Política de privacidad

1. Datos que recogemos y para qué

No tratamos datos de categorías especiales (Art. 9 RGPD). No tomamos decisiones automatizadas ni elaboramos perfiles con efectos jurídicos.

2. Conservación de los datos

• Cuenta y perfil — mientras la cuenta esté activa. Si ejercitas tu derecho de supresión desde Mi perfil → Eliminar cuenta, anonimizamos tus datos personales (nombre, correo, teléfono, foto y datos de vehículo) de forma inmediata. Tus reseñas permanecen asociadas al identificador anónimo para no alterar la reputación de terceros, sin referencia a tu identidad.
• Datos de viajes pasados — conservados 2 años desde la fecha del viaje para posibles reclamaciones, disociados de tus datos personales si te has dado de baja.
• Cookie de sesión — expira a los 30 días desde el último inicio de sesión.
• Suscripciones push — se eliminan al darte de baja o al deshabilitar las notificaciones en el perfil.
• Eventos de analítica — PostHog los conserva como máximo 12 meses. Puedes revocar el consentimiento en cualquier momento.
• Documentos de verificación de licencia — las imágenes del carnet de conducir aportadas para la verificación se eliminan automáticamente transcurridos 90 días desde su carga, o antes si la verificación se completa. El acceso durante ese período está restringido exclusivamente al administrador de la plataforma. Los documentos se transmiten y almacenan cifrados (HTTPS en tránsito, cifrado en reposo por Cloudflare KV).

3. Destinatarios

No cedemos tus datos a terceros con fines comerciales. Compartimos datos mínimos con los siguientes prestadores de servicios en calidad de encargados del tratamiento:

• Turso / ChiselStrike Inc. — base de datos en la nube (región UE, Frankfurt). Contrato de encargado del tratamiento suscrito.
• Cloudflare Inc. — infraestructura de red y CDN. Cloudflare puede procesar datos en EE. UU. bajo cláusulas contractuales tipo aprobadas por la Comisión Europea.
• Resend Inc. — envío de correos transaccionales (bienvenida, recordatorios, solicitudes y confirmaciones de viaje). Solo recibe el nombre y correo del destinatario + el texto del correo. Los datos se transfieren a EE. UU. bajo las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Art. 46 RGPD).
• PostHog EU — analítica anónima de producto. Sólo se activa si aceptas en el banner de cookies. Alojamiento en la UE (Frankfurt).
• Sentry.io — registro de errores para corregir fallos. Recibe metadatos técnicos (URL, mensaje de error, navegador); los correos electrónicos y cabeceras de autenticación se filtran antes del envío. Los datos se transfieren a EE. UU. bajo las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Art. 46 RGPD).
• Proveedor de servicios de push del navegador (Google FCM, Apple APNS, Mozilla Autopush, Microsoft WNS) — recibe el endpoint de tu navegador y el contenido cifrado del aviso push. No ve tu identidad real.

La información de perfil público del conductor (nombre, ciudad, valoración, modelo de coche, reseñas) es visible para otros usuarios registrados en la plataforma.

4. Fuentes de datos de eventos (Ticketmaster)

La información sobre conciertos y eventos que aparece en ConcertRide (nombre, fecha, recinto, precio orientativo e imagen del evento) puede proceder de la Ticketmaster Discovery API v2. Esta API proporciona datos públicos de eventos facilitados por los propios promotores y organizadores a Ticketmaster.

• Datos que se obtienen de Ticketmaster: nombre del artista/evento, fecha, recinto, ciudad, precio mínimo/máximo, género musical, imagen del evento y URL de compra de entradas. Estos datos no contienen información personal de usuarios.
• Almacenamiento: Los datos de eventos se conservan en nuestra base de datos durante el tiempo necesario para prestar el servicio (hasta dos meses después de la fecha del evento). No utilizamos Ticketmaster como servicio de almacenamiento de imágenes independiente; las imágenes se referencian desde su CDN original.
• Política de privacidad de Ticketmaster: Si compras entradas a través del enlace de Ticketmaster que aparece en ConcertRide, pasas a estar sujeto a la política de privacidad de Ticketmaster: ticketmaster.es/h/privacy.html. ConcertRide no recibe ni procesa datos de pago.

