Política de privacidad

El responsable del tratamiento de los datos personales recopilados a través de viajabonita.com es Valentín López, propietario único (sole proprietor) con domicilio en Florida, Estados Unidos, que opera bajo el nombre comercial Viaja Bonita. Para consultas sobre privacidad, escríbenos a hola@viajabonita.com.

Recopilamos la siguiente información cuando usas el Servicio:

• Datos de cuenta: correo electrónico. No almacenamos contraseñas — la autenticación se realiza por enlace mágico (magic link).
• Datos de viaje: nombre del viaje, fechas, destino, composición familiar (nombres, edades, roles) y progreso del planner.
• Datos de uso: estado de los ítems del planner, secciones visitadas, preferencias de idioma.
• Datos de pago: Stripe procesa directamente los datos de tarjeta. Nosotros solo almacenamos el ID de sesión de Stripe, el estado del pago y el monto.
• Datos de regalos: si compras o recibes un regalo, almacenamos el código, los emails del comprador y del destinatario, y un mensaje opcional.
• Datos técnicos: dirección IP, tipo de dispositivo, navegador y páginas visitadas (mediante registros del servidor y herramientas de analítica).
• Datos de marketing: si nos diste tu correo en formularios de captación (waitlist, newsletter, regalo), lo guardamos para enviarte actualizaciones que tú solicitaste.
• Datos de solicitud de programa: si aplicás al Programa de Creators o al Programa de Afiliados / Publishers, recopilamos nombre completo, correo, país, canales sociales (Instagram, TikTok, YouTube), tamaño de audiencia, URL de plataforma, estimación de tráfico mensual, fuente de tráfico, nicho y motivación. Esta información se usa exclusivamente para evaluar y gestionar la solicitud.
• Datos de entrada al generador de IA: cuando usas la función de generación de planner con inteligencia artificial, el destino, fechas de viaje, composición familiar, rango de presupuesto y preferencias de viaje que proporcionas se envían a un proveedor externo de IA para generar tu planner personalizado. Ver Sección 5 para más detalles.

Usamos tus datos para:

• Proveer y mantener el Servicio (crear viajes, generar planners, guardar tu progreso).
• Procesar pagos a través de Stripe y entregar tu planner Premium después de la compra.
• Enviarte correos transaccionales (confirmación de compra, enlace mágico para iniciar sesión, recordatorios pre-viaje y certificado post-viaje).
• Mejorar el Servicio mediante análisis agregados y anónimos de uso.
• Medir conversiones publicitarias en Pinterest (eventos como add-to-cart, checkout y signup) para optimizar las campañas. Los datos personales se envían cifrados (SHA-256) y nunca como texto plano.
• Gestionar el programa de referidos: registrar la cookie de atribución (vb_ref, 30 días) cuando un visitante accede desde un link de afiliado, y atribuir la venta al código correspondiente si se completa una compra elegible dentro de ese período.
• Detectar y prevenir fraude, abuso y errores técnicos.
• Cumplir con obligaciones legales (registros fiscales, requerimientos judiciales).

No vendemos, alquilamos ni compartimos tus datos personales con terceros para fines de marketing externos al Servicio.

El tratamiento de tus datos se basa en:

• Ejecución del contrato: para proveer el Servicio que contrataste.
• Interés legítimo: para mejorar el Servicio, prevenir fraude y medir el rendimiento de campañas publicitarias propias.
• Obligación legal: cuando la ley lo requiere (registros fiscales, fraude).
• Consentimiento: para cookies no esenciales y correos de marketing opt-in (ver Política de cookies).

Compartimos datos con los siguientes proveedores de confianza, únicamente en la medida necesaria para operar el Servicio:

