Politica de Privacidad

MALOC SASU | SIREN 985054923 | RCS Paris | Version 2.0 | 22 de marzo de 2026

POLÍTICA DE PRIVACIDAD — MALOC

Versión: 2.0 — Última actualización: 22 de marzo de 2026
Fecha de entrada en vigor: 22 de marzo de 2026

MALOC SASU — SIREN 985054923 — RCS París — Capital social 1.000 EUR — Sede social: 15 quai aux fleurs, 75004 París
Correo electrónico: contact@maloc.life — DPD: dpo@maloc.life — Sitio web: https://maloc.fr / https://maloc.fr

PREÁMBULO

La sociedad MALOC SASU, sociedad por acciones simplificada unipersonal (société par actions simplifiée unipersonnelle) con un capital social de 1.000 euros, inscrita en el Registro Mercantil de París con el número SIREN 985054923, con domicilio social en 15 quai aux fleurs, 75004 París (en adelante, «Maloc»), se compromete a tratar los datos personales de sus Usuarios con el máximo rigor, de conformidad con el marco legal europeo y francés aplicable.

La presente Política de Privacidad (en adelante, la «Política») se redacta de conformidad con:

  • los artículos 12 a 14 del Reglamento (UE) n.º 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, el «RGPD»);
  • la Ley francesa de Protección de Datos n.º 78-17, de 6 de enero de 1978 (Loi Informatique et Libertés), modificada por la Ley n.º 2018-493, de 20 de junio de 2018, y la Ordenanza n.º 2018-1125, de 12 de diciembre de 2018;
  • la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva «ePrivacy»), transpuesta en el artículo 82 de la Ley francesa de Protección de Datos;
  • las directrices de la CNIL de 17 de septiembre de 2020 sobre cookies y rastreadores y la deliberación CNIL n.º 2020-091;
  • las recomendaciones del Comité Europeo de Protección de Datos (CEPD).

La Plataforma Maloc se dirige a dos categorías de Usuarios con estatutos jurídicos distintos en virtud del RGPD:

  • Los Arrendadores (Loueurs): exclusivamente personas jurídicas (sociedades francesas) o profesionales independientes registrados (en adelante, los «Arrendadores»). Los datos tratados respecto a los Arrendadores incluyen datos relativos a la persona jurídica (datos empresariales) y datos personales de sus representantes legales y directivos. Estos últimos están amparados por la protección del RGPD.

  • Los Arrendatarios (Locataires): personas físicas mayores de edad que actúan con fines no comerciales (en adelante, los «Arrendatarios»). Estas personas gozan de la plena protección del RGPD en calidad de consumidores.

La presente Política describe de manera transparente y exhaustiva: los datos recopilados según el perfil del Usuario, las finalidades y bases legales de cada tratamiento, los plazos de conservación, los destinatarios y encargados del tratamiento, las transferencias fuera de la Unión Europea, así como los derechos de los interesados y las modalidades de su ejercicio.

Artículo 1 — IDENTIDAD DEL RESPONSABLE DEL TRATAMIENTO

1.1. Responsable del tratamiento:

MALOC SASU
Sociedad por acciones simplificada unipersonal (société par actions simplifiée unipersonnelle)
Capital social: 1.000 euros
SIREN: 985054923 — SIRET: 98505492300026
RCS París
Sede social: 15 quai aux fleurs, 75004 París
Correo electrónico general: contact@maloc.life
Sitio web: https://maloc.fr / https://maloc.fr

1.2. Delegado de Protección de Datos (DPD):

Maloc ha designado un Delegado de Protección de Datos (DPD) de conformidad con el artículo 37 del RGPD:

Delegado de Protección de Datos — MALOC SASU
Correo electrónico: dpo@maloc.life
Dirección postal: MALOC SASU, 15 quai aux fleurs, 75004 París
(Correo: «A la atención del DPD — Confidencial»)

El DPD es el punto de contacto principal para cualquier cuestión relativa a la protección de datos personales y para el ejercicio de los derechos de los interesados. El DPD es independiente en el ejercicio de sus funciones y no puede recibir instrucciones en relación con sus funciones de protección de datos.

