Política de Privacidad
En Beyond The Voices nos comprometemos a proteger tu privacidad. Esta política explica qué datos recogemos, por qué los tratamos y cuáles son tus derechos.
1. Responsable del tratamiento
Como responsable del tratamiento, Houghton Tech Solutions, S.L. determina los fines y medios del tratamiento de los datos personales que se recogen a través de la plataforma Beyond The Voices, de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD).
2. Datos personales que recogemos
Recogemos únicamente los datos estrictamente necesarios para prestar el servicio. A continuación detallamos cada categoría de datos y su origen.
2.1 Datos de registro y perfil
- Nombre y apellidos
- Dirección de correo electrónico
- Fotografía de perfil (opcional, puede ser de Google OAuth)
- Rol en la plataforma (cliente, experto o ambos)
- Descripción profesional y categoría de experiencia (solo expertos)
- Idiomas y precio por sesión (solo expertos)
- Zona horaria
2.2 Datos de pago
Importante: no almacenamos datos de tarjeta
Los datos de tarjeta de crédito o débito son procesados directamente por Stripe, Inc. Únicamente almacenamos el identificador de la intención de pago (Payment Intent ID) y el estado de la transacción. Stripe cumple con PCI-DSS nivel 1.
- Identificador de transacción Stripe (Payment Intent ID)
- Estado del pago (pendiente, confirmado, fallido, reembolsado)
- Importe de la sesión en céntimos de euro
- Comisión de plataforma retenida
- Datos de cuenta Stripe Connect del experto (ID de cuenta, no datos bancarios directos)
2.3 Datos de calendario
Cuando el experto conecta su Google Calendar para sincronizar su disponibilidad, recogemos:
- Token de acceso OAuth 2.0 (cifrado con AES-256 en base de datos)
- Token de actualización (refresh token, cifrado AES-256)
- Identificador del calendario principal
- Eventos del calendario necesarios para comprobar disponibilidad (solo fecha/hora, no contenido del evento)
2.4 Datos de sesión de video
Las videollamadas se realizan a traves de Google Meet (integrado en el evento de Google Calendar). No grabamos las sesiones salvo que ambas partes lo soliciten expresamente. Almacenamos:
- Enlace de Google Meet generado automaticamente para cada reserva
- Estado de la sesion (iniciada, completada, no presentado)
- Duracion real de la sesion (para validacion de pago)
2.5 Datos de navegación
- Dirección IP (anonimizada para analítica)
- Tipo de navegador y sistema operativo
- Páginas visitadas y tiempo en cada página
- Origen del trafico (utm_source, utm_medium, etc.)
- Preferencias guardadas en localStorage (idioma, preferencia de cookies)
2.6 Datos de valoraciones y reseñas
- Puntuación numérica (1-5 estrellas)
- Comentario escrito de la sesión (opcional)
- Identidad del autor (visible en la plataforma con su consentimiento)
3. Base legal del tratamiento
Tratamos tus datos personales con las siguientes bases legales previstas en el artículo 6 del RGPD:
Ejecución del contrato (art. 6.1.b RGPD)
El tratamiento de datos es necesario para la prestación del servicio contratado: gestionar tu cuenta, procesar reservas, procesar pagos, coordinar videollamadas y gestionar incidencias. Sin estos datos no podemos prestarte el servicio.
Consentimiento (art. 6.1.a RGPD)
Para el envío de comunicaciones comerciales, newsletters y notificaciones promocionales. Para el uso de cookies no esenciales (analítica, marketing). Puedes retirar tu consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento previo.
Interés legítimo (art. 6.1.f RGPD)
Para la prevención del fraude y la seguridad de la plataforma, mejora del servicio mediante analítica anonimizada, comunicaciones transaccionales esenciales (confirmaciones de reserva, recordatorios) y gestión de reclamaciones.
Obligación legal (art. 6.1.c RGPD)
Para el cumplimiento de obligaciones fiscales y contables (conservación de datos de transacciones durante 6 años según la Ley General Tributaria), y para atender requerimientos de autoridades competentes.
4. Destinatarios y encargados del tratamiento
Tus datos pueden ser comunicados a los siguientes proveedores de servicios (encargados del tratamiento), que actúan bajo nuestras instrucciones y con las garantías adecuadas:
Stripe, Inc.
Estados UnidosProcesamiento de pagos y gestión de cuentas de expertos (Stripe Connect)
Garantia: Cláusulas contractuales tipo de la UE (SCCs) + certificación
Política de privacidad del proveedorGoogle LLC
Estados UnidosAutenticacion OAuth 2.0, sincronizacion de Google Calendar y videollamadas via Google Meet
Garantia: Cláusulas contractuales tipo de la UE (SCCs) + DPF
Política de privacidad del proveedorResend, Inc.
Estados UnidosEnvío de emails transaccionales (confirmaciones, recordatorios, facturas)
Garantia: Cláusulas contractuales tipo de la UE (SCCs)
Política de privacidad del proveedorSupabase, Inc.
Unión Europea (región EU West)Base de datos PostgreSQL, autenticacion y almacenamiento de archivos
Garantia: Datos almacenados en la UE, RGPD aplicable
Política de privacidad del proveedorVercel, Inc.
