Privacidad, por escrito.

Exclusive Luxury Stay S.L.(en adelante, "ELS"), sociedad limitada constituida en España.

• NIF: B-00000000 (pendiente de inscripción definitiva).
• CICMA: 0000 (Registro de Agencias de Viaje, Comunidad de Madrid).
• Domicilio: C/ Velázquez 11, 4º · 28001 Madrid, España.
• Sede operativa: Riad Sidi Bouloukate 12, 40000 Marrakech, Marruecos.
• Contacto general: hola@exclusiveluxurystay.com
• Asuntos legales / DPO: legal@exclusiveluxurystay.com

Distinguimos por categoría de visitante:

• Visitantes de la web (anónimos): si usted activa la analítica propia, tratamos páginas visitadas, profundidad de scroll, idioma preferido y país inferido del navegador. Identificador opaco (UUID generado aleatoriamente), no derivado de fingerprint del dispositivo. Sin consent: nada.
• Visitantes que escriben (formularios): nombre, correo electrónico, idioma, fechas aproximadas del viaje, número de viajeros, restricciones dietéticas si las indica voluntariamente, mensaje.
• Clientes con viaje firmado: además de lo anterior, datos del pasaporte (para reservar vuelos, hoteles y transferencias en Marruecos), restricciones médicas si relevantes, preferencias alimentarias, direcciones de envío para cuaderno final.

Nunca tratamos datos sobre orientación sexual, ideología política, religión, sindicación, datos biométricos ni genéticos. Si necesitamos información médica para una experiencia concreta (ej. trekking en alta montaña con problema cardíaco conocido), pedimos el dato puntualmente con su consentimiento explícito y lo borramos al cerrar el viaje.

• Diseñar el viaje (cotización, dossier, reservas a proveedores marroquíes). Base legal: medidas precontractuales a petición del interesado (GDPR Art. 6.1.b).
• Ejecutar el contrato firmado (vuelos, alojamientos, guías, transferencias). Base legal: ejecución de contrato (GDPR Art. 6.1.b).
• Cumplir obligaciones legales (registro de viajeros en Marruecos, facturación, prevención de blanqueo si pago supera umbrales). Base legal: obligación legal (GDPR Art. 6.1.c).
• Enviar las Notas del concierge (newsletter editorial mensual). Base legal: consentimiento explícito (GDPR Art. 6.1.a). Casilla no pre-marcada en el formulario. Doble opt-in (verificamos email antes del primer envío).
• Analítica propia agregada (qué experiencias interesan, qué países visitan más). Base legal: consentimiento explícito(categoría "Analítica" del banner). Activable y revocable en cualquier momento.

Compartimos sus datos solo con quien necesite ejecutar su viaje:

• Riads, hoteles y campamentos en Marruecos (nombre, fechas, preferencias dietéticas). Acuerdo Art. 28 firmado con cada uno.
• Compañías aéreas y de transporte (datos de pasaporte exigidos por aerolínea).
• Proveedores tecnológicos: Vercel Inc. (Estados Unidos, Standard Contractual Clauses 2021) para hosting; Resend Inc. (Estados Unidos, SCC) para email transaccional; Hetzner Online (Alemania, GDPR-native) para almacenamiento de cuadernos finales.
• Administraciones públicas: exclusivamente cuando la ley nos obliga (Hacienda, registro de viajeros marroquí).

Nunca vendemos, alquilamos ni cedemos sus datos a empresas de marketing, brokers de datos, redes sociales o plataformas de ads.

Sus datos viajan entre tres jurisdicciones, en este orden:

• España / Unión Europea (sede legal + Hetzner Alemania) — bajo GDPR nativo.
• Estados Unidos (Vercel + Resend) — bajo Standard Contractual Clauses 2021 de la Comisión Europea + medidas técnicas adicionales (cifrado en reposo y en tránsito, minimización).
• Marruecos (sede operativa + proveedores locales) — Marruecos cuenta con Ley 09-08 de protección de datos personales, considerada equivalente por la AEPD para datos turísticos. Acuerdo específico de transferencia firmado.

• Consulta no convertida en viaje: 12 meses desde el último contacto. Luego borrado completo.
• Viaje firmado: 5 años desde la finalización del viaje, por obligación contable y fiscal (Ley 58/2003 General Tributaria). Luego solo conservamos lo agregado/anonimizado.
• Newsletter: hasta que se dé de baja (link en cada email). Solo email + fecha de alta.
• Analítica propia: 12 meses como máximo. Datos agregados sin identificador después de 30 días.
• Datos de pasaporte: mientras dure el viaje + 30 días para resolución de incidencias. Luego borrado completo.

Conforme al GDPR (Arts. 15-22) usted tiene derecho a:

• Acceso a los datos que tratamos sobre usted.
• Rectificación de datos inexactos.
• Supresión ("derecho al olvido"), salvo obligación legal.
• Limitación del tratamiento mientras se aclara una reclamación.
• Portabilidad: recibir sus datos en formato JSON estructurado.
• Oposición a tratamientos basados en interés legítimo.
• No ser sometido a decisiones automatizadas con efectos jurídicos significativos. No las hacemos.
• Retirar el consentimiento en cualquier momento, sin afectar a la licitud previa.

Cómo ejercerlos: escriba a legal@exclusiveluxurystay.com con copia de su DNI/pasaporte (para verificar identidad). Respondemos en un máximo de 7 días naturales (el GDPR permite 30, pero internamente nos comprometemos a 7).

Reclamación ante la AEPD: si considera que no hemos atendido correctamente sus derechos, puede presentar reclamación ante la Agencia Española de Protección de Datos: aepd.es · C/ Jorge Juan 6, 28001 Madrid · +34 901 100 099.

La página /legal/cookies inventaría EXACTAMENTE cada item que guardamos en su navegador, con su finalidad y caducidad. Sin terceros. Sin Google. Sin Meta.

Aplicamos cifrado TLS 1.3 en tránsito, cifrado AES-256 en reposo, autenticación de doble factor para acceso interno, principio de mínimo privilegio en los proveedores, log de accesos y rotación regular de credenciales. Notificaremos cualquier brecha de seguridad a la AEPD y a los afectados en menos de 72 horas si existiera riesgo para sus derechos (GDPR Arts. 33-34).

Si modificamos esta política sustancialmente (nueva finalidad, nuevo destinatario internacional, cambio de base legal), notificaremos por email a quienes nos hayan dado uno, y pediremos de nuevo el consentimiento donde proceda. Cambios menores (aclaraciones, corrección de erratas) se publican aquí con la fecha actualizada.