Política de Privacidad

1. Responsable del Tratamiento

1.1. Identidad

El responsable del tratamiento de sus datos personales es Headway Trips OÜ (en adelante, "nosotros", "nuestro" o "la Empresa"), con domicilio social en Viru väljak 2, 10111 Tallinn, Harju maakond, Estonia.

Cuando en este Aviso de Privacidad se usa "nosotros", "nos" o "nuestro/a", se hace referencia a Headway Trips OÜ como Responsable del Tratamiento en relación con nuestra plataforma web y los servicios de viajes que prestamos conforme a nuestros Términos y Condiciones Generales.

Número de registro mercantil en Estonia: 17457130. Verificación pública: https://ariregister.rik.ee/eng/company/17457130.

Datos registrales complementarios: forma jurídica Private limited company (OÜ), estado registral Entered into the register, fecha de registro 12.03.2026, capital social 100 EUR, ejercicio fiscal 01.01 - 31.12, domicilio registrado Harju maakond, Tallinn, Kesklinna linnaosa, Viru väljak 2, 10111, actividad principal Tour operator activities (EMTAK 79121) y situación VAT The legal person is not liable to VAT.

Su confianza es el valor más importante para nosotros. En este Aviso de Privacidad le mostraremos nuestras responsabilidades en materia de privacidad y seguridad de sus datos, conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (Reglamento General de Protección de Datos, "RGPD") y demás normativa aplicable.

1.2. Delegado de Protección de Datos

Headway Trips cuenta con un responsable de protección de datos que supervisa y asesora en relación con el tratamiento de datos realizado con respeto a su privacidad y de conformidad con la normativa aplicable. Para cualquier consulta relacionada con la protección de sus datos, puede contactarnos en privacy@headwaytrips.com.

1.3. Definiciones

Para una mejor comprensión de este Aviso de Privacidad, utilizamos los siguientes conceptos basados en el RGPD: Datos Personales (toda información relativa a una persona física identificada o identificable), Responsable del Tratamiento (quien determina los fines y medios del tratamiento), Encargado del Tratamiento (quien trata datos por cuenta del responsable), Bases Jurídicas (fundamentos legales que legitiman el tratamiento), Datos Sensibles (categorías especiales de datos conforme al art. 9 RGPD) y Terceros Países (países fuera del Espacio Económico Europeo).

2. Finalidades del Tratamiento de sus Datos

El objetivo principal del tratamiento es ofrecerle servicios de organización y mediación de viajes de acuerdo con nuestros Términos y Condiciones Generales. Nos basamos en diferentes fundamentos jurídicos para cada finalidad de tratamiento.

2.1. Gestión de reservas y servicios de viaje

Contrato Interés legítimo

Durante el proceso de reserva, le solicitamos los datos necesarios para prestarle nuestros servicios de organización de viajes: gestión de la reserva, emisión de documentación de viaje, contratación de servicios con proveedores (alojamiento, transporte, actividades), procesamiento de pagos y envío de confirmaciones e itinerarios.

2.2. Firma electrónica de documentos (FIP)

Contrato Obligación legal

Utilizamos servicios de firma electrónica (Firma.dev) para la formalización del contrato de viaje combinado (Ficha Informativa del Paquete). Sus datos de identificación y correo electrónico se comparten con el proveedor de firma electrónica exclusivamente para la emisión y gestión de la firma del documento contractual, conforme al Reglamento eIDAS (UE) N.º 910/2014.

2.3. Comunicaciones

Contrato Interés legítimo

Podemos ponernos en contacto con usted a través de los medios que nos ha facilitado (correo electrónico, teléfono) para fines relacionados con el contrato: confirmaciones de reserva, recordatorios de pago, alertas sobre cambios en el itinerario, comunicaciones de emergencia y encuestas de calidad post-viaje.

2.4. Comunicaciones comerciales y marketing

Consentimiento Interés legítimo

Con su consentimiento previo, o cuando exista una relación contractual previa con usted y se trate de productos o servicios similares, podemos enviarle comunicaciones comerciales sobre ofertas de viajes, novedades y promociones. Puede revocar su consentimiento en cualquier momento mediante el enlace de baja incluido en cada comunicación o contactándonos directamente.

2.5. Mejora de servicios y análisis

Interés legítimo

Utilizamos datos de navegación y del dispositivo con fines funcionales y analíticos para optimizar nuestra plataforma, adaptarla a las necesidades de nuestros clientes y mejorar la experiencia de usuario. Nos esforzamos por utilizar datos seudonimizados o anonimizados para estos fines.

2.6. Seguridad y prevención de fraude

Obligación legal Interés legítimo

Podemos utilizar los datos para la detección y prevención del fraude y otras actividades ilegales, así como con fines de seguridad (autenticación de usuarios, verificación de reservas y pagos). Nuestro objetivo es crear y mantener un entorno de confianza para todos los usuarios y proveedores.

