Política de Privacidad

En cumplimiento del Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE).

Última actualización: 5 de mayo de 2026·Versión: 2.0·Idioma original: Español (es-ES)

Sellos y marcos legales aplicables

RGPD (UE) 2016/679

Reglamento europeo aplicado

LOPDGDD 3/2018

Ley orgánica española

LSSI-CE 34/2002

Servicios digitales y comercio

AEPD

Autoridad de control competente

PCI-DSS Nivel 1

Pagos certificados (vía Stripe)

EU-US DPF

Marco UE-EE.UU. de privacidad

TLS 1.3 / AES-256

Cifrado en tránsito y en reposo

Servidores en la UE

Datos almacenados en el EEE

Resumen rápido (no sustituye al texto completo)

• Quién: Martí Mestre Faus (NIF 23920212M), titular de la marca Lorari.
• Qué tratamos: datos identificativos, de contacto, de perfil profesional, de reservas y de facturación. Nunca tratamos datos de tarjeta bancaria (los procesa Stripe).
• Para qué: prestar el servicio, facturar, comunicarte cambios y mejorar la plataforma.
• Con quién: proveedores tecnológicos imprescindibles (Stripe, PostHog, Meta, Calendly…) bajo contrato de encargo del tratamiento (art. 28 RGPD).
• Tus derechos: acceso, rectificación, supresión, oposición, limitación, portabilidad y reclamación ante la AEPD.
• Cómo: escríbenos a [email protected] y te respondemos en menos de 30 días.

1.Responsable del Tratamiento

En cumplimiento de los artículos 13 y 14 del Reglamento (UE) 2016/679 (RGPD), te informamos de que el responsable del tratamiento de los datos personales recogidos a través de esta plataforma es:

Titular:Martí Mestre Faus

NIF:23920212M

Nombre comercial:Lorari

Domicilio:Barcelona, España

Sitio web:https://www.lorari.com

Correo electrónico:[email protected]

Teléfono:+34 684 709 920

Delegado de Protección de Datos (DPD): dada la naturaleza, alcance y finalidades del tratamiento, no resulta obligatoria la designación de un DPD conforme al artículo 37 del RGPD. No obstante, puedes dirigir cualquier consulta en materia de protección de datos al correo del responsable.

2.Datos personales que tratamos

Tratamos exclusivamente las categorías de datos estrictamente necesarias para la prestación del servicio, aplicando el principio de minimización del artículo 5.1.c del RGPD:

a) Datos identificativos y de contacto

Nombre y apellidos, dirección de correo electrónico, número de teléfono y, en su caso, ciudad o país de residencia.

b) Datos de perfil profesional (profesoras/instructoras)

Biografía, credenciales, fotografía de perfil, especialidades, idiomas, ubicación de las clases y enlaces a redes sociales que decidas publicar.

c) Datos de la relación contractual

Reservas, asistencias, bonos y abonos contratados, mensajes intercambiados dentro de la plataforma y preferencias de notificación.

d) Datos económicos y de facturación

Importe, fecha y estado de las transacciones, identificadores de cobro de Stripe, datos fiscales (NIF/CIF y dirección de facturación, cuando aplique). No tratamos en ningún caso los datos completos de tarjeta bancaria ni cuentas IBAN — son tratados directamente por Stripe.

e) Datos técnicos y de uso

Identificador de sesión, datos de navegación (URL visitada, fecha y hora, dispositivo, sistema operativo, idioma del navegador), eventos de producto necesarios para depurar errores y mejorar la plataforma. Estos datos se pseudonimizan en la medida de lo posible (ver sección 8 sobre cookies).

Categorías especiales (art. 9 RGPD)

No solicitamos ni tratamos voluntariamente datos sensibles (salud, origen étnico, ideología, religión, orientación sexual, etc.). Si decides incluir información de salud (p. ej. lesiones que comuniques a tu profesora) en mensajes o campos abiertos, lo haces bajo tu propia responsabilidad y con base en tu consentimiento explícito (art. 9.2.a RGPD); te recomendamos no compartir más información de la estrictamente necesaria.

3.Finalidades del tratamiento

Tus datos se tratan exclusivamente para las siguientes finalidades:

Gestión de cuentas

Crear, mantener y autenticar tu perfil de profesora o alumna.

Reservas y clases

Programación, inscripción, lista de espera y control de asistencia.

