Quiénes somos
El responsable del tratamiento de tus datos personales es:
Kbayia S.L. (en proceso de constitución)
Domicilio social: Ceuta, España
Email de contacto: info@kbayia.com
Teléfono: +34 623 766 394
Email de privacidad: privacidad@kbayia.com
NIF: en trámite (empresa en proceso de constitución)
Kbayia no tiene obligación legal de designar un Delegado de Protección de Datos (DPD). Para cualquier consulta relativa al tratamiento de tus datos personales, puedes contactar directamente con el responsable en privacidad@kbayia.com (art. 13.1.b RGPD).
Kbayia es una agencia de viajes online (OTA) especializada en la venta de billetes de ferry en la ruta Algeciras ↔ Ceuta. Operamos a través de nuestra web (app.kbayia.com) y del servicio de mensajería WhatsApp.
Qué datos recogemos y por qué
Recogemos únicamente los datos necesarios para gestionar tu reserva de ferry y cumplir con las obligaciones legales aplicables. A continuación detallamos cada categoría:
Datos de identificación del pasajero
Nombre, apellidos, fecha de nacimiento, nacionalidad, tipo y número de documento de identidad (DNI, NIE o pasaporte), y fecha de caducidad del documento.
¿Por qué? La naviera y las autoridades de control fronterizo exigen estos datos para la emisión del billete y el embarque en la ruta Algeciras ↔ Ceuta.
Datos de contacto
Número de teléfono (WhatsApp), dirección de email.
¿Por qué? Para comunicarte tu billete, resolver incidencias durante el proceso de reserva, y enviarte el justificante de pago.
Datos del viaje
Origen, destino, fechas, número de pasajeros, vehículo, mascota, tipo de descuento o bonificación aplicable (si procede), horarios seleccionados.
¿Por qué? Para configurar y ejecutar tu reserva.
Datos de pago
Kbayia no almacena datos de tarjeta de crédito ni datos bancarios. El pago se gestiona íntegramente a través de Stripe, un procesador de pagos certificado PCI-DSS. Kbayia solo recibe la confirmación del pago, el importe y la referencia de la transacción.
Datos de facturación
Si solicitas factura: nombre o razón social, NIF/CIF, y dirección fiscal.
¿Por qué? Para cumplir con las obligaciones fiscales (Ley 37/1992 del IVA, RD 1619/2012).
Datos de la conversación
Si interactúas con nuestro asistente de WhatsApp o a través de la webapp, registramos temporalmente el contenido de los mensajes intercambiados (texto y, en su caso, audios transcritos) para gestionar correctamente tu reserva.
¿Por qué? Para ejecutar el servicio solicitado y resolver incidencias técnicas. Estos datos se anonimizan automáticamente en un plazo breve (ver sección 7).
Base legal del tratamiento
Tratamos tus datos personales en función de la siguiente base legal para cada finalidad:
| Finalidad | Base legal |
|---|---|
| Gestión de la reserva y emisión del billete | Ejecución de contrato (art. 6.1.b RGPD) |
| Cobro del billete a través de Stripe | Ejecución de contrato (art. 6.1.b RGPD) |
| Comunicación por WhatsApp durante la reserva | Ejecución de contrato (art. 6.1.b RGPD) |
| Emisión de justificantes de pago y facturas | Obligación legal (art. 6.1.c RGPD) — normativa fiscal |
| Transmisión de datos de pasajeros a la naviera y autoridades de control fronterizo | Obligación legal (art. 6.1.c RGPD) — LO 4/2015 de Protección de la Seguridad Ciudadana |
| Conservación de datos de pasajeros para futuras reservas | Consentimiento (art. 6.1.a RGPD) — opcional, revocable en cualquier momento |
| Procesamiento de mensajes/audios mediante inteligencia artificial (OpenAI) | Consentimiento (art. 6.1.a RGPD) — opcional, revocable |
| Registro temporal de conversaciones para debugging técnico | Interés legítimo (art. 6.1.f RGPD) — mantenimiento y mejora del servicio |
| Detección de fraude y gestión de reservas atascadas | Interés legítimo (art. 6.1.f RGPD) |
Cuando la base legal es el interés legítimo, hemos realizado una evaluación de ponderación (LIA) que documenta que nuestro interés no prevalece sobre tus derechos y libertades fundamentales. Puedes solicitar una copia de esta evaluación escribiendo a privacidad@kbayia.com.
