1. ¿Quiénes somos?
OQUEA TECHNOLOGIES, S.L. (en adelante, "OQUEA" o "nosotros") es la entidad responsable del tratamiento de tus datos personales cuando utilizas la Plataforma OQUEA (web y aplicación móvil).
| Razón social | OQUEA TECHNOLOGIES, S.L. |
|---|---|
| NIF | B-26904193 |
| Domicilio social | Avenida Diego Fernández de Mendoza, número 11, 3º B, 29006 Málaga, España |
| Inscripción | Registro Mercantil de Málaga, Hoja MA-197468, inscripción 1ª |
| Email de contacto | support@oquea.com |
Hemos confiado el desarrollo y mantenimiento técnico de la Plataforma a APPXPERT SOLUTIONS, S.L. (NIF B56200264, calle Alejandro Dumas 17, 29004 Málaga). OQUEA trabaja con proveedores tecnológicos que pueden tratar datos personales por cuenta de OQUEA. Cuando actúan como encargados del tratamiento, la relación se regula mediante el correspondiente contrato de encargo o acuerdo de tratamiento de datos conforme al artículo 28 del RGPD.
No tenemos obligación legal de designar Delegado de Protección de Datos en este momento (artículo 37 RGPD), pero puedes dirigirte a nosotros por cualquier cuestión relacionada con tus datos a support@oquea.com.
2. Roles en el tratamiento de datos
En OQUEA hay tres relaciones jurídicas distintas que conviene diferenciar desde el principio:
- OQUEA como responsable. OQUEA actúa como responsable del tratamiento respecto de los datos necesarios para crear y gestionar tu cuenta, permitirte usar la Plataforma, mantener tu perfil, registrar tu logbook, garantizar la seguridad y prestar las funcionalidades propias de OQUEA.
- Centro como responsable independiente. Los Centros actúan como responsables independientes respecto de los datos que tratan para organizar Actividades, prestar servicios de buceo, gestionar su relación con clientes, cumplir sus obligaciones legales, verificar seguros, certificaciones o requisitos de seguridad, y realizar sus propias comunicaciones conforme a su política de privacidad.
- OQUEA como encargado del Centro. En determinadas funcionalidades profesionales, OQUEA podrá actuar como encargado del tratamiento del Centro, cuando proporcione herramientas técnicas de gestión, CRM, reservas o comunicación en nombre del Centro y conforme a sus instrucciones.
3. ¿Qué datos tratamos?
Tratamos distintas categorías de datos en función de cómo uses la Plataforma. Algunos datos son necesarios para crear y mantener la cuenta; otros son opcionales y solo se tratan si decides proporcionarlos para mejorar tu experiencia, facilitar la preparación de Actividades por parte de Centros o completar tu perfil.
3.1 Si te creas una cuenta como Usuario
Datos necesarios para crear y mantener la cuenta:
- Correo electrónico.
- Nombre de usuario único (username).
- Declaración de mayoría de edad (y, cuando sea necesario verificarla legalmente, fecha de nacimiento).
- Nivel de buceo o experiencia declarada para el correcto funcionamiento de la plataforma (titulación, certificaciones, agencia formadora).
Datos opcionales que puedes añadir desde tu perfil:
- Nombre y apellidos.
- Foto de perfil.
- Biografía o presentación.
- Género (incluida la opción "Prefiero no decirlo").
- País de residencia.
- Teléfono.
- Idioma e intereses (objetivos de buceo).
- Tallas de equipamiento (zapato, traje de neopreno) para que el Centro pueda preparar tu material.
- Datos de seguro de buceo (proveedor, número de póliza, fecha de expiración).
- Experiencia anterior a OQUEA (años buceando, número de inmersiones previas, profundidad máxima alcanzada, etc.).
Datos de actividad que se generan al usar la Plataforma:
- Tu cuaderno de inmersiones (logbook): fecha, duración, profundidad alcanzada, temperatura del agua, equipo utilizado, mezcla de gas, descripción de la inmersión, fotos que tú subas, valoración subjetiva de la experiencia y vida marina observada.
- Fotos que subas a álbumes compartidos de Actividades.
- Centros que sigues.
- Estadísticas agregadas de tu actividad (número total de inmersiones, etc.).
Datos técnicos:
- Identificador interno (UID asignado por Firebase Authentication).
- Método de autenticación (enlace mágico por email o inicio de sesión con Google).
- Verificación de correo.
- Fecha de último inicio de sesión.
