Datos de Cumplimiento

LONAVIA — Tu guía de viaje IA · Registro de Actividades de Tratamiento (ROPA) · Versión 1.1 · Última actualización: 17 de julio de 2026

Este documento detalla, conforme al Artículo 30 del GDPR (Reglamento UE 2016/679) y a las normativas equivalentes en otras jurisdicciones, todas las actividades de tratamiento de datos personales realizadas por LONAVIA. Su finalidad es la transparencia total con el usuario y la facilidad de auditoría por autoridades de protección de datos.

📑 Índice

  1. Identidad del responsable
  2. Categorías de datos tratados
  3. Actividades de tratamiento detalladas
  4. Destinatarios y subprocesadores
  5. Transferencias internacionales
  6. Plazos de conservación
  7. Medidas técnicas y organizativas
  8. Procedimiento de brechas de seguridad
  9. Evaluación de impacto (DPIA)
  10. Ejercicio de derechos
  11. Tecnologías utilizadas
  12. Cookies y almacenamiento local
  13. Registro de auditoría
  14. Estándares y certificaciones
  15. Contacto

1. Identidad del responsable del tratamiento

CampoValor
Denominación del ServicioLONAVIA — Tu guía de viaje IA
TipoAplicación web progresiva (PWA)
Responsable del tratamientoEquipo de desarrollo de LONAVIA
Dominio principallonavia.app
Email de contacto (privacidad)hola@lonavia.app
Delegado de Protección de Datos (DPO)No designado (no obligatorio por volumen actual de tratamiento)
Representante en la UENo designado (responsable establecido fuera de la UE — pendiente de evaluación según Art. 27 GDPR cuando se supere umbral)

2. Categorías de datos tratados

CategoríaDatos específicosOrigen¿Sensibles? (Art. 9 GDPR)
IdentificativosNombre, email, foto de perfil, ID interno (UUID)Google OAuthNo
PreferenciasIdioma, modo oscuro/claro, voz preferida, muteConfiguración usuarioNo
Perfil de viajeNacionalidad, residencia, permisos/visas que posee, estilo de viaje, rango de presupuesto, compañía de viaje (solo / en pareja / con amigos)Configuración del usuario, o inferido de lo que menciona en el chat (ej. «vivo en España, tengo NIE»). Cada campo es editable y queda fijado a lo que indique el usuario.No. La residencia y los permisos/visas reflejan situación migratoria: no son categoría especial del Art. 9, pero se usan únicamente para responder sobre entrada y estadía.
GeolocalizaciónCoordenadas GPS (lat/lng), país detectado, ciudad detectadaWeb Geolocation API (con permiso explícito)No (a menos que revele situación íntima)
ComunicacionesMensajes intercambiados con el modelo IA, historial de chatInteracción usuarioNo (salvo que el usuario revele datos sensibles voluntariamente)
ConductaCiudades visitadas, insignias desbloqueadas, fechas de visita, número de sesionesGeolocalización + interaccionesNo
Financieros (limitados)Montos numéricos de gastos compartidos, divisas, descripciones de gastosEntrada manual o voz del usuarioNo (NO incluye datos bancarios reales)
Contenido generadoTips de viaje agregados por el usuario, notas de voz transcritasEntrada manual o vozNo (a menos que el usuario lo revele)
TécnicosTipo de dispositivo (PWA en navegador), user agent, sesión Supabase AuthAutomáticoNo

Datos sensibles especiales: LONAVIA NO solicita ni procesa intencionalmente datos de las categorías especiales del Art. 9 GDPR (salud, religión, orientación sexual, opiniones políticas, biometría, datos genéticos). Si un usuario revela voluntariamente este tipo de información en un mensaje al chat, el dato se trata conforme a estos términos y la Política de Privacidad pero NO se procesa de forma diferenciada.

3. Actividades de tratamiento detalladas

3.1. Autenticación e identificación de usuarios

FinalidadPermitir el inicio de sesión y mantener una sesión persistente entre dispositivos.
Datos tratadosEmail, nombre, foto de perfil de Google, UUID generado por Supabase Auth.
Base legalArt. 6(1)(b) GDPR — ejecución de un contrato del que el interesado es parte.
ConservaciónMientras la cuenta esté activa. Máximo 30 días tras solicitar la eliminación.
Categorías de destinatariosGoogle (OAuth), Supabase (gestor de identidad y base de datos).