2.7. Cumplimiento legal

Obligación legal Interés legítimo

En determinados casos, es posible que necesitemos utilizar sus datos para gestionar y resolver litigios, cumplir con requisitos legales o requerimientos de autoridades competentes, y hacer cumplir nuestros Términos y Condiciones Generales.

2.8. Decisiones automatizadas

Headway Trips no toma decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o le afecten significativamente de forma similar.

3. Tipos de Datos que Tratamos

En función de los servicios que utilice y cómo interactúe con nosotros, podemos tratar diferentes categorías de datos personales:

3.1. Datos de identificación y contacto

Nombre completo, documento de identidad o pasaporte, fecha de nacimiento, nacionalidad, dirección de correo electrónico, número de teléfono y dirección postal. Estos datos nos los facilita usted directamente durante el proceso de reserva o consulta.

3.2. Datos de pago

Información necesaria para procesar pagos. Los datos de tarjeta o cuenta bancaria son procesados directamente por nuestro proveedor de pagos (Revolut) y nunca son almacenados en nuestros servidores. Headway Trips solo conserva referencias de transacción y confirmaciones de pago.

3.3. Datos sobre viajes

Información relativa a sus reservas: destinos, fechas de viaje, preferencias de alojamiento, requisitos dietéticos, necesidades especiales de accesibilidad, datos de acompañantes y pasajeros incluidos en la reserva.

3.4. Datos de comunicaciones

Contenido de los mensajes que nos envía a través del formulario de contacto, correo electrónico, solicitudes de cotización y cualquier otra comunicación mantenida con nuestro equipo.

3.5. Datos de navegación y del dispositivo

Datos que podemos recopilar automáticamente cuando visita nuestra plataforma: dirección IP, tipo de navegador y dispositivo, sistema operativo, páginas visitadas, tiempo de permanencia, URL de referencia y datos de cookies (ver sección 8).

3.6. Datos sensibles

Nos esforzamos por limitar las circunstancias en las que recopilamos y procesamos datos sensibles (categorías especiales de datos conforme al art. 9 RGPD). Por favor, evite proporcionarnos datos sensibles (información médica, creencias religiosas, origen étnico, etc.) a menos que sea estrictamente necesario para la prestación del servicio (por ejemplo, requisitos dietéticos por motivos de salud o alergias alimentarias relevantes para el viaje).

3.7. Datos de menores

Nuestros servicios no están dirigidos a menores de 18 años. Solo tratamos datos de menores cuando son pasajeros incluidos en una reserva realizada por su padre, madre o tutor legal, quien actúa como responsable de proporcionar dichos datos y otorgar el consentimiento necesario.

4. Destinatarios de sus Datos

Para la prestación de nuestros servicios, podemos compartir sus datos personales con las siguientes categorías de destinatarios:

4.1. Proveedores de servicios de viaje

Hoteles, empresas de transporte, operadores de actividades turísticas y otros prestadores de servicios necesarios para ejecutar su reserva. Estos proveedores actúan como responsables del tratamiento independientes y tratarán sus datos conforme a sus propias políticas de privacidad.

4.2. Proveedores de servicios tecnológicos

Entidades que nos prestan servicios de soporte tecnológico, actuando como encargados del tratamiento bajo nuestras instrucciones y con las garantías contractuales adecuadas:

• Supabase (Supabase Inc.): Alojamiento de base de datos y autenticación
• Vercel (Vercel Inc.): Alojamiento de la plataforma web
• Revolut (Revolut Ltd.): Procesamiento de pagos
• Firma.dev: Firma electrónica de documentos contractuales
• Resend (Resend Inc.): Envío de correos electrónicos transaccionales
• Sentry (Functional Software Inc.): Monitorización de errores de la plataforma
• Clerk (Clerk Inc.): Gestión de autenticación de administradores

4.3. Autoridades competentes

Podríamos revelar sus datos a autoridades gubernamentales, judiciales o fuerzas de seguridad en la medida en que lo exija la ley o sea estrictamente necesario para prevenir, detectar o perseguir actos delictivos y fraudes. Dichas autoridades actuarán como responsables del tratamiento independientes.

4.4. Aseguradoras

En caso de que usted contrate un seguro de viaje a través de nosotros o cuando sea necesario para la gestión de incidencias durante el viaje, podemos compartir datos relevantes con la compañía aseguradora correspondiente.

Headway Trips no vende ni alquila sus datos personales a terceros con fines de marketing directo.

5. Seguridad y Conservación de sus Datos

5.1. Medidas de seguridad

Implementamos medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde al riesgo, incluyendo: cifrado de datos en tránsito (TLS/HTTPS), cifrado de datos en reposo, control de acceso basado en roles, verificación de webhooks mediante HMAC-SHA256, políticas de seguridad a nivel de fila (RLS) en la base de datos, cabeceras de seguridad HTTP (HSTS, CSP, X-Frame-Options), y auditorías de seguridad periódicas. No obstante, ningún método de transmisión por Internet es absolutamente seguro.

