Legal
Política de Privacidad
Última actualización: 28 April 2026
1. Responsable del Tratamiento
De conformidad con el Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos — RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), le informamos de que el responsable del tratamiento es:
| Empresa | Shanti Som Health Retreat, S.L. |
| CIF | B92586155 |
| Dirección | Llanos de Purla km 22, A-355 Marbella–Cártama, 29110 Monda, Málaga, España |
| privacy@shantisom.com | |
| Teléfono | +34 952 864 455 |
| Web | www.shantisom.com |
2. Categorías de Datos Personales que Recopilamos
2.1 Datos de Reserva y Huéspedes
Nombre, email, teléfono, dirección postal, nacionalidad, fecha de nacimiento, número de pasaporte o DNI (según el Real Decreto 933/2021 para el registro de viajeros), datos de pago, preferencias dietéticas, fechas de viaje y preferencias de habitación.
2.2 Datos de Salud y Bienestar
Al reservar tratamientos de spa o retiros de bienestar, podemos recopilar información de salud como condiciones médicas, alergias, lesiones, estado de embarazo u otra información relevante para la prestación segura de tratamientos. Estos datos se clasifican como datos de categoría especial conforme al Artículo 9 del RGPD y se tratan únicamente con su consentimiento explícito y con el fin exclusivo de prestar servicios de bienestar seguros y personalizados.
2.3 Datos de Contacto y Consultas
Nombre, email, teléfono y cualquier información que proporcione en su mensaje al utilizar nuestros formularios de contacto, email, WhatsApp o teléfono.
2.4 Datos de Marketing
Nombre, email, preferencias de marketing y datos de interacción (aperturas de email, clics) cuando se suscribe a nuestra newsletter o acepta recibir comunicaciones comerciales.
2.5 Datos de Selección de Personal
Nombre, datos de contacto, CV, experiencia laboral, cualificaciones y cualquier otra información enviada a través de solicitudes de empleo.
2.6 Datos Técnicos y de Analítica
Dirección IP, tipo de navegador, información del dispositivo, páginas visitadas, URL de referencia, tiempo en páginas e interacciones con nuestro sitio web. Estos datos se recopilan mediante cookies y tecnologías similares (ver Sección 8).
3. Finalidades del Tratamiento y Base Legal
| Finalidad | Base Legal (RGPD Art. 6) |
|---|---|
| Gestión de reservas y prestación de servicios de alojamiento y retiro | Ejecución de contrato (Art. 6.1.b) |
| Procesamiento de pagos | Ejecución de contrato (Art. 6.1.b) |
| Responder a solicitudes de contacto y consultas | Interés legítimo (Art. 6.1.f) |
| Registro de viajeros según la legislación española | Obligación legal (Art. 6.1.c) — Real Decreto 933/2021 |
| Prestación segura de tratamientos de spa y bienestar | Consentimiento explícito para datos de salud (Art. 9.2.a); ejecución de contrato (Art. 6.1.b) |
| Envío de newsletters y comunicaciones promocionales | Consentimiento (Art. 6.1.a) |
| Analítica web y mejora del rendimiento | Consentimiento mediante banner de cookies (Art. 6.1.a) |
| Publicidad online y remarketing | Consentimiento mediante banner de cookies (Art. 6.1.a) |
| Gestión de procesos de selección | Consentimiento (Art. 6.1.a); medidas precontractuales (Art. 6.1.b) |
| Cumplimiento de obligaciones fiscales y contables | Obligación legal (Art. 6.1.c) |
| Ejercicio o defensa de reclamaciones legales | Interés legítimo (Art. 6.1.f) |
4. Encargados del Tratamiento y Destinatarios
| Encargado / Destinatario | Finalidad | Ubicación |
|---|---|---|
| Mews Systems B.V. | Gestión de propiedad, reservas y procesamiento de pagos | UE (Países Bajos) |
| HubSpot, Inc. | CRM, emails de marketing, formularios de contacto y newsletter | EE.UU. (CCE de la UE) |
| Google LLC (Analytics, Ads) | Analítica web y publicidad | EE.UU. (CCE de la UE) |
| Meta Platforms, Inc. | Publicidad, integración de redes sociales | EE.UU. (CCE de la UE) |
| Vercel Inc. | Alojamiento web | UE (Fráncfort) |
| Storyblok GmbH | Sistema de gestión de contenidos | UE (Austria) |
| WhatsApp (Meta) | Comunicación con huéspedes | EE.UU. (CCE de la UE) |
| Procesadores de pago (vía Mews) | Transacciones con tarjeta | UE |
| Autoridades tributarias españolas (AEAT) | Cumplimiento fiscal y contable | España |
| Policía Nacional / Guardia Civil | Registro de viajeros (Real Decreto 933/2021) | España |
Todos los encargados del tratamiento con acceso a datos personales han firmado Acuerdos de Tratamiento de Datos conforme al Artículo 28 del RGPD.
