Política de privacidad

Última actualización: 27/05/2026

En RideWithPro (operada por [RAZÓN SOCIAL], S.L., NIF [CIF], con domicilio en [DIRECCIÓN]) tratamos tus datos personales con la máxima diligencia. Esta política explica qué datos recogemos, por qué, con quién los compartimos y cómo puedes ejercer tus derechos según el Reglamento General de Protección de Datos (RGPD) y la LOPDGDD.

---

1. Responsable del tratamiento

• Razón social: [RAZÓN SOCIAL], S.L.
• NIF: [CIF]
• Domicilio: [DIRECCIÓN]
• Contacto general: soporte@ridewith.pro
• Delegado de Protección de Datos (DPO): dpo@ridewith.pro o [INDICAR SI NO APLICA]

2. Qué datos recogemos

2.1 Cuando te registras

• Nombre completo, email, contraseña (hasheada — no la vemos en claro),

teléfono opcional, idioma, código de referido opcional.

• Si te registras con Google: el ID de Google y la imagen de perfil

(solo si Google verifica tu email).

2.2 Cuando reservas

• Detalles de la reserva (escuela, servicio, fecha, instructor, número

de personas, nivel, notas para la escuela).

• Información de pago: tratada directamente por Stripe. Nosotros

guardamos solo los identificadores (stripePaymentId, stripeCustomerId) y el estado del pago. Nunca almacenamos datos completos de tarjeta.

• Si compras seguro de cancelación: el porcentaje y el importe.

2.3 Cuando interactúas con la plataforma

• Reseñas (texto, valoración, fotos opcionales).
• Mensajes a escuelas y entre instructor/cliente.
• Disputas y reclamaciones.
• Notificaciones leídas/no leídas.
• Suscripciones a notificaciones push (claves VAPID y endpoint del

navegador).

• Favoritos, historial de búsquedas en sesión.

2.4 Datos técnicos automáticos

• Dirección IP, user-agent del navegador, idioma del dispositivo.
• Logs de auditoría (acción realizada, fecha, IP) para acciones

sensibles: login, registro, cambios de plan, cancelaciones.

• Cookies estrictamente necesarias (sesión, CSRF, preferencia de

cookies). Las analíticas, si las activas, se rigen por la Política de cookies.

2.5 Geolocalización (opcional)

La plataforma puede pedir tu ubicación aproximada para sugerirte escuelas cerca y reordenar los deportes según la temporada. Esta geolocalización es voluntaria. Puedes denegarla en cualquier momento desde el navegador.

3. Para qué los usamos (bases legales)

Finalidad	Base legal
Gestionar tu cuenta y facilitar el servicio	Ejecución del contrato (Términos de uso)
Procesar pagos a través de Stripe	Ejecución del contrato
Enviarte emails transaccionales (confirmación de reserva, recordatorios)	Ejecución del contrato
Newsletter y comunicaciones comerciales	Consentimiento (puedes retirarlo cuando quieras)
Cumplir obligaciones fiscales y legales	Obligación legal
Prevenir fraude y abuso (rate limiting, captcha, audit log)	Interés legítimo
Mejorar el producto (analytics agregadas, sin perfilado individual)	Interés legítimo / consentimiento
Atender disputas y reclamaciones	Ejecución del contrato / interés legítimo

4. Con quién los compartimos

Compartimos datos solo con encargados o terceros estrictamente necesarios para operar la Plataforma:

• Stripe Payments + Stripe Connect (Irlanda, EU): nombre, email y

datos de la transacción. La plataforma opera en modelo Marketplace — el dinero pasa por una cuenta plataforma antes de transferirse a la escuela tras un período de gracia. KYC de cada escuela lo hace Stripe directamente (Express onboarding). Stripe almacena los datos completos de tarjeta — la Plataforma solo guarda identificadores. Política de privacidad de Stripe.

• Cloudinary (Israel/EU): alojamiento de imágenes que subes

(avatar, galería de escuela, fotos de reseñas).

• Cloudflare Turnstile (captcha): IP y tokens del navegador para

detectar bots en login/registro.

• OVH Zimbra (Francia, EU): proveedor SMTP que entrega los emails

transaccionales (welcome, confirmaciones de reserva, recordatorios, facturas, reseteo de contraseña, newsletter, CRM).

• Google (solo si usas Sign-In con Google): los datos del

consentimiento OAuth (email + verificación + ID Google + foto perfil).

• Open-Meteo (Austria, EU): datos de clima en marketplace y panel

de escuela. Sin datos personales (solo lat/lng del destino).