Estados Unidos / Unión EuropeaAlojamiento web, infraestructura de la plataforma y CDN
Garantia: Cláusulas contractuales tipo de la UE (SCCs)
Política de privacidad del proveedorTransferencias internacionales
Algunos de nuestros proveedores están ubicados en Estados Unidos. Estas transferencias internacionales se realizan al amparo de las Cláusulas Contractuales Tipo adoptadas por la Comisión Europea (Decisión de Ejecución UE 2021/914) o del Marco de Privacidad de Datos UE-EEUU (Data Privacy Framework), que garantizan un nivel de protección equivalente al exigido en el Espacio Económico Europeo.
5. Plazos de conservacion
Conservamos tus datos únicamente durante el tiempo necesario para los fines indicados, aplicando los siguientes plazos:
| Categoría de datos | Plazo de conservación | Justificación |
|---|---|---|
| Datos de cuenta y perfil | Mientras la cuenta esté activa + 5 años tras la baja | Prevención de fraude, resolución de disputas históricas |
| Datos de transacciones y pagos | 6 años desde el cierre del ejercicio fiscal | Obligación fiscal (art. 30 Código de Comercio, LGT) |
| Tokens de Google Calendar | Hasta que el experto revoque el acceso o cierre cuenta | Necesarios para el funcionamiento del servicio |
| Datos de sesión de video | 1 año desde la realización de la sesión | Resolución de disputas y control de calidad |
| Valoraciones y reseñas | Mientras el perfil del experto esté activo | Informacion de interes legitimo para futuros clientes |
| Datos de navegacion y logs | 12 meses | Seguridad, detección de fraude, mejora del servicio |
| Comunicaciones con soporte | 3 anos | Historial de incidencias, posibles acciones legales |
Una vez expirado el plazo aplicable, los datos serán suprimidos de forma segura o anonimizados irreversiblemente. La anonimización hace que los datos dejen de ser datos personales y pueden conservarse con fines estadísticos.
6. Tus derechos
El RGPD y la LOPD-GDD te reconocen los siguientes derechos en relación con tus datos personales. Puedes ejercerlos en cualquier momento de forma gratuita:
Derecho de acceso
Tienes derecho a obtener confirmación sobre si tratamos tus datos y, en caso afirmativo, a acceder a los mismos y a la información recogida en esta política.
Derecho de rectificacion
Tienes derecho a solicitar la corrección de datos inexactos o incompletos que te conciernan.
Derecho de supresion
Tienes derecho a solicitar la eliminación de tus datos cuando ya no sean necesarios, hayas retirado el consentimiento o el tratamiento sea ilícito, salvo que exista una obligación legal de conservarlos.
Derecho de limitacion
Tienes derecho a solicitar que suspendamos el tratamiento de tus datos mientras se verifica la exactitud de los mismos o se resuelve una oposicion.
Derecho de oposicion
Tienes derecho a oponerte al tratamiento de tus datos basado en interés legítimo. Atenderemos tu solicitud salvo que existan motivos imperiosos que prevalezcan.
Derecho de portabilidad
Tienes derecho a recibir los datos que nos has proporcionado en un formato estructurado, de uso común y lectura mecánica (JSON/CSV), y a transmitirlos a otro responsable.
Cómo ejercer tus derechos
Puedes ejercer cualquiera de estos derechos mediante solicitud escrita dirigida a:
- Email: dpo@beyondthevoices.com
- Plazo de respuesta: 1 mes (prorrogable 2 meses más en casos complejos)
- Identificación: Debes acreditar tu identidad adjuntando copia de DNI u otro documento válido
Si no quedas satisfecho/a con nuestra respuesta, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), autoridad de control competente en España.
7. Cookies
Utilizamos cookies y tecnologías similares para el funcionamiento de la plataforma y la mejora del servicio. Para información detallada sobre las cookies que utilizamos y cómo gestionarlas, consulta nuestra Política de Cookies.
8. Seguridad de los datos
Aplicamos medidas técnicas y organizativas apropiadas para proteger tus datos personales contra el acceso no autorizado, la pérdida accidental, la alteración o la divulgación. Entre estas medidas:
- Cifrado en transito mediante TLS 1.3 para todas las comunicaciones
- Cifrado en reposo de datos sensibles (tokens OAuth cifrados con AES-256)
- Autenticacion de dos factores disponible para todos los usuarios
- Control de acceso basado en roles con Row Level Security (RLS) en Supabase
- Auditorías periódicas de seguridad y pruebas de penetración
- Copias de seguridad cifradas con retención de 30 días
- Acceso a datos de produccion restringido al personal estrictamente necesario
- Plan de respuesta ante incidentes y notificación a la AEPD en menos de 72 horas en caso de brecha grave
9. Menores de edad
Beyond The Voices es una plataforma dirigida exclusivamente a personas mayores de 18 años. No recogemos conscientemente datos personales de menores de edad. Si tienes conocimiento de que un menor ha proporcionado datos sin el consentimiento paterno, te rogamos nos lo comuniques a legal@beyondthevoices.com para proceder a su eliminación inmediata.
10. Modificaciones de esta política
Podemos actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas, en la legislación aplicable o en los servicios prestados. Cuando realicemos cambios materiales, te lo notificaremos por email o mediante un aviso destacado en la plataforma con al menos 30 días de antelación. La continuación en el uso de la plataforma tras la entrada en vigor de la nueva política implica la aceptación de los cambios. La versión vigente siempre estará disponible en beyondthevoices.com/legal/privacidad.
Preguntas sobre esta página: legal@beyondthevoices.com
Un producto de Pro Tech Solutions — Madrid, Espana