Consentimiento
Para los tratamientos basados en tu consentimiento, este se solicita de forma específica, informada e inequívoca:
En la webapp (app.kbayia.com)
Se te presentan casillas separadas y no premarcadas para cada finalidad: aceptación de esta política de privacidad, conservación de datos de pasajeros para futuras reservas (opcional), y procesamiento con IA (opcional).
En WhatsApp
Al inicio de cada conversación, recibes un mensaje con enlace a esta política y un botón interactivo para aceptar antes de que se procesen tus datos.
Retirada del consentimiento
Puedes retirar tu consentimiento en cualquier momento de forma tan sencilla como lo otorgaste:
- Enviando el comando
/borrar-mis-datospor WhatsApp. - Enviando un email a privacidad@kbayia.com.
La retirada del consentimiento no afecta a la licitud del tratamiento realizado antes de dicha retirada (art. 7.3 RGPD).
Todos los consentimientos quedan registrados con fecha, hora, canal, versión del texto aceptado y la acción realizada, para poder demostrar su validez (art. 7.1 RGPD).
Con quién compartimos tus datos
Tus datos personales se comunican a los siguientes destinatarios, todos ellos con contrato de encargado del tratamiento (DPA) conforme al art. 28 RGPD:
| Destinatario | Finalidad | Ubicación |
|---|---|---|
| Meta Platforms Ireland Ltd (WhatsApp Business Platform) | Canal de comunicación: envío y recepción de mensajes, entrega de billetes por WhatsApp | Irlanda (UE) / EE.UU. |
| Stripe Payments Europe Ltd | Procesamiento de pagos. Stripe actúa como responsable independiente para el procesamiento del pago. | Irlanda (UE) / EE.UU. |
| OpenAI L.L.C. | Procesamiento de mensajes y audios mediante inteligencia artificial para asistir en la reserva. Solo si has dado tu consentimiento. | EE.UU. |
| Cloudflare Inc. | Protección de la web (WAF), distribución de contenido (CDN) y certificados de seguridad (TLS) | EE.UU. / red global |
| Hetzner Online GmbH | Alojamiento del servidor (VPS) y copias de seguridad | Alemania (UE) |
| Naviera operadora del ferry | Emisión del billete de transporte y embarque. Cesión obligatoria del listado de pasajeros. | España (UE) |
| Autoridades de control fronterizo (Policía Nacional) | Control de seguridad en el embarque de la ruta Algeciras ↔ Ceuta. Cesión obligatoria por ley. | España (UE) |
No vendemos, alquilamos ni cedemos tus datos personales a terceros con fines comerciales o publicitarios.
Transferencias internacionales
Algunos de nuestros proveedores están ubicados en Estados Unidos. Estas transferencias están amparadas por los siguientes mecanismos legales (arts. 44-49 RGPD):
| Proveedor | Mecanismo legal |
|---|---|
| Meta Platforms | Decisión de adecuación — EU-US Data Privacy Framework (DPF). Meta está certificada. |
| OpenAI | EU-US DPF + Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea (Decisión 2021/914) |
| Stripe | EU-US DPF + SCCs. Stripe Payments Europe (Irlanda) actúa como entidad principal en la UE. |
| Cloudflare | EU-US DPF + SCCs |
Hetzner Online y la naviera operan exclusivamente dentro del Espacio Económico Europeo (EEE), por lo que no se produce transferencia internacional.
Puedes consultar el estado de la certificación DPF de cada proveedor en www.dataprivacyframework.gov. Si deseas obtener una copia de las evaluaciones de impacto de transferencias (TIA) que hemos realizado, escríbenos a privacidad@kbayia.com.