5. Transferencias Internacionales de Datos
Algunos de nuestros encargados del tratamiento se encuentran fuera del Espacio Económico Europeo (EEE), principalmente en Estados Unidos. Para estas transferencias, nos basamos en:
- Cláusulas Contractuales Estándar (CCE) aprobadas por la Comisión Europea, complementadas con evaluaciones de impacto de transferencia cuando sea necesario.
- El Marco de Privacidad de Datos UE-EE.UU., cuando el encargado está certificado.
Puede solicitar una copia de las garantías pertinentes contactándonos en privacy@shantisom.com.
6. Plazos de Conservación
| Categoría de Datos | Plazo de Conservación |
|---|---|
| Registros de reservas y huéspedes | Duración de la estancia más 5 años (Art. 30 Código de Comercio; obligaciones fiscales) |
| Datos de registro de viajeros (pasaporte/DNI) | 3 años (Real Decreto 933/2021) |
| Formularios de salud y bienestar | Duración de la estancia; eliminados en 30 días tras la salida salvo que la atención continuada requiera su conservación |
| Registros de pago | Duración de la relación contractual más 4 años (Ley General Tributaria) |
| Datos de marketing y newsletter | Hasta la retirada del consentimiento; se solicita reconfirmación anualmente |
| Consultas del formulario de contacto | 12 meses desde la última interacción |
| Datos de selección y CV | 24 meses desde el envío, después se eliminan de forma segura salvo consentimiento renovado |
| Analítica web (cookies) | Ver Sección 8 (Política de Cookies) |
| Imágenes de videovigilancia (si aplica) | 30 días máximo (directrices de la AEPD) |
7. Datos de Pago y Cumplimiento PCI
No almacenamos números completos de tarjetas de crédito o débito en nuestros servidores. Todas las transacciones de pago se procesan a través de proveedores de pago con certificación PCI-DSS integrados con nuestro sistema de gestión hotelera (Mews). Los datos de tarjeta se cifran en tránsito y en reposo, y solo conservamos referencias de tarjeta enmascaradas e identificadores de transacción según lo requerido para fines contables y de devolución.
8. Cookies y Tecnologías de Seguimiento
Nuestro sitio web utiliza cookies y tecnologías similares. De conformidad con el Artículo 22 de la LSSI-CE y las directrices de la AEPD, las cookies no esenciales solo se instalan tras su consentimiento explícito a través de nuestro banner de cookies.
- Cookies estrictamente necesarias — Imprescindibles para el funcionamiento del sitio web. No requieren consentimiento.
- Cookies analíticas — Google Analytics 4 (GA4) para entender el uso del sitio. Requieren consentimiento.
- Cookies de marketing — Google Ads, Meta Pixel y seguimiento de HubSpot para medir la eficacia publicitaria. Requieren consentimiento.
- Cookies de funcionalidad — Recuerdan su preferencia de idioma y estado del widget de reservas. Requieren consentimiento.
Puede gestionar sus preferencias de cookies en cualquier momento a través de la configuración de cookies, accesible mediante el icono de cookies en nuestro sitio web.
Para más detalles, consulte nuestra Política de Cookies.