Artículo 2 — ÁMBITO DE APLICACIÓN Y DISTINCIÓN B2B / B2C

2.1. Datos de los Arrendatarios (personas físicas — B2C)

Los Arrendatarios son consumidores particulares en el sentido del Código de Consumo francés. Gozan de la plena protección del RGPD en calidad de personas físicas interesadas. Todas las disposiciones de la presente Política les son aplicables sin restricción.

2.2. Datos de los Arrendadores — personas jurídicas (B2B)

Los Arrendadores son personas jurídicas. Los datos relativos a la sociedad como tal (denominación social, SIRET, número de IVA, dirección del domicilio social) no constituyen datos personales en el sentido del RGPD.

No obstante, los datos personales de los representantes legales, directivos y empleados de las sociedades Arrendadoras (apellido, nombre, documento de identidad, firma) constituyen datos personales protegidos por el RGPD. La presente Política se aplica a dichos datos.

Base legal específica: El tratamiento de los datos personales de los directivos de las sociedades Arrendadoras se basa en dos fundamentos acumulativos:

  • La ejecución del contrato B2B celebrado entre Maloc y la sociedad Arrendadora (art. 6.1.b) RGPD), siendo el directivo el representante legal de la parte contratante;
  • La obligación legal derivada de las obligaciones KYC en el marco de la normativa PBC/FT (Prevención del Blanqueo de Capitales y la Financiación del Terrorismo), en particular la Ordenanza n.º 2016-1635, de 1 de diciembre de 2016 (art. 6.1.c) RGPD).

2.3. Doble cualidad de Maloc

Para determinados tratamientos, Maloc actúa simultáneamente en dos cualidades distintas:

  • Responsable del tratamiento para los datos tratados con fines propios (gestión de la plataforma, facturación, seguridad);
  • Encargado del tratamiento de los Arrendadores para los tratamientos realizados por cuenta de estos a través de las herramientas de la Plataforma (mensajería, informe de inspección del vehículo, gestión de reservas), de conformidad con el artículo 28 del RGPD.

Artículo 3 — DATOS PERSONALES RECOPILADOS

3.1. Datos recopilados para los Arrendatarios (B2C)

3.1.1. Datos de identidad y contacto

  • Apellido y nombre
  • Fecha de nacimiento (verificación de mayoría de edad)
  • Dirección postal completa
  • Número de teléfono móvil
  • Dirección de correo electrónico
  • Fotografía de perfil (opcional, cargada por el Usuario)

3.1.2. Datos de verificación de identidad (KYC Arrendatario)

  • Copia de documento de identidad oficial (documento nacional de identidad o pasaporte): anverso/reverso
  • Copia del permiso de conducir (anverso/reverso): categoría(s), fecha de expedición, país de expedición, número
  • Código OTP recibido por correo electrónico o SMS para la autenticación en cada inicio de sesión y reserva

3.1.3. Datos de pago

  • Referencias de transacciones Stripe (identificadores de PaymentIntent, SetupIntent, Customer Stripe)
  • Historial de transacciones (importes, fechas, estados, reembolsos)
  • Maloc no almacena en ningún caso números de tarjetas bancarias, fechas de caducidad ni criptogramas de seguridad; estos datos son tratados exclusivamente por Stripe Technology Europe, Limited.

3.1.4. Datos de reserva y uso

  • Fechas y horas de reserva, de check-in y de check-out
  • Lugar de recogida y devolución del Vehículo (dirección estática proporcionada en la reserva)
  • Importes de las transacciones (precio de alquiler, gastos de servicio, fianza autorizada)
  • Estados de las reservas (pendiente, confirmada, en curso, completada, cancelada, litigio)
  • Opiniones y calificaciones publicadas en la Plataforma
  • Historial de reservas

