Bicicla
Legal · Última revisión mayo 2026

Política de privacidad

Política de Privacidad — Bicicla.co

Última actualización: mayo de 2026 Versión: 1.0 (borrador profesional)

Índice

  1. Responsable del tratamiento y representante UE
  2. Delegado de Protección de Datos (DPO)
  3. Ámbito de aplicación
  4. Categorías de datos personales tratados
  5. Fuentes de los datos
  6. Finalidades y bases legales del tratamiento
  7. Destinatarios y subencargados (subprocessors)
  8. Transferencias internacionales de datos
  9. Plazos de conservación
  10. Derechos de los interesados (RGPD)
  11. Derechos de residentes en California (CCPA / CPRA)
  12. Derechos en otras jurisdicciones (LGPD, PIPEDA, LFPDPPP, Ley 1581 Colombia)
  13. Seguridad de la información y notificación de brechas
  14. Menores
  15. Cookies
  16. Decisiones automatizadas y elaboración de perfiles
  17. Modificaciones de la política
  18. Contacto y reclamación ante autoridad de control

1. Responsable del tratamiento y representante UE

Responsable del tratamiento:

  • Razón social: Thorne Bridge Foundry, LLC
  • Jurisdicción: Estado de Delaware, EE. UU.
  • EIN: 30-1491515
  • Domicilio fiscal registrado: 131 Continental Dr, Suite 305, Newark, DE 19713, EE. UU.
  • Domicilio operativo: C/ Juan Sánchez Azcona 317, 03020 Ciudad de México, CDMX, México
  • Correo de privacidad: thornebridgefoundry@gmail.com

Representante en la Unión Europea (artículo 27 RGPD):

Dado que Thorne Bridge Foundry no tiene establecimiento en la UE pero ofrece servicios y monitoriza el comportamiento de personas en territorio europeo (ES, FR, IT, NL, DE), es necesaria la designación formal de un representante UE conforme al artículo 27 del RGPD. Recomendamos contratar un servicio especializado (por ejemplo, EDPO, Prighter, VeraSafe o equivalente). Hasta su formalización, este apartado quedará completado con:

  • Representante UE: designación en curso; se publicará en esta política una vez formalizada
  • Contacto provisional: thornebridgefoundry@gmail.com

Adicionalmente, dada la operación en Reino Unido, se recomienda valorar la designación de un representante UK conforme al artículo 27 del UK GDPR.

2. Delegado de Protección de Datos (DPO)

El artículo 37 del RGPD no exige a Thorne Bridge Foundry designar Delegado de Protección de Datos: la actividad de Bicicla no consiste en observación habitual y sistemática a gran escala, ni en el tratamiento a gran escala de categorías especiales de datos. Por ello no se ha designado DPO.

Para cualquier asunto relacionado con protección de datos, los titulares pueden dirigirse directamente al Responsable a través de thornebridgefoundry@gmail.com.

3. Ámbito de aplicación

Esta política se aplica al tratamiento de datos personales realizado por Bicicla en la prestación de los servicios disponibles en https://bicicla.co y en la app móvil cuando exista. Aplica a Ciclistas, Profesionales y visitantes.

4. Categorías de datos personales tratados

4.1 Datos de identificación y cuenta

  • Nombre, dirección de correo electrónico, URL de avatar (recibidos de Google OAuth).
  • Identificador único de usuario (UUID interno).
  • Idioma y país preferido.

4.2 Datos de transacción

  • Importe, divisa, fecha, identificador Stripe de la operación, identificador del Profesional contraparte.
  • No almacenamos números completos de tarjetas de crédito. El procesamiento es 100 % delegado en Stripe.

4.3 Datos de los Profesionales

  • Información comercial pública (nombre del taller, dirección, teléfono, web), documentación KYC enviada a Stripe, certificados de seguro, IBAN/cuenta bancaria (almacenado en Stripe, no en Bicicla).

4.4 Datos de uso

  • Logs de acceso, dirección IP, user agent, páginas visitadas, eventos PostHog (con consentimiento).

4.5 Datos de ubicación

  • Solo si el Usuario lo autoriza expresamente (geolocalización aproximada del navegador para mostrar talleres cercanos). No se almacena historial de ubicaciones.

4.6 Comunicaciones

  • Correos transaccionales, mensajes de soporte, valoraciones publicadas.

No tratamos categorías especiales del artículo 9 RGPD (salud, biometría, etc.).

