Política de privacidad

Datos de contacto: tu correo electrónico, nombre y, opcionalmente, un teléfono.

Datos de la solicitud: el destino, el tipo de visado y las respuestas que exige el formulario oficial del destino, que pueden incluir datos del pasaporte, fechas de nacimiento, direcciones, planes de viaje y, para algunos destinos, una foto del pasaporte que subes tú. Solo recogemos estos datos cuando inicias una solicitud.

Datos de pago: el importe, la divisa, la fecha, el estado del pago y una referencia bancaria de cada pago. Nunca vemos ni almacenamos el número completo de tu tarjeta; los datos de la tarjeta los captura directamente la pasarela de nuestro banco (Redsys / CaixaBank) dentro de su marco seguro.

Datos técnicos y de uso: dirección IP, información del dispositivo y del navegador, registros de seguridad y, solo con tu consentimiento, eventos de analítica y de medición publicitaria (consulta nuestra Política de Cookies).

Registros de consentimiento y comunicación: tus elecciones de cookies, los textos legales que aceptaste y cuándo, los correos transaccionales que te enviamos y el estado de baja.

Para prestarte el servicio que solicitas: preparar, revisar, presentar y hacer seguimiento de tu solicitud, incluida la conservación de un borrador sin terminar durante 30 días para que puedas retomarlo. Base jurídica: ejecución de un contrato, art. 6.1.b RGPD.

Para cumplir la ley: conservación fiscal y mercantil de las solicitudes pagadas y respuesta a requerimientos lícitos de las autoridades. Base jurídica: obligación legal, art. 6.1.c RGPD.

Para operar y proteger la plataforma: registros de seguridad, prevención del fraude, detección de abusos y monitorización de errores. Base jurídica: interés legítimo, art. 6.1.f RGPD.

Para medir y mejorar el sitio con analítica, y para medir la publicidad, solo cuando aceptas esas categorías de cookies. Base jurídica: consentimiento, art. 6.1.a RGPD, revocable en cualquier momento.

No vendemos tus datos personales. Trabajamos con un número reducido de proveedores verificados que actúan como encargados bajo contratos del art. 28 RGPD: un proveedor de base de datos, autenticación, almacenamiento de archivos y alojamiento (tratamiento en la Unión Europea); un proveedor de distribución de contenido, computación en el borde y seguridad (incluida la protección antibots); Redsys / CaixaBank (procesamiento de pagos con tarjeta); un proveedor de correo transaccional; un proveedor de monitorización de errores (con los datos personales depurados antes del envío); Geoapify (autocompletado opcional de direcciones mientras escribes) y Google (medición de Google Analytics 4 y Google Ads, solo tras tu consentimiento a esas categorías). Estas categorías de destinatarios se detallan en el anexo de subencargados (sección 11).

Cuando nos pides presentar una solicitud, los datos que exige el formulario oficial del destino se transmiten a la autoridad de ese gobierno. La autoridad es responsable independiente de los datos que recibe y los trata conforme a sus propias normas.

También podremos comunicar datos cuando la ley lo exija, por ejemplo a tribunales, a la administración tributaria o a las fuerzas de seguridad en el ejercicio de sus competencias.

Nuestros sistemas principales están alojados en la Unión Europea. Cuando un proveedor trata datos fuera del Espacio Económico Europeo (por ejemplo, algunas operaciones de nuestro proveedor de distribución de contenido y seguridad, de nuestro proveedor de monitorización de errores o de Google en Estados Unidos), la transferencia se ampara en una decisión de adecuación de la Comisión Europea (incluido el Marco de Privacidad de Datos UE-EE. UU. cuando el proveedor está certificado) o en las Cláusulas Contractuales Tipo con garantías adicionales.

Presentar tu solicitud a un destino fuera del EEE transfiere necesariamente los datos de la solicitud a la autoridad de ese país. Esa transferencia es necesaria para la ejecución de tu contrato con nosotros (art. 49.1.b RGPD) y solo se produce a petición tuya.

Solicitudes en borrador: 30 días desde su última actualización; después se eliminan, con un correo de aviso antes de expirar.

Registros de pago y factura: se conservan mientras prestamos el servicio y, después, durante los plazos exigidos por la legislación fiscal y mercantil española (con carácter general, cuatro años según la Ley General Tributaria y seis años según el Código de Comercio); transcurridos, se eliminan o anonimizan. Tus datos de identidad de una solicitud presentada (datos del pasaporte, las respuestas de tu formulario gubernamental y cualquier foto de pasaporte subida) se eliminan o anonimizan poco después de resolverse la solicitud, por lo general en torno a 30 días tras su aprobación, denegación o expiración, una vez gestionada ante la autoridad de destino; solo se conserva el registro de pago anonimizado durante el plazo legal.