3.1.5. Datos de la inspección digital del vehículo (check-in/check-out)

  • Fotografías con marca temporal del Vehículo (hasta 12 ángulos: exterior, interior, detalles, llantas, cristales, techo)
  • Metadatos de las fotografías: marca temporal precisa (UTC), coordenadas GPS de la ubicación de la toma fotográfica (es decir, la ubicación del Vehículo en el momento del check-in o check-out)
  • Nota importante: Estas fotografías tienen como finalidad documentar el estado del Vehículo. La presencia fortuita de una persona física identificable en estas fotografías constituye un dato personal. Maloc recomienda a los Arrendadores y Arrendatarios no fotografiar a terceros identificables durante la inspección del vehículo. En caso de presencia de una persona identificable, se aplican las disposiciones relativas a los datos personales de los artículos 5 a 17 del RGPD a dichas imágenes.
  • La geolocalización derivada de las fotos de la inspección del vehículo corresponde exclusivamente a la dirección estática del Vehículo en el momento de la entrega/devolución. Maloc no realiza ningún seguimiento GPS continuo del Vehículo durante el período de alquiler.

3.1.6. Datos de comunicación

  • Mensajes intercambiados a través del sistema de mensajería interna de la Plataforma
  • Correos electrónicos transaccionales (confirmaciones, recordatorios, alertas de reserva)
  • Solicitudes dirigidas al servicio de atención al cliente e historial de intercambios

3.1.7. Datos técnicos de conexión

  • Dirección IP de conexión
  • Tipo y versión del navegador (user-agent), sistema operativo
  • Registros de conexión (fecha, hora, duración, páginas visitadas, acciones)
  • Identificador de sesión
  • Datos de rendimiento y errores técnicos

3.2. Datos recopilados para los Arrendadores (B2B — personas jurídicas y sus directivos)

3.2.1. Datos relativos a la persona jurídica (no personales en el sentido del RGPD)

  • Denominación social, forma jurídica
  • Número SIREN/SIRET, número de IVA intracomunitario
  • Dirección del domicilio social y dirección de explotación
  • Datos de contacto profesionales genéricos (correo electrónico de la empresa, teléfono de la empresa)
  • Extracto Kbis o documento de registro equivalente (documento de la empresa)

3.2.2. Datos personales de los representantes legales y directivos (RGPD aplicable)

  • Apellido, nombre, cargo en la sociedad
  • Copia del documento de identidad oficial del representante legal (documento nacional de identidad o pasaporte): anverso/reverso — recopilada en el marco de las obligaciones KYC/PBC/FT
  • Fecha de nacimiento del directivo (verificación de identidad KYC)
  • Firma electrónica del representante legal
  • Dirección de correo electrónico profesional personal (si es diferente del correo de la empresa)
  • Número de teléfono profesional personal (si es diferente del teléfono de la empresa)

3.2.3. Documentos profesionales relativos a los vehículos

  • Certificados de seguro de automóvil para cada Vehículo (documento de la empresa, pero puede mencionar nombres)
  • Certificado de seguro de responsabilidad civil profesional
  • Permisos de circulación de los Vehículos (certificado de matriculación)
  • Documentos de mandato de gestión (para los servicios de Conserjería)

3.2.4. Datos relativos a los Vehículos

  • Fotografías del Vehículo (exterior, interior)
  • Características técnicas (marca, modelo, versión, año, kilometraje, color)
  • Número de matrícula, número de VIN
  • Tarifas de alquiler configuradas por el Arrendador
  • Dirección(es) de disponibilidad del Vehículo (dirección estática, geocodificada mediante HERE.com)
  • Historial de alquileres del Vehículo

3.2.5. Datos financieros del Arrendador

  • Datos bancarios (IBAN) para los pagos mediante Stripe Connect
  • Historial de pagos recibidos (fechas, importes, referencias)
  • Datos de facturación de las suscripciones Plan Pro

3.2.6. Datos de puntuación y rendimiento

  • Número y antigüedad de las reservas realizadas
  • Calificación media recibida de los Arrendatarios
  • Tasa de puntualidad (cumplimiento de los horarios de check-in y check-out)
  • Tasa de cancelación por parte del Arrendador
  • Capacidad de respuesta a las solicitudes de reserva
  • Calidad y exhaustividad del perfil y de los Anuncios