- Preferencias de unidades (metros/pies, bar/psi, Celsius/Fahrenheit) y de notificaciones.
3.2 Datos de tallas y experiencia previa
Los datos de tallas de equipamiento y experiencia previa son opcionales. Solo se utilizarán para facilitar la preparación de Actividades, el alquiler de material o la adaptación de la experiencia. No serán visibles públicamente y solo se compartirán con un Centro cuando participes en una Actividad en la que esa información sea necesaria o decidas compartirla.
3.3 Datos de seguro de buceo
Los datos de seguro de buceo son opcionales y no serán visibles públicamente. Solo se compartirán con Centros cuando sea necesario para verificar requisitos de participación en una Actividad, curso o servicio, o cuando tú lo autorices expresamente.
3.4 Si te registras como Centro de buceo
Tratamos los datos del Centro como entidad —nombre, dirección, teléfono, email, web, redes sociales, agencia formadora, idiomas, valores por defecto operativos, fotos, logo y, opcionalmente, NIF/CIF—. Los identificadores de Firebase de las personas con permisos de propietario, administrador o staff quedan vinculados al Centro para gestionar accesos.
Si el Centro está gestionado por una persona física (por ejemplo, autónomo), parte de esa información puede considerarse dato personal y se trata bajo esta política.
3.5 Si participas en una Actividad escaneando un QR de un Centro
Cuando escaneas el QR de un Centro y confirmas tu participación en una Actividad, OQUEA tratará los datos necesarios para:
- Registrar la Actividad en tu cuenta y, cuando proceda, en tu logbook.
- Asociar tu participación al Centro y al punto de inmersión correspondiente.
- Mostrarte en la lista de participantes cuando esa funcionalidad sea necesaria para la Actividad.
- Permitir al Centro gestionar la Actividad y mantener un historial operativo de las personas que han participado en sus Actividades.
Antes de confirmar el escaneo, te mostraremos un aviso claro con los datos que se compartirán con el Centro y la finalidad de dicha comunicación.
El Centro podrá tratar esos datos como responsable independiente para gestionar la Actividad, acreditar la participación, cumplir obligaciones legales o de seguridad y mantener su relación operativa contigo.
Cualquier uso comercial, promocional o de fidelización por parte del Centro deberá realizarse bajo su propia responsabilidad y con la base legal que corresponda, conforme a la política de privacidad del propio Centro.
3.6 Datos antropométricos y datos de salud (no aplicables actualmente)
Hemos diseñado la Plataforma para que, en una versión futura, puedas opcionalmente compartir datos antropométricos (peso, altura) y un cuestionario médico previo a la inmersión.
A día de hoy, ninguna de estas dos funcionalidades está activa. Cuando las activemos:
- Te pediremos un consentimiento explícito separado del consentimiento general de la cuenta, conforme al artículo 9.2.a) del RGPD.
- OQUEA realizará una evaluación específica de riesgos y, cuando proceda, una Evaluación de Impacto en Protección de Datos, además de implementar controles reforzados de acceso, registro de auditoría y mecanismos de revocación del consentimiento.
- Actualizaremos esta política con todos los detalles antes de empezar a recoger esa información.
- Podrás revocar el consentimiento en cualquier momento, lo que implicará que dejaremos de tratar esos datos para esa finalidad y procederemos a su supresión o bloqueo conforme a la normativa aplicable.
3.7 Datos que no recogemos
- No tratamos datos de pago. OQUEA no procesa transacciones económicas en el momento de redactar esta política. Si en el futuro lo hacemos, se hará a través de un proveedor especializado y se actualizará esta política.
- No tratamos datos biométricos identificativos. Las fotos que subes a la Plataforma no se procesan mediante reconocimiento facial ni se utilizan para identificar a personas.
- No registramos tu ubicación en tiempo real. Las coordenadas geográficas que aparecen en la Plataforma corresponden a Centros y puntos de inmersión, no a tu posición.
4. Visibilidad de tu perfil ("privacy by default")
Por defecto, tu perfil visible para otros Usuarios autenticados mostrará tu username, foto de perfil si la has añadido, biografía si la has completado, nivel general declarado y estadísticas básicas.
Tu nombre y apellidos completos solo serán visibles para los Centros con los que interactúes, para otros participantes de una Actividad cuando sea necesario para identificarte, o cuando tú decidas mostrarlos públicamente mediante la configuración de privacidad disponible.
El resto de información (correo, teléfono, fecha de nacimiento, cuaderno de inmersiones, seguros, datos de tallas y, en el futuro, datos antropométricos y médicos) es privada.
