Magic Holidays Travel Agency CRM

Magic Holidays Travel Agency (en adelante, “la Agencia”) es responsable del tratamiento de los datos personales recolectados a través del sistema interno de gestión comercial Magic Holidays Travel Agency CRM (en adelante, “el CRM”).

Esta política aplica exclusivamente al CRM y al tratamiento de datos personales del staff autorizado de la Agencia que lo utiliza. No cubre el tratamiento de datos del sitio público comercial de la Agencia, que se rige por su propia política de privacidad.

El CRM recolecta y trata las siguientes categorías de datos. Ningún dato se comparte entre cuentas: cada miembro del staff accede únicamente a la información que le corresponde según su rol.

Datos de cuenta del staff

Nombre, apellido, correo electrónico y rol dentro de la Agencia. Provistos durante el alta de usuario.

Datos de gestión comercial

Información de leads, clientes, contactos, propuestas, reservas y tareas ingresada por el propio staff durante el uso del sistema.

Dirección de email de la cuenta de Google conectada

Cuando un miembro del staff conecta su cuenta de Google, el CRM solicita el alcance userinfo.email para obtener y almacenar la dirección de email de la cuenta de Google conectada. Se muestra en la configuración del CRM para que el usuario pueda identificar qué cuenta tiene asociada y revocarla cuando lo desee.

Tokens de acceso a Google

Cuando un miembro del staff conecta su cuenta de Google, almacenamos los tokens OAuth (access token y refresh token) necesarios para mantener la sincronización con Google Calendar y Google Tasks. Los tokens se almacenan en una base de datos PostgreSQL gestionada por Supabase, con cifrado en reposo a nivel de infraestructura y acceso restringido mediante Row Level Security.

Metadatos de eventos de Google Calendar

Título, descripción, fechas de inicio y fin, ubicación y estado de los eventos sincronizados, exclusivamente del calendario principal del usuario.

Datos de Google Tasks

Título e identificador de las listas de tareas; título, notas, fecha de vencimiento, estado (pendiente/completado) e identificador de cada tarea sincronizada entre el CRM y Google Tasks de la cuenta de Google conectada.

Los datos se utilizan exclusivamente para:

• Operar el sistema interno de gestión comercial de la Agencia.
• Mantener la sincronización bidireccional entre el calendario y las tareas del CRM y los servicios de Google del usuario que autoriza la conexión.
• Identificar la cuenta de Google asociada para mostrarla en la configuración del CRM.

La Agencia no utiliza los datos accedidos vía las APIs de Google para ningún otro propósito. No los transfiere a terceros, no los utiliza para entrenar modelos de inteligencia artificial, no los utiliza con fines publicitarios ni para ninguna finalidad ajena a la sincronización descrita.

En particular, la información recibida de las APIs de Google (Google Calendar API y Google Tasks API):

• No es transferida a terceros, excepto cuando sea necesario para proveer funcionalidades del CRM visibles al usuario, cumplir con obligaciones legales o como parte de una fusión, adquisición o venta de activos con notificación al usuario.
• No es utilizada con fines publicitarios, incluyendo publicidad segmentada, personalizada o de remarketing.
• No es leída por humanos, salvo (a) con consentimiento explícito del usuario, (b) por razones de seguridad, (c) para cumplir con la ley aplicable, o (d) si los datos están agregados y anonimizados para operaciones internas.
• No es utilizada para entrenar modelos de inteligencia artificial ni sistemas de aprendizaje automático.

Los tokens OAuth se conservan mientras la conexión con Google esté activa. Si el usuario revoca la conexión desde el CRM o desde su cuenta de Google, los tokens almacenados son eliminados y la sincronización cesa de inmediato.

Los datos de gestión comercial se conservan mientras el usuario sea parte del staff de la Agencia y mientras los datos sean relevantes para las operaciones comerciales.

Cada usuario del staff puede en cualquier momento:

• Revocar la conexión con Google Calendar desde la configuración del CRM o desde myaccount.google.com/permissions.
• Solicitar acceso, rectificación o eliminación de sus datos personales contactando al administrador del CRM.
• Solicitar la eliminación de su cuenta del sistema al finalizar la relación laboral con la Agencia.

El CRM está alojado en infraestructura gestionada por Supabase, con cifrado en reposo a nivel de disco y cifrado en tránsito vía TLS. El acceso a los datos está restringido mediante políticas de Row Level Security (cada usuario solo accede a sus propios registros) y autenticación individual de cada miembro del staff.

Podemos actualizar esta política para reflejar cambios en funcionalidades, requisitos legales o prácticas de tratamiento de datos. Los cambios se publicarán en esta página con la fecha de la última actualización en la parte superior.

Para consultas sobre esta política o sobre el tratamiento de sus datos personales, contactar al administrador del CRM dentro de Magic Holidays Travel Agency.