Artículo 4 — REGISTRO SIMPLIFICADO DE TRATAMIENTOS

De conformidad con el artículo 30 del RGPD, la siguiente tabla presenta de manera exhaustiva el conjunto de los tratamientos realizados por Maloc:

| N.º | Tratamiento | Datos afectados | Interesados | Base legal (art. 6 RGPD) | Plazo de conservación | Destinatarios | |---|---|---|---|---|---|---| | T01 | Creación y gestión de la cuenta de Usuario | Identidad, correo electrónico, teléfono, contraseña (con hash) | Arrendadores (directivos) + Arrendatarios | Ejecución del contrato — art. 6.1.b) | Duración de la relación contractual + 3 años | Maloc, Supabase | | T02 | Autenticación OTP (correo electrónico/SMS) | Correo electrónico o teléfono, código OTP | Arrendadores (directivos) + Arrendatarios | Ejecución del contrato — art. 6.1.b) | Duración de la sesión (OTP caduca a los 10 min) | Maloc, Supabase, Resend, operador SMS | | T03 | KYC Arrendatarios — documento de identidad + permiso de conducir | DNI/pasaporte, permiso de conducir | Arrendatarios | Ejecución del contrato + interés legítimo (seguridad, antifraude) — art. 6.1.b),f) | 30 días tras la verificación (salvo litigio activo) | Maloc, Supabase | | T04 | KYC Arrendadores — documento de identidad del directivo | DNI/pasaporte del representante legal | Directivos de las sociedades Arrendadoras | Ejecución del contrato B2B + obligación legal PBC/FT — art. 6.1.b),c) | 5 años tras el fin de la relación comercial (art. L561-12 Código Monetario y Financiero francés) | Maloc, Supabase | | T05 | KYC Arrendadores — KBIS | Extracto Kbis (datos de la empresa) | Personas jurídicas (no RGPD para la sociedad) | Obligación legal PBC/FT — art. 6.1.c) | 5 años tras el fin de la relación comercial | Maloc, Supabase | | T06 | KYC Arrendadores — certificados de seguro | Certificados de seguro (empresa + RC profesional) | Sociedades Arrendadoras | Ejecución del contrato + interés legítimo — art. 6.1.b),f) | Duración del contrato + 5 años (prescripción quinquenal de derecho común) | Maloc, Supabase | | T07 | Reserva y gestión del alquiler | Identidad, permiso de conducir, vehículo, fechas, lugar, importes | Arrendadores (directivos) + Arrendatarios | Ejecución del contrato — art. 6.1.b) | 5 años tras el último alquiler (prescripción art. 2224 Código Civil francés) | Maloc, Supabase, Stripe, contraparte (Arrendador/Arrendatario) | | T08 | Procesamiento de pagos | Referencias Stripe, historial de transacciones | Arrendatarios (pagos), Arrendadores (transferencias) | Ejecución del contrato — art. 6.1.b) | 13 meses tras la transacción (PSD2) + 10 años (contabilidad) | Maloc, Stripe | | T09 | Gestión de la fianza (preautorización) | Importe autorizado, referencia Stripe, estado | Arrendatarios | Ejecución del contrato — art. 6.1.b) | 7 días tras el check-out (luego liberación) + duración del eventual litigio | Maloc, Stripe | | T10 | Facturación y contabilidad | Facturas, importes, identidad de las partes | Arrendadores (directivos) + Arrendatarios | Obligación legal — art. 6.1.c) (art. L123-22 Código de Comercio francés) | 10 años desde la emisión | Maloc, asesor contable | | T11 | Inspección digital del vehículo (check-in/check-out) | Fotos con marca temporal (12 ángulos), GPS del lugar de entrega, firmas electrónicas | Arrendadores (directivos) + Arrendatarios (+ terceros si son visibles en las fotos) | Ejecución del contrato + interés legítimo (prueba) — art. 6.1.b),f) | 5 años desde el check-out | Maloc, Supabase, Cloudflare R2 | | T12 | Geolocalización de la dirección del Vehículo | Dirección estática del lugar de disponibilidad (geocodificada) | Arrendadores | Ejecución del contrato — art. 6.1.b) | Duración de la publicación del Anuncio | Maloc, HERE.com (geocodificación) | | T13 | Mensajería interna | Contenido de los mensajes, identidad de las partes | Arrendadores (directivos) + Arrendatarios | Ejecución del contrato — art. 6.1.b) | 5 años tras el último uso | Maloc, Supabase | | T14 | Correos electrónicos transaccionales | Dirección de correo electrónico, contenido de los correos transaccionales | Arrendadores (directivos) + Arrendatarios | Ejecución del contrato — art. 6.1.b) | 3 años tras el fin de la relación contractual | Maloc, Resend | | T15 | Gestión de opiniones y calificaciones | Texto de la opinión, calificación, identidad del autor | Arrendadores (directivos) + Arrendatarios | Interés legítimo (mejora de la confianza) — art. 6.1.f) | Duración de la publicación (máx. 5 años) salvo solicitud de supresión | Maloc, Supabase | | T16 | Puntuación de los Arrendadores | Datos de rendimiento (véase §3.2.6), puntuación calculada | Arrendadores (personas jurídicas + directivos) | Interés legítimo — art. 6.1.f) | Duración de la cuenta + 1 año | Maloc (tratamiento interno) | | T17 | Gestión de litigios | Todos los elementos pertinentes al litigio (reserva, fotos, mensajes, identidad) | Arrendadores (directivos) + Arrendatarios | Interés legítimo + obligación legal — art. 6.1.c),f) | 5 años desde el cierre definitivo del litigio (art. 2224 Código Civil francés) | Maloc, abogados, aseguradoras, tribunales | | T18 | Denuncia de infracciones de tráfico | Identidad del conductor, infracción, vehículo | Arrendadores (en calidad de responsables), Arrendatarios | Obligación legal (art. L121-6 Código de Circulación francés) — art. 6.1.c) | 5 años desde la infracción | Maloc, autoridades públicas | | T19 | Obligaciones DAC7 (declaraciones fiscales) | Identidad del Arrendador, importes de las transacciones | Arrendadores | Obligación legal (Directiva (UE) 2021/514) — art. 6.1.c) | 10 años | Maloc, administración fiscal (DGFIP) | | T20 | Registros de conexión y seguridad | Dirección IP, user-agent, marca temporal, acciones | Arrendadores (directivos) + Arrendatarios | Obligación legal (art. 6 III LCEN) + interés legítimo — art. 6.1.c),f) | 1 año | Maloc, Supabase, Hetzner | | T21 | Estadísticas de uso anonimizadas | Datos agregados y anonimizados (no personales) | — (anonimizados) | Interés legítimo — art. 6.1.f) | Indefinida (datos anonimizados, fuera del ámbito del RGPD) | Maloc | | T22 | Newsletter y comunicaciones de marketing | Correo electrónico, preferencias | Arrendadores (directivos) + Arrendatarios (si han dado su consentimiento) | Consentimiento — art. 6.1.a) | Hasta la retirada del consentimiento, luego supresión en un plazo de 3 años | Maloc, Resend | | T23 | Cookies analíticas | Identificador de sesión, páginas visitadas, comportamiento de navegación | Visitantes, Arrendadores, Arrendatarios (si han dado su consentimiento) | Consentimiento — art. 6.1.a) | 13 meses como máximo (recomendación CNIL) | Maloc, herramienta analítica | | T24 | Meta Pixel (publicidad segmentada) | Identificador del navegador, eventos de navegación | Visitantes, Arrendadores, Arrendatarios (si han dado su consentimiento) | Consentimiento — art. 6.1.a) | 13 meses como máximo | Maloc, Meta Platforms, Inc. | | T25 | Síntesis de voz TTS (accesibilidad) | Datos textuales enviados al servicio TTS (ningún dato identificativo transmitido) | Usuarios (indirectamente) | Interés legítimo (accesibilidad) — art. 6.1.f) | Sin conservación (tratamiento en tiempo real, no almacenado) | Maloc, ElevenLabs, Inc. (si está activado) | | T26 | Registro de violaciones de datos | Naturaleza de la violación, datos afectados, medidas adoptadas | Personas afectadas por la violación | Obligación legal (art. 33 RGPD) — art. 6.1.c) | 5 años | Maloc (registro interno), CNIL | | T27 | Ejercicio de derechos RGPD | Identidad del solicitante, naturaleza de la solicitud, respuesta proporcionada | Arrendadores (directivos) + Arrendatarios | Obligación legal (art. 12 RGPD) — art. 6.1.c) | 3 años (prueba de conformidad) | Maloc (DPD) |