Ticketmaster® es una marca registrada de Ticketmaster LLC. ConcertRide ES no está afiliada ni patrocinada por Ticketmaster LLC.

4.1 Mapas, CARTO y OpenStreetMap

ConcertRide muestra mapas para visualizar puntos de recogida, recintos y rutas de carpooling utilizando datos cartográficos de OpenStreetMap, un proyecto cartográfico colaborativo cuyos datos se distribuyen bajo la Open Database License (ODbL). Los teselados (tiles) cartográficos los sirve CARTO desde su CDN (basemaps.cartocdn.com) a partir de los datos abiertos de OpenStreetMap. La biblioteca de renderizado utilizada en el cliente es Leaflet (BSD 2-Clause), software libre sin telemetría.

Datos que recibe CARTO al cargar tiles

• Dirección IP — necesaria para entregar los tiles desde el nodo CDN más cercano.
• User-Agent — identificador del navegador.
• Referer — la URL de origen concertride.me.
• Timestamp — fecha y hora de la petición.

Retención y finalidad

CARTO trata estos datos para entregar los tiles, prevenir abuso del CDN y cumplir con sus obligaciones legales. CARTO no instala cookies de tracking ni cookies publicitarias en estas peticiones (son solicitudes de imágenes .png), no perfila comportamiento de navegación con esos datos y no enlaza la actividad de mapas con ningún identificador de usuario de ConcertRide.

Transferencia internacional

CARTO es una sociedad española (CartoDB Inc., con sede en Madrid). Su CDN puede servir tiles desde nodos ubicados en EE. UU. y otros países. Cuando aplique, la transferencia se ampara en las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914). Puedes ejercer tus derechos sobre estos datos contactando con CARTO en carto.com/legal/privacy.

Base legal

• Art. 6.1.b RGPD — ejecución del contrato. La visualización de mapas es esencial para mostrar puntos de recogida, recintos y rutas de los viajes compartidos publicados en la plataforma.
• Art. 6.1.f RGPD — interés legítimo en ofrecer una experiencia geográfica completa que permita al usuario evaluar la viabilidad del viaje (distancia, paradas, accesos al recinto).

Más información

• Política de privacidad de CARTO
• Política de privacidad de OpenStreetMap Foundation
• Términos de atribución de OpenStreetMap

5. Tus derechos

Puedes ejercer en cualquier momento los siguientes derechos. La supresión de la cuenta está disponible directamente en Mi perfil → Eliminar cuenta. Para el resto puedes escribirnos a help@concertride.me, indicando el derecho que deseas ejercitar y acreditando tu identidad:

• Acceso — conocer qué datos tratamos sobre ti.
• Rectificación — corregir datos inexactos desde tu perfil o por correo.
• Supresión — eliminación inmediata desde Mi perfil → Eliminar cuenta.
• Oposición — oponerte al tratamiento basado en interés legítimo.
• Limitación — solicitar que se restrinja el tratamiento.
• Portabilidad — recibir tus datos en formato estructurado.
• Retirada del consentimiento — en analítica (banner de cookies) o notificaciones push (perfil), en cualquier momento sin que afecte a lo anterior.

Si consideras que el tratamiento no es conforme al RGPD, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

6. Seguridad

Las contraseñas se almacenan como hash PBKDF2-SHA256 (100 000 iteraciones, sal aleatoria de 16 bytes) y nunca en texto plano. Las sesiones se gestionan mediante tokens JWT firmados con HS256, transmitidos exclusivamente en cookies HTTP-only con atributo Secure en producción.

El acceso a la base de datos está restringido mediante autenticación por token. La comunicación entre cliente y servidor se realiza siempre sobre HTTPS.

7. Cambios en esta política

Podemos actualizar esta política para adaptarla a cambios normativos o del servicio. Cuando los cambios sean significativos, te lo notificaremos por correo electrónico o mediante un aviso destacado en la plataforma.