5. Fuentes de los datos

Los datos provienen: (a) directamente del Usuario; (b) de Google al iniciar sesión por OAuth; (c) de Stripe en la liquidación de pagos; (d) de OpenStreetMap para fichas de talleres no reclamadas (datos comerciales públicos, no datos personales en sentido estricto).

6. Finalidades y bases legales del tratamiento

| Finalidad | Base legal (art. 6 RGPD) | |---|---| | Crear y mantener la cuenta de Usuario | Ejecución del contrato (art. 6.1.b) | | Procesar Reservas y pagos | Ejecución del contrato (art. 6.1.b) | | Cumplir obligaciones contables y fiscales | Obligación legal (art. 6.1.c) | | Prevenir fraude y abuso | Interés legítimo (art. 6.1.f) | | Soporte al cliente | Ejecución del contrato + interés legítimo | | Analítica de producto (PostHog) | Consentimiento (art. 6.1.a) | | Comunicaciones de marketing | Consentimiento (art. 6.1.a) | | Notificaciones operacionales (transaccionales) | Ejecución del contrato (art. 6.1.b) | | Atender derechos de los interesados | Obligación legal (art. 6.1.c) | | Geolocalización aproximada | Consentimiento (art. 6.1.a) |

7. Destinatarios y subencargados (subprocessors)

Los siguientes proveedores tratan datos por cuenta de Bicicla, en virtud de contratos de encargo del tratamiento (DPA) que cumplen con el artículo 28 RGPD:

| Proveedor | Función | País principal | Mecanismo de transferencia | |---|---|---|---| | Supabase, Inc. | Autenticación y base de datos | EE. UU. (con regiones UE disponibles) | SCCs UE 2021/914 + medidas adicionales | | Stripe, Inc. / Stripe Payments Europe, Ltd. | Procesamiento de pagos | EE. UU. / Irlanda | DPF (EU-US Data Privacy Framework) y SCCs | | Vercel, Inc. | Hosting y CDN | EE. UU. (regiones globales) | DPF + SCCs | | Resend (Resend, Inc.) | Email transaccional (futuro) | EE. UU. | SCCs | | Mapbox, Inc. | Cartografía y geocoding | EE. UU. | SCCs | | PostHog, Inc. | Analítica de producto (instancia EU disponible) | EE. UU. / UE | SCCs (instancia UE preferida) | | Google LLC | OAuth (autenticación) | EE. UU. | DPF + SCCs |

La lista actualizada de subencargados está disponible solicitándola a thornebridgefoundry@gmail.com. Cualquier alta de nuevo subencargado material se notificará con antelación razonable.

8. Transferencias internacionales de datos

Algunos subencargados tratan datos en EE. UU. Estas transferencias se amparan en:

  • EU-US Data Privacy Framework (DPF): para los proveedores que estén certificados (Google, Stripe, Vercel, etc.).
  • Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea (Decisión 2021/914), complementadas con medidas técnicas y organizativas adicionales (cifrado en tránsito y en reposo, controles de acceso, evaluación TIA conforme a Schrems II).

Los Usuarios pueden solicitar copia de las garantías aplicables mediante escrito a thornebridgefoundry@gmail.com.

9. Plazos de conservación

| Dato | Plazo | |---|---| | Cuenta y perfil | Mientras la cuenta esté activa | | Datos de transacción y facturación | 4 años tras la operación (obligación fiscal y mercantil) | | Logs técnicos | 12 meses | | Eventos PostHog | 12 meses | | Datos KYC de Profesionales | El plazo exigido por la normativa AML aplicable a Stripe (mínimo 5 años tras fin de relación) | | Reclamaciones y disputas | Hasta resolución firme + plazos legales de prescripción | | Cookies | Ver Política de Cookies |

Tras los plazos, los datos se eliminan o anonimizan de forma irreversible.

10. Derechos de los interesados (RGPD)

Cualquier persona en la UE tiene derecho a:

  • Acceso (art. 15): conocer qué datos suyos tratamos.
  • Rectificación (art. 16): corregir datos inexactos.
  • Supresión (art. 17): «derecho al olvido», con excepciones legales.
  • Limitación del tratamiento (art. 18).
  • Oposición (art. 21), incluyendo oposición a tratamientos basados en interés legítimo.
  • Portabilidad (art. 20): recibir los datos en formato estructurado.
  • No ser objeto de decisiones automatizadas con efectos jurídicos (art. 22).
  • Retirar el consentimiento en cualquier momento, sin efecto retroactivo.

Cómo ejercerlos: enviando solicitud a thornebridgefoundry@gmail.com con indicación del derecho ejercitado e identificación. Responderemos en el plazo de un (1) mes, prorrogable a 3 meses en casos complejos.