3.2. Procesamiento de consultas a la IA

FinalidadGenerar respuestas conversacionales sobre destinos, transporte, comida, cultura, etc.
Datos tratadosTexto del mensaje del usuario, ubicación actual (si activa), país detectado, historial reciente de la conversación, contexto de POIs cercanos, y el perfil de viaje cuando está cargado: nacionalidad, residencia, permisos/visas, estilo de viaje, rango de presupuesto y compañía de viaje.
Base legalArt. 6(1)(b) GDPR — ejecución del Servicio.
ConservaciónMensajes guardados localmente en el dispositivo del usuario (localStorage) hasta que el usuario los borre. NO se almacenan en nuestros servidores salvo si el usuario lo solicita expresamente (función futura de sincronización de historial).
Categorías de destinatariosGroq Inc. (proveedor de inferencia de LLM: openai/gpt-oss-120b para el chat, openai/gpt-oss-20b para clasificación e itinerarios, llama-3.3-70b-versatile como alternativa).
Riesgos identificadosEl proveedor del modelo puede usar los inputs para mejorar sus servicios. Verificar política de Groq vigente: groq.com/privacy-policy.

3.3. Detección geográfica

FinalidadDeterminar la ciudad y el país en el que se encuentra el usuario para personalizar respuestas y registrar viajes.
Datos tratadosCoordenadas latitud/longitud, precisión, código de país ISO.
Base legalArt. 6(1)(a) GDPR — consentimiento explícito del usuario al permitir el acceso al GPS.
ConservaciónLas coordenadas crudas NO se persisten más allá de la sesión. Solo se persiste el resultado (nombre de ciudad + fecha) en la tabla cities_visited de Supabase.
Categorías de destinatariosOpenStreetMap / Nominatim (geocodificación inversa), Wikipedia API (búsqueda de POIs cercanos), Open-Meteo (clima).
Forma de revocar consentimientoConfiguración del navegador → Permisos del sitio → Ubicación → Denegar.

3.4. Síntesis de voz (Text-to-Speech)

FinalidadConvertir las respuestas de LONAVIA en voz hablada para experiencia hands-free.
Datos tratadosTexto a sintetizar (oraciones de respuesta de LONAVIA).
Base legalArt. 6(1)(b) GDPR — ejecución del Servicio. Opt-out disponible (botón Mute en Ajustes).
ConservaciónEl audio NO se persiste. Se genera bajo demanda y se descarta tras la reproducción.
Categorías de destinatariosGoogle Cloud Text-to-Speech es el proveedor en uso. ElevenLabs se mantiene como alternativa conmutable por configuración del servidor, y solo recibiría el texto si se la activara. En ambos casos, vía proxy server-side propio: el cliente nunca tiene contacto directo con la API ni con la clave.
SalvaguardasTruncado a 1500 caracteres por solicitud para limitar el abuso de cuota. El texto enviado son respuestas generadas por LONAVIA, no el mensaje del usuario.

3.5. Reconocimiento de voz (Speech-to-Text)

FinalidadPermitir al usuario dictar mensajes en lugar de tipear.
Datos tratadosAudio capturado por el micrófono del dispositivo.
Base legalArt. 6(1)(a) GDPR — consentimiento explícito (botón mic).
ConservaciónEl audio se procesa localmente en el navegador mediante Web Speech API. NO se transmite a nuestros servidores. La transcripción de texto sí sigue el flujo normal del chat (sección 3.2).
Categorías de destinatariosProcesado por el motor de reconocimiento del propio navegador del usuario (en iOS: Apple Speech; en Android/Chrome: Google Speech Services). El procesamiento puede ocurrir on-device o en los servidores del fabricante según configuración del dispositivo.

3.6. División de gastos compartidos

FinalidadPermitir al usuario llevar control de gastos compartidos entre viajeros (estilo Tricount).
Datos tratadosNombre del grupo, monedas, lista de participantes (con nombres en formato libre), montos, descripciones, fechas, divisiones.
Base legalArt. 6(1)(b) GDPR — ejecución del Servicio.
ConservaciónMientras el grupo exista. El usuario puede eliminarlo en cualquier momento.
Categorías de destinatariosSupabase (almacenamiento principal), ExchangeRate-API y Frankfurter (conversión de divisas — solo reciben códigos ISO de monedas, no montos identificables).
ObservaciónNO se procesan datos bancarios reales, números de tarjeta ni credenciales financieras.