Artículo 5 — PLAZOS DE CONSERVACIÓN DETALLADOS

5.1. Datos de los Arrendatarios (B2C)

| Categoría de datos | Plazo de conservación | Justificación | |---|---|---| | Datos de la cuenta (identidad, correo electrónico) | Duración de la relación contractual + 3 años | Prospección comercial poscontractual (art. L223-1 CPCE) | | Documento de identidad (DNI/pasaporte) | 30 días tras la verificación KYC | Minimización de datos (art. 5.1.e) RGPD) — salvo litigio activo | | Permiso de conducir | 30 días tras la verificación KYC — salvo reserva en curso o litigio | Minimización de datos | | Datos de reserva | 5 años tras el último alquiler | Prescripción de derecho común (art. 2224 Código Civil francés) | | Datos de pago (referencias Stripe) | 13 meses tras la transacción | Conformidad PSD2 (Directiva (UE) 2015/2366) | | Facturas (documentos contables) | 10 años desde la emisión | Art. L123-22 Código de Comercio francés | | Fotos de check-in/check-out | 5 años desde el check-out | Prueba en caso de litigio sobre el estado del vehículo | | Mensajes internos | 5 años tras el último uso | Prueba contractual | | Registros de conexión | 1 año | Art. 6 III LCEN | | Cookies y rastreadores | 13 meses como máximo | Recomendación CNIL de 17 de septiembre de 2020 | | Datos de litigio | 5 años tras el cierre definitivo | Art. 2224 Código Civil francés |

5.2. Datos de los directivos de los Arrendadores (B2B — personas físicas)

| Categoría de datos | Plazo de conservación | Justificación | |---|---|---| | Datos de identificación del directivo | Duración de la relación comercial + 5 años | Prescripción comercial (art. L110-4 Código de Comercio francés) | | Documento de identidad del representante legal | 5 años tras el fin de la relación comercial | Obligación PBC/FT (art. L561-12 Código Monetario y Financiero francés) | | Extracto Kbis | 5 años tras el fin de la relación comercial | Obligación PBC/FT | | Certificados de seguro (vehículos + RC profesional) | Duración del contrato de seguro + 5 años | Prescripción quinquenal de derecho común | | IBAN y datos bancarios del Arrendador | Duración de la relación comercial + 5 años | Prescripción comercial | | Datos de puntuación | Duración de la cuenta + 1 año | Interés legítimo (historial de rendimiento) | | Datos de reserva / transacciones | 5 años tras la última transacción | Prescripción comercial (art. L110-4 Código de Comercio francés) | | Facturas (suscripciones, comisiones) | 10 años desde la emisión | Art. L123-22 Código de Comercio francés | | Datos DAC7 | 10 años | Directiva (UE) 2021/514 |

5.3. Datos al final de la relación contractual

Tras la supresión de la cuenta por el Usuario o la terminación de la relación contractual:

  1. Los datos se anonimizan en un plazo de treinta (30) días para los datos no sujetos a una obligación legal de conservación;
  2. Los datos sujetos a obligación legal se archivan con acceso restringido (solo DPD) durante el plazo legal aplicable;
  3. Los registros de conexión se suprimen a la expiración del plazo legal de un (1) año;
  4. Los datos necesarios para la defensa de los derechos de Maloc en un litigio en curso se conservan hasta la resolución definitiva de dicho litigio.

