Skip to main content

Política de privacidad

Última actualización: mayo de 2026

Al utilizar la aplicación Rapid Hotel System («App» y/o «Servicio»), o cualquier otro servicio de visibleIT GmbH («visibleIT»), usted acepta nuestras políticas relativas a la recogida, uso y divulgación de información personal establecidas en esta política de privacidad.

Roles bajo el RGPD

Rapid Hotel System es una plataforma B2B. Existen dos relaciones distintas:

  • Datos de cuenta (correo, contraseña, nombre, idioma, registros de acceso, tokens push): visibleIT GmbH es responsable del tratamiento.
  • Datos gestionados por el hotel dentro del workspace de un hotel (entradas de logbook, interacciones con huéspedes, registros de reparaciones, inspecciones de habitaciones, expedientes personales, consultas comerciales, documentos subidos): el hotel que opera el workspace es el responsable del tratamiento; visibleIT GmbH es encargado del tratamiento que actúa siguiendo las instrucciones del hotel bajo un Acuerdo de Tratamiento de Datos (DPA). Los hoteles son responsables de la base legal, conservación y gestión de derechos de los datos que introducen en su workspace.

Información de usuarios con cuenta

Si crea una cuenta, requerimos información básica en el momento de la creación. Usted establece su propia contraseña y proporciona un correo electrónico válido. Opcionalmente puede facilitar más información, como «Información personal del usuario».

«Información personal del usuario» es cualquier información sobre un usuario que pueda identificarlo, sola o junto con otra información. Ejemplos: nombre de usuario y contraseña, correo, nombre real, fotografía. Incluye datos personales según el RGPD.

No incluye información agregada y no identificable, que podemos usar para operar y mejorar nuestro sitio y servicio.

Por qué recogemos esta información

  • Para crear su cuenta y prestar los servicios solicitados.
  • Para identificarlo en Rapid Hotel System mediante su nombre de usuario.
  • Para completar su perfil y compartirlo con otros usuarios si lo solicita.
  • Para comunicarnos por correo solo si lo ha autorizado y para los fines acordados.
  • Para generar recomendaciones y entender el uso del servicio.
  • Para fines de seguridad o investigación de fraudes y ataques contra Rapid Hotel System o nuestros usuarios.
  • Para cumplir obligaciones legales, proteger nuestra propiedad intelectual y hacer cumplir nuestras condiciones.
  • Limitamos el uso a los fines aquí indicados; para otros fines pediremos su consentimiento.

Categorías de datos tratados en los workspaces de los hoteles

Cuando un hotel utiliza el Servicio, las siguientes categorías de datos personales pueden tratarse en su workspace según los módulos activados. El hotel actúa como responsable; visibleIT trata por cuenta del hotel.

  • Expediente personal (módulo RR. HH.): datos maestros de empleados (nombre legal completo, fecha de nacimiento, dirección, contacto de emergencia), datos de empleo (puesto, departamento, salario, tipo de contrato, fecha de alta), identificadores fiscales (Steuer-ID, número de la seguridad social, SSN de EE. UU., estado fiscal de EE. UU., Steuerklasse alemana), datos bancarios (IBAN, BIC, ABA routing de EE. UU., número de cuenta), seguro de salud (entidad, número de afiliación), permiso de trabajo y documentación I-9, ciudadanía, estado civil, número de hijos y documentos PDF subidos (contratos, copias de DNI, certificados).
  • Categorías especiales (art. 9 RGPD): el campo «Religión» (para Kirchensteuer en Alemania) es categoría especial. Solo se recoge cuando el hotel lo necesita para la nómina y con base legal art. 9.2.b RGPD (derecho laboral). Los datos del seguro de salud se tratan con la misma base.
  • Registros de auditoría: cada acción sobre un expediente personal se registra con autor, fecha y valores anteriores/posteriores. Conservación: 7 años (requisito legal alemán de Personalakte).
  • Ventas / CRM (cuando se publique el módulo): correos entrantes y salientes entre el hotel y posibles clientes, incluyendo nombres, datos de contacto y cualquier dato incluido por el cliente en su consulta.
  • Módulos operativos (Logbook, Reparaciones, Tareas, Inspecciones, Objetos perdidos, Paquetería, Encuestas, Archivos): pueden incluir nombres de huéspedes, números de habitación, fotos, comentarios del personal y archivos subidos.
  • Telemetría de cuenta: dirección IP de inicio de sesión, huella del dispositivo para cierre por inactividad, tokens de notificaciones push, idioma. visibleIT como responsable.

Conservación

  • Cuentas activas: los datos de cuenta se conservan mientras la cuenta esté activa.
  • Eliminación de cuenta: al eliminar la cuenta, los datos a nivel de cuenta se eliminan en 30 días. Los workspaces donde el usuario era miembro conservan el expediente hasta 3 años (requisito legal alemán), tras los cuales se purgan automáticamente, incluidos contenidos, documentos y objetos de almacenamiento.
  • Registros de auditoría: 7 años (auditoría de expediente personal), 2 años (auditoría general superadmin).
  • Datos gestionados por el hotel: el hotel define la conservación. visibleIT no elimina datos del hotel salvo instrucción del hotel u obligación legal.
  • Hoteles inactivos: los datos persisten hasta solicitud de eliminación o 90 días tras notificación final de cierre.

Definiciones según el RGPD

Datos personales: toda información relativa a una persona física identificada o identificable.