9. Sus Derechos
Conforme al RGPD y la LOPDGDD, usted tiene los siguientes derechos:
- Derecho de acceso (Art. 15) — Obtener confirmación de si tratamos sus datos y recibir una copia.
- Derecho de rectificación (Art. 16) — Corregir datos inexactos o incompletos.
- Derecho de supresión (Art. 17) — Solicitar la eliminación de sus datos cuando no exista motivo para su tratamiento continuado.
- Derecho a la limitación del tratamiento (Art. 18) — Solicitar la limitación del tratamiento en determinadas circunstancias.
- Derecho a la portabilidad (Art. 20) — Recibir sus datos en formato estructurado y legible por máquina.
- Derecho de oposición (Art. 21) — Oponerse al tratamiento basado en interés legítimo o marketing directo en cualquier momento.
- Derecho a no ser objeto de decisiones automatizadas (Art. 22) — No tomamos decisiones automatizadas con efectos legales o significativos.
- Derecho a retirar el consentimiento — Puede retirar su consentimiento en cualquier momento sin afectar a la licitud del tratamiento previo.
Para ejercer cualquiera de estos derechos, contacte con nosotros en privacy@shantisom.com o escriba a la dirección postal indicada arriba. Responderemos en un plazo de 30 días. Se le podrá solicitar verificación de identidad.
También tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es, C/ Jorge Juan 6, 28001 Madrid.
10. Comunicaciones por WhatsApp y Mensajería
Cuando nos contacta por WhatsApp u otras plataformas de mensajería, sus mensajes y datos de contacto se tratan para responder a su consulta y gestionar su reserva. Utilizamos WhatsApp Business para este fin. Los mensajes pueden almacenarse por WhatsApp (Meta Platforms, Inc.) en servidores fuera del EEE, sujetos a su propia política de privacidad y a nuestro acuerdo de tratamiento con Meta. Conservamos el historial de mensajes durante la duración de su relación de reserva más 12 meses.
11. Videovigilancia
Por motivos de seguridad, ciertas áreas comunes de nuestro retiro pueden estar monitorizadas por CCTV. Las zonas monitorizadas están claramente señalizadas. Las grabaciones se conservan durante un máximo de 30 días y se accede a ellas únicamente cuando es necesario para la investigación de incidentes de seguridad o a petición de las fuerzas de seguridad. Las habitaciones de huéspedes, salas de tratamiento y áreas privadas de bienestar nunca son monitorizadas.
12. Datos de Menores
Nuestros servicios están dirigidos principalmente a adultos. No recopilamos conscientemente datos personales de menores de 16 años. Si descubrimos que hemos recopilado datos de un menor de 16 años sin el consentimiento verificable de sus padres o tutores legales, tomaremos medidas para eliminar dicha información de forma inmediata.
13. Datos de Terceros
Si proporciona datos personales de otras personas (por ejemplo, al reservar en nombre de acompañantes de viaje), usted confirma que ha informado a dichas personas de esta Política de Privacidad y que ha obtenido su consentimiento para que tratemos sus datos. Asume la responsabilidad de cualquier consecuencia derivada del incumplimiento de esta obligación.
14. Redes Sociales
Mantenemos perfiles en Facebook, Instagram, TikTok y LinkedIn. Cuando interactúa con nosotros a través de estas plataformas, el operador de la plataforma actúa como corresponsable o responsable independiente de los datos tratados en su plataforma. Le recomendamos revisar las políticas de privacidad de estas plataformas.
15. Modificaciones de Esta Política
Podemos actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas, requisitos legales o servicios. Publicaremos la versión actualizada en esta página con una fecha de "Última actualización" revisada. Para cambios materiales, le notificaremos por email o mediante un aviso destacado en nuestro sitio web.
16. Legislación Aplicable y Jurisdicción
Esta Política de Privacidad se rige por la legislación española y europea en materia de protección de datos. En caso de controversia, las partes intentarán resolverla de forma amistosa. Cuando esto no sea posible, serán competentes los tribunales que correspondan conforme a la normativa de protección del consumidor y jurisdicción aplicable.
© 2026 Shanti Som Health Retreat, S.L. Todos los derechos reservados.