Política de Privacidad de Socios
TWOP Business – Ads
Quiénes somos
MuseumMate, S.L.U. (“TWOP”, “nosotros”) es el responsable del tratamiento de los datos personales tratados a través de twop.app/business/ads y de las herramientas e interfaces relacionadas con publicidad (los “Servicios para Socios de Ads”).
Domicilio: C/ Arlabán, 7 – 8ª planta, 28014 Madrid, España · CIF: ESB88168299
Contacto en materia de privacidad (y punto único de contacto DSA en la UE): legal@twop.app
Ámbito
Esta política explica cómo tratamos datos personales de contactos profesionales y representantes de anunciantes, agencias y partners que interactúan con los Servicios para Socios de Ads: alta y gestión de cuentas, configuración y entrega de campañas, facturación, medición, brand safety y cumplimiento normativo.
No es la política de usuarios finales
Si usas la app o el sitio de TWOP como usuario consumidor, consulta nuestra Política de Privacidad de consumidores.
1) Categorías de datos que tratamos
Cuenta profesional y datos de contacto: nombre, email laboral, teléfono, cargo, empresa, dirección de negocio, identificadores de cuenta, roles/permisos.
Verificación y cumplimiento: datos fiscales/IVA, dirección de facturación, documentación societaria; cuando lo exija la ley o la prevención de fraude, datos de verificación de identidad (p. ej., copia/número de documento), limitados a lo estrictamente necesario.
Datos comerciales y de campaña: ID de anunciante/agencia, nombres de campaña, presupuestos, pujas y pacing, segmentaciones, metadatos creativos, órdenes de inserción, historial de facturación, facturas y estado de pagos.
Señales de entrega y medición: solicitudes de anuncio, impresiones, visibilidad, clics, eventos post-clic/post-view, limitación de frecuencia, señales de brand safety, indicadores de tráfico inválido, conversiones agregadas.
Datos técnicos y de dispositivo (de nuestras webs/herramientas y de la entrega de anuncios): IP, user-agent, tipo de dispositivo, SO/navegador, idioma/zona horaria, referente/UTM, logs, errores y crashes, tokens de autenticación/sesión.
Cookies/SDK/IDs: cookies u otras tecnologías para autenticación, detección de fraude, analítica y—cuando exista consentimiento—medición publicitaria y personalización. En iOS solo accedemos al IDFA tras permiso ATT; en Android la personalización respeta el AAID y la elección del usuario.
Comunicaciones y soporte: tickets, emails, chats, aprobaciones/feedback de creatividades, comunicaciones de cumplimiento.
Categorías especiales: no tratamos intencionadamente categorías especiales para estos servicios.
2) Origen de los datos
Directamente de ti (formularios, contratos, cargas, soporte).
Automáticamente de tu dispositivo/navegador al usar los Servicios para Socios de Ads.
De tu empresa/agencia o usuarios autorizados de tu cuenta.
De partners de entrega/medición (ver “Destinatarios”) en forma agregada o seudonimizada.
3) Finalidades y bases jurídicas (RGPD)
Finalidad | Base jurídica |
Crear y gestionar cuentas profesionales, accesos y roles; prestar los Servicios para Socios de Ads | Ejecución del contrato (art. 6.1.b) |
Facturación, emisión de facturas, impuestos y control de crédito | Obligación legal (6.1.c) y Contrato |
Brand safety, prevención de fraude/tráfico inválido, seguridad y respuesta ante abusos | Intereses legítimos (6.1.f) |
Entrega y medición publicitaria (incl. frequency capping, viewability, reporting) | Intereses legítimos y—cuando sea necesario—Consentimiento (cookies/IDs) |
Analítica de producto y mejora del servicio | Intereses legítimos (puedes oponerte) |
Comunicaciones de servicio (incidencias, cambios de política) | Intereses legítimos |
Marketing B2B a contactos existentes | Intereses legítimos con opción de baja; donde lo exija la ley local, Consentimiento |
Cumplimiento legal, atención a autoridades y defensa de reclamaciones | Obligación legal y Intereses legítimos |
Gestión del consentimiento en la web
En twop.app utilizamos una CMP conforme a IAB TCF 2.2 y Google Consent Mode v2. Tus elecciones controlan el almacenamiento de analytics/ad-storage y la personalización.
4) Destinatarios y cesiones
Compartimos datos cuando es necesario con:
Proveedores de medición, antifraude y brand safety, ad exchanges y SSPs utilizados para servir y medir anuncios (acceso limitado a datos de campaña/entrega).