Interesado: persona física identificada o identificable.

Tratamiento: cualquier operación realizada sobre datos personales.

Seudonimización: tratamiento de modo que los datos ya no puedan atribuirse a un interesado sin información adicional.

Responsable: persona física o jurídica que determina los fines y medios del tratamiento.

Encargado: persona física o jurídica que trata datos personales por cuenta del responsable.

Destinatario: persona física o jurídica a quien se comunican los datos.

Tercero: persona distinta del interesado, responsable, encargado y personas autorizadas.

Consentimiento: manifestación libre, informada e inequívoca de la voluntad del interesado.

Responsable del tratamiento

visibleIT GmbH
Hunoldstr. 13
34479 Breuna
Alemania

Correo: [email protected]

Derechos del interesado

Para datos a nivel de cuenta (visibleIT como responsable), los derechos pueden ejercerse directamente con nosotros. Para datos del workspace (hotel responsable), las solicitudes deben dirigirse al hotel; visibleIT asistirá al hotel conforme al DPA.

Derecho de acceso

Todo interesado tiene derecho a obtener confirmación del tratamiento y acceso a sus datos. El módulo de Expediente personal incluye una exportación según art. 15 / 20 del RGPD: archivo ZIP con un clic que contiene el expediente completo (datos maestros, empleo, todos los documentos subidos, registro de auditoría) en formato legible por máquina.

Derecho de rectificación

Todo interesado tiene derecho a obtener la rectificación de datos inexactos sin demora indebida.

Derecho de supresión («derecho al olvido»)

Todo interesado tiene derecho a obtener la supresión sin demora indebida, sujeto a obligaciones legales de conservación (p. ej., conservación legal de Personalakte).

Derecho a la portabilidad

Todo interesado tiene derecho a recibir sus datos en formato estructurado, de uso común y legible por máquina. La exportación ZIP del Expediente personal cumple este derecho.

Derecho de oposición

Todo interesado tiene derecho a oponerse, por motivos de su situación particular, al tratamiento de sus datos.

Medidas de seguridad

  • Acceso solo autenticado: los documentos del expediente personal y otros medios sensibles se obtienen mediante Firebase Storage con la sesión autenticada del usuario — sin URLs públicas compartibles.
  • Cifrado en tránsito: toda comunicación con TLS 1.2 o superior.
  • Cifrado en reposo: cifrado por defecto de Google Cloud para todos los datos de Firestore y Cloud Storage.
  • Pista de auditoría: cada acción del expediente personal se registra con autor, fecha y valores anteriores/posteriores.
  • Controles de acceso: permisos granulares CRUD por módulo, kill-switch a nivel de hotel, MFA opcional (planificado).
  • Gestión de secretos: todos los tokens de API de terceros (Postmark, etc.) en Google Cloud Secret Manager.

Transferencias internacionales

Los datos se alojan por defecto en la región europe-west3 (Frankfurt) de Google Cloud. Algunos metadatos operativos (logging, errores) pueden tratarse en la infraestructura global de Google, regulados por las Cláusulas Contractuales Tipo de Google para transferencias fuera del EEE.

Servicios de terceros (subencargados)

Google Cloud / Firebase

Utilizamos Firebase Authentication, Firestore, Cloud Storage, Cloud Functions, Cloud Scheduler y Crashlytics para operar el Servicio. Todos los servicios Firebase corren en Google Cloud Platform. Datos almacenados en europe-west3 (Frankfurt) por defecto. Sujetos al Data Processing Addendum de Google.

Google Vertex AI (Gemini)

Utilizamos los modelos Gemini de Vertex AI de Google para funciones asistidas por IA (generación de plantillas de encuestas e inspecciones y — cuando se publique — análisis de consultas comerciales). Los prompts pueden incluir contenido del hotel; las salidas se devuelven como datos estructurados. Los datos enviados a Vertex AI se tratan según los términos de tratamiento de Google Cloud y no se utilizan para entrenar modelos de Google. Alojados en la infraestructura global de Vertex AI con residencia de datos en la UE cuando esté disponible.

Postmark – envío de correos

Utilizamos Postmark para entrega de correos transaccionales (verificación de cuenta, restablecimiento de contraseña, resúmenes de expediente, notificaciones del hotel). Postmark trata direcciones y contenido de mensajes para entregar correos en nuestro nombre. Se aplica el programa de privacidad UE de Postmark. Los correos de resumen de expediente personal contienen únicamente contadores y un enlace — sin nombres ni valores.

Stripe – procesamiento de pagos

Utilizamos Stripe para pagos, analítica y otros servicios. Stripe recoge información identificativa de los dispositivos, también para detección de fraude.

Google Analytics

Este sitio utiliza Google Analytics. Empleamos la función «_anonymizeIp» para anonimizar IP. Su IP se trunca dentro de los Estados miembros de la UE/EEE.

Políticas de privacidad de terceros

Acuerdo de tratamiento de datos (DPA)

Los hoteles que utilizan el Servicio para gestionar expedientes personales, consultas comerciales o datos de huéspedes actúan como responsables conforme al RGPD. Bajo solicitud proporcionamos un DPA para formalizar la relación de encargo. Contacto: [email protected] — solicite un DPA firmado antes de desplegar el Servicio en producción.

Contacto

Si tiene preguntas sobre esta Política de privacidad, contáctenos en [email protected].