Qué es esta página
Estadia actúa como Encargado del Tratamiento de los datos personales que los Operadores clientes (hoteles, alojamientos turísticos y empresas de alquiler de vehículos) recogen de sus huéspedes en cumplimiento del Real Decreto 933/2021. Para prestar el servicio recurrimos a un número reducido de terceros cuidadosamente seleccionados («subencargados») que tratan datos personales por cuenta de Estadia. Esta página los enumera, indica qué hacen y dónde tratan los datos.
Esta lista se incorpora por referencia al Contrato de Encargo de Tratamiento (DPA) firmado con cada Operador y constituye el Anexo C de dicho contrato.
Subencargados actuales
Supabase Inc.: base de datos, autenticación, almacenamiento y funciones edge. Alojado en la Unión Europea (Irlanda, eu-west-1). Sujeto al DPA estándar de Supabase (https://supabase.com/legal/dpa).
Microsoft Ireland Operations Ltd. (Azure OpenAI): reconocimiento óptico de caracteres (OCR) sobre las imágenes del documento de identidad cargadas por el huésped durante el check-in. Alojado en West Europe. Sujeto al Anexo de Protección de Datos estándar de Microsoft (https://aka.ms/DPA). Microsoft conserva los datos de entrada durante un máximo de treinta (30) días para la supervisión de abusos; la exclusión de esta retención solo está disponible para clientes con cuenta gestionada de Microsoft (con equipo de cuenta dedicado), y Estadia no reúne actualmente esos requisitos. Transcurrido ese plazo, Microsoft elimina los datos.
Brevo SAS: envío de correos transaccionales (notificaciones de check-in y otras comunicaciones operativas) en nombre de los Operadores y envío de notificaciones internas al equipo de Estadia cuando se recibe un envío del formulario de contacto del sitio web. Alojado en la Unión Europea. Sujeto al DPA estándar de Brevo (https://www.brevo.com/legal/dpacca/).
Cloudflare Inc.: hosting y red de distribución de contenidos del sitio web público, el panel del Operador y la página de check-in del huésped. Almacenado en caché y tratado en los nodos perimetrales europeos de Cloudflare. Sujeto al Anexo de Protección de Datos estándar de Cloudflare y a las Cláusulas Contractuales Tipo (https://www.cloudflare.com/cloudflare-customer-dpa/).
Functional Software Inc. (Sentry, sentry.de): monitorización de errores y diagnóstico de incidencias. Alojado en Alemania. Sujeto al DPA estándar de Sentry (https://sentry.io/legal/dpa/). Los campos identificativos se depuran en la capa del SDK antes de transmitirse; solo se envían eventos de error y trazas de pila.
Transferencias internacionales
Todos los subencargados anteriormente enumerados tratan los datos dentro del Espacio Económico Europeo o con las garantías adecuadas conforme al Capítulo V del RGPD. Cuando la matriz del grupo está establecida fuera del EEE (Microsoft, Cloudflare, Functional Software, Supabase), el acceso incidental por parte de filiales estadounidenses se rige por las Cláusulas Contractuales Tipo incluidas en el contrato de cada subencargado, junto con las medidas técnicas y organizativas descritas en el Anexo B del DPA de Estadia.
Cómo elegimos y revisamos a los subencargados
Antes de contratar a un subencargado verificamos que ofrezca un DPA por escrito conforme al artículo 28 del RGPD, que los datos se traten en el EEE o con garantías mediante CCT, que el nivel de seguridad sea proporcionado a la categoría de datos y que exista un mecanismo viable de notificación de violaciones de seguridad. Revisamos esta lista al menos una vez al año y cada vez que añadimos o sustituimos un subencargado.
Aviso de cambios
Notificaremos a los Operadores cualquier alta o sustitución prevista de subencargado con al menos treinta (30) días de antelación, por correo electrónico al contacto de protección de datos registrado en la cuenta del Operador y mediante la actualización de esta página.
Si en ese plazo de treinta días el Operador se opone motivadamente al nuevo subencargado, trabajaremos de buena fe para encontrar una alternativa viable. Si no existe alternativa razonable, el Operador podrá resolver la parte del contrato afectada sin penalización.
Para suscribirse a los cambios de esta lista, basta con escribir a privacy@estadia.host con el asunto «Subencargados». Le añadiremos a la lista de notificación y recibirá un correo cada vez que esta página se actualice.
Contacto
Cualquier consulta sobre esta lista, o cualquier objeción a un subencargado actual o propuesto, puede dirigirse a privacy@estadia.host. Acusamos recibo en un plazo máximo de cinco días laborables.