Política de Privacidad
Última actualización: 22 de junio de 2026
En Apartamentos Rurales Tío José María tratamos tus datos personales con el cuidado que exige el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD), la Ley 34/2002 (LSSI-CE) y el Reglamento (UE) 2024/1689 (AI Act). Esta política te explica qué datos recogemos, para qué, durante cuánto tiempo, con quién los compartimos y cómo puedes ejercer tus derechos.
1. Responsable del tratamiento
- Titular: Jesús Martínez Sánchez (persona física, autónomo)
- NIF: 26433801Q
- Denominación comercial: Apartamentos Rurales Tío José María
- Domicilio: Calle Baja 1, 23486 Hinojares, Jaén (España)
- Email: apartamentostiojosemaria@gmail.com
- Teléfono: +34 676 34 46 75
- Registro turístico: VTAR/JA/00044 (Junta de Andalucía)
2. Delegado de Protección de Datos (DPO)
No se ha designado Delegado de Protección de Datos porque la actividad no encaja en los supuestos del artículo 37 del RGPD ni del artículo 34 de la LOPDGDD (no es una autoridad pública, no realiza tratamiento a gran escala de datos sensibles, ni observación habitual y sistemática a gran escala). Para cualquier asunto de privacidad puedes contactar directamente con el responsable en el email indicado más arriba.
3. Datos que recopilamos y finalidades
Tratamos los siguientes datos, agrupados por finalidad:
- Reserva y estancia. Nombre y apellidos, DNI/NIE/pasaporte, dirección, teléfono, email, fechas de entrada y salida, apartamento reservado, número de acompañantes y, cuando corresponda, datos de pago gestionados por la pasarela. Base: ejecución del contrato (art. 6.1.b RGPD) y obligación legal del registro de viajeros y sistema SES.HOSPEDAJES (art. 6.1.c).
- Área de cliente. Email y contraseña (cifrada), datos de la reserva activa, preferencias de estancia y mensajes con el alojamiento. Base: ejecución del contrato.
- Suscripción y newsletter. Email y, opcionalmente, nombre. Base: consentimiento (art. 6.1.a). Puedes darte de baja en cualquier momento desde el enlace de cada envío.
- Asistente virtual e interacciones con sistemas de IA. Mensajes que escribes al asistente, idioma, identificador anónimo de sesión, modelo usado, marca de tiempo y respuesta generada. Base: ejecución del contrato (para huéspedes con reserva activa) o interés legítimo en atender consultas (visitantes), informados en todo momento. Detalle en el apartado 8.
- Analítica web (opcional). Páginas vistas, eventos de navegación, dispositivo, país y duración aproximada de la visita, de forma agregada y sin perfilado individual. Base: consentimiento (art. 6.1.a). Sólo se activa si lo aceptas en el aviso de cookies.
- Marketing y remarketing (opcional). Identificadores publicitarios que permiten mostrar contenido y mediciones fuera del sitio. Base: consentimiento (art. 6.1.a). Sólo se activa si lo aceptas en el aviso de cookies.
- Cumplimiento legal. Datos de la reserva exigidos por la normativa turística andaluza, el Real Decreto 933/2021 (registro documental de viajeros SES.HOSPEDAJES) y la normativa fiscal. Base: obligación legal (art. 6.1.c).
4. Plazos de conservación
- Datos de reserva y facturación: 5 años desde la finalización del contrato (Ley General Tributaria) y los plazos prescriptivos civiles aplicables.
- Registro de viajeros (SES.HOSPEDAJES): 3 años conforme al Real Decreto 933/2021.
- Área de cliente: mientras la cuenta esté activa, más 1 año tras la última actividad o hasta que solicites su baja.
- Suscripción a la guía/newsletter: hasta que retires el consentimiento.
- Logs del asistente de IA: 12 meses con fines de seguridad, calidad y depuración, después se anonimizan o eliminan.
- Datos de analítica: 14 meses como máximo, agregados.
- Datos de marketing: hasta que retires el consentimiento o expire la cookie correspondiente.
5. Destinatarios y encargados del tratamiento
No vendemos ni cedemos tus datos a terceros con fines comerciales. Trabajamos con los siguientes proveedores que actúan como encargados del tratamiento bajo contrato (art. 28 RGPD):
- Supabase (base de datos, autenticación y almacenamiento) — servidores en la Unión Europea.
- Resend (envío de emails transaccionales y newsletter) — servidores en la UE.
- Trigger.dev (orquestación de automatizaciones y avisos) — servidores en la UE.
- Amazon Web Services (AWS) — infraestructura del asistente de IA (Amazon Bedrock), ejecutado en la región de la Unión Europea (Fráncfort).
- Meta Platforms Ireland (mensajería WhatsApp para huéspedes que la habiliten) — servidores en la UE.