3.7. Sistema de insignias y registro de viajes

FinalidadGamificación: desbloquear insignias por país visitado y mostrar mapa cronológico de viajes.
Datos tratadosCódigo de país, fecha de visita, coordenadas del momento de desbloqueo, ciudad detectada.
Base legalArt. 6(1)(b) GDPR — ejecución del Servicio.
ConservaciónMientras la cuenta esté activa o hasta que el usuario los elimine.
Categorías de destinatariosSupabase (tabla user_badges, cities_visited).

3.8. Generación de tarjetas de viaje para compartir

FinalidadPermitir compartir un resumen visual del viaje en redes sociales.
Datos tratadosNombre del país, lista de ciudades, comidas, highlights generados por la IA.
Base legalArt. 6(1)(a) GDPR — consentimiento explícito (acción del usuario "Compartir").
ConservaciónImagen generada bajo demanda. No se persiste salvo que el usuario la guarde manualmente.
Categorías de destinatariosPollinations.ai (generación de imagen ilustrada de fondo).

3.9. Generación de itinerarios IA

FinalidadProducir un plan día-a-día personalizado a partir de un destino, número de días y presupuesto.
Datos tratadosDestino seleccionado, número de días, tier de presupuesto.
Base legalArt. 6(1)(b) GDPR — ejecución del Servicio.
ConservaciónItinerarios guardados localmente (localStorage, máximo últimos 20).
Categorías de destinatariosGroq (LLM), Pollinations.ai (imagen por día).

4. Destinatarios y subprocesadores (lista completa)

LONAVIA actúa como Responsable del Tratamiento ante el usuario. Los siguientes terceros actúan como Encargados del Tratamiento (subprocesadores) o servicios autónomos a los que se envían datos para fines específicos.

SubprocesadorRolDatos enviadosFinalidadPaís / sedePolítica
Supabase Inc.Encargado del tratamientoEmail, perfil, ciudades, insignias, gastos, sesiones de authBase de datos + autenticaciónEE.UU. / EU (multi-región)supabase.com/privacy
Google LLCServicio autónomo (OAuth)Solicitud OAuth → recibe email, nombre, foto públicaLogin federadoEE.UU.policies.google.com/privacy
Groq Inc.Encargado del tratamientoMensajes del chat + contexto (ubicación, país, perfil de viaje, sistema)Inferencia LLM (gpt-oss-120b / gpt-oss-20b / llama-3.3-70b)EE.UU.groq.com/privacy-policy
Google LLC (Cloud Text-to-Speech)Encargado del tratamientoTexto a sintetizar (limitado a 1500 chars)Síntesis de voz — proveedor en usoEE.UU.policies.google.com/privacy
ElevenLabs Inc.Encargado del tratamientoTexto a sintetizar (limitado a 1500 chars)Síntesis de voz — alternativa configurada, no en uso. Solo recibiría datos si se conmutara el proveedor en el servidor.EE.UU.elevenlabs.io/privacy
Geoapify GmbHEncargado del tratamientoCoordenadas GPS aproximadas (sin identificadores de usuario), vía proxy server-side propioBúsqueda de baños públicos cercanos (datos OSM)UE (Alemania)geoapify.com/privacy-policy
Upstash Inc.Encargado del tratamientoDirección IP (contador de rate limit) y celda de coordenadas redondeada a ~110 m (caché de baños). Sin identificadores de cuenta.Límite de peticiones + caché. Retención: contadores por ventana de 1 minuto; caché 3 minutos.EE.UU. / global (según región del Redis)upstash.com/trust/privacy
Functional Software, Inc. (Sentry)Encargado del tratamientoReportes de error: mensaje, stack trace, URL, user agentDiagnóstico de fallos de la AppEE.UU.sentry.io/privacy
Cloudflare, Inc. (cdnjs)Servicio autónomo (CDN)Dirección IP y user agent al descargar la librería de mapas (Leaflet)Entrega de recursos estáticosEE.UU. / globalcloudflare.com/privacypolicy
Vercel Inc.Encargado del tratamiento (hosting)Tráfico HTTPS, logs técnicos, ejecución de Edge FunctionsHosting + serverless proxyEE.UU. (multi-región global)vercel.com/legal/privacy-policy
OpenStreetMap FoundationServicio autónomoCoordenadas GPS (sin identificadores)Tiles de mapa + geocodificación inversa (Nominatim)Reino Unido / UEwiki.osmfoundation.org/Privacy_Policy
Wikimedia FoundationServicio autónomoCoordenadas GPS o nombre de lugar (consulta pública)POIs verificadosEE.UU.foundation.wikimedia.org/Privacy_policy
Open-MeteoServicio autónomoCoordenadas GPS (sin identificadores)ClimaUE (Alemania/Suiza)open-meteo.com/terms
ExchangeRate-APIServicio autónomoCódigos ISO de monedas (sin montos)Tipos de cambioUE (Irlanda)exchangerate-api.com
FrankfurterServicio autónomoCódigos ISO de monedas (sin montos)Tipos de cambio (respaldo)UEfrankfurter.dev
Pollinations AIServicio autónomoTexto del prompt (nombre país + estilo gráfico)Generación de imagenUE / EE.UU.pollinations.ai

