Una reserva de crucero por el Bósforo implica más que una entrada — un barco, una hora de embarque, un plan de comidas para la opción de cena, un anfitrión privado para el yate. Esta política cubre lo que recogemos para coordinar todo eso, por qué se necesita y quién más lo ve. Lenguaje claro. Alineada con GDPR + KVKK.
Este sitio lo opera Istanbul Tourist Information Ltd., licencia TÜRSAB A-7812, IVA 3470891204. Domicilio social: Sultanahmet Mah. Divan Yolu Cad. 17, 34122 Fatih, Estambul. Responsable de datos: privacy@istanbul-tourist-information.com.
Cubre bosphorus-tour.com — el sitio de reservas de los cuatro productos de crucero (Estándar, Atardecer, Cena, Yate Privado). No cubre los sitios propios de los operadores de los barcos ni los revendedores externos.
Cuatro categorías. Más para reservas de yate privado (el anfitrión necesita conocer las preferencias dietéticas y el perfil del grupo), menos para el crucero diurno estándar.
Datos de contacto y reserva — nombre del titular de la tarjeta, correo, teléfono, fecha y franja de embarque, tipo de crucero, número de huéspedes, preferencias dietéticas (opción cena), notas de la ocasión (yate privado).
Datos de pago — tarjeta introducida en Stripe. Últimos cuatro dígitos + marca conservados para la factura.
Datos de uso — qué páginas, referente, clase de dispositivo. Anonimizados.
Datos de soporte — correo y respuesta, retención de 36 meses.
Ejecución del contrato — no podemos informar al capitán y al anfitrión sin los datos de reserva. Art. 6(1)(b) GDPR.
Obligación legal — la ley fiscal turca exige conservar registros de transacciones durante 10 años. Art. 6(1)(c) GDPR.
Interés legítimo — analítica, detección de fraude, informes de fallos. Opt-out vía panel de cookies. Art. 6(1)(f) GDPR.
Consentimiento — marketing y boletines, opt-in explícito. Art. 6(1)(a) GDPR.
Directamente de ti. No compramos listas de datos, no enriquecemos con fuentes de terceros, no hacemos huella digital del dispositivo. Los datos de la tarjeta van a Stripe; ellos devuelven un token.
Registro de reserva: referencia (prefijo BO-), tipo de crucero, fecha y hora de embarque, nombre del titular de la tarjeta, correo de contacto, teléfono, número de huéspedes, preferencias dietéticas (cuando aplica), notas de la ocasión, importe del IVA, total pagado, historial de reembolsos.
Visible para: tú, nuestro equipo de soporte, el capitán y el anfitrión el día (solo nombre, número de huéspedes, notas dietéticas y de la ocasión — nunca datos de contacto).
Front como helpdesk. 36 meses. No se usa para entrenar IA. No se comparte con marketing.
GA4 con anonimización de IP, señales de anuncios desactivadas, demografía desactivada. Sentry para informes de fallos con eliminación de datos personales. Vemos qué falló, no a quién.
| Proveedor | Propósito | Datos retenidos | Región |
|---|---|---|---|
| Stripe | Pagos | Tokens de tarjeta | UE + EE.UU. |
| API de ventas externa | Inventario de barcos + reserva de franja | Tipo de crucero, franja, cantidad | Türkiye |
| Correo transaccional | Confirmación + voucher | Correo, resumen | UE |
| Google Analytics 4 | Uso anonimizado | ID anónimo de sesión | UE + EE.UU. |
| Meta Pixel | Atribución de anuncios (opt-in) | ID opaco | UE + EE.UU. |
| Sentry | Informes de fallos depurados | Traza de error, sin datos personales | UE |
| Hosting y CDN | Servir el sitio | IP, user-agent (transitorio) | UE |
Cada proveedor con DPA firmado, auditado anualmente.
No vendemos, alquilamos ni compartimos datos para marketing de socios. Solo los proveedores de la sección 08, bajo instrucciones de procesador. Excepción por orden legal: se te notifica salvo que esté prohibido.
Registros de reserva — 10 años. Soporte — 36 meses. Analítica — 24 meses. Informes de fallos — 14 días. Cookies de marketing — 90 días o hasta revocar.
Infraestructura primaria: UE (Frankfurt, Ámsterdam). Stripe y Google enrutan a través de EE.UU. bajo el Marco UE-EE.UU. de Privacidad de Datos + SCC.
TLS 1.3. Cifrado de BBDD en reposo. 2FA para todo el personal. Pen-tests trimestrales. Compromiso de notificación de brecha en 72 horas.
Ocho derechos bajo GDPR + KVKK.
Copia completa, SLA de 30 días.
Correcciones el mismo día.
Fuera de la retención de 10 años.
Congelar durante disputas.
Exportación JSON/CSV.
Detener el tratamiento por interés legítimo.
Ninguno. Sin perfilado.
KVKK o autoridad de protección de datos de la UE directamente.
Sin recogida consciente de datos de menores de 16 años. Padres reservando para sus hijos: el titular de la tarjeta es el padre/madre; solo aparecen nombres en el voucher.
Cambios materiales: aviso por correo con 30 días de antelación. Ediciones menores: el número de versión se incrementa en la cabecera.
Una persona, interna. Primera respuesta en ocho horas hábiles, el 98% de los casos resueltos en quince días hábiles.