Pagos y facturación

Procesar pagos vía Stripe, emitir recibos y cumplir obligaciones fiscales.

Comunicaciones del servicio

Confirmaciones, recordatorios, cambios o cancelaciones de clases.

Soporte al usuario

Atender consultas, incidencias y solicitudes de derechos.

Seguridad y prevención de fraude

Detectar usos abusivos, intrusiones o accesos no autorizados.

Mejora del producto

Análisis estadístico agregado y métricas de calidad del servicio.

Comunicaciones comerciales

Solo previo consentimiento y con derecho de baja en cada envío.

4.Base jurídica del tratamiento

Tratamos tus datos sobre la base de las siguientes legitimaciones del artículo 6 del RGPD, en función de la finalidad:

Ejecución de un contrato (art. 6.1.b RGPD)

Necesario para prestar el servicio de gestión de clases, reservas, mensajería interna y procesamiento de pagos que has contratado al registrarte y aceptar las Condiciones de Uso.

Consentimiento (art. 6.1.a RGPD)

Para el envío de comunicaciones comerciales, la instalación de cookies no estrictamente necesarias y el tratamiento de datos opcionales. Es revocable en cualquier momento sin efectos retroactivos.

Cumplimiento de obligación legal (art. 6.1.c RGPD)

Conservación de información contable, fiscal y mercantil conforme al Código de Comercio, la Ley General Tributaria y el Real Decreto 1619/2012 de facturación.

Interés legítimo (art. 6.1.f RGPD)

Prevención de fraude, garantía de la seguridad de la red y de la información, análisis estadístico agregado para mejorar el servicio y, en su caso, comunicaciones comerciales sobre productos o servicios análogos a clientes existentes (art. 21.2 LSSI). Hemos realizado el correspondiente juicio de ponderación, disponible bajo solicitud.

5.Plazos de conservación

Conservamos tus datos durante el tiempo estrictamente necesario para cumplir con la finalidad para la que fueron recabados y para atender las posibles responsabilidades derivadas:

Categoría de datos	Plazo	Base legal
Cuenta activa	Mientras dure la relación contractual	Art. 6.1.b RGPD
Cuenta cancelada (datos generales)	Bloqueo durante 3 años (prescripción civil – art. 1964 CC)	Art. 6.1.c RGPD
Datos contables y facturación	6 años (art. 30 Código de Comercio)	Obligación legal
Datos fiscales	4 años (art. 66 LGT) ampliable a 10 (Ley 10/2010 PBC)	Obligación legal
Comunicaciones comerciales	Hasta retirada del consentimiento o baja	Art. 6.1.a RGPD
Cookies analíticas y publicitarias	Máximo 13 meses (Guía AEPD sobre Cookies)	Consentimiento
Logs de seguridad	12 meses	Interés legítimo
Reclamaciones y disputas	Hasta resolución firme + plazos de prescripción aplicables	Interés legítimo / obligación legal

Transcurridos los plazos, los datos se suprimen de forma segura o se anonimizan de forma irreversible para fines estadísticos.

6.Destinatarios y encargados del tratamiento

No vendemos, alquilamos ni cedemos tus datos a terceros con fines comerciales o publicitarios. Únicamente comunicamos información a los proveedores tecnológicos imprescindibles para la prestación del servicio, todos ellos vinculados mediante un contrato de encargo del tratamiento conforme al artículo 28 del RGPD.

Encargado	Finalidad	Ubicación	Garantía
Stripe Payments Europe Ltd. / Stripe Inc.	Procesamiento de pagos y facturación	Irlanda (UE) / EE.UU.	EU-US DPF · CCT · PCI-DSS L1
Appwrite (autoalojado en infraestructura UE)	Base de datos, autenticación y almacenamiento de archivos	EEE	Cifrado AES-256 · CCT con subencargados
PostHog Inc.	Analítica de producto y telemetría de errores	EEE (cluster eu.posthog.com)	Servidores en la UE · DPA firmado
Meta Platforms Ireland Ltd.	Píxel de conversión publicitaria (solo con consentimiento)	Irlanda (UE) / EE.UU.	EU-US DPF · CCT
Calendly LLC	Reserva de demos comerciales	EE.UU.	EU-US DPF · CCT
Anthropic, PBC	Funciones internas de asistencia con IA (lado administrador)	EE.UU.	CCT · sin entrenamiento con tus datos
Proveedor de envío de correo (SMTP/transaccional)	Envío de correos transaccionales (verificación, recibos, recordatorios)	EEE	DPA firmado
Proveedores de mensajería (WhatsApp Business API)	Notificaciones opcionales por WhatsApp	EE.UU.	EU-US DPF · CCT
OpenStreetMap / Leaflet	Visualización de mapas (sin perfilado)	EEE	Servicio sin cookies de tracking