Nuevos subprocesadores: nos comprometemos a actualizar esta lista dentro de los 30 días siguientes a incorporar cualquier nuevo subprocesador y a notificarlo dentro de la App si se trata de un servicio crítico.

5. Transferencias internacionales

Varios subprocesadores procesan datos fuera del Espacio Económico Europeo (EEE), principalmente en Estados Unidos. Garantizamos:

6. Plazos de conservación

DatoPlazo de conservaciónCriterio
Perfil de usuario (Supabase profiles)Hasta que el usuario solicite el borrado. Máximo 30 días tras la solicitud.Necesidad funcional
Sesión Supabase Auth (token JWT)1 hora (refresh automático)Seguridad
Ciudades visitadasVida de la cuenta o hasta eliminación manualFuncional + consentimiento
Insignias desbloqueadasVida de la cuenta o hasta eliminación manualFuncional
Grupos de gastos y movimientosVida de la cuenta o hasta eliminación manualFuncional
Historial de chat (localStorage)Hasta que el usuario lo borre manualmente o limpie el almacenamiento del navegadorLocal, sin acceso remoto
Logs técnicos de Vercel (rutas, status, latencia)Máximo 90 díasMantenimiento, seguridad, depuración
Datos enviados a GroqSegún política de Groq vigente (consultar)No bajo nuestro control directo
Datos enviados al proveedor de voz (Google Cloud TTS)Bajo demanda. Audio descartado tras reproducción local.Sin persistencia de nuestro lado
Contadores de rate limit y caché en Upstash (IP, celda de coordenadas)1 minuto (contadores) / 3 minutos (caché)Expiración automática por TTL
Reportes de error en SentrySegún política de Sentry vigenteNo bajo nuestro control directo
Caché Wikipedia/FX en localStorage12 horasOptimización

Al recibir una solicitud de eliminación, ejecutamos el borrado en la base de datos de Supabase (cascade delete por FK), invalidamos sesiones activas y solicitamos a los subprocesadores la eliminación de los datos en su poder (Groq guarda inputs hasta 30 días según política actual).

7. Medidas técnicas y organizativas (Art. 32 GDPR)

7.1. Medidas técnicas

7.2. Medidas organizativas

8. Procedimiento ante brechas de seguridad

Conforme al Art. 33 y 34 GDPR, ante la detección de una violación de datos personales:

  1. Contención inmediata: aislar el sistema afectado, rotar credenciales comprometidas.
  2. Evaluación del impacto: identificar qué categorías de datos y qué usuarios fueron afectados.
  3. Notificación a la autoridad de control: en un plazo máximo de 72 horas si la brecha representa riesgo para los derechos y libertades de los afectados.
  4. Notificación a los usuarios afectados: sin dilación indebida, si el riesgo es alto. Por email + aviso en la App.
  5. Registro interno: documentación completa del incidente, causas y medidas correctivas.
  6. Revisión post-incidente: análisis de causa raíz y actualización de controles.