• Sentry (Alemania, EU): captura de excepciones del servidor para

diagnóstico. Puede contener tu user-id como tag pero no contraseñas, emails ni datos de tarjeta — los logs están redactados.

• Anthropic (EE.UU.): API utilizada únicamente para traducir

textos públicos de marketing y FAQ a EN/FR/DE/IT durante el desarrollo de la plataforma. No procesa datos personales de usuarios finales en runtime.

• Fly.io (multi-región EU — principal CDG · París): proveedor de

hosting. Las máquinas corren en datacenter europeo.

• Neon (eu-central-1 · Frankfurt): base de datos Postgres

gestionada, encriptada en reposo, con Point-in-Time Recovery habilitado.

No vendemos tus datos a terceros para fines publicitarios.

Las escuelas con las que reservas reciben tu nombre, email, teléfono (si lo aportaste) y los detalles de la reserva — necesarios para prestarte el servicio. Cada escuela es responsable independiente del tratamiento de los datos que reciba para gestionar su clase.

5. Cuánto tiempo conservamos los datos

• Datos de cuenta: mientras la cuenta esté activa, más el tiempo

necesario para cumplir obligaciones legales (típicamente 5 años para registros fiscales, 6 años para registros mercantiles).

• Logs de auditoría: hasta 180 días (configurable por el administrador

de la Plataforma entre 30 y 1825 días desde Superadmin → Configuración).

• Refresh tokens de sesión: hasta 30 días desde el último login.
• Reseñas y mensajes: mientras la cuenta esté activa, salvo que

pidas su borrado.

• Datos fiscales (facturas, comisiones): 6 años conforme la

normativa contable.

Si das de baja tu cuenta, anonimizamos los datos no obligatorios y conservamos solo lo legalmente exigido.

6. Tus derechos (RGPD / LOPDGDD)

Tienes derecho a:

• Acceso a los datos que tenemos sobre ti.
• Rectificación de datos inexactos.
• Supresión ("derecho al olvido"), salvo que conservar sea

obligatorio.

• Oposición al tratamiento basado en interés legítimo.
• Limitación del tratamiento mientras se verifica una incidencia.
• Portabilidad: recibir una copia en formato estructurado (JSON o

CSV) de los datos que nos has aportado.

• Retirar el consentimiento que hayas dado, sin que afecte la

licitud previa.

• No ser objeto de decisiones automatizadas con efectos

significativos (no las hacemos).

Para ejercer cualquier derecho, escribe a soporte@ridewith.pro o al DPO indicado arriba. Puedes adjuntar copia de un documento identificativo si lo requerimos para verificar tu identidad. Responderemos en un plazo máximo de 30 días naturales.

Si consideras que el tratamiento no se ajusta a la normativa, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) o ante la autoridad de control de tu país de residencia.

7. Seguridad

Aplicamos medidas técnicas y organizativas razonables, incluyendo:

• Comunicaciones cifradas con TLS/HTTPS.
• Tokens de sesión httpOnly con rotación de refresh tokens y

detección de reuse para mitigar robo de sesión.

• Protección CSRF con double-submit cookie.
• Verificación de firma de webhooks de Stripe.
• Hash de contraseñas con bcrypt (10 rondas).
• Validación de magic numbers en uploads de imágenes.
• Auditoría de acciones críticas con almacenamiento separado.
• Servidores en proveedores certificados (Fly.io con datacenters en

EU, Neon Postgres en eu-central-1, ambos con cifrado en reposo).

Ningún sistema es 100% infalible; te pedimos que también pongas de tu parte (contraseña fuerte, no compartirla, activar 2FA, cerrar sesión en equipos compartidos).

8. Transferencias internacionales

La gran mayoría de nuestros encargados están dentro del Espacio Económico Europeo (Fly.io EU, Neon eu-central-1, OVH Francia, Sentry Alemania, Open-Meteo Austria, Stripe Ireland). Los que pueden procesar datos fuera del EEE (Cloudinary, Anthropic, Google) lo hacen amparados en las cláusulas contractuales tipo de la Comisión Europea (SCC 2021) o marcos legales equivalentes (Data Privacy Framework EU-US para los proveedores estadounidenses certificados).

9. Menores

La Plataforma no está dirigida a menores de 14 años. Si eres tutor y detectas que un menor a tu cargo se ha registrado, escríbenos para eliminar la cuenta.

10. Cambios en esta política

Si modificamos esta política te avisaremos por email a los usuarios activos con al menos 15 días de antelación y publicaremos la versión nueva en esta misma URL con la fecha de actualización.

11. Contacto

• Email: soporte@ridewith.pro
• DPO: dpo@ridewith.pro (o el correo del responsable interno)
• Dirección postal: [DIRECCIÓN]