Privacidad, datos personales y contacto

Solo se recopila la información necesaria para reservar, operar y dar seguimiento al viaje.

• Contacto de reserva: Nombre completo, email, teléfono o WhatsApp y país de residencia.
• Billetes y requisitos legales: Número de pasaporte, nacionalidad y fecha de nacimiento cuando los vuelos domésticos lo requieren.
• Pagos: Los datos de tarjeta los procesa el banco autorizado en entorno PCI-DSS. Solo se ve un token de confirmación y los últimos 4 dígitos; no se guarda el número completo ni el CVV.
• Operación: Categoría de hotel, dietas, accesibilidad, mensajes del tour y comentarios.
• Analítica web: Cookies anónimas de rendimiento, no cookies que identifiquen personalmente.

Los datos personales no se venden. Se usan para reservas, billetes, hoteles, conductores, confirmaciones, recordatorios y newsletters opcionales con baja disponible.

Sí. El tratamiento de datos sigue la normativa turca de privacidad y, para viajeros elegibles, derechos equivalentes europeos.

• KVKK, Ley turca nº 6698: Marco principal para una empresa con base en Turquía y obligaciones de responsable de datos.
• GDPR: Aplicable a residentes de la UE y Reino Unido, incluidos derechos de portabilidad y oposición cuando proceda.
• FADP suiza: Las solicitudes de residentes suizos se gestionan con protecciones alineadas al nivel GDPR.
• Privacidad de California: Se respetan solicitudes de no venta, aunque los datos personales no se venden.

No necesita citar una ley al solicitar algo. Una instrucción clara como “borren mis datos” o “envíen mis datos” es suficiente; se aplica la protección más fuerte que corresponda.

Los datos personales se comparten solo con proveedores que los necesitan para ejecutar la reserva, y únicamente para ese fin.

• Aerolíneas: Nombre del pasajero, número de pasaporte y fecha de nacimiento para emitir billetes.
• Hoteles: Nombre, fechas de estancia, notas de habitación e información dietética cuando sea necesaria.
• Operadores locales y conductores: Nombre, teléfono, punto de recogida y tamaño del grupo.
• Procesador de pagos: El banco autorizado procesa la tarjeta; los datos completos no pasan por servidores locales.
• Autoridades: Solo cuando lo exige la ley o una orden judicial.

No se comparten datos con brokers de datos, anunciantes externos, empresas de marketing ni socios afiliados de ventas. Los datos UE/Reino Unido procesados en Turquía se protegen con Cláusulas Contractuales Tipo y salvaguardas equivalentes.

El plazo de conservación depende del tipo de dato y de las obligaciones legales.

• Registros de reserva e historial de pagos: Se conservan 7 años por requisitos fiscales y de auditoría turcos.
• Referencias tokenizadas de tarjeta: El banco puede conservarlas hasta 7 años según PCI-DSS y normas bancarias.
• Copias de pasaporte: Se eliminan tras el tour. Solo puede quedar el número de pasaporte en el registro por motivos de auditoría fiscal.
• Comentarios y reclamaciones: Se conservan 2 años tras la resolución.
• Lista de email marketing: Hasta que se dé de baja; la eliminación suele completarse en 24 horas.
• Cookies anónimas de analítica: Máximo 13 meses.

Puede solicitar eliminación anticipada de datos no exigidos legalmente. Una solicitud de minimización de privacidad suele completarse en 10 días hábiles.

Puede ejercer derechos de privacidad sin coste bajo KVKK, GDPR o el marco aplicable que le ofrezca mayor protección.

• Acceso: Recibir una copia de los datos que se conservan sobre usted.
• Corrección: Arreglar datos de contacto, pasaporte o reserva incorrectos.
• Eliminación: Borrar datos salvo que exista obligación legal de conservar registros de reserva o fiscales.
• Restricción y oposición: Pausar u oponerse a ciertas actividades de tratamiento.
• Portabilidad: Residentes UE/Reino Unido pueden pedir datos en formato JSON o CSV.
• Retirada de consentimiento: Retirar consentimientos dados para usos futuros.
• Reclamaciones: Puede acudir a KVKK o a su autoridad local de protección de datos de la UE.

Las solicitudes se gestionan en 1 mes. Casos complejos pueden ampliarse hasta 2 meses adicionales con explicación por escrito.

Si una brecha de datos personales genera riesgo para viajeros, el incidente se gestiona según las normas de notificación KVKK y GDPR.

• Detección: Se usan monitoreo, registros de acceso y reportes internos para identificar actividad sospechosa.
• Contención: Los sistemas afectados se aíslan y la vía de la brecha se bloquea lo antes posible.
• Evaluación: En unas 24 horas se revisan los tipos de datos y personas afectadas.
• Aviso a reguladores: KVKK y, cuando corresponda, autoridades de la UE son notificadas en 72 horas tras tener conocimiento si la ley lo exige.
• Aviso a usuarios: Si el riesgo es alto, los viajeros afectados reciben información directa y pasos recomendados.
• Remediación: Puede incluir restablecimiento de contraseñas, coordinación con bancos o apoyo de monitoreo de identidad si procede.

Las medidas de seguridad incluyen SSL, bases de datos cifradas, acceso por roles, auditorías, no almacenar CVV ni número completo de tarjeta y entornos de producción/desarrollo separados.

Las solicitudes de privacidad pueden enviarse mediante el formulario de contacto en https://cappadociahotairballoon.com/, por email a [email protected], o por WhatsApp a +90 505 932 7978, +90 533 554 8555, +90 536 709 5098 y +90 532 450 8227. Las respuestas se ofrecen en el idioma preferido del viajero siempre que sea posible.

• Email: Use [email protected] e incluya “Privacy request” en el asunto.
• Teléfono / WhatsApp: Use los números de WhatsApp +90 505 932 7978, +90 533 554 8555, +90 536 709 5098 y +90 532 450 8227 todos los días de 09:00 a 18:00 (Estambul, GMT+3) para asuntos urgentes de privacidad.
• Dirección postal: Use Kocamustafapasa Mah., Kocamustafapasa Cad. No: 107, Fatih / Istanbul / TURKIYE.
• Gestión de privacidad: Las solicitudes de protección de datos son gestionadas por el equipo responsable de dirección y operaciones.

Solicitudes simples como baja de newsletter o corrección de un error suelen resolverse en 24 horas. Acceso y eliminación se procesan normalmente en 10 días hábiles, mientras casos complejos con varias reservas pueden llegar al máximo legal de 30 días.