Privacidad y cookies

Última actualización: 2026-05-24

Responsable del tratamiento

Sytue Projects, S.L., NIF B88729900, con domicilio social en Madrid (España), es el responsable del tratamiento de los datos personales recogidos a través de unplan.es. Inscrita en el Registro Mercantil mediante asiento de presentación n.º 10/2026/11875, Hoja 887153, Sección GNE, con fecha 13 de mayo de 2026 (ver detalle en el Aviso legal). Para cualquier consulta sobre privacidad o ejercicio de derechos, contacta con reservas@unplan.es.

Sytue Projects, S.L. no está obligada a nombrar Delegado de Protección de Datos (DPO) en aplicación del art. 37 RGPD por su volumen y tipo de tratamiento. El email indicado canaliza todas las solicitudes de protección de datos.

Quiénes somos

unplan.es es un planificador de viajes y servicio concierge de reservas. Actuamos como intermediario por mandato del cliente: con tu pago reservamos en tu nombre con cada proveedor real (aerolíneas, hoteles, restaurantes, etc.) y te entregamos los localizadores. Las reservas finales se rigen por las políticas de cada proveedor.

Datos que tratamos

• Email del cliente: para enviarte los localizadores y permitir el acceso a Mis planes con un enlace mágico de un solo uso (válido 30 minutos) o el inicio de sesión con Google.
• Plan de viaje y selecciones: ciudad, fechas, número de viajeros, presupuesto, estilo y opciones elegidas.
• Datos de pago: procesados directamente por Stripe — nosotros nunca vemos tu tarjeta.
• Localizadores: códigos de reserva que devolvemos tras ejecutar las compras con cada proveedor. Se almacenan cifrados at-rest en nuestra base de datos.
• Datos del viajero (si el proveedor lo exige — vuelos NDC, hoteles E2E): nombre completo, fecha de nacimiento, nacionalidad, número de pasaporte / documento de identidad y fechas de validez / país emisor. Todos estos campos se cifran at-rest y se transmiten al proveedor real únicamente por canales TLS para completar la reserva.

Base jurídica del tratamiento (art. 6 RGPD)

• Ejecución del contrato (art. 6.1.b): tratamiento del email, plan, datos de pago, localizadores y datos del viajero para ejecutar las reservas que has contratado.
• Cumplimiento de obligaciones legales (art. 6.1.c): conservación de facturas y registros fiscales conforme a la legislación tributaria española (RDL 4/2015, LGT 58/2003) y a la normativa de prevención del blanqueo de capitales cuando proceda.
• Interés legítimo del responsable (art. 6.1.f): detección de fraude y abuso automatizado mediante limitación de frecuencia (rate-limiting) por IP en los endpoints de pago y autenticación, control de errores y métricas agregadas y anónimas de uso del servicio, y atribución agregada de las reservas que generamos a sus proveedores reales (sin perfilado del usuario).
• Consentimiento (art. 6.1.a): inicio de sesión con Google y cualquier comunicación comercial no transaccional. Puedes retirarlo en cualquier momento escribiendo a reservas@unplan.es; la retirada no afecta a tratamientos basados en las otras bases jurídicas.

unplan.es no realiza decisiones automatizadas con efectos jurídicos o significativos sobre los clientes en el sentido del art. 22 RGPD. El recomendador del wizard es una ayuda algorítmica para sugerir destinos / planes, pero la decisión final de contratar el plan recae siempre en el cliente y se confirma con su clic expreso de pago.