5. Configuración de privacidad
Podrás configurar determinados aspectos de privacidad desde tu perfil, incluyendo la visibilidad de ciertos datos, la información opcional de tu perfil, las preferencias de notificación y los consentimientos otorgados, cuando la funcionalidad esté disponible.
6. ¿Para qué usamos tus datos y bajo qué base legal?
| Finalidad | Datos principales | Base legal |
|---|---|---|
| Crear y mantener tu cuenta | email, UID, username, credenciales técnicas | Ejecución del contrato |
| Verificar mayoría de edad | declaración de mayoría o fecha de nacimiento | Ejecución del contrato / obligación legal o interés legítimo según caso |
| Mantener tu cuaderno de inmersiones (logbook) | datos de inmersión introducidos por Usuario o Centro | Ejecución del contrato |
| Participar en una Actividad mediante QR | datos básicos de perfil, Actividad, Centro | Ejecución del contrato |
| Compartir datos con el Centro para gestión operativa e historial | nombre, username, nivel, participación | Ejecución del contrato / interés legítimo según caso |
| Mostrar elementos básicos del perfil necesarios para la interacción | username, foto, estadísticas básicas | Ejecución del contrato |
| Mostrar elementos opcionales del perfil (biografía, certificaciones detalladas, información ampliada) | biografía, certificaciones, intereses | Configuración voluntaria del Usuario |
| Mostrar participación en Actividades | participación, lista de buceadores | Ejecución del servicio cuando sea necesario para la Actividad |
| Comunicaciones operativas (login, alertas de seguridad) | email, preferencias | Ejecución del contrato |
| Comunicaciones comerciales de OQUEA | email, preferencias | Tu consentimiento (puedes retirarlo cuando quieras desde tu perfil) |
| Comunicaciones comerciales de Centros | datos de contacto cedidos o recogidos por el Centro | Responsabilidad del Centro / consentimiento o base legal aplicable |
| Seguridad, prevención de abuso y mejora del servicio | logs, UID, eventos técnicos | Interés legítimo |
| Conservar la cuenta durante el periodo de gracia de 30 días tras la baja | email, UID | Interés legítimo y, en su caso, obligación legal |
| Cumplir obligaciones legales | según requerimiento | Obligación legal |
| Datos de tallas y experiencia previa | tallas, años de experiencia | Consentimiento al rellenarlos voluntariamente. Puedes retirarlo borrándolos desde tu perfil |
| Datos de salud / antropométricos futuros | cuestionario médico, peso, altura | Consentimiento explícito (artículo 9.2.a) RGPD) |
7. ¿Durante cuánto tiempo conservamos tus datos?
| Información | Plazo de conservación |
|---|---|
| Cuenta activa | Mientras la cuenta exista y no la des de baja. |
| Cuenta dada de baja por ti | 30 días naturales (periodo de gracia para recuperarla). Transcurrido ese plazo, eliminaremos o anonimizaremos tus datos personales de los sistemas activos, salvo aquellos que debamos conservar durante el plazo necesario para cumplir obligaciones legales, atender reclamaciones, prevenir abusos, garantizar la seguridad o acreditar el cumplimiento de nuestras obligaciones. Las copias de seguridad se sobrescribirán conforme a nuestros ciclos técnicos habituales. |
| Tu cuaderno de inmersiones, fotos privadas y datos asociados | Hasta la eliminación definitiva de la cuenta. |
| Álbum compartido de una Actividad (fotos subidas por participantes) | 30 días desde la fecha de la Actividad. Después, eliminación automática. |
| Datos de seguimiento (Centros que sigues) | Hasta la eliminación definitiva de la cuenta o hasta que dejes de seguir al Centro. |
| Datos del Centro de buceo en su CRM (cuando has buceado con ellos) | Bajo responsabilidad del propio Centro, conforme a su política de privacidad y a las bases legales que le resulten aplicables. |
| Registros de consentimientos | Por toda la vida del consentimiento más el plazo de prescripción de las acciones legales que pudieran derivarse. |
| Documentación con relevancia fiscal o contable (cuando exista) | 6 años, conforme al Código de Comercio. |
| Logs técnicos y de seguridad | Conservados durante el plazo necesario para garantizar la seguridad, investigar incidencias, prevenir abusos y mantener la integridad de la Plataforma. Con carácter general, un máximo de 12 meses, salvo que sea necesario conservarlos durante más tiempo por una incidencia concreta, investigación de seguridad, reclamación u obligación legal. |
Cuando se cumple el plazo, los datos se eliminan o se anonimizan de forma irreversible.