Reclamación: los Usuarios tienen derecho a presentar reclamación ante la autoridad de control competente. En España, la Agencia Española de Protección de Datos (AEPD) — https://www.aepd.es.

11. Derechos de residentes en California (CCPA / CPRA)

Si reside en California, dispone de los siguientes derechos:

  • Right to Know: conocer qué información personal recogemos, usamos y compartimos.
  • Right to Delete: solicitar la supresión de información personal.
  • Right to Correct: rectificar información inexacta.
  • Right to Opt-Out of Sale or Sharing: Bicicla no vende ni comparte información personal en el sentido del CCPA/CPRA. No obstante, puede ejercer este derecho enviando un correo a thornebridgefoundry@gmail.com.
  • Right to Limit Use of Sensitive Personal Information: no tratamos categorías sensibles más allá de lo estrictamente necesario.
  • Right to Non-Discrimination: no aplicaremos trato discriminatorio por ejercer estos derechos.

Las solicitudes pueden remitirse a thornebridgefoundry@gmail.com. Verificaremos la identidad antes de actuar.

12. Derechos en otras jurisdicciones (LGPD, PIPEDA, LFPDPPP, Ley 1581 Colombia)

  • Brasil (LGPD): los titulares tienen derechos análogos a los del RGPD (acceso, corrección, anonimización, portabilidad, eliminación, información sobre compartición). Encargado nacional: thornebridgefoundry@gmail.com.
  • Canadá (PIPEDA): los residentes pueden acceder y corregir su información, así como reclamar ante la Office of the Privacy Commissioner of Canada (https://www.priv.gc.ca).
  • México (LFPDPPP): los titulares pueden ejercer derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) ante el Operador y, en su defecto, ante el INAI.

12.1 Colombia — Ley 1581 de 2012 y Decreto 1377 de 2013 (Régimen General de Protección de Datos / Habeas Data)

Para titulares residentes en Colombia, el tratamiento de datos personales se rige adicionalmente por la Ley Estatutaria 1581 de 2012, el Decreto 1377 de 2013 y demás normas concordantes, bajo la vigilancia de la Superintendencia de Industria y Comercio (SIC).

Responsable del Tratamiento en Colombia: Thorne Bridge Foundry, LLC, con los datos de contacto indicados en la Sección 1 de esta política.

Autorización del Titular. Al registrarse en Bicicla, contratar servicios o reclamar la ficha de un taller, el Titular autoriza de manera previa, expresa e informada a Thorne Bridge Foundry, LLC para el tratamiento de sus datos personales con las finalidades descritas en la Sección 6 de esta política. La autorización puede otorgarse de forma escrita, verbal o por conducta inequívoca (uso continuado del servicio tras lectura de esta política).

Finalidades específicas para titulares en Colombia. Además de las generales, los datos podrán tratarse para: (i) prestación de los servicios de intermediación de la Plataforma; (ii) gestión de pagos y facturación a través de Stripe; (iii) cumplimiento de obligaciones legales aplicables en Colombia (DIAN cuando proceda, requerimientos judiciales); (iv) prevención de fraude y abuso; (v) atención de PQRSF (peticiones, quejas, reclamos, sugerencias y felicitaciones); (vi) comunicaciones comerciales si el Titular las consiente expresamente.

Derechos del Titular (Habeas Data). Conforme al artículo 8 de la Ley 1581, el Titular puede:

  • Conocer los datos personales que sobre él existan en las bases de datos de Bicicla.
  • Actualizar y rectificar sus datos cuando sean parciales, inexactos, fraccionados o induzcan a error.
  • Solicitar prueba de la autorización otorgada al Responsable.
  • Ser informado por el Responsable, previa solicitud, sobre el uso que se ha dado a sus datos.
  • Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la Ley 1581.
  • Revocar la autorización y solicitar la supresión de los datos cuando el tratamiento no se ajuste a los principios, derechos y garantías constitucionales y legales. La supresión no procede cuando el Titular tenga un deber legal o contractual de permanecer en la base de datos.
  • Acceder gratuitamente a sus datos personales que hayan sido objeto de tratamiento.

Cómo ejercerlos. Las solicitudes y reclamaciones pueden dirigirse, en español, a thornebridgefoundry@gmail.com, indicando: (i) nombre completo y documento de identidad; (ii) descripción clara del derecho que se ejerce; (iii) dirección física o electrónica para la respuesta; (iv) firma (puede ser electrónica) y documentos de soporte cuando aplique.

Plazos de respuesta (Decreto 1377/2013).

