LFPDPPP)

• Brasil (LGPD): los titulares tienen derechos análogos a los del RGPD (acceso, corrección, anonimización, portabilidad, eliminación, información sobre compartición). Encargado nacional: [encargado-brasil@bicicla.co — A DESIGNAR si se opera comercialmente en Brasil].
• Canadá (PIPEDA): los residentes pueden acceder y corregir su información, así como reclamar ante la Office of the Privacy Commissioner of Canada (https://www.priv.gc.ca).
• México (LFPDPPP): los titulares pueden ejercer derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) ante el Operador y, en su defecto, ante el INAI.

13. Seguridad de la información y notificación de brechas

Aplicamos medidas técnicas y organizativas razonables: cifrado TLS en tránsito, cifrado en reposo en la base de datos, control de accesos por roles, RLS (Row Level Security) en Supabase, secretos en gestor de variables, formación interna, principio de mínimo privilegio.

Notificación de brechas: en caso de violación de seguridad de datos personales que suponga riesgo para los derechos y libertades, notificaremos a la autoridad de control competente en 72 horas desde su conocimiento, conforme al artículo 33 RGPD, e informaremos a los interesados afectados sin dilación indebida cuando exista alto riesgo (art. 34).

14. Menores

La Plataforma no está dirigida a menores de 18 años (no por COPPA, que aplica a menores de 13, sino porque los servicios implican contratación económica). No recogemos conscientemente datos de menores. Si detectamos un alta de un menor, eliminaremos la cuenta y los datos asociados. Si un padre o tutor detecta una cuenta de menor, debe notificárnoslo.

15. Cookies

El uso de cookies y tecnologías similares se rige por la Política de Cookies específica, disponible en https://bicicla.co/legal/cookies (y en tmp/legal/cookies.md durante la fase de borrador).

16. Decisiones automatizadas y elaboración de perfiles

Bicicla no toma decisiones individuales automatizadas con efectos jurídicos significativos sobre los Usuarios. Stripe puede aplicar mecanismos antifraude automatizados sobre las transacciones; en tal caso, el Usuario tiene derecho a intervención humana, a expresar su punto de vista y a impugnar la decisión.

17. Modificaciones de la política

Esta Política puede actualizarse para reflejar cambios legales o de servicio. Los cambios materiales se notificarán por correo electrónico y mediante aviso destacado en la Plataforma con al menos 30 días de antelación. La fecha de última actualización aparece al inicio del documento.

18. Contacto y reclamación ante autoridad de control

• Privacidad y derechos: [privacy@bicicla.co — A CONFIRMAR]
• DPO: [dpo@bicicla.co — A CONFIRMAR]
• Representante UE: [eu-rep@bicicla.co — A CONFIRMAR]
• Autoridad de control en España: Agencia Española de Protección de Datos — https://www.aepd.es

Borrador profesional. Revisar con asesor legal local antes de producción definitiva.