Cuánto tiempo conservamos tus datos
Conservamos tus datos únicamente durante el tiempo necesario para cumplir la finalidad para la que fueron recogidos, y en todo caso dentro de los plazos legales aplicables:
| Tipo de dato | Plazo de conservación | Motivo |
|---|---|---|
| Borradores de reserva no completados | 24 horas | Minimización de datos |
| Contenido completo de mensajes (WhatsApp) | 24 horas (después se anonimiza automáticamente) | Resolución de incidencias técnicas |
| Metadatos de mensajes (sin contenido) | 6 meses | Auditoría operativa |
| Estado de la conversación | 30 días desde el último mensaje | Continuidad del servicio |
| Datos de pasajeros guardados para reutilización | 2 años desde el último uso, o hasta que retires el consentimiento | Consentimiento del usuario |
| Datos del pasajero en reservas completadas | 3 años desde la fecha del viaje | Reclamaciones contractuales |
| Justificantes de pago y datos de facturación | 6 años | Obligación legal (Código de Comercio art. 30, Ley General Tributaria art. 66) |
| Copias de seguridad | 30 días (con rotación automática) | Recuperación ante desastres |
Transcurridos estos plazos, los datos se eliminan de forma segura o se anonimizan de manera irreversible.
Tus derechos
El RGPD y la LOPDGDD te reconocen los siguientes derechos sobre tus datos personales:
| Derecho | Descripción |
|---|---|
| Acceso (art. 15) | Saber qué datos tuyos tenemos y obtener una copia |
| Rectificación (art. 16) | Corregir datos inexactos o completar datos incompletos |
| Supresión (art. 17) | Solicitar la eliminación de tus datos cuando ya no sean necesarios |
| Limitación (art. 18) | Solicitar que restrinjamos el tratamiento en determinadas circunstancias |
| Portabilidad (art. 20) | Recibir tus datos en formato estructurado (JSON) y transmitirlos a otro responsable |
| Oposición (art. 21) | Oponerte al tratamiento basado en interés legítimo |
Cómo ejercer tus derechos
🇦🇷 Formulario online: app.kbayia.com/arco.html — rellena el formulario y recibirás acuse de recibo inmediato con número de referencia.
Email: privacidad@kbayia.com
WhatsApp: envía el comando /borrar-mis-datos para ejercer el derecho de supresión directamente.
Plazo de respuesta: máximo 1 mes desde la recepción de tu solicitud (prorrogable 2 meses adicionales en casos complejos, informándote previamente).
Identificación: para proteger tus datos, necesitaremos verificar tu identidad antes de atender la solicitud.
Coste: el ejercicio de estos derechos es gratuito.
Si consideras que no hemos atendido correctamente tu solicitud, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (ver sección 14).
Decisiones automatizadas
Kbayia utiliza un asistente basado en inteligencia artificial (tecnología de OpenAI) para:
- Extraer de forma estructurada los datos de tu reserva a partir de tus mensajes de WhatsApp (nombres, fechas, documentos).
- Responder preguntas frecuentes sobre horarios, precios y condiciones.
- Transcribir mensajes de audio a texto (tecnología Whisper).
Estas herramientas no toman decisiones con efectos jurídicos ni significativos sobre ti. Su función es asistir en el proceso de reserva. El resultado final de la reserva (emisión del billete, cobro) requiere siempre tu confirmación explícita.
Si prefieres no utilizar el asistente de IA, puedes contactar directamente con nuestro equipo de soporte en el teléfono +34 667 979 816 para completar tu reserva de forma manual.
En todo caso, puedes solicitar revisión humana de cualquier decisión del asistente en cualquier momento.
Seguridad
Aplicamos medidas técnicas y organizativas apropiadas para proteger tus datos personales contra el acceso no autorizado, la pérdida, la destrucción o la alteración (art. 32 RGPD). Entre otras:
- Cifrado en tránsito mediante TLS (HTTPS) en todos nuestros servicios.