Limitación y minimización del tratamiento

Aplicamos los principios del art. 5 RGPD de forma estricta y verificable:

• Minimización de datos (art. 5.1.c): solo recogemos los datos imprescindibles para planificar y ejecutar tu reserva. Los datos sensibles del viajero (pasaporte, fecha de nacimiento, nacionalidad) solo se solicitan cuando el proveedor real los exige para emitir esa reserva concreta — nunca con carácter general ni anticipado.
• Limitación de la finalidad (art. 5.1.b): los datos se tratan únicamente para los fines descritos en esta política (ejecutar reservas, atención al cliente y obligaciones legales). No vendemos, alquilamos ni cedemos tus datos con fines publicitarios. A cada proveedor real se le transmiten exclusivamente los datos imprescindibles para completar su reserva.
• Limitación del plazo de conservación (art. 5.1.e): cada categoría de dato tiene un plazo definido y una purga automática (ver «Conservación»): datos del viajero a los 90 días del fin del viaje, planes sin pagar a los 12 meses, enlaces de acceso a los 7 días.
• Integridad y confidencialidad (art. 5.1.f y art. 32): los localizadores y los datos sensibles del viajero se almacenan cifrados; la búsqueda por email se realiza mediante un índice ciego que evita almacenar el correo en claro a efectos de indexación. Los datos de tarjeta nunca llegan a nuestros sistemas (los procesa Stripe).
• Minimización en analítica y registros: la analítica es agregada y sin identificadores de visitante, con la IP anonimizada. La telemetría enviada desde tu navegador elimina los identificadores personales (referencias de pedido, email, tokens) antes de salir de tu dispositivo, y nuestros registros técnicos no almacenan identificadores personales en claro.

Cookies

unplan.es no instala cookies de marketing, publicidad ni afiliación en tu navegador. Las únicas cookies first-party que utilizamos son las esenciales para que el wizard y la sesión funcionen.

Cookies esenciales (sin consentimiento)

• tbs_sid: cookie de sesión httpOnly que asocia los planes que guardas (sin pagar) a tu navegador. Caduca en 1 año. Se puede borrar desde la configuración del navegador.
• cookie_consent en localStorage: guarda tu acuse de recibo del banner informativo para no volver a mostrarlo.

Redes de afiliación (cookies en otros dominios)

Cuando haces clic en un enlace a un proveedor, podemos redirigirte a través de un redirector de una red de afiliación para que se nos atribuya correctamente la reserva si finalmente compras. Esa redirección ocurre en el dominio de la red, no en unplan.es, y es la red la que (en su caso) instala una cookie en su propio dominio conforme a su política de privacidad:

• Awin (awin1.com): redirector con tracking de clic para los merchants europeos del catálogo (Skyscanner, Tiqets, Viator, Groupon, Time Out, Klook, GuruWalk).
• TradeDoubler (tradedoubler.com): redirector con tracking de clic para los merchants ES de la red TradeDoubler (Atrápalo, Vivaticket, Entradas.com, Fever, Destinia, GetYourGuide fallback).
• Impact (impactradius.com): redirector con tracking de clic para Fever (eventos y experiencias).
• Travelpayouts (tp.media): atribución por marker en el deeplink (Aviasales, WeGoTrip); sin píxel de tracking propio en unplan.es.

No tenemos acceso a las cookies que estas redes instalan en sus dominios ni podemos leerlas. Si quieres bloquearlas, puedes desactivar las cookies de terceros en tu navegador o usar la configuración propia de cada red (los enlaces a sus políticas están disponibles bajo demanda en reservas@unplan.es).

Puedes volver a mostrar el banner informativo de cookies en cualquier momento.

