Política de Privacidad

Vigente desde el 10 de mayo de 2026 · Contacto: support@magellania.net

En resumen: solo recogemos lo que necesitamos para que el CRM funcione. Sin trackers publicitarios, sin venta de datos a terceros, sin reconocimiento facial ni perfilado conductual.

1. Sobre este documento

Magellania CRM es una plataforma SaaS para agencias de viajes: embudo de ventas, cálculo de presupuestos, multidivisa, propuestas en PDF. Cuando se registra o simplemente visita el sitio, procesamos algunos de sus datos. Aquí se lo explicamos en lenguaje claro.

Esta Política se aplica al dominio magellania.net y a sus subdominios (crm.magellania.net, staging.magellania.net). El responsable del tratamiento es el operador de Magellania CRM.

2. Qué datos recogemos

2.1. Datos de registro y acceso

Email — necesario para iniciar sesión y recuperar contraseña.
Nombre (opcional) — se muestra en la interfaz.
Contraseña — se guarda únicamente como hash bcrypt (cost 10). No vemos ni podemos recuperar el texto plano.
Nombre de la organización — necesario para la separación multi-tenant.

2.2. Datos que usted introduce en el CRM

Fichas de clientes (nombre, email, teléfono, notas) — son los datos de sus clientes que usted introduce como operador.
Fichas de proveedores y contrapartes.
Presupuestos, cálculos, precios, itinerarios, archivos adjuntos.
Historial de operaciones y registro de auditoría.

En este caso, usted es el responsable y Magellania CRM es el encargado del tratamiento. No usamos los datos de sus clientes para nuestros propios fines.

2.3. Datos técnicos

Dirección IP — para seguridad (rate-limit, fail2ban, protección DDoS).
User-Agent — navegador, sistema operativo.
Cookies de autenticación — access_token y refresh_token httpOnly.
Logs de petición — rutas API, códigos de respuesta, marcas de tiempo.

2.4. Leads de marketing

Si deja su email en un formulario del sitio (demo, newsletter), guardamos email y mensaje. Lo necesitamos para responderle.

2.5. Lo que NO recogemos

Biometría, reconocimiento facial.
Geolocalización por debajo del nivel de país (inferimos país por IP solo para localización de la interfaz).
Perfilado conductual con fines publicitarios.
Datos de tarjetas de pago — el cobro pasa por un proveedor externo, nosotros solo vemos el estado «pagado».

3. Para qué los necesitamos

Prestación del servicio — sin email ni contraseña no se puede iniciar sesión; sin datos de clientes no se puede calcular un presupuesto.
Seguridad — necesitamos las IP en logs para bloquear fuerza bruta o tráfico sospechoso.
Soporte — al escribir a support@magellania.net usamos email e historial de cuenta para ayudarle.
Facturación — para los planes de pago necesitamos saber quién paga y hasta cuándo.
Avisos del servicio — caídas, cambios de política, vencimientos de suscripción.

No enviamos correos publicitarios sin su consentimiento. La newsletter es un opt-in independiente.

4. Base legal (para usuarios sujetos al RGPD)

Ejecución del contrato — el tratamiento necesario para operar el CRM se basa en el contrato entre usted y Magellania CRM (Términos del Servicio).
Interés legítimo — logs de seguridad, protección contra fuerza bruta.
Consentimiento — newsletter, login OAuth con Google.
Obligación legal — conservación de datos de facturación por requisitos fiscales.

5. Subencargados

Compartimos un conjunto limitado de datos con las siguientes empresas. Cada una tiene su propia política de privacidad:

Subencargado	Propósito	Datos	Política
Hostinger (Alemania, UE)	Hosting VPS	Todos los datos del servicio	Privacidad
Cloudflare	CDN, anti-DDoS, Turnstile (CAPTCHA)	IP, User-Agent, cookie cf_clearance	Privacidad
Google	Login OAuth (opcional, opt-in)	Email, nombre del perfil de Google	Privacidad
Sentry	Monitoreo de errores (solo stack-traces de servidor)	IP en hash, texto del error	Privacidad
Mailcow (autoalojado)	Envío de correos transaccionales	Email, asunto, cuerpo	Alojado en nuestro VPS

No incluimos redes publicitarias (Google Ads, Facebook Pixel, Yandex.Metrica, etc.).