9. Evaluación de impacto en la protección de datos (DPIA)

Conforme al Art. 35 GDPR, se ha realizado una evaluación interna preliminar. Los tratamientos de mayor riesgo identificados son:

Una DPIA formal se realizará si el volumen de usuarios supera los 10.000 sujetos o si se introducen tratamientos de mayor riesgo (perfilado avanzado, biometría, datos de menores en gran escala).

10. Ejercicio de derechos por el usuario

Atendemos las siguientes solicitudes en un plazo máximo de 30 días desde su recepción (prorrogable hasta 60 días en casos complejos, conforme al Art. 12 GDPR):

11. Tecnologías utilizadas

ComponenteTecnologíaVersión / Modelo
Framework clienteReact + ViteReact 19, Vite 8
Backend (BaaS)SupabasePostgreSQL + Auth + Edge Functions
HostingVercelEdge Network global
LLM principalGPT-OSS (OpenAI, pesos abiertos) vía Groqopenai/gpt-oss-120b — chat
LLM auxiliarGPT-OSS vía Groqopenai/gpt-oss-20b — clasificación, JSON, itinerarios. llama-3.3-70b-versatile (Meta) queda como alternativa.
TTSGoogle Cloud Text-to-SpeechVoz es-US-Neural2-B (configurable). ElevenLabs Flash v2.5 disponible como alternativa conmutable.
STTWeb Speech API (nativa del navegador)Apple / Google según OS
MapasLeaflet + OpenStreetMapVía CDN
GeocodificaciónNominatim + Wikipedia GeosearchAPI pública
Generación de imagenPollinations (Flux)API pública

12. Cookies y almacenamiento local

LONAVIA NO utiliza cookies de tracking publicitario ni de redes sociales. El almacenamiento local se limita a:

Clave (localStorage)PropósitoDuración
lonavia_langIdioma preferidoPersistente hasta limpieza manual
lonavia_darkModo claro/oscuroPersistente
lonavia_userCaché del perfil tras loginPersistente hasta logout
lonavia_user_countryNacionalidad declaradaPersistente
lonavia_creditsContador de mensajes restantes (free)Persistente
lonavia_historyHistorial de chat localPersistente, máx 50 sesiones
lonavia_expense_groups_v1Caché de gastos offline-firstPersistente
lonavia_itineraries_v1Itinerarios generadosPersistente, máx 20
lonavia_user_tips_v1Tips agregados por el usuarioPersistente, máx 200
lonavia_muteEstado del mutePersistente
lonavia_fx_cache_v1Caché de tipos de cambio12 horas
lonavia_wiki_pois_v1Caché de POIs Wikipedia12 horas
lonavia_supabase_authToken de sesión Supabase1 hora con refresh automático

El usuario puede borrar todo el almacenamiento desde los ajustes del navegador, lo que efectivamente le desconecta de la cuenta y resetea preferencias.

13. Registro de auditoría

Mantenemos un registro interno de versiones de este documento y cambios materiales en las prácticas de tratamiento. Las versiones anteriores quedan disponibles bajo solicitud.

VersiónFechaCambios principales
1.02026-05-23Documento inicial. ROPA completo conforme a GDPR Art. 30. Integración con T&C y Política de Privacidad.

14. Estándares y certificaciones aplicables

15. Contacto

📧 Email (privacidad): hola@lonavia.app

🌐 Web: lonavia.app

⚖️ Autoridad de control (UE): Lista de autoridades nacionales en edpb.europa.eu.

🇦🇷 Argentina: Agencia de Acceso a la Información Pública (AAIP).

🇪🇸 España: Agencia Española de Protección de Datos (AEPD).

🇲🇽 México: Instituto Nacional de Transparencia (INAI).

🇧🇷 Brasil: Autoridade Nacional de Proteção de Dados (ANPD).

📄 Documentos relacionados:

16. Transparencia de Inteligencia Artificial (Reglamento de IA de la UE — 2024/1689)

LONAVIA utiliza inteligencia artificial generativa para producir sus respuestas de viaje. Conforme al Reglamento (UE) 2024/1689 sobre Inteligencia Artificial («AI Act»), en particular su Artículo 50 (obligaciones de transparencia), informamos lo siguiente:

Para consultas relativas al uso de IA podés escribir a hola@lonavia.app.