Registro de correos enviados: hasta 365 días. Registros de auditoría de seguridad: hasta 1 año. Registros de acceso a datos de identidad: hasta 2 años. Registros de consentimiento: se conservan como prueba de cumplimiento mientras la ley nos lo permita exigir.

Las fotos de pasaporte subidas en borradores no pagados se eliminan junto con el borrador; en las solicitudes presentadas se eliminan poco después de resolverse la solicitud, junto con el resto de sus datos de identidad, conservándose solo el registro de pago anonimizado durante el plazo legal fiscal y mercantil.

Tienes derecho a acceder, rectificar, suprimir, limitar y portar tus datos, a oponerte a los tratamientos basados en interés legítimo y a retirar el consentimiento en cualquier momento sin que afecte a los tratamientos lícitos previos. Para ejercer estos derechos, escribe a nuestro Delegado de Protección de Datos en la dirección indicada arriba; verificamos tu identidad (con el correo registrado o tu código de seguimiento) antes de actuar.

Respondemos en el plazo de un mes, ampliable dos meses más en solicitudes complejas, y podremos pedirte que verifiques tu identidad para proteger tus datos. Ten en cuenta que los registros de pago y factura que debemos conservar por obligación fiscal o mercantil no pueden suprimirse antes de que terminen esos plazos; tus datos de identidad, en cambio, se eliminan poco después de resolverse tu solicitud. Te indicaremos cuándo se aplica una conservación legal.

También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD; C/ de Jorge Juan, 6, 28001 Madrid; www.aepd.es; sede electrónica sedeagpd.gob.es) o ante la autoridad de control de tu país de residencia en la UE.

Todo el tráfico va cifrado en tránsito (TLS). Los datos de identidad de las solicitudes se almacenan cifrados en reposo, su acceso es de mínimo privilegio, registrado y auditado, y el acceso a la base de datos está protegido con seguridad a nivel de fila. Los pagos se procesan dentro del alcance PCI DSS del banco; nunca custodiamos el número de tu tarjeta.

Ante una violación de seguridad que suponga un riesgo para tus derechos, lo notificaremos a la AEPD y, cuando proceda, a ti, dentro de los plazos legales.

Nuestro servicio no está dirigido a menores. Las solicitudes de viajeros menores de 18 años debe crearlas un padre, madre o tutor legal, que facilita los datos del menor bajo su propia autoridad.

No tomamos decisiones con efectos jurídicos sobre ti basadas únicamente en tratamientos automatizados. Nuestro equipo revisa cada solicitud antes de presentarla; la decisión sobre tu visado o autorización la toma el gobierno del destino, no nosotros.

Publicaremos cualquier cambio sustancial de esta política en esta página y, cuando proceda, te lo notificaremos por correo electrónico. La fecha de la versión vigente es la fecha de publicación de esta página.

Este anexo detalla, por categoría, los proveedores (subencargados) que tratan datos personales por cuenta nuestra, descritos en la sección 3. Cada uno actúa bajo un contrato escrito del art. 28 RGPD, trata los datos solo conforme a nuestras instrucciones documentadas y queda sujeto a obligaciones equivalentes de seguridad y confidencialidad. Mantenemos esta lista actualizada y publicamos aquí los cambios sustanciales.

Proveedor de base de datos, autenticación, almacenamiento de archivos y alojamiento de la aplicación. Región de tratamiento: la Unión Europea.

Proveedor de distribución de contenido, computación en el borde y seguridad (incluida la protección antibots). Red de borde global; cualquier tratamiento fuera del Espacio Económico Europeo se ampara en una decisión de adecuación de la Comisión Europea o en las Cláusulas Contractuales Tipo.

Redsys / CaixaBank: procesamiento de pagos con tarjeta dentro del alcance PCI DSS del banco. Región de tratamiento: España y la Unión Europea.

Proveedor de correo transaccional: entrega de correo transaccional. Cualquier tratamiento fuera del Espacio Económico Europeo se ampara en las Cláusulas Contractuales Tipo.

Proveedor de monitorización de errores: monitorización de errores, con los datos personales depurados antes de enviarse. Cualquier tratamiento fuera del Espacio Económico Europeo se ampara en una decisión de adecuación (el Marco de Privacidad de Datos UE-EE. UU.) o en las Cláusulas Contractuales Tipo.

Geoapify: autocompletado opcional de direcciones mientras escribes una dirección. Región de tratamiento: la Unión Europea.

Google (Google Analytics 4 y Google Ads): medición de analítica y publicidad, utilizada solo tras tu consentimiento a esas categorías de cookies. Tratamiento en Estados Unidos, amparado en el Marco de Privacidad de Datos UE-EE. UU. y en las Cláusulas Contractuales Tipo.

No incorporamos un nuevo subencargado con acceso a tus datos personales sin un contrato escrito del art. 28 que imponga obligaciones equivalentes, y seguimos siendo responsables ante ti de los datos que tratan.