  • Consultas: hasta diez (10) días hábiles desde la fecha de recibo. Si no es posible atenderla en ese plazo, se informará al interesado, indicando los motivos y la fecha en que se atenderá, sin exceder de cinco (5) días hábiles adicionales.
  • Reclamos: hasta quince (15) días hábiles desde el día siguiente a la fecha de recibo. Si el reclamo está incompleto, se requerirá al Titular para subsanar las fallas en un plazo de cinco (5) días. Si no es posible atenderlo en quince (15) días, se informará al interesado, sin exceder de ocho (8) días hábiles adicionales.

Datos de menores y adolescentes en Colombia. Conforme al artículo 7 de la Ley 1581 y la jurisprudencia constitucional, el tratamiento de datos de niños, niñas y adolescentes está prohibido salvo cuando sean datos de naturaleza pública o cuando el tratamiento responda a un interés superior, en cuyo caso se requiere autorización del representante legal. Bicicla no recoge conscientemente datos de menores: el registro está restringido a personas mayores de 18 años.

Transferencia y transmisión internacional de datos. El tratamiento de datos de Titulares colombianos implica la transferencia internacional a Estados Unidos (sede del Responsable y de algunos subencargados como Stripe, Vercel, PostHog) y eventualmente a la Unión Europea. De conformidad con el artículo 26 de la Ley 1581 y la Circular Externa 005 de 2017 de la SIC, dichas transferencias se realizan amparadas en: (i) la autorización expresa del Titular otorgada al aceptar esta política; (ii) cláusulas contractuales con los encargados que garantizan estándares equivalentes de protección; (iii) la observancia de los principios de la Ley 1581 por parte del Responsable.

Registro Nacional de Bases de Datos (RNBD). Cuando Thorne Bridge Foundry, LLC supere los umbrales de inscripción establecidos por la SIC (actualmente, entidades con activos superiores a 100.000 UVT u operación con datos personales de más de 10.000 Titulares), inscribirá sus bases de datos en el RNBD. En tanto no se superen dichos umbrales, esta obligación no resulta exigible.

Autoridad de control. El Titular puede presentar quejas y reclamos ante la Superintendencia de Industria y Comercio (SIC) — Delegatura para la Protección de Datos Personales: https://www.sic.gov.co — siempre que previamente haya agotado el trámite directo con el Responsable.

13. Seguridad de la información y notificación de brechas

Aplicamos medidas técnicas y organizativas razonables: cifrado TLS en tránsito, cifrado en reposo en la base de datos, control de accesos por roles, RLS (Row Level Security) en Supabase, secretos en gestor de variables, formación interna, principio de mínimo privilegio.

Notificación de brechas: en caso de violación de seguridad de datos personales que suponga riesgo para los derechos y libertades, notificaremos a la autoridad de control competente en 72 horas desde su conocimiento, conforme al artículo 33 RGPD, e informaremos a los interesados afectados sin dilación indebida cuando exista alto riesgo (art. 34).

14. Menores

La Plataforma no está dirigida a menores de 18 años (no por COPPA, que aplica a menores de 13, sino porque los servicios implican contratación económica). No recogemos conscientemente datos de menores. Si detectamos un alta de un menor, eliminaremos la cuenta y los datos asociados. Si un padre o tutor detecta una cuenta de menor, debe notificárnoslo.

15. Cookies

El uso de cookies y tecnologías similares se rige por la Política de Cookies específica, disponible en https://bicicla.co/legal/cookies (y en tmp/legal/cookies.md durante la fase de borrador).

16. Decisiones automatizadas y elaboración de perfiles

Bicicla no toma decisiones individuales automatizadas con efectos jurídicos significativos sobre los Usuarios. Stripe puede aplicar mecanismos antifraude automatizados sobre las transacciones; en tal caso, el Usuario tiene derecho a intervención humana, a expresar su punto de vista y a impugnar la decisión.

17. Modificaciones de la política

Esta Política puede actualizarse para reflejar cambios legales o de servicio. Los cambios materiales se notificarán por correo electrónico y mediante aviso destacado en la Plataforma con al menos 30 días de antelación. La fecha de última actualización aparece al inicio del documento.

18. Contacto y reclamación ante autoridad de control

  • Privacidad y derechos: thornebridgefoundry@gmail.com
  • DPO: thornebridgefoundry@gmail.com
  • Representante UE: thornebridgefoundry@gmail.com
  • Autoridad de control en España: Agencia Española de Protección de Datos — https://www.aepd.es

Borrador profesional. Revisar con asesor legal local antes de producción definitiva.