Subprocesadores

• Google Cloud (Google Cloud EMEA Ltd. / Google LLC) — alojamiento del backend, del frontend y de la base de datos (planes y órdenes). El procesamiento y almacenamiento se realizan en la UE (Madrid).
• Analítica de tráfico web — privacy-first y auto-alojada en nuestra propia infraestructura: no usa cookies, no asigna identificadores persistentes y no construye perfiles de visitante. No empleamos analítica de terceros ni publicidad comportamental. La IP se anonimiza antes de procesarla y la IP completa nunca se almacena. Base jurídica: interés legítimo del prestador para medir uso agregado del servicio (art. 6.1.f RGPD); por la ausencia de cookies y de identificación individual, no requiere consentimiento previo (Considerando 47 RGPD y guía AEPD/EDPB sobre cookies analíticas exentas).
• Stripe (procesamiento de pagos) — UE/EEUU bajo cláusulas tipo
• Resend (envío de emails transaccionales)
• Cloudflare (DNS + Email Routing)
• Google (inicio de sesión opcional con Google para acceder a Mis planes — solo se activa si pulsas el botón "Continuar con Google")
• Asistente automatizado de reservas — un navegador efímero auto-alojado en nuestra propia infraestructura de Google Cloud (UE, Madrid) pre-rellena, por tu mandato, el formulario del proveedor con los datos del viajero. La sesión es efímera (sin grabación) y caduca; los datos no salen de la UE ni se conservan. (No empleamos ningún proveedor de navegador de terceros.)
• Anthropic (modelo de IA que decide qué campo del formulario rellenar; mediante variables, los datos personales se insertan directamente en el formulario sin enviarse al modelo, que tampoco los emplea para entrenamiento) — EE. UU., bajo cláusulas tipo

Tus derechos (RGPD)

Tienes derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición. Para ejercerlos, escribe a reservas@unplan.es. Plazo máximo de respuesta: 30 días.

También puedes presentar una reclamación ante la AEPD: aepd.es. Para resolver litigios online de consumo en la UE puedes acudir a la Plataforma ODR de la Comisión Europea.

Aviso legal y Condiciones de Contratación

La contratación del servicio se rige por el Aviso legal y las Condiciones Generales de Contratación, que detallan precio, IVA, política de cancelación y la excepción al derecho de desistimiento de 14 días aplicable a los servicios de viaje con fecha fija (art. 103.l del RDL 1/2007).

Conservación

• Órdenes pagadas (incluye email, plan, importe, localizadores cifrados, factura): conservación durante 6 años conforme al art. 30 del Código de Comercio y al art. 66 LGT (58/2003), prorrogables si existe procedimiento administrativo o judicial abierto.
• Datos del viajero (pasaporte / DOB / nacionalidad cuando el proveedor los exige): se purgan 90 días después de la fecha de finalización del viaje, salvo que la conservación más prolongada sea necesaria para resolver una incidencia (reembolsos, fraude, reclamación del cliente o del proveedor).
• Planes guardados sin pagar: hasta que el cliente los borre o, en defecto, 12 meses desde la última actividad en su Mis planes.
• Magic links: 30 minutos de validez. Tras expirar se purgan automáticamente en un plazo máximo de 7 días.
• Logs de aplicación y observabilidad (Google Cloud): según política del proveedor, máximo 30 días.

Una vez agotado el periodo aplicable, los datos se eliminan o se anonimizan (estadística agregada). Para solicitar supresión anticipada en los términos del art. 17 RGPD, escribe a reservas@unplan.es; tu petición se atenderá en un plazo máximo de 30 días salvo obligación legal de conservación.

Transferencias internacionales

El alojamiento y la base de datos se realizan en la UE (Madrid); al ser Google LLC una entidad con matriz en EE. UU., dicho tratamiento se ampara — como el de los demás proveedores estadounidenses — en las Cláusulas Contractuales Tipo y el EU–U.S. Data Privacy Framework. Los subprocesadores con servidores fuera del Espacio Económico Europeo (Stripe Inc. en EE. UU. para el procesamiento de pagos; Resend Inc. en EE. UU. para el envío de emails transaccionales; Cloudflare Inc. en EE. UU. para DNS y enrutado de email; Google LLC para el alojamiento y el inicio de sesión opcional con Google; Anthropic PBC en EE. UU. para el asistente de reservas — el navegador que pre-rellena está auto-alojado en nuestra infra de Google Cloud en la UE, sin proveedor de navegador de terceros) operan al amparo de las Cláusulas Contractuales Tipo (CCT/SCC) aprobadas por la Decisión (UE) 2021/914 o, cuando estén certificadas, del marco EU–U.S. Data Privacy Framework.

Cambios en esta política

Si cambiamos algo material, te avisaremos por email a la dirección de tu última orden activa.