6. Dónde y cómo almacenamos los datos

Ubicación de los servidores: Hostinger Alemania (Frankfurt), territorio UE.
Base de datos: SQLite en VPS, cifrado de disco mediante LUKS.
Copias de seguridad: diarias en el mismo VPS + backup off-site diario en Cloudflare R2 (Alemania). Retención 30 días.
Cifrado en tránsito: TLS 1.3 en todos los endpoints públicos.
Acceso interno: solo ingenieros con clave SSH; el acceso queda registrado.

Si usted reside fuera de la UE (por ejemplo, en Argentina o LatAm), sus datos se almacenan físicamente en Alemania (UE). Refleja el alcance internacional del producto y nuestra infraestructura en la UE.

7. Plazos de conservación

Datos de cuenta (email, organización, presupuestos) — mientras la suscripción esté activa. Tras la cancelación, los datos permanecen disponibles 30 días (puede restaurar o exportar) y luego se eliminan definitivamente.
Registro de auditoría (tabla audit_logs: quién cambió qué) — 1 año.
Logs de seguridad (IP, User-Agent, códigos de respuesta) — 90 días.
Registros de facturación — hasta 4 años (requisito fiscal).
Leads de marketing — hasta 24 meses o hasta que se dé de baja.

A petición podemos eliminar datos antes — salvo aquellos que estamos legalmente obligados a conservar.

8. Sus derechos

Si reside en la UE/EEE tiene los derechos del RGPD. Extendemos los mismos derechos a todos los usuarios, sin importar el país:

Acceso — obtener una copia de sus datos en formato legible por máquina.
Rectificación — corregir datos inexactos.
Supresión («derecho al olvido») — eliminar la cuenta y los datos asociados.
Portabilidad — exportar todos sus presupuestos y contactos en JSON.
Oposición — al tratamiento basado en interés legítimo.
Retirada del consentimiento — baja de newsletter, desactivación de OAuth.
Reclamación ante la autoridad de control (DPA) de su país.

9. Cómo ejercer sus derechos

Escriba a support@magellania.net con el asunto «Privacy request». Indique:

El email de su cuenta.
El derecho que ejerce (acceso / supresión / exportación, etc.).

Respondemos en un plazo de 30 días. En casos complejos podemos prolongar otros 30 días con aviso previo.

También puede eliminar su cuenta directamente desde los ajustes del perfil.

10. Cookies

Usamos un conjunto mínimo de cookies:

access_token — httpOnly, 30 minutos. Sin acceso desde JavaScript.
refresh_token — httpOnly, 30 días. Limitada a la ruta /api/v1/auth.
auth_present — flag accesible por JS (¡no es un token!), necesario para la UI.
cf_clearance — anti-bot de Cloudflare, lo establece el propio Cloudflare.

Sin cookies de tracking, sin Google Analytics, sin Yandex.Metrica, sin Facebook Pixel.

11. Menores

El servicio no está destinado a menores de 16 años. No recogemos conscientemente datos de menores. Si es padre o tutor y descubre que su hijo se ha registrado, escriba a support@magellania.net y eliminaremos la cuenta.

12. Cambios en la política

Si modificamos sustancialmente la política (por ejemplo, añadimos un nuevo subencargado o una nueva categoría de datos), lo notificaremos por email con al menos 30 días de antelación. Las correcciones menores (erratas, aclaraciones) se publican de inmediato actualizando la fecha «Vigente desde».

Archivo de versiones anteriores disponible bajo petición.

13. Jurisdicción y reclamaciones

Para usuarios de Rusia y la CEI, la ley aplicable es la de la Federación de Rusia.

Para usuarios de la UE/EEE: conserva todos los derechos del RGPD, incluido el de presentar reclamación ante la autoridad de control nacional. Ejemplos:

España — Agencia Española de Protección de Datos (AEPD).
Alemania — BfDI.
Francia — CNIL.

Para usuarios de Argentina y LatAm aplican las leyes locales de protección de datos (por ejemplo, Ley 25.326 en Argentina, supervisada por la AAIP).

Antes de presentar una reclamación al regulador, póngase en contacto con nosotros — la mayoría de los problemas se resuelven directamente y rápido.

Consultas sobre privacidad — support@magellania.net.
Véase también: Términos del Servicio.