8. ¿Con quién compartimos tus datos?
8.1 Otros Usuarios de OQUEA
Tal y como se explica en el apartado 4, una parte de tu perfil es visible para otros Usuarios autenticados, conforme a la configuración por defecto y a las preferencias de privacidad que hayas activado.
8.2 Centros de buceo
Cuando escaneas el QR de un Centro, los datos descritos en el apartado 3.5 se comunican al Centro, que pasa a tratarlos como responsable independiente conforme a su propia política de privacidad.
La comunicación de datos al Centro para gestionar la Actividad y mantener el historial operativo se basa en la ejecución del servicio solicitado por el Usuario. El uso de esos datos por parte del Centro para comunicaciones comerciales, promociones, campañas o fidelización deberá realizarse conforme a la base legal que corresponda en cada caso, bajo responsabilidad del Centro.
En el caso de los datos médicos y antropométricos (cuando se activen), los Centros sólo podrán acceder a ellos si tú lo consientes expresamente y de forma específica para cada Centro.
8.3 Encargados del tratamiento (proveedores que tratan datos por cuenta de OQUEA)
| Proveedor | Servicio | Ubicación |
|---|---|---|
| Google Ireland Limited (servicios Firebase de Google Cloud) | Autenticación, base de datos, almacenamiento de imágenes y vídeos, alojamiento web, funciones en la nube y notificaciones push | Datos almacenados en multi-región europea. Acceso administrativo desde Estados Unidos por Google LLC. |
| Twilio Inc. / SendGrid | Envío de correos transaccionales (enlace mágico de inicio de sesión, notificaciones operativas) | Estados Unidos |
| APPXPERT SOLUTIONS, S.L. | Desarrollo, mantenimiento y soporte técnico de la Plataforma | España |
8.4 Autoridades
Compartiremos tus datos con autoridades públicas, jueces y tribunales únicamente cuando una norma con rango de ley nos obligue a ello o medie un requerimiento formal y debidamente motivado.
8.5 Lo que NO hacemos
- No vendemos tus datos a terceros. Bajo ninguna circunstancia.
- No cedemos tus datos a anunciantes ni a redes publicitarias.
- No usamos tus datos para entrenar modelos de inteligencia artificial propios o de terceros.
9. Transferencias internacionales de datos
Tus datos se almacenan principalmente en servidores ubicados en la Unión Europea (configuración multi-región europea de Google Cloud).
Cuando nuestros proveedores traten datos desde Estados Unidos, la transferencia se amparará en los mecanismos válidos en cada momento, incluyendo decisiones de adecuación, adhesión al EU-US Data Privacy Framework cuando el proveedor esté certificado, Cláusulas Contractuales Tipo u otras garantías aplicables.
Si accedes a OQUEA desde fuera del Espacio Económico Europeo, tus datos podrán ser tratados en la Unión Europea, donde se encuentran nuestros principales sistemas. Esta transferencia es necesaria para prestarte el servicio que solicitas al registrarte y utilizar la Plataforma.
Cuando la normativa aplicable exija garantías adicionales, OQUEA adoptará las medidas necesarias en función del país, del tipo de tratamiento y de la funcionalidad utilizada, incluyendo, cuando proceda, la obtención de un consentimiento específico o la aplicación de garantías contractuales adecuadas.
10. ¿Qué derechos tienes?
Como titular de los datos, el RGPD y la Ley Orgánica 3/2018 te reconocen los siguientes derechos:
- Acceso: conocer qué datos tuyos tratamos y obtener una copia.
- Rectificación: corregir datos inexactos o incompletos. Muchos cambios puedes hacerlos directamente desde tu perfil.
- Supresión ("derecho al olvido"): pedir que eliminemos tus datos. Tienes un botón de "Eliminar cuenta" en la aplicación que activa este derecho.
- Limitación del tratamiento: pedir que congelemos el uso de tus datos en determinadas circunstancias.
- Portabilidad: recibir tus datos en un formato estructurado, de uso común y lectura mecánica, o que los transmitamos directamente a otro responsable cuando sea técnicamente posible.
- Oposición: oponerte a tratamientos basados en interés legítimo.
- Retirada del consentimiento: si el tratamiento se basa en tu consentimiento, puedes retirarlo en cualquier momento. La retirada no afecta a la licitud del tratamiento previo.