• Supabase (base de datos PostgreSQL + autenticación, servidores AWS US-East).
• Stripe (procesamiento de pagos, cumplimiento PCI DSS Nivel 1).
• Vercel (hospedaje, distribución de Edge y registros operativos; Vercel puede recopilar metadatos de solicitudes y telemetría de rendimiento como parte de sus servicios de infraestructura).
• Resend (envío de correos transaccionales y secuencias post-compra).
• Sentry (monitoreo de errores en producción; recibe stack traces y metadatos técnicos, sin contenido de viajes).
• Plausible Analytics (analítica de uso anonimizada, sin cookies persistentes).
• Google Analytics 4 (medición de tráfico y comportamiento agregado; GA4 no registra direcciones IP completas por defecto).
• Pinterest (Pinterest Tag y Conversions API: medimos eventos de conversión con datos de usuario hasheados SHA-256).
• UptimeRobot (monitoreo de disponibilidad del Servicio, no procesa datos de usuarios).
• Anthropic, PBC (proveedor de IA — Claude API): cuando usas la función de generación de planner con inteligencia artificial (/api/generate-planner), los siguientes datos se transmiten a la API de Anthropic para generar tu planner personalizado: destino, fechas de viaje, composición familiar, rango de presupuesto y preferencias de viaje. Estos datos se procesan bajo el acuerdo de procesamiento de datos (DPA) y la política de privacidad de Anthropic. Anthropic no usa los inputs de API para entrenar sus modelos de forma predeterminada. No se envían a Anthropic contraseñas, datos de pago ni identificadores personales sensibles.
• Amazon Associates: la ruta de redirección /go/amazon añade un tag de afiliado (valentinlop0f-20) a los enlaces de productos de Amazon. Al hacer clic en estos enlaces, Amazon recibe datos de referencia estándar incluyendo la URL de origen e información de tu navegador, sujeto a la política de privacidad de Amazon. Los eventos de clic también se registran en nuestra tabla interna partner_clicks (IP hasheada, slug del destino, marca de tiempo) para fines de atribución.
• GetYourGuide, Viator, SafetyWing, Expedia y otros socios de viaje: las rutas de redirección /go/ para tours, experiencias y servicios de viaje te redirigen a los sitios de estos proveedores con parámetros de seguimiento de afiliado. Los eventos de clic (IP hasheada, proveedor, destino, marca de tiempo) se registran en nuestra tabla interna partner_clicks. Una vez en el sitio del socio, tus datos se rigen por la política de privacidad de ese socio.

Todos los subprocesadores están sujetos a sus propias políticas de privacidad y a acuerdos de procesamiento de datos (DPA) que garantizan la protección de tu información.

Algunos de nuestros subprocesadores procesan datos fuera de la Unión Europea (principalmente en Estados Unidos). Estas transferencias están protegidas por cláusulas contractuales estándar (SCC) aprobadas por la Comisión Europea, o por marcos equivalentes según jurisdicción.

Conservamos tus datos mientras mantengas una cuenta activa. Si eliminas tu cuenta, borraremos tus datos personales en un plazo de 30 días, excepto los que debamos conservar por obligaciones legales (registros de transacciones durante 7 años) o de seguridad (registros de acceso durante 90 días).

Tienes derecho a:

• Acceder a los datos que tenemos sobre ti.
• Rectificar datos incorrectos o incompletos.
• Solicitar la eliminación de tus datos (“derecho al olvido”).
• Oponerte al tratamiento o solicitar su limitación.
• Retirar tu consentimiento para correos de marketing (con un click en cualquier email).
• Exportar tus datos en formato portátil (JSON) — responderemos dentro del plazo de un (1) mes desde tu solicitud.
• Presentar una reclamación ante la autoridad de protección de datos de tu país.

Para ejercer estos derechos, escríbenos a hola@viajabonita.com. Responderemos en un plazo máximo de 30 días.

Implementamos medidas técnicas y organizativas para proteger tus datos: cifrado en tránsito (TLS 1.2+), cifrado en reposo, control de acceso por roles (RLS de Supabase), autenticación sin contraseñas (magic link) y rate-limiting en endpoints sensibles. Ningún sistema es 100% seguro; si detectas una vulnerabilidad, notifícanos de inmediato.

En caso de una brecha de datos personales que represente un riesgo para tus derechos y libertades, notificaremos a la autoridad supervisora competente dentro de las 72 horas siguientes a tener conocimiento de la brecha (según lo requiere el Artículo 33 del RGPD), y notificaremos a los usuarios afectados sin demora indebida cuando la brecha sea susceptible de generar un alto riesgo para sus derechos.

La función de generación de planner con inteligencia artificial utiliza procesamiento automatizado de tus preferencias de viaje (destino, fechas, composición familiar, presupuesto) para producir un plan de viaje personalizado. Este procesamiento está regulado por el Artículo 22 del RGPD. El plan generado por IA es únicamente una herramienta de planificación — no produce efectos jurídicos significativos ni impactos similarmente relevantes sobre ti. Siempre eres libre de modificar, ignorar o reemplazar cualquier contenido generado por IA. El resultado del sistema de IA no afecta tu elegibilidad para ningún servicio, precio ni acceso a la plataforma.

El Servicio está dirigido a adultos (+18). No recopilamos intencionalmente datos de menores. Los datos de menores ingresados como viajeros (nombre, edad, rol) son responsabilidad del adulto titular de la cuenta y se usan exclusivamente para personalizar el planner.

Podemos actualizar esta Política en cualquier momento. Te notificaremos por correo electrónico ante cambios materiales con al menos 14 días de anticipación. La fecha de “última actualización” al inicio de esta página refleja la versión vigente.