Adicionalmente, podremos comunicar tus datos a las Administraciones Públicas competentes (Agencia Tributaria, Fuerzas y Cuerpos de Seguridad, juzgados y tribunales) cuando exista una obligación legal de hacerlo.

CCT: Cláusulas Contractuales Tipo aprobadas por la Comisión Europea. DPA: Acuerdo de Tratamiento de Datos (Data Processing Agreement).

7.Transferencias internacionales de datos

El almacenamiento principal de los datos se realiza en servidores ubicados en el Espacio Económico Europeo (EEE). Algunos de los encargados del tratamiento listados en la sección anterior están establecidos en los Estados Unidos. En esos casos, las transferencias internacionales se amparan en alguna de las garantías previstas en el Capítulo V del RGPD:

Decisión de adecuación EU-US Data Privacy Framework (Decisión de Ejecución (UE) 2023/1795 de la Comisión Europea), cuando el proveedor está certificado.
Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Decisión 2021/914), complementadas con medidas suplementarias técnicas y organizativas.
Evaluación de impacto de las transferencias (TIA) realizada caso a caso para verificar la equivalencia del nivel de protección.

Puedes solicitar copia de las garantías aplicables a una transferencia concreta escribiendo a [email protected].

8.Cookies y tecnologías similares

De conformidad con el artículo 22.2 de la LSSI-CE y la Guía sobre el uso de cookies de la AEPD, te informamos del uso de cookies y tecnologías similares en lorari.com:

Tipo	Finalidad	Proveedor	Consentimiento
Técnicas / necesarias	Sesión de usuario, idioma, seguridad CSRF	Lorari (Appwrite)	Exentas (art. 22.2 LSSI)
Analíticas	Métricas de uso agregadas y depuración	PostHog (UE)	Requiere consentimiento
Publicitarias / conversión	Medición de campañas de Meta Ads	Meta Pixel	Requiere consentimiento
Pagos	Antifraude y autenticación 3D Secure	Stripe	Necesarias durante el pago

Puedes aceptar, rechazar o configurar las cookies no necesarias en cualquier momento desde el banner de cookies o desde la configuración de tu cuenta. Tu decisión se recordará durante un máximo de 13 meses, transcurridos los cuales se te volverá a solicitar el consentimiento.

Puedes también gestionar las cookies directamente desde la configuración de tu navegador (Chrome, Firefox, Safari, Edge…). El bloqueo de cookies técnicas puede provocar fallos en el funcionamiento de la plataforma.

9.Medidas de seguridad

Hemos implantado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD y al Esquema Nacional de Seguridad cuando resulte de aplicación:

Cifrado en tránsito

TLS 1.3 obligatorio en todo el tráfico HTTP, HSTS y certificados auditados.

Cifrado en reposo

Bases de datos y archivos cifrados con AES-256.

Control de accesos

Autenticación multifactor para cuentas administrativas y principio de mínimo privilegio.

Copias de seguridad

Backups automáticos, cifrados y testados periódicamente, con almacenamiento en ubicación distinta a la primaria.

Seguridad perimetral

Firewalls de aplicación, filtrado WAF y monitorización 24/7.

Pseudonimización

Identificadores opacos y separación lógica de datos personales y operacionales.

Registro de actividades

Registros de actividades de tratamiento (RAT) conforme al art. 30 RGPD.

Formación y confidencialidad

Acuerdos de confidencialidad con todo el personal con acceso.

Gestión de incidentes

Procedimiento de notificación de brechas a la AEPD en menos de 72 h (art. 33 RGPD).

Auditoría periódica

Revisión regular de permisos, dependencias y vulnerabilidades.

10.Tus derechos

Como persona interesada, te asisten los derechos reconocidos en los artículos 15 a 22 del RGPD y en los artículos 11 a 18 de la LOPDGDD. Puedes ejercerlos de forma gratuita en cualquier momento:

Acceso (art. 15 RGPD)

Obtener confirmación de si tratamos tus datos y, en su caso, una copia de los mismos.

