Privacidad y cookies

Última actualización: 2026-05-11

Responsable del tratamiento

Sytue Projects, S.L., con domicilio social en Madrid (España), es el responsable del tratamiento de los datos personales recogidos a través de unplan.es. NIF/CIF y datos del Registro Mercantil de Madrid se publicarán en el Aviso legal una vez completada la inscripción de la sociedad. Para cualquier consulta sobre privacidad o ejercicio de derechos, contacta con reservas@unplan.es.

Sytue Projects, S.L. no está obligada a nombrar Delegado de Protección de Datos (DPO) en aplicación del art. 37 RGPD por su volumen y tipo de tratamiento. El email indicado canaliza todas las solicitudes de protección de datos.

Quiénes somos

unplan.es es un planificador de viajes y servicio concierge de reservas. Actuamos como intermediario por mandato del cliente: con tu pago reservamos en tu nombre con cada proveedor real (aerolíneas, hoteles, restaurantes, etc.) y te entregamos los localizadores. Las reservas finales se rigen por las políticas de cada proveedor.

Datos que tratamos

• Email del cliente: para enviarte los localizadores y permitir el acceso a Mis planes con un enlace mágico de un solo uso (válido 30 minutos) o el inicio de sesión con Google.
• Plan de viaje y selecciones: ciudad, fechas, número de viajeros, presupuesto, estilo y opciones elegidas.
• Datos de pago: procesados directamente por Stripe — nosotros nunca vemos tu tarjeta.
• Localizadores: códigos de reserva que devolvemos tras ejecutar las compras con cada proveedor. Se almacenan cifrados at-rest (AES-256-GCM) en nuestra base de datos.
• Datos del viajero (si el proveedor lo exige — vuelos NDC, hoteles E2E): nombre completo, fecha de nacimiento, nacionalidad, número de pasaporte / documento de identidad y fechas de validez / país emisor. Todos estos campos se cifran at-rest y se transmiten al proveedor real únicamente por canales TLS para completar la reserva.

Base jurídica del tratamiento (art. 6 RGPD)

• Ejecución del contrato (art. 6.1.b): tratamiento del email, plan, datos de pago, localizadores y datos del viajero para ejecutar las reservas que has contratado.
• Cumplimiento de obligaciones legales (art. 6.1.c): conservación de facturas y registros fiscales conforme a la legislación tributaria española (RDL 4/2015, LGT 58/2003) y a la normativa de prevención del blanqueo de capitales cuando proceda.
• Interés legítimo del responsable (art. 6.1.f): detección de fraude y abuso automatizado (Vercel BotID en endpoints de pago y autenticación), control de errores y métricas anónimas de rendimiento web (Vercel Speed Insights), y atribución agregada de las reservas que generamos a sus proveedores reales (sin perfilado del usuario).
• Consentimiento (art. 6.1.a): carga de cookies y pixeles de afiliación (Travelpayouts/Emerald, Awin, TradeDoubler), inicio de sesión con Google y cualquier comunicación comercial no transaccional. Puedes retirarlo en cualquier momento desde el banner de cookies o escribiendo a reservas@unplan.es; la retirada no afecta a tratamientos basados en las otras bases jurídicas.

unplan.es no realiza decisiones automatizadas con efectos jurídicos o significativos sobre los clientes en el sentido del art. 22 RGPD. El recomendador del wizard es una ayuda algorítmica para sugerir destinos / planes, pero la decisión final de contratar el plan recae siempre en el cliente y se confirma con su clic expreso de pago.

Cookies

Por defecto la app no carga ningún tracker de terceros. Solo se cargan tras tu consentimiento explícito.

Cookies esenciales (sin consentimiento)

• tbs_sid: cookie de sesión httpOnly que asocia los planes que guardas (sin pagar) a tu navegador. Caduca en 1 año. Se puede borrar desde la configuración del navegador.
• cookie_consent en localStorage: guarda tu preferencia de consentimiento.