Cloud/hosting, seguridad, logging y correo que actúan como encargados.
Procesadores de pago y facturación, asesores fiscales/auditores.
Contrapartes (anunciante ↔ agencia) para operar la cuenta y conciliar la facturación.
Autoridades cuando lo requiera la ley o para defender reclamaciones.
Mantenemos un listado actualizado de encargados y socios adtech en twop.app/ad-partners.
5) Transferencias internacionales
Cuando transfiramos datos fuera del EEE/Reino Unido, utilizaremos las Cláusulas Contractuales Tipo (y el Addendum del Reino Unido, si procede) con medidas suplementarias cuando aplique. Puedes solicitarlas en legal@twop.app.
6) Conservación
Registros de cuenta y facturación: 6–10 años (fiscal/contable).
Logs de campaña y entrega (incl. medición/antifraude): normalmente 24 meses (más tiempo si hay disputas o exigencias legales).
Analítica de producto y logs de sistema: 12–24 meses.
Tickets de soporte: hasta 24 meses desde el cierre.
Podemos conservar estadísticas agregadas/anonimizadas indefinidamente.
7) Tus derechos (EEE/RU)
Puedes acceder, rectificar, suprimir, restringir, oponerte (incluida la analítica de producto o el marketing B2B basados en interés legítimo) y portar tus datos. Cuando la base sea el consentimiento, puedes retirarlo en cualquier momento (CMP o contacto directo).
Ejercicio de derechos: legal@twop.app.
También puedes reclamar ante la AEPD (España) o tu autoridad local.
8) Seguridad
Aplicamos medidas técnicas y organizativas adecuadas: cifrado en tránsito, controles de acceso, registro/alertas, segregación de entornos, prácticas seguras de desarrollo y diligencia debida de proveedores. Notificaremos brechas de datos cuando la ley lo exija.
9) Roles con anunciantes y agencias
En la mayoría de los casos, TWOP actúa como responsable independiente (p. ej., seguridad de cuentas, antifraude, medición de entrega). Cuando tratemos ciertos conjuntos de datos solo según tus instrucciones (p. ej., listas CRM con hash para matching), actuaremos como encargado bajo un acuerdo de tratamiento de datos (DPA).
10) Cambios
Podemos actualizar esta política. Notificaremos los cambios materiales en los Servicios para Socios de Ads y/o por email. La versión vigente estará siempre en twop.app/business/ads/privacy.
Política de Privacidad de Socios — TWOP Business – Experiences
Quiénes somos
MuseumMate, S.L.U. (“TWOP”, “nosotros”) es el responsable del tratamiento de los datos personales tratados a través de twop.app/business/experiences y de las herramientas de marketplace para proveedores de experiencias/actividades turísticas (los “Proveedores”).
Contacto: legal@twop.app · Domicilio: C/ Arlabán, 7 – 8ª planta, 28014 Madrid, España · CIF: ESB88168299.
Ámbito
Esta política cubre los datos de organizaciones proveedoras y sus representantes cuando publican, gestionan y ejecutan experiencias en el marketplace de TWOP (interfaces web, paneles, APIs), incluyendo onboarding/KYB, gestión de fichas, operaciones de reserva, pagos, reseñas y soporte.
1) Categorías de datos que tratamos
Cuenta de Proveedor y contacto: nombre legal, nombre comercial, números registrales, NIF/IVA, dirección de negocio, personas de contacto, emails/teléfonos laborales, roles/permisos.
Onboarding/KYB y cumplimiento: prueba de constitución, licencias/permits, declaraciones de titularidad real, formularios fiscales; cuando lo exija la ley o el riesgo, verificación de identidad de firmantes autorizados (tipo/número de documento, selfie/liveness), limitada a lo necesario.
Datos de ficha y operación: títulos/descripciones, medios, precios, horarios/ disponibilidad, puntos de encuentro, capacidad, días de cierre, notas internas.
Reservas y ejecución: IDs de reserva, tamaño del grupo, extras, cambios de estado, cancelaciones/no-show, códigos de bono, comunicaciones con viajeros (a través de herramientas de TWOP).
Pagos y liquidaciones: cuenta bancaria/IBAN, divisa y cronología de pagos, facturas, abonos, contracargos y expedientes de disputa.
Calidad y seguridad: partes de incidente, detalles de seguros (si aplica), flags de moderación, quejas de viajeros (incluida la evidencia aportada por vosotros o por los viajeros).
