Última actualización:
Resumen en lenguaje claro. Cuando tus clientes reservan una taquilla a través de LockMe, tú (el operador) eres el responsable del tratamiento de sus datos personales y LockMe es tu encargado del tratamiento. Este DPA establece cómo tratamos esos datos por cuenta tuya, las medidas de seguridad que aplicamos, los subencargados que utilizamos y qué ocurre si algo sale mal. Se aplica automáticamente a cada contrato LockMe de pago; no necesitas firmar una copia aparte.
Aviso. Esta es una traducción asistida por IA del texto original en inglés, pendiente de revisión por asesoría jurídica. En caso de cualquier discrepancia, prevalece la versión en inglés en /legal/dpa.
Nota. Esta página es un borrador de trabajo pendiente de revisión por asesoría externa antes del lanzamiento. Si necesitas una copia firmada en papel de la empresa para tu departamento de compras, escribe a legal@lock-me.com y te enviaremos una.
1. Roles
- Responsable del tratamiento: la entidad operadora (tú).
- Encargado del tratamiento: LockMe S.L.
- Interesados: los clientes finales que reservan y usan taquillas en tus tiendas.
- Datos personales: nombre, email, teléfono (cuando se recoja), detalles de la reserva, metadatos de pago, tokens de acceso a la taquilla.
2. Objeto y duración
LockMe trata datos personales por cuenta del operador durante la vigencia del contrato del servicio LockMe y hasta 90 días después de su terminación, para la conservación de copias de seguridad.
3. Naturaleza y finalidad del tratamiento
Prestar los servicios descritos en el formulario de pedido del operador: web del cliente, panel de control, orquestación de pagos, comunicaciones con el cliente y prompts de reseña post-estancia.
4. Obligaciones de LockMe como encargado
LockMe se compromete a:
- Tratar los datos personales únicamente conforme a las instrucciones documentadas del operador, salvo cuando la ley lo exija.
- Garantizar que el personal autorizado a tratar datos personales esté vinculado por un deber de confidencialidad.
- Adoptar medidas técnicas y organizativas adecuadas para proteger los datos personales contra la destrucción, pérdida, alteración, divulgación o acceso accidentales o ilícitos (véase el Anexo II).
- Asistir al operador en la respuesta a solicitudes de los interesados y en el cumplimiento de los artículos 32–36 del RGPD.
- Notificar al operador sin demora indebida (y, en cualquier caso, en un plazo de 72 horas) tras tener conocimiento de una violación de datos personales.
- Tras la terminación, devolver o suprimir los datos personales según elija el operador (sujeto a obligaciones legales de conservación).
- Poner a disposición toda la información necesaria para demostrar el cumplimiento y permitir auditorías, sujeto a una confidencialidad y planificación razonables.
5. Subencargados
El operador autoriza a LockMe a contratar subencargados. La lista actual (Anexo III) se publica más abajo y se notificará al operador al menos 30 días antes de cualquier incorporación o sustitución de un subencargado. El operador podrá objetar por motivos razonables de protección de datos; si las partes no logran acordar una solución, el operador podrá rescindir el servicio afectado por incumplimiento sustancial.
6. Transferencias internacionales
Cuando se transfieran datos personales fuera del EEE, LockMe utilizará un mecanismo de transferencia válido (Cláusulas Contractuales Tipo o decisión de adecuación) y aplicará medidas complementarias cuando lo requiera la jurisprudencia (especialmente Schrems II).
7. Responsabilidad
Las disposiciones sobre responsabilidad del contrato principal de servicios se aplican a este DPA como si estuvieran reproducidas íntegramente aquí.
Anexo I — Descripción del tratamiento
| Campo | Detalle |
|---|---|
| Categorías de interesados | Clientes finales de las tiendas del operador |
| Categorías de datos personales | Identificadores (nombre, email, teléfono), metadatos de reserva, metadatos de pago (sin PAN completo), tokens de acceso a la taquilla, texto opcional de reseña |
| Datos sensibles | Ninguno |
| Frecuencia | Continua |
| Naturaleza del tratamiento | Almacenamiento, transmisión, cómputo para web del cliente, panel y comunicaciones |
| Finalidad | Prestación del servicio LockMe |
| Duración | Vigencia del contrato LockMe + 90 días de retención de copias de seguridad |
Anexo II — Medidas técnicas y organizativas
Lista no exhaustiva:
- Todos los datos cifrados en tránsito (TLS 1.2+) y en reposo.
- Acceso a producción mediante SSO con MFA por llave hardware; RBAC con principio de mínimo privilegio; registro de auditoría completo.
- Pruebas de penetración trimestrales; revisión de seguridad interna en cada despliegue.
- Copias de seguridad cifradas, almacenadas en una segunda región de la UE, restauradas trimestralmente para verificar la integridad.
- Revisiones de seguridad para cada subencargado; auditoría interna anual alineada con SOC 2.
- Plan documentado de respuesta a incidentes; rotación de guardia 24/7 en planes de pago.
Anexo III — Subencargados (lista actual)
| Subencargado | Rol | Ubicación |
|---|---|---|
| Google Cloud Platform | Alojamiento (cómputo, almacenamiento, bases de datos) | UE (europe-west4, Países Bajos) |
| Stripe Payments Europe Ltd. | Procesamiento de pagos | UE + EE. UU. bajo SCC |
| Postmark | Email transaccional | UE (Fráncfort) |
| Twilio | SMS para confirmaciones de reserva | UE/global bajo SCC |
| Sentry | Monitorización de errores y rendimiento | UE (Fráncfort) |
| Plausible Insights | Analítica web sin cookies | UE (Alemania) |
Esta lista se mantiene en https://lock-me.com/legal/dpa y reemplaza a cualquier lista enviada previamente por email.
Contacto
DPO y contacto de privacidad: privacy@lock-me.com.
¿Dudas sobre este documento? Escribe a legal@lock-me.com. Esta página se publica para transparencia; no sustituye el asesoramiento legal específico para tu operación.