Cuando tu solicitud afecte a datos tratados por un Centro como responsable independiente, OQUEA podrá facilitarte la información necesaria para contactar con dicho Centro o, cuando proceda, trasladarle tu solicitud. No obstante, cada Centro será responsable de atender los derechos que correspondan respecto de los tratamientos que realice bajo su propia responsabilidad.
Cómo ejercerlos: envíanos un correo a support@oquea.com indicando el derecho que quieres ejercer y, si es necesario, adjuntando un documento que acredite tu identidad. Te responderemos en un plazo máximo de un mes desde la recepción de la solicitud (ampliable hasta dos meses adicionales si la solicitud es especialmente compleja, en cuyo caso te lo comunicaremos).
Reclamaciones: si consideras que el tratamiento de tus datos no es conforme a la normativa aplicable, puedes presentar una reclamación ante la autoridad de control competente:
- En España, ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.
- Si resides en otro Estado miembro del Espacio Económico Europeo, ante la autoridad de control de tu país.
- Si resides en otra jurisdicción con autoridad de protección de datos propia, también puedes dirigirte a ella.
Antes de presentar una reclamación, te agradeceríamos que nos lo plantearas a nosotros (support@oquea.com) para tratar de resolverlo directamente.
11. Decisiones automatizadas e inteligencia artificial
Actualmente no tomamos decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos sobre ti o te afecten significativamente de forma similar. Si en el futuro incorporamos sistemas de recomendación, scoring, IA o automatización con efectos relevantes, actualizaremos esta política y te informaremos de forma específica.
Si en el futuro incorporamos funcionalidades basadas en inteligencia artificial, asistentes conversacionales o sistemas de recomendación personalizados, actualizaremos esta política antes de activarlas y explicaremos qué datos se tratan, con qué finalidad, bajo qué base legal y qué opciones de control tendrá el Usuario.
12. Menores de edad
OQUEA está dirigido exclusivamente a personas mayores de edad.
- Si eres menor de edad según la legislación que te aplica, no debes registrarte en OQUEA.
- En el momento del registro validamos la mayoría de edad.
- Si detectamos que una cuenta corresponde a una persona menor de edad, procederemos a su eliminación.
- Si eres responsable parental o tutor de una persona menor de edad que se haya registrado en OQUEA sin la debida autorización, escríbenos a support@oquea.com y eliminaremos la cuenta de inmediato.
Si en el futuro habilitamos funcionalidades para menores, actualizaremos esta política y estableceremos los mecanismos de autorización parental, seguridad y verificación que resulten aplicables.
13. Seguridad de tus datos
Aplicamos medidas técnicas y organizativas razonables para proteger tu información, en particular:
- Cifrado en tránsito (HTTPS/TLS) en todas las comunicaciones entre tu dispositivo y nuestros servidores.
- Cifrado en reposo de los datos almacenados en Firebase.
- Reglas de seguridad de Firestore y Storage que limitan, a nivel de servidor, qué datos puede leer o escribir cada usuario.
- Autenticación robusta con enlaces mágicos por correo o inicio de sesión federado con Google.
- Control de accesos internos mediante el principio de mínimo privilegio.
- Copias de seguridad gestionadas por nuestro proveedor de infraestructura.
Si se produce una brecha de seguridad que afecte a datos personales, OQUEA evaluará su alcance y riesgo. Cuando sea probable que suponga un riesgo para los derechos y libertades de las personas, la notificaremos a la autoridad de control competente en los términos previstos por el RGPD. Cuando la brecha pueda entrañar un alto riesgo para tus derechos y libertades, también te lo comunicaremos sin demora indebida.
14. Cookies y tecnologías similares
Puedes consultar el detalle en nuestra política de cookies y tecnologías similares. Actualmente OQUEA solo utiliza tecnologías estrictamente necesarias para el funcionamiento de la Plataforma y preferencias elegidas por el Usuario, sin analítica, publicidad ni rastreo.
15. Cambios en esta política
La versión vigente de esta Política será la publicada en cada momento en esta URL. Cuando introduzcamos cambios sustanciales, te informaremos de forma destacada (por ejemplo, correo electrónico o mensaje dentro de la Plataforma).
Si un cambio requiere tu consentimiento, no aplicaremos ese tratamiento hasta que lo hayas prestado válidamente.
16. Cómo contactar con nosotros
- Email: support@oquea.com
- Dirección postal: OQUEA TECHNOLOGIES, S.L., Avenida Diego Fernández de Mendoza 11, 3º B, 29006 Málaga, España.