Privacidad, datos y contacto

Recogemos solo lo necesario para reservar, ejecutar y dar seguimiento a su tour. Nada más.

• Al reservar: Nombre completo, email, teléfono/WhatsApp, país de residencia.
• Para emitir billetes y cumplir la ley: Pasaporte, nacionalidad, fecha de nacimiento — requeridos por la Autoridad de Aviación Civil Turca para vuelos domésticos.
• Para pagos: Los datos de tarjeta los gestiona nuestro banco adquirente turco autorizado (certificado PCI-DSS). Solo vemos un token de confirmación y los últimos 4 dígitos — nunca el PAN completo ni el CVV.
• Datos operativos: Preferencias de tour (categoría hotel, dietas, accesibilidad), feedback y mensajes con nuestro equipo.
• Analítica web: Cookies anónimas para rendimiento del sitio — sin datos identificativos.

No vendemos sus datos. Los usamos solo para gestionar la reserva (vuelos, hoteles, briefings de conductor) y comunicarnos (confirmaciones, recordatorios, newsletters opcionales de las que puede darse de baja en cualquier momento).

Consejo: Si prefiere revelar lo mínimo, contacte por WhatsApp — podemos registrar una reserva solo con nombre + email + teléfono del titular. Los datos de pasaporte solo se piden cerca del viaje (72 horas antes de emitir el billete).

Sí. Operamos bajo la ley turca de protección de datos (KVKK) por defecto y aplicamos derechos equivalentes al GDPR para viajeros de la Unión Europea y Reino Unido.

• KVKK (Turquía, Ley 6698): Marco legal principal como empresa turca. Estamos registrados como responsable del tratamiento ante la Autoridad Turca de Protección de Datos Personales.
• GDPR (UE, Reglamento 2016/679): Aplica a viajeros residentes en UE y Reino Unido. Tiene los mismos derechos que bajo KVKK más algunos adicionales de la UE (portabilidad, oposición a decisiones automatizadas).
• Ley Federal Suiza de Protección de Datos (FADP): Honramos los derechos FADP para residentes suizos, equivalente al GDPR.
• CCPA (California): Honramos solicitudes de "no vender" para residentes de California, aunque no vendemos datos a nadie.

Siempre tiene derecho a elegir bajo qué marco legal ser tratado — aplicamos el más favorable en el momento de su solicitud.

Consejo: No necesita indicar base legal para ejercer un derecho. Solo escriba a info@toursce.com con su petición ("eliminar datos", "enviarme todos mis datos", "corregir email") y aplicamos automáticamente la protección más fuerte aplicable.

Compartimos datos solo con los proveedores específicos que ejecutan su reserva, en la medida necesaria y bajo acuerdos escritos de tratamiento de datos.

• Aerolíneas: Nombre, pasaporte, fecha de nacimiento — obligatorio para emisión de billetes.
• Hoteles: Nombre, fechas, preferencias de habitación, dietas.
• Operadores locales (globo, tours, conductores): Nombre, teléfono, punto de recogida, tamaño del grupo.
• Procesadores de pago: Gestionados por nuestro banco adquirente turco — los datos de tarjeta nunca llegan a nuestros servidores.
• Autoridades por requerimiento legal: Solo obligados por ley turca u orden judicial.

No compartimos sus datos con:

• Empresas de marketing
• Corredores de datos
• Anunciantes terceros
• Socios afiliados de venta

Transferencia internacional: Si reside en UE/UK, sus datos pueden procesarse en Turquía (nuestro país operativo). La decisión de adecuación de Turquía para GDPR sigue pendiente, por lo que nos basamos en Cláusulas Contractuales Estándar (SCCs) y compromiso de protección equivalente.

Consejo: Puede pedir la lista completa de proveedores específicos que recibieron sus datos para una reserva dada. Escriba a info@toursce.com con su referencia — respondemos en 5 días hábiles.

Los distintos tipos de datos tienen plazos de conservación diferentes, motivados por obligación legal.

• Registros de reserva e historial de pagos: 7 años (exigido por ley fiscal turca y auditoría).
• Referencias tokenizadas de tarjeta: Hasta 7 años por nuestro banco, según PCI-DSS y regulación bancaria turca.
• Copias de pasaporte (si las envió): Eliminadas inmediatamente tras el tour. Solo conservamos el número en el registro para auditoría fiscal.
• Feedback y reclamaciones: 2 años tras la resolución.
• Lista de email marketing: Hasta darse de baja. La baja le retira en 24 horas.
• Cookies de analítica: Anónimas, máximo 13 meses.

Puede solicitar eliminación anticipada de cualquier dato no sujeto a obligación legal. Por ejemplo, podemos eliminar todos sus datos operativos y de marketing justo tras el tour, manteniendo solo el mínimo exigido por ley fiscal.