- Cifrado en reposo de los datos más sensibles (documento de identidad, fecha de nacimiento) en la base de datos.
- Base de datos no expuesta a Internet, accesible solo a través de redes internas.
- Verificación criptográfica (HMAC) de todos los mensajes recibidos desde WhatsApp y Stripe.
- Copias de seguridad diarias automatizadas, cifradas y con rotación.
- Acceso al servidor restringido mediante clave criptográfica (SSH ed25519).
- Enmascaramiento automático de datos personales (DNI, email, teléfono) en las comunicaciones del asistente.
Revisamos y actualizamos periódicamente estas medidas para adaptarlas al estado de la técnica y al nivel de riesgo.
Datos de menores
Las reservas de ferry pueden incluir pasajeros menores de edad (niños e infantes). En estos casos:
- Los datos del menor son proporcionados por el adulto que realiza la reserva.
- El adulto que reserva declara expresamente que ostenta la patria potestad o tutela legal de los menores incluidos en la reserva.
- En España, el tratamiento de datos de menores de 14 años requiere el consentimiento del titular de la patria potestad (art. 7 LOPDGDD).
No recogemos datos de menores directamente ni ofrecemos servicios dirigidos específicamente a menores.
Cookies
Nuestra webapp (app.kbayia.com) utiliza exclusivamente cookies técnicas necesarias para el funcionamiento del servicio (gestión de sesión, tokens de formulario). Estas cookies no requieren consentimiento por ser estrictamente necesarias (art. 22.2 LSSI-CE).
No utilizamos cookies de análisis, publicidad, ni seguimiento de terceros.
Cloudflare, como servicio de seguridad web, puede establecer una cookie técnica (__cf_bm) para la protección contra bots. Esta cookie es estrictamente necesaria para la seguridad del servicio.
Stripe, como procesador de pagos, puede establecer cookies técnicas propias (__stripe_mid, __stripe_sid) necesarias para el funcionamiento seguro del proceso de pago. Estas cookies no requieren consentimiento por ser estrictamente necesarias para ejecutar la transacción solicitada (art. 22.2 LSSI-CE).
Cambios en esta política
Podemos actualizar esta política de privacidad para reflejar cambios en nuestras prácticas de tratamiento de datos o en la normativa aplicable. Cuando lo hagamos:
- Actualizaremos la fecha de "última actualización" en la cabecera de este documento.
- Incrementaremos el número de versión.
- Si los cambios son significativos, te informaremos a través del canal por el que habitualmente nos comunicamos contigo (WhatsApp o email).
Te recomendamos revisar esta política periódicamente.
Reclamaciones
Si consideras que el tratamiento de tus datos personales vulnera la normativa de protección de datos, tienes derecho a presentar una reclamación ante la autoridad de control competente:
Agencia Española de Protección de Datos (AEPD)
Web: www.aepd.es
Sede electrónica: sedeagpd.gob.es
Dirección: C/ Jorge Juan, 6 — 28001 Madrid
Teléfono: 900 293 183
No obstante, antes de acudir a la AEPD, te animamos a contactarnos a través de privacidad@kbayia.com para que podamos intentar resolver tu preocupación directamente.
Ley aplicable y resolución de litigios
Ley aplicable y jurisdicción
La presente política de privacidad se rige por la legislación española. Para cualquier controversia derivada del tratamiento de datos personales o de la interpretación de esta política, las partes se someten a los Juzgados y Tribunales del lugar de residencia del usuario consumidor, de conformidad con el Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios.
Plataforma de resolución de litigios en línea (ODR)
Conforme al art. 14.1 del Reglamento (UE) n.º 524/2013 del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, sobre resolución de litigios en línea en materia de consumo, ponemos a tu disposición el enlace a la plataforma europea de resolución de litigios en línea:
Plataforma ODR de la Comisión Europea
https://ec.europa.eu/consumers/odr
Disponible para consumidores de la Unión Europea que deseen resolver extrajudicialmente cualquier litigio relativo a contratos de compraventa o de prestación de servicios celebrados en línea.