HelloSafe

Política de privacidad

Actualizado: 5 may 2026

Esta traducción se ofrece a título informativo; en caso de discrepancia, prevalece la versión francesa.

HELLO SAFE, SAS (en adelante «HelloSafe», «nosotros») concede especial importancia a la protección de tus datos personales. HelloSafe es un marketplace independiente de seguros de viaje: no es aseguradora ni correduría y no asume el riesgo de ninguna póliza. Esta política describe los tratamientos que realizamos sobre tus datos en el marco del programa de partners de HelloSafe.

1. Responsable del tratamiento

El responsable del tratamiento es HELLO SAFE, cuyos datos de contacto están disponibles en nuestro aviso legal.

2. Datos recogidos y finalidades

Tratamos las siguientes categorías de datos:

  • Datos de registro (correo electrónico, nombre, contraseña cifrada, razón social, sitio web, audiencia, país): para crear y gestionar tu cuenta de partner. Base jurídica: ejecución del contrato.
  • Datos de perfil (logotipo, lema, persona): para personalizar tu espacio y el entregable Coach. Base jurídica: ejecución del contrato.
  • Datos de seguimiento de afiliación (IP cifrada, user-agent, referente, país aproximado): para medir los clics en tus enlaces de seguimiento. Las IP nunca se almacenan en claro, solo su hash SHA-256 con sal. Base jurídica: interés legítimo en medir la actividad del programa.
  • Datos de conversión (importe, comisión, identificador de pedido externo, estado): para calcular tus comisiones. Base jurídica: ejecución del contrato.
  • Datos de análisis del Coach (referencia de cliente, franja de edad, destino, etc.): para generar los análisis de cobertura que entregas a tus clientes. Base jurídica: ejecución del contrato.

3. Encargados del tratamiento

Utilizamos los siguientes encargados del tratamiento, todos ellos comprometidos contractualmente a cumplir el RGPD:

  • Cloudflare, Inc. (Estados Unidos): alojamiento, CDN y ejecución de funciones serverless. Transferencia fuera de la UE amparada por las cláusulas contractuales tipo.
  • Supabase, Inc. (Estados Unidos; base de datos y autenticación alojadas en la Unión Europea): base de datos PostgreSQL, gestión de cuentas y autenticación.
  • Resend Inc. (Estados Unidos): correos electrónicos transaccionales.
  • Google LLC (Estados Unidos): autenticación opcional mediante OAuth 2.0 (solo si eliges «Iniciar sesión con Google»). Transferencia fuera de la UE amparada por las cláusulas contractuales tipo.
  • PostHog: analítica de producto, configurada en modo sin cookies de terceros; no se realiza ninguna grabación de sesión.

4. Plazos de conservación

  • Cuenta de partner: durante toda la relación, más 3 años tras la última actividad (prescripción comercial).
  • Registros de conexión y seguimiento: 13 meses.
  • Datos de facturación y comisiones: 10 años (obligación contable).
  • Datos de análisis del Coach: 3 años desde su creación.

5. Tus derechos

Conforme al RGPD y a la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), dispones de los siguientes derechos: acceso, rectificación, supresión, limitación, oposición, portabilidad y retirada del consentimiento (cuando resulte aplicable). Puedes ejercerlos a través de nuestra página de contacto.

También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos, AEPD (aepd.es). Respondemos a tus solicitudes en el plazo de un mes desde su recepción.

6. Cookies

Utilizamos únicamente cookies esenciales para el funcionamiento del Sitio (sesión de autenticación, atribución de un clic de afiliación a un partner). Estas cookies no requieren tu consentimiento previo, al ser estrictamente necesarias para prestar el servicio que solicitas.

Nuestra herramienta de analítica de producto (PostHog) está configurada en modo cookieless: no deposita ninguna cookie de terceros ni realiza grabación de sesión ni captura automática de los campos de formulario.

7. Seguridad

Contraseñas cifradas con bcrypt por nuestro proveedor de autenticación, transferencias en HTTPS, IP anonimizadas antes de su almacenamiento y principio de mínimo privilegio en los accesos de administración. Los incidentes de seguridad graves se notifican a la AEPD y a las personas afectadas en un plazo de 72 horas.