Consejo: Tras su viaje, si quiere minimizar su huella de datos, envíe un email con "solicitud privacy-minimize-my-data". Eliminamos todo lo no legalmente requerido, le damos de baja de newsletters y confirmamos qué queda y por qué. Tramitación estándar en 10 días hábiles.

Tiene derechos sólidos bajo KVKK y GDPR. Los honramos todos, gratis, en un mes desde su solicitud.

• Acceso: Copia de todos los datos que tenemos sobre usted.
• Rectificación: Corregir datos erróneos (email equivocado, teléfono antiguo, nombre de pasaporte mal escrito).
• Eliminación ("derecho al olvido"): Eliminar todos sus datos, sujeto a obligaciones de conservación de registros de reserva.
• Limitación: Congelar el tratamiento mientras una disputa o corrección esté en curso.
• Oposición: Dejar de recibir marketing o actividades específicas.
• Portabilidad (residentes UE/UK): Recibir sus datos en formato legible por máquina (JSON/CSV) para trasladar.
• Retirada de consentimiento: Revocar cualquier consentimiento previo, con efecto futuro.
• Derecho a no ser objeto de decisiones automatizadas: No usamos decisiones automatizadas, pero si lo hiciéramos, tendría derecho a revisión humana.
• Derecho a reclamar: Ante la Autoridad Turca (KVKK) o su autoridad UE local.

Ejercer cualquier derecho es gratis y se tramita en 1 mes. Prórrogas hasta 2 meses solo para peticiones complejas, con justificación escrita.

Consejo: Para solicitar, envíe un único email a info@toursce.com con asunto "Privacy request — [su derecho]" y su referencia de reserva si aplica. Confirmamos recepción en 3 días hábiles y completamos en el plazo legal.

En el raro caso de una brecha de datos personales con riesgo para sus derechos, seguimos las normas de notificación de KVKK y GDPR.

• Detección interna: Monitoreo y logs de acceso marcan anomalías; el personal está formado para reportar incidentes sospechosos de inmediato.
• Contención: En horas aislamos sistemas afectados y bloqueamos el vector.
• Evaluación: En 24 horas identificamos qué datos personales y qué individuos pueden verse afectados.
• Notificación al regulador: En 72 horas desde el conocimiento, notificamos a la KVKK turca (y autoridades UE para viajeros europeos), según exige la ley.
• Notificación al usuario: Si la brecha supone alto riesgo para sus derechos, le avisamos directamente por email y teléfono, indicando qué pasó, qué datos se vieron afectados y qué medidas tomar.
• Remediación: Restablecimiento de contraseñas, coordinación de reemisión de tarjetas con bancos, servicios de monitoreo de identidad cuando proceda.

No hemos tenido una brecha notificable hasta la fecha. Medidas preventivas: SSL en todas partes, bases de datos cifradas, control de acceso por rol, auditorías anuales, no almacenamos CVV ni PAN completo, entornos desarrollo/producción separados.

Consejo: Si recibe un email sospechoso que diga ser de toursce pidiendo contraseña, tarjeta o pasaporte, no responda. Nuestro dominio oficial es toursce.com. En duda, llame al +90 533 554 85 55 o escriba a info@toursce.com directamente — confirmaremos si es legítimo.

Contacte directamente para cualquier cuestión de privacidad, acceso, rectificación o eliminación. Respondemos en su idioma preferido.

• Email:info@toursce.com (principal).
• Teléfono / WhatsApp: +90 533 554 85 55, 09:00–18:00 hora turca (UTC+3), lunes a sábado.
• Dirección postal: Kocamustafapasa Mahallesi, Kocamustafapasa Caddesi No:107 D:1, Fatih / Istanbul / Türkiye.

Las solicitudes al DPO las atiende el mismo equipo; somos una organización lo bastante pequeña como para que las responsabilidades DPO recaigan directamente en el CEO y la jefa de operaciones.

Si no está satisfecho con nuestra respuesta, puede reclamar ante:

• Turquía: Kişisel Verileri Koruma Kurumu (KVKK) — kvkk.gov.tr
• UE: Su autoridad nacional de protección de datos (lista en edpb.europa.eu).
• Reino Unido: Information Commissioner's Office — ico.org.uk
• California: California Privacy Protection Agency — cppa.ca.gov

Consejo: Tiempos de respuesta: solicitudes simples (baja, corrección de errata) en 24 horas; acceso y eliminación en 10 días hábiles; peticiones complejas multi-reserva hasta el máximo legal de 30 días. Para urgencias (sospecha de mal uso, phishing), llame al WhatsApp — respondemos más rápido por voz que por email.