Rectificación (art. 16)

Solicitar la corrección de datos inexactos o incompletos.

Supresión / Olvido (art. 17)

Pedir el borrado de tus datos cuando ya no sean necesarios o retires tu consentimiento.

Limitación (art. 18)

Solicitar la suspensión del tratamiento mientras se verifica una incidencia.

Portabilidad (art. 20)

Recibir tus datos en formato estructurado, de uso común y lectura mecánica.

Oposición (art. 21)

Oponerte al tratamiento, especialmente para marketing directo o decisiones basadas en interés legítimo.

Retirada del consentimiento

Revocar el consentimiento prestado, sin afectar a la licitud del tratamiento previo.

Decisiones automatizadas (art. 22)

No ser objeto de decisiones que produzcan efectos jurídicos basadas únicamente en tratamiento automatizado.

Cómo ejercer tus derechos

Envía una solicitud por escrito a [email protected] indicando: (i) el derecho que deseas ejercer, (ii) tus datos identificativos para que podamos verificar tu identidad y (iii) en su caso, una copia de tu documento de identidad.

Te responderemos en un plazo máximo de un mes desde la recepción, prorrogable otros dos meses cuando la solicitud sea especialmente compleja, comunicándotelo previamente.

11.Reclamación ante la autoridad de control

Si consideras que el tratamiento de tus datos personales infringe la normativa de protección de datos o que tu solicitud no ha sido atendida adecuadamente, tienes derecho a presentar una reclamación ante la autoridad de control competente, sin perjuicio de cualquier otro recurso administrativo o judicial:

Agencia Española de Protección de Datos (AEPD)

C/ Jorge Juan, 6 · 28001 Madrid

Teléfono: 901 100 099 / 912 663 517

Web: www.aepd.es · sedeagpd.gob.es

Te recomendamos contactarnos previamente para intentar resolver la cuestión de forma amistosa y rápida.

12.Menores de edad

El servicio está dirigido a personas mayores de 14 años, edad mínima fijada por el artículo 7 de la LOPDGDD para prestar consentimiento por sí mismas al tratamiento de datos personales.

Para menores de 14 años, el consentimiento debe ser otorgado por sus titulares de la patria potestad o tutela. No recogemos conscientemente datos de menores de 14 años sin la autorización del titular de la patria potestad. Si tienes constancia de que un menor de 14 años ha facilitado datos sin esa autorización, escríbenos a [email protected] y procederemos a su eliminación inmediata.

13.Decisiones automatizadas y elaboración de perfiles

No tomamos decisiones que produzcan efectos jurídicos sobre ti o te afecten de manera significativa basadas únicamente en tratamiento automatizado, en el sentido del artículo 22 del RGPD.

Determinadas funciones de la plataforma pueden hacer uso de modelos automatizados (por ejemplo, sugerencias de horarios, detección de fraude o asistencia administrativa con IA). En todos los casos existe una revisión humana previa a cualquier decisión que pueda afectarte y dispones del derecho a obtener una explicación, expresar tu punto de vista e impugnarla.

14.Cambios en esta política

Esta Política de Privacidad podrá actualizarse para reflejar cambios legislativos, jurisprudenciales, organizativos o de la propia plataforma. Cuando los cambios sean sustanciales, te lo comunicaremos con al menos 30 días de antelación mediante correo electrónico y/o un aviso destacado en la plataforma.

La fecha de la última actualización siempre figurará en la cabecera del documento. Las versiones anteriores están disponibles bajo solicitud.

15.Contacto

Para cualquier consulta, sugerencia o reclamación relacionada con esta política o con el tratamiento de tus datos, puedes contactar con el responsable a través de:

Responsable:Martí Mestre Faus · NIF 23920212M

Correo:[email protected]

Teléfono:+34 684 709 920

Domicilio:Barcelona, España

Asunto recomendado:[Privacidad] — tu consulta

Plazo de respuesta máximo en materia de privacidad: 30 días naturales (prorrogables a 90 días en casos complejos). Para soporte general, el tiempo habitual de respuesta es inferior a 24 horas.

Esta política se rige por la legislación española y comunitaria en materia de protección de datos. En caso de discrepancia entre versiones traducidas, prevalecerá la versión en español.