- Stripe (pasarela de pago de las reservas) — servidores en la UE con transferencias garantizadas.
- Pasarelas de reserva de terceros (Booking, Airbnb u otras cuando uses sus canales) — su tratamiento se rige por sus propias políticas.
También cedemos datos cuando una norma con rango de ley lo exige (Ministerio del Interior vía SES.HOSPEDAJES, autoridades sanitarias, fiscales o judiciales).
6. Decisiones automatizadas y perfilado
No tomamos decisiones automatizadas con efectos jurídicos o significativos sobre el usuario. El asistente virtual ofrece información y sugerencias, pero las decisiones sobre la reserva, el precio o la atención personal las toma siempre el responsable. La analítica web se trata de forma agregada y no construye perfiles individuales.
7. Transferencias internacionales
Procuramos que tus datos se traten dentro del Espacio Económico Europeo. En particular, el asistente de IA se ejecuta sobre Amazon Bedrock en la región de la Unión Europea (Fráncfort), por lo que el contenido de la conversación no sale del EEE por este flujo. Si alguno de nuestros encargados tratara datos fuera del EEE, dicha transferencia se ampara en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) y en garantías adicionales (cifrado en tránsito, minimización de datos personales y no entrenamiento de modelos con tu información).
8. Sistemas de inteligencia artificial
Conforme al artículo 50 del Reglamento (UE) 2024/1689 (AI Act), te informamos de que algunas funcionalidades del sitio están basadas en sistemas de IA generativa:
- Asistente virtual para responder dudas sobre el alojamiento, la zona y la reserva. Antes de iniciar la conversación verás un aviso indicando que estás hablando con un sistema automatizado.
- Modelos usados: familia Claude (Anthropic), ejecutada a través de Amazon Bedrock en la región de la UE (Fráncfort). El modelo concreto y su versión se registran en los logs internos.
- Datos enviados al modelo: sólo el mensaje del usuario y, cuando aplica, el contexto público del sitio (guías, FAQs, descripciones de apartamentos). Nunca enviamos datos personales de otros huéspedes ni información identificable que no sea estrictamente necesaria.
- Logging: guardamos prompt, respuesta, modelo y marca de tiempo durante 12 meses para seguridad y mejora; después se anonimizan o eliminan.
- Limitaciones: el asistente puede equivocarse o estar desactualizado. Para cualquier información vinculante (precios, disponibilidad, condiciones legales) prevalece lo que diga el responsable por escrito.
- No entrenamiento: nuestros proveedores no usan tus conversaciones para entrenar sus modelos.
9. Tus derechos
Puedes ejercer en cualquier momento los siguientes derechos:
- Acceso, rectificación, supresión, oposición, limitación y portabilidad de tus datos.
- Retirar el consentimiento prestado para finalidades opcionales (analítica, marketing, newsletter).
- No ser objeto de decisiones automatizadas significativas (ya garantizado, ver apartado 6).
- Reclamar ante la Agencia Española de Protección de Datos si consideras que tu derecho no ha sido atendido.
Para ejercerlos, escribe a apartamentostiojosemaria@gmail.com indicando el derecho que quieres ejercer y, si es posible, acompañando una copia de tu DNI o documento equivalente. Responderemos en el plazo máximo de un mes.
En caso de brecha de seguridad que afecte a tus datos, notificaremos a la AEPD en un plazo máximo de 72 horas (art. 33 RGPD) y, si supone un alto riesgo para tus derechos, te lo comunicaremos directamente (art. 34 RGPD).
10. Cookies y almacenamiento local
Usamos tres tipos de cookies y tecnologías similares. Las técnicas son imprescindibles y están exentas de consentimiento previo (art. 22.2 LSSI). Las opcionales sólo se activan si las aceptas en el aviso de cookies, y puedes cambiar tu elección en cualquier momento.
- Técnicas (necesarias).
tjm_cookie_consent_v2guarda tu elección sobre cookies.sb-*son tokens de sesión de Supabase, sólo presentes cuando inicias sesión en el área de cliente o admin. El Service Worker y la caché PWA almacenan recursos del sitio para que funcione offline; no contienen datos personales. - Analítica (opcional). Métricas agregadas de uso del sitio (páginas vistas, duración, dispositivo, país). Sin perfilado individual.
- Marketing (opcional). Cookies y píxeles de terceros para mostrar contenido relevante fuera del sitio y medir campañas.
— vuelve a abrir el panel para cambiar tu decisión cuando quieras.
11. Cambios en esta política
Si actualizamos esta política te lo indicaremos cambiando la fecha de "Última actualización". Cuando el cambio afecte a finalidades para las que prestaste consentimiento, te lo pediremos de nuevo.