5.2. Plazos de conservación

Conservamos sus datos personales durante el tiempo necesario para cumplir con las finalidades para las que fueron recogidos:

• Datos de reserva y contractuales: Durante la vigencia de la relación contractual y, posteriormente, durante el plazo de prescripción de las acciones legales aplicables (generalmente 3 años conforme a la Directiva (UE) 2015/2302)
• Datos fiscales y contables: El plazo legalmente exigido (generalmente 5-7 años)
• Datos de comunicaciones comerciales: Hasta que revoque su consentimiento
• Datos de navegación y cookies: Conforme a los plazos indicados en nuestra política de cookies
• Datos de contacto y consultas: Hasta 2 años desde la última comunicación

5.3. Transferencias internacionales de datos

Algunos de nuestros proveedores de servicios tecnológicos están establecidos en Estados Unidos u otros terceros países fuera del Espacio Económico Europeo (EEE). Para dichas transferencias internacionales, nos aseguramos de que se implementen las garantías adecuadas conforme al RGPD:

• Decisiones de adecuación de la Comisión Europea (art. 45 RGPD), cuando el país de destino cuente con una
• Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (art. 46.2.c RGPD), complementadas con medidas suplementarias cuando sea necesario
• Marco de Privacidad de Datos UE-EE.UU. (EU-US Data Privacy Framework), para proveedores estadounidenses certificados

Puede solicitar información adicional sobre las garantías específicas aplicadas a cada transferencia contactándonos en privacy@headwaytrips.com.

6. Sus Derechos

Conforme al RGPD (artículos 15 a 22), usted tiene los siguientes derechos en relación con sus datos personales:

• Derecho de acceso (art. 15): Obtener confirmación de si tratamos sus datos y, en tal caso, acceder a los mismos y a información sobre el tratamiento
• Derecho de rectificación (art. 16): Solicitar la corrección de datos personales inexactos o incompletos
• Derecho de supresión (art. 17): Solicitar la eliminación de sus datos cuando, entre otros motivos, ya no sean necesarios para los fines para los que fueron recogidos, retire su consentimiento o se hayan tratado ilícitamente
• Derecho a la limitación del tratamiento (art. 18): Solicitar la limitación del tratamiento en determinadas circunstancias (por ejemplo, mientras se verifica la exactitud de los datos)
• Derecho a la portabilidad (art. 20): Recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable
• Derecho de oposición (art. 21): Oponerse al tratamiento de sus datos basado en el interés legítimo, incluida la elaboración de perfiles. En caso de marketing directo, la oposición será efectiva de forma inmediata
• Derecho a retirar el consentimiento: Cuando el tratamiento se base en su consentimiento, puede retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo

7. Cookies y Tecnologías de Seguimiento

Nuestra plataforma utiliza cookies y tecnologías similares. Las cookies son pequeños archivos de texto que se almacenan en su dispositivo cuando visita nuestro sitio web. Utilizamos las siguientes categorías:

• Cookies estrictamente necesarias: Imprescindibles para el funcionamiento del sitio web (sesión, autenticación, seguridad). No requieren consentimiento
• Cookies funcionales: Permiten recordar sus preferencias y configuraciones para mejorar su experiencia
• Cookies analíticas: Nos ayudan a entender cómo interactúan los usuarios con la plataforma para mejorar su funcionamiento (Sentry para monitorización de errores)

Puede configurar su navegador para rechazar todas las cookies o para que le avise cuando se envía una cookie. Tenga en cuenta que si desactiva las cookies, es posible que algunas funcionalidades del sitio no estén disponibles. Conforme a la Directiva 2002/58/CE (Directiva ePrivacy), solo instalamos cookies no esenciales con su consentimiento previo.

8. Disposiciones Específicas Regionales

8.1. Unión Europea y Espacio Económico Europeo

Si usted reside en la UE/EEE, el tratamiento de sus datos se rige por el RGPD. Todas las bases jurídicas, derechos y garantías descritos en este Aviso de Privacidad se aplican plenamente. Puede presentar reclamaciones ante la autoridad de protección de datos de su país de residencia.

8.2. Latinoamérica

Si usted reside en países de Latinoamérica, respetamos la normativa local de protección de datos aplicable (como la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México, la Ley 25.326 de Argentina, o la LGPD de Brasil, según corresponda). Los derechos reconocidos en este Aviso incluyen los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) y equivalentes previstos en su legislación local.

9. Actualizaciones de este Aviso

Podemos modificar este Aviso de Privacidad periódicamente para asegurarnos de que está actualizado y refleja cualquier cambio en nuestras prácticas de tratamiento de datos o en la normativa aplicable. Le notificaremos sobre cambios significativos publicando la versión actualizada en nuestra plataforma y, cuando sea apropiado y dispongamos de sus datos de contacto, enviándole una notificación directa. Le recomendamos visitar esta página con regularidad. La fecha de la última actualización se indica al inicio del documento.

10. Contacto

Si tiene preguntas sobre este Aviso de Privacidad, sobre el tratamiento de sus datos personales o desea ejercer sus derechos, puede contactarnos a través de los siguientes medios: