Política de privacidad

Última actualización: 28 de abril de 2026

A quién se aplica esta política

Esta política describe cómo tratamos los datos personales de los propietarios y administradores de estudios que utilizan la plataforma Class Booking. Si eres cliente final (miembro, alumno o cliente) de un estudio que utiliza Class Booking, consulta la propia política de privacidad de dicho estudio: el estudio es el responsable del tratamiento de los datos de sus miembros.

1. Responsable del tratamiento

Class Booking es el responsable del tratamiento de los datos personales que recopilamos sobre ti como usuario de la plataforma. «Nosotros», «nos» y «nuestro» hacen referencia a la entidad indicada a continuación.

Class Booking

Operado por Nahbo ApS

Dinamarca

Número de registro mercantil danés (CVR): 45880583

Correo electrónico: [email protected]

Puedes ponerte en contacto con nosotros en cualquier momento si tienes preguntas sobre cómo tratamos tus datos personales.

No hemos designado un delegado de protección de datos (DPD), dado que nuestras actividades de tratamiento no cumplen los criterios establecidos en el artículo 37 del RGPD. Para cuestiones relacionadas con la privacidad también puedes contactar con nuestro equipo de privacidad en [email protected]: respondemos en un plazo de 30 días.

2. Qué datos personales recopilamos

2.1 Datos de la cuenta (propietarios y administradores de estudios)

Cuando creas una cuenta de estudio en Class Booking, recopilamos:

Nombre y dirección de correo electrónico del administrador
Nombre del estudio y datos de contacto
Número de registro mercantil (opcional, utilizado para la facturación)
Contraseña (almacenada cifrada mediante bcrypt; nunca la vemos en texto plano)
Número de teléfono (opcional)

2.2 Datos de pago

Para la facturación de la suscripción tratamos:

Dirección de facturación
Historial de pagos y estado de la suscripción

Importante: nunca almacenamos los datos de las tarjetas de pago. Todos los pagos con tarjeta son gestionados por Stripe, que cuenta con la certificación PCI DSS. Solo recibimos una referencia a la transacción.

2.3 Datos técnicos

Cuando utilizas la plataforma, recopilamos automáticamente:

Dirección IP (para seguridad y resolución de incidencias)
Tipo de navegador e información del dispositivo
Horas de inicio de sesión y marcas de tiempo de actividad
Páginas vistas y uso de funciones

2.4 Datos que subes

Logotipos e imágenes para la personalización de marca
Contenido del sitio web (texto, plantillas de clases)
Documentos legales que creas dentro de la plataforma

2.5 Fuentes de los datos

Recopilamos los datos personales principalmente de forma directa de ti. En los siguientes casos recibimos datos de terceros:

Google OAuth: si inicias sesión con Google, recibimos de Google tu nombre, dirección de correo electrónico e imagen de perfil.
Stripe: cuando conectas una cuenta de Stripe para cobrar pagos de tus miembros, recibimos datos básicos de la empresa y el estado del proceso de incorporación (onboarding).

3. Fines y base jurídica del tratamiento

Solo tratamos datos personales cuando disponemos de una base jurídica con arreglo al artículo 6 del RGPD. La siguiente tabla resume los fines y la base jurídica correspondiente:

Finalidad	Base jurídica (RGPD)
Prestación y operación del servicio	Ejecución de un contrato (art. 6.1.b)
Tramitación de pagos y emisión de facturas	Ejecución de un contrato (art. 6.1.b)
Envío de mensajes de servicio (interrupciones, actualizaciones del producto, seguridad)	Ejecución de un contrato (art. 6.1.b)
Mejora y desarrollo de la plataforma	Interés legítimo (art. 6.1.f)
Prevención del fraude y del uso indebido de la plataforma	Interés legítimo (art. 6.1.f)
Cumplimiento de las obligaciones legales en materia contable	Obligación legal (art. 6.1.c)
Correos electrónicos de marketing y boletines	Consentimiento (art. 6.1.a)

3.1 Interés legítimo — juicio de ponderación

Cuando nos basamos en el interés legítimo, hemos ponderado nuestros intereses frente a tus derechos y libertades. El siguiente resumen expone las valoraciones principales:

Mejora y desarrollo de la plataforma

Nuestro interés: garantizar la estabilidad de la plataforma, detectar errores y optimizar la experiencia de usuario.
Alcance del tratamiento: estadísticas de uso agregadas y anonimizadas (páginas vistas, registros de errores).
Tu perspectiva: impacto mínimo en la privacidad, ya que los datos están anonimizados.
Conclusión: el tratamiento es necesario y proporcionado.

Prevención del fraude y del uso indebido

Nuestro interés: proteger la plataforma y a sus usuarios frente al uso indebido, los ataques informáticos y el fraude.
Alcance del tratamiento: direcciones IP, marcas de tiempo de inicio de sesión, intentos fallidos de inicio de sesión.
Tu perspectiva: protección frente al acceso no autorizado a tu cuenta.
Conclusión: el tratamiento responde tanto a nuestro interés como al tuyo.

Tienes derecho a oponerte al tratamiento basado en el interés legítimo con arreglo al artículo 21 del RGPD. Contacta con nosotros en [email protected].

4. Plazos de conservación de los datos

Tipo de datos	Plazo de conservación
Datos de la cuenta	Mientras la cuenta esté activa, más 30 días tras su cierre
Facturas y registros de pago	5 años (Ley de Contabilidad danesa — requisito legal para las facturas)
Historial de inicios de sesión	12 meses
Registros técnicos	90 días
Conversaciones del asistente de IA (chat de administración)	30 días
Copias de seguridad	30 días tras la eliminación

5. Comunicación de datos a terceros

Solo comunicamos tus datos a terceros de confianza cuando es necesario para prestar el servicio. Cada uno de ellos actúa en virtud de un contrato de tratamiento de datos por escrito, de conformidad con el artículo 28 del RGPD.

5.1 Subencargados del tratamiento

Proveedor	Finalidad	Ubicación
Hetzner Online GmbH	Alojamiento de servidores y copias de seguridad	Alemania (UE)
Stripe, Inc.	Facturación de la suscripción (tu pago a Class Booking)	EE. UU. (Marco de Privacidad de Datos UE-EE. UU.)
Resend, Inc.	Envío de correos electrónicos transaccionales	UE
Proveedor europeo de pasarela de SMS	Envío de notificaciones por SMS (cuando esté habilitado)	UE
Pusher (Sinch Communications)	Comunicación en tiempo real (chat en directo)	UE / Reino Unido
The Rocket Science Group LLC (Mailchimp)	Sincronización de la lista del boletín (opcional)	EE. UU. (Marco de Privacidad de Datos UE-EE. UU.)
Anthropic PBC	Asistente de IA para ayuda de administración dentro del producto (API de Claude)	EE. UU. (Cláusulas Contractuales Tipo + Marco de Privacidad de Datos UE-EE. UU.)

5.2 Transferencias internacionales

Algunos de nuestros subencargados del tratamiento (por ejemplo, Stripe y Anthropic) pueden transferir datos personales a los Estados Unidos. Estas transferencias se realizan al amparo de una o varias de las siguientes garantías del capítulo V del RGPD:

Una decisión de adecuación de la Comisión Europea (actualmente el Marco de Privacidad de Datos UE-EE. UU. para los destinatarios estadounidenses adheridos), o bien
Las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea, complementadas cuando sea necesario con medidas técnicas y organizativas adicionales.

Puedes solicitar una copia de las garantías de transferencia pertinentes escribiendo a [email protected].

5.3 Nunca vendemos tus datos

Nunca vendemos, alquilamos ni comunicamos de ningún otro modo tus datos personales a terceros para sus propios fines de marketing.

5.4 Asistente de IA (Class Booking Assistant)

Dentro del panel de administración ofrecemos un asistente de IA que puede responder a preguntas sobre cómo utilizar el sistema. Cuando un administrador envía un mensaje al asistente, el mensaje se reenvía a Anthropic PBC (proveedor de la API de Claude), que genera una respuesta. Base jurídica: interés legítimo (art. 6.1.f), para prestar soporte sobre el producto.

Anthropic no utiliza tus mensajes para entrenar sus modelos (API comercial, según las Condiciones Comerciales de Anthropic).
Registramos las conversaciones durante 30 días para la resolución de incidencias y el control de calidad. Transcurrido ese plazo se eliminan automáticamente.
Los administradores de la plataforma Class Booking pueden acceder a los registros dentro de ese mismo plazo de 30 días.
Evita introducir datos personales sensibles (identificadores nacionales, información de salud, datos financieros) en la conversación: el asistente no los necesita para ayudarte con las funciones del producto.

6. Tus derechos como interesado

Con arreglo al RGPD (artículos 15 a 22) tienes los siguientes derechos:

Derecho de acceso (art. 15)

Puedes solicitarnos qué datos personales tratamos sobre ti y obtener una copia.

Derecho de rectificación (art. 16)

Puedes hacer que se rectifiquen los datos inexactos y que se completen los datos incompletos.

Derecho de supresión (art. 17 — «derecho al olvido»)

En determinados casos puedes hacer que se supriman tus datos personales. Ten en cuenta que este derecho no es absoluto: por ejemplo, las obligaciones legales en materia contable pueden exigirnos conservar determinados datos de facturación durante 5 años.

Derecho a la limitación del tratamiento (art. 18)

En determinados casos puedes hacer que se limite el tratamiento de tus datos.

Derecho a la portabilidad de los datos (art. 20)

Puedes recibir tus datos en un formato estructurado, de uso común y de lectura mecánica, y transmitirlos a otro responsable del tratamiento.

Derecho de oposición (art. 21)

Puedes oponerte al tratamiento basado en el interés legítimo, incluida la elaboración de perfiles.

Derecho a retirar el consentimiento

Cuando el tratamiento se base en el consentimiento, puedes retirarlo en cualquier momento. La retirada no afectará a la licitud del tratamiento realizado antes de dicha retirada.

Para ejercer cualquiera de estos derechos, contacta con nosotros en [email protected]. Respondemos en un plazo de 30 días. El ejercicio de tus derechos es gratuito, salvo que las solicitudes sean manifiestamente infundadas o excesivas.

7. Cookies y seguimiento

7.1 Cookies estrictamente necesarias

Utilizamos las siguientes cookies estrictamente necesarias, que no requieren consentimiento con arreglo a la Directiva sobre la privacidad y las comunicaciones electrónicas:

Cookie de sesión: te mantiene con la sesión iniciada.
Token CSRF: protege frente a la falsificación de solicitudes entre sitios.
Preferencia de idioma: recuerda el idioma que has seleccionado.

7.2 Cookies analíticas (requieren consentimiento)

Utilizamos Google Analytics para comprender cómo se usa la plataforma. Estas cookies solo se instalan después de que prestes tu consentimiento a través del banner de cookies.

7.3 Cookies de marketing (requieren consentimiento)

Utilizamos Google Ads para medir la eficacia de nuestra publicidad. Estas cookies solo se instalan con tu consentimiento.

Consulta nuestra política de cookies para ver una lista completa de las cookies que utilizamos.

8. Seguridad

Nos tomamos en serio la seguridad de los datos y hemos implementado las siguientes medidas técnicas y organizativas:

Cifrado en tránsito: todo el tráfico se cifra mediante TLS 1.3.
Cifrado en reposo: los datos sensibles se cifran en reposo.
Hash de contraseñas: bcrypt con un factor de coste suficiente.
Control de acceso: control de acceso basado en roles y registros de auditoría completos.
Limitación de frecuencia: protección frente a ataques de fuerza bruta y de denegación de servicio.
Protección frente a inyección SQL: consultas parametrizadas mediante el ORM Prisma.
Protección frente a XSS: saneamiento de entradas y una política de seguridad de contenidos (CSP) estricta.
Gestión de parches: actualizaciones de seguridad periódicas de todas las dependencias e imágenes base.
Copias de seguridad: copias de seguridad automáticas diarias con almacenamiento cifrado.

9. Violaciones de la seguridad de los datos

En caso de una violación de la seguridad de los datos personales que entrañe probablemente un riesgo para tus derechos y libertades, lo notificaremos a la autoridad de control competente en un plazo de 72 horas e informaremos a los usuarios afectados sin dilación indebida, de conformidad con los artículos 33 y 34 del RGPD.

10. Datos de menores

La plataforma Class Booking está dirigida a empresas y no está destinada a menores de 18 años. No recopilamos a sabiendas datos personales de menores. Si tienes conocimiento de que un menor nos ha facilitado datos personales, contacta con nosotros y los suprimiremos.

11. Decisiones automatizadas y elaboración de perfiles

Class Booking no adopta decisiones automatizadas que produzcan efectos jurídicos sobre ti o te afecten significativamente de modo similar, incluida la elaboración de perfiles tal como se define en el artículo 22 del RGPD.

Utilizamos analíticas básicas para comprender cómo se usa la plataforma (por ejemplo, qué funciones se utilizan con más frecuencia), pero esto nunca se emplea para adoptar decisiones sobre usuarios concretos.

12. Cambios en esta política

Actualizamos esta política de privacidad cuando es necesario. En el caso de cambios sustanciales, te lo notificaremos por correo electrónico con al menos 14 días de antelación a la entrada en vigor del cambio. La fecha de la última actualización se muestra en la parte superior de esta página.

13. Cómo presentar una reclamación

Si consideras que tratamos tus datos personales de forma ilícita, tienes derecho a presentar una reclamación ante una autoridad de control. Dado que Nahbo ApS está establecida en Dinamarca, la Autoridad Danesa de Protección de Datos (Datatilsynet) es nuestra autoridad de control principal. Los residentes en la UE/EEE también pueden presentar una reclamación ante la autoridad de control del país en el que residan o trabajen.

Datatilsynet (Autoridad Danesa de Protección de Datos)

Carl Jacobsens Vej 35

2500 Valby, Dinamarca

Teléfono: +45 33 19 32 00