Aviso de privacidad

Versión 2026-06-03-v1 · 3 de junio de 2026

1. Responsable del tratamiento

• Identidad: Hotel Riazor S.L.
• Domicilio: Avenida Pedro Barrié de la Maza 29, 15004 A Coruña, España
• CIF: B-15000000 (placeholder · pendiente confirmación cliente)
• Delegado de Protección de Datos (DPO): dpo@hotelriazor.com
• Teléfono: +34 981 25 34 00

2. Finalidad del tratamiento

Sus datos personales se tratan para:

• Cumplir la obligación legal del Real Decreto 933/2021 de comunicación de la información sobre el alojamiento de viajeros al Sistema de Entrada Única (SES.HOSPEDAJES) del Ministerio del Interior.
• Gestionar el contrato de alojamiento (check-in, asignación de habitación, facturación).
• Garantizar la seguridad de las personas y los bienes del establecimiento.

3. Base jurídica

• Obligación legal (RGPD Art. 6.1.c) · RD 933/2021, Ley Orgánica 4/2015 de protección de la seguridad ciudadana.
• Ejecución del contrato (RGPD Art. 6.1.b) · contrato de hospedaje.
• Consentimiento explícito (RGPD Art. 6.1.a) · para la captación de la imagen del documento de identidad, registrado de forma electrónica con marca temporal e IP en el momento del check-in.

4. Categorías de datos

• Identificativos: nombre, apellidos, fecha de nacimiento, sexo, nacionalidad.
• Documento: tipo, número, fecha de expedición y de caducidad, país emisor.
• Imagen del documento de identidad (cifrada AES-256-GCM en reposo).
• Domicilio del titular del documento.
• Datos del check-in: fecha de entrada y de salida, número de habitación, medio de pago.

5. Destinatarios

• Ministerio del Interior · Sistema SES.HOSPEDAJES (PUI) · destinatario legal obligatorio.
• Proveedores de servicios (encargados de tratamiento):
  • Vercel Inc. (alojamiento web · UE/EEUU · SCC firmadas).
  • Google LLC · Google Drive (almacenamiento cifrado de imágenes · EEUU · SCC firmadas + cifrado adicional en cliente).
  • Anthropic PBC · API Claude (lectura OCR del documento · EEUU · datos no se usan para entrenar modelo).
  • Supabase Inc. (base de datos · UE · cuando esté activado).
• Autoridades policiales y judiciales cuando lo requieran en el ejercicio de sus funciones.

6. Transferencias internacionales

Algunos encargados de tratamiento están ubicados en Estados Unidos. Estas transferencias se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) y, en su caso, en el marco EU-US Data Privacy Framework. Las imágenes de los documentos se cifran antes de ser transferidas (AES-256-GCM) y solo el responsable mantiene la clave de descifrado.

7. Plazo de conservación

Los datos del registro de viajeros se conservarán durante tres (3) años desde la fecha de check-out, plazo establecido por el RD 933/2021 art. 6.4. Transcurrido este plazo, los datos serán anonimizados o suprimidos de forma automática (proceso programado de borrado).

8. Derechos del interesado

Usted tiene derecho a ejercer, sin coste, los siguientes derechos:

• Acceso · obtener copia de los datos que tratamos sobre usted.
• Rectificación · corregir datos inexactos.
• Supresión · pedir el borrado, salvo cuando exista obligación legal de conservación (RD 933/2021).
• Oposición · oponerse al tratamiento por motivos relacionados con su situación particular.
• Portabilidad · recibir sus datos en un formato estructurado y de uso común.
• Limitación · pedir que solo se conserven los datos sin tratarlos.
• Revocar el consentimiento · en cualquier momento, sin efectos retroactivos.

Para ejercer cualquiera de estos derechos: escribir a dpo@hotelriazor.com adjuntando copia de su documento de identidad. Plazo máximo de respuesta: 30 días naturales.

9. Reclamación ante la AEPD

Si considera que el tratamiento no se ajusta a la normativa o no está conforme con la respuesta recibida en el ejercicio de sus derechos, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), c/ Jorge Juan 6, 28001 Madrid · aepd.es.

10. Medidas de seguridad

• Cifrado en tránsito (TLS 1.3) y en reposo (AES-256-GCM) para imágenes de documentos.
• Cadena de auditoría hash-encadenada (SHA-256) inmutable para todo acceso a datos sensibles.
• Control de acceso por roles · sesiones de personal con expiración 8 h.
• Tokens de huésped HMAC firmados con expiración corta.

11. Cambios en este aviso

Este aviso puede actualizarse. La versión vigente se identifica por la cabecera 2026-06-03-v1. Los cambios sustanciales se comunicarán y, en su caso, se solicitará nuevo consentimiento.