Cookies de afiliación (solo si aceptas)

• Awin (awin1.com): redirector con tracking de clic para los merchants europeos del catálogo (Skyscanner, Tiqets, Viator, Groupon, Time Out). Atribución de comisiones por clic.
• TradeDoubler (tradedoubler.com): redirector con tracking de clic para los merchants ES de la red TradeDoubler (Atrápalo, Vivaticket, Entradas.com). Atribución de comisiones por clic.

Travelpayouts (vuelos / hoteles / actividades): atribución 100 % por marker en el deeplink, sin píxel de tracking ni cookies de terceros. La identificación del afiliado viaja en el URL que nuestro operador clica al confirmar la reserva.

Puedes cambiar tu preferencia en cualquier momento y la decisión queda guardada en tu navegador.

Subprocesadores

• Vercel (hosting + funciones serverless en región Frankfurt `fra1` — datos en UE) — incluye Vercel Speed Insights (métricas de Core Web Vitals como LCP, INP, CLS recopiladas de forma anónima y sin cookies para detectar regresiones de rendimiento) y Vercel BotID (detección de bots en endpoints sensibles de pago e identificación, basada en interés legítimo del prestador para prevenir fraude y abuso automatizado — no recopila datos personales del visitante).
• Supabase (Postgres en EU-central-2) — almacenamiento de planes y órdenes
• Stripe (procesamiento de pagos) — UE/EEUU bajo cláusulas tipo
• Resend (envío de emails transaccionales)
• Cloudflare (DNS + Email Routing)
• Google (Google Sign-In opcional para acceder a Mis planes — solo se carga si pulsas el botón "Continuar con Google")

Tus derechos (RGPD)

Tienes derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición. Para ejercerlos, escribe a reservas@unplan.es. Plazo máximo de respuesta: 30 días.

También puedes presentar una reclamación ante la AEPD: aepd.es. Para resolver litigios online de consumo en la UE puedes acudir a la Plataforma ODR de la Comisión Europea.

Aviso legal y Condiciones de Contratación

La contratación del servicio se rige por el Aviso legal y las Condiciones Generales de Contratación, que detallan precio, IVA, política de cancelación y la excepción al derecho de desistimiento de 14 días aplicable a los servicios de viaje con fecha fija (art. 103.l del RDL 1/2007).

Conservación

• Órdenes pagadas (incluye email, plan, importe, localizadores cifrados, factura): conservación durante 6 años conforme al art. 30 del Código de Comercio y al art. 66 LGT (58/2003), prorrogables si existe procedimiento administrativo o judicial abierto.
• Datos del viajero (pasaporte / DOB / nacionalidad cuando el proveedor los exige): se purgan 90 días después de la fecha de finalización del viaje, salvo que la conservación más prolongada sea necesaria para resolver una incidencia (reembolsos, fraude, reclamación del cliente o del proveedor).
• Planes guardados sin pagar: hasta que el cliente los borre o, en defecto, 12 meses desde la última actividad en su Mis planes.
• Magic links: 30 minutos de validez. Tras expirar se purgan automáticamente vía pg_cron en un plazo máximo de 7 días.
• Logs de aplicación y observabilidad (Vercel, Supabase): según política del proveedor, máximo 30 días.

Una vez agotado el periodo aplicable, los datos se eliminan o se anonimizan (estadística agregada). Para solicitar supresión anticipada en los términos del art. 17 RGPD, escribe a reservas@unplan.es; tu petición se atenderá en un plazo máximo de 30 días salvo obligación legal de conservación.

Transferencias internacionales

Los subprocesadores con servidores fuera del Espacio Económico Europeo (Stripe Inc. en EE. UU. para el procesamiento de pagos; Resend Inc. en EE. UU. para el envío de emails transaccionales; Cloudflare Inc. en EE. UU. para DNS y enrutado de email) operan al amparo de las Cláusulas Contractuales Tipo (CCT/SCC) aprobadas por la Decisión (UE) 2021/914 o, cuando estén certificadas, del marco EU–U.S. Data Privacy Framework. El resto de subprocesadores (Vercel Inc. con función serverless en `fra1` Frankfurt; Supabase Inc. con base de datos en eu-central-2) procesan los datos dentro de la UE.

Cambios en esta política

Si cambiamos algo material, te avisaremos por email a la dirección de tu última orden activa.