Datos técnicos y logs: IP, user-agent, tipo de dispositivo, tokens de autenticación/sesión, trazas de actividad administrativa (quién cambió qué/cuándo), errores y crashes.
No pretendemos tratar categorías especiales salvo que las aportes voluntariamente en informes de incidentes; en tal caso, minimizaremos y protegeremos su tratamiento.
2) Origen de los datos
Directamente de ti durante el onboarding y en la gestión continua.
Automáticamente al usar paneles/APIs.
De viajeros (p. ej., reseñas/quejas) y de proveedores de pago/verificación (p. ej., resultados KYB, señales de contracargo).
3) Finalidades y bases jurídicas (RGPD)
Finalidad | Base jurídica |
Alta de Proveedores, verificación de identidad/autoridad y evaluación legal/riesgo (KYB) | Obligación legal y Intereses legítimos (integridad de la plataforma) |
Publicar y gestionar fichas, recibir y gestionar reservas, soporte operativo | Ejecución del contrato |
Procesar liquidaciones/pagos, facturación e impuestos; gestionar contracargos y disputas | Obligación legal y Contrato |
Calidad, seguridad, antifraude y cumplimiento (incl. moderación, uso indebido y, si procede, screening de sanciones) | Intereses legítimos y Obligación legal |
Analítica de producto para herramientas del marketplace e informes de rendimiento al Proveedor | Intereses legítimos (puedes oponerte) |
Comunicaciones sobre cambios de servicio, políticas y avisos operativos | Intereses legítimos |
Marketing sobre funcionalidades B2B a contactos del Proveedor | Intereses legítimos con opción de baja; donde aplique, Consentimiento |
4) Destinatarios y cesiones
Compartimos datos cuando es necesario con:
Proveedores de pago y adquirentes, así como vendors de payout y KYC/KYB.
Alojamiento en la nube, seguridad, logging, correo y soporte que actúan como encargados.
Partners de seguros y riesgo (si aplica) para la gestión de incidentes.
Otros participantes del marketplace en la medida necesaria para ejecutar reservas (p. ej., nombres/detalles de reserva que necesitas para prestar el servicio).
Autoridades y reguladores cuando lo exija la ley (turismo, fiscalidad, seguridad) y para la defensa de reclamaciones.
La lista actual de subencargados y socios clave se mantiene en twop.app/ad-partners (la misma página lista Ads y Marketplace).
5) Transferencias internacionales
Cuando haya transferencias fuera del EEE/Reino Unido, utilizamos Cláusulas Contractuales Tipo (y Addendum RU donde proceda) con medidas suplementarias adecuadas. Solicítanos detalles en legal@twop.app.
6) Conservación
Cuenta de Proveedor, contratos y facturación: 6–10 años (fiscal/contable).
Reservas y logs operativos: normalmente 24 meses tras la prestación (más si hay disputas u obligaciones legales).
Registros KYC/KYB: el periodo que exija la ley aplicable o la política interna de riesgos (normalmente 2–6 años).
Soporte y reclamaciones: hasta 24 meses después del cierre.
Estadísticas agregadas/anonimizadas: pueden conservarse indefinidamente.
7) Tus derechos (EEE/RU)
Los representantes del Proveedor pueden acceder, rectificar, suprimir, restringir, oponerse (incluida la analítica/marketing) y portar sus datos; cuando la base sea consentimiento, podrán retirarlo en cualquier momento.
Solicitudes: legal@twop.app.
Reclamaciones: AEPD (España) o tu autoridad local.
8) Seguridad
Medidas organizativas y técnicas adecuadas (mínimo privilegio, cifrado en tránsito, trazabilidad de acciones administrativas, revisión de proveedores, respuesta a incidentes). Notificaremos brechas de datos personales cuando sea exigible.
9) Roles y responsables independientes
TWOP actúa normalmente como responsable independiente en el onboarding de Proveedores, operaciones del marketplace y pagos.
Cuando TWOP trate datos de viajeros para habilitar tu prestación, TWOP y el Proveedor actúan como responsables independientes de sus respectivas operaciones. Si alguna integración específica requiere que tratemos datos solo conforme a tus instrucciones, suscribiremos un DPA que describa los roles.
10) Cambios
Podemos actualizar esta política. Comunicaremos cambios materiales a través del panel de Proveedor y/o por email. La versión vigente estará disponible en twop.app/business/experiences/privacy.