Artículo 6 — DESTINATARIOS DE LOS DATOS PERSONALES

6.1. Intercambio entre las partes de la transacción

En el marco de cada reserva, Maloc comunica a cada parte la información estrictamente necesaria para la ejecución del Contrato de alquiler, de conformidad con el principio de minimización de datos (art. 5.1.c) RGPD):

El Arrendatario recibe:

  • Denominación social del Arrendador y nombre del referente operativo
  • Información y fotografías del Vehículo
  • Certificado de seguro del Vehículo (versión abreviada)
  • Dirección de recogida del Vehículo
  • Número de teléfono profesional del Arrendador

El Arrendador recibe:

  • Apellido y nombre del Arrendatario
  • Número de teléfono móvil del Arrendatario
  • Número del permiso de conducir (categoría, fecha de expedición) — no la copia íntegra
  • Estado de verificación KYC (validado / pendiente / rechazado) — sin acceso a los documentos originales

6.2. Encargados del tratamiento técnicos (art. 28 RGPD)

Todos los encargados del tratamiento técnicos de Maloc están vinculados por un Acuerdo de Tratamiento de Datos (DPA — Data Processing Agreement) conforme al artículo 28 del RGPD:

| Encargado del tratamiento | Función | Sede social | Ubicación efectiva de los datos | Mecanismo de transferencia fuera de la UE | |---|---|---|---|---| | Supabase Inc. | Base de datos principal, autenticación, almacenamiento estructurado | San Francisco, EE. UU. | Fráncfort, Alemania (UE) — región eu-central-1 | Datos almacenados en la UE — sin transferencia fuera de la UE para los datos de Maloc | | Hetzner Online GmbH | Alojamiento de los servidores de aplicación | Gunzenhausen, Alemania (UE) | Alemania (UE) | Transferencia intra-UE — ningún mecanismo necesario | | Cloudflare, Inc. | CDN, almacenamiento de archivos estáticos (R2), protección DDoS, WAF | San Francisco, EE. UU. | UE (para R2 Europa) + EE. UU. (red CDN global) | SCC (Decisión 2021/914) + DPF (decisión de adecuación UE-EE. UU., 10 de julio de 2023) | | Stripe Technology Europe, Limited | Procesamiento de pagos, verificación de identidad financiera, Stripe Connect | Dublín, Irlanda (UE) | UE + Stripe, Inc. (EE. UU.) para determinados tratamientos | SCC + DPF — Stripe certificado DPF | | Resend, Inc. | Envío de correos electrónicos transaccionales | San Francisco, EE. UU. | EE. UU. | SCC (Decisión 2021/914) | | Meta Platforms Ireland Limited | Meta Pixel — publicidad segmentada (si hay consentimiento) | Dublín, Irlanda (UE) | UE + Meta, Inc. EE. UU. | SCC + DPF — Meta certificado DPF | | HERE Global B.V. | Geocodificación de las direcciones de los vehículos (conversión dirección a coordenadas GPS) | Eindhoven, Países Bajos (UE) | UE | Transferencia intra-UE — ningún mecanismo necesario | | ElevenLabs, Inc. (si la funcionalidad TTS está activada) | Síntesis de voz (Text-to-Speech) para accesibilidad | Nueva York, EE. UU. | EE. UU. | SCC (Decisión 2021/914) — datos textuales no identificativos |

Precisión sobre HERE.com: El servicio de geocodificación de HERE se utiliza exclusivamente para convertir las direcciones estáticas de disponibilidad de los Vehículos en coordenadas GPS, con el fin de mostrar dichos Vehículos en el mapa de la Plataforma. Ningún dato personal de los Arrendatarios ni de los directivos de los Arrendadores se transmite a HERE.com.

Precisión sobre ElevenLabs: La funcionalidad de síntesis de voz, cuando está activada, recibe únicamente datos textuales relativos a las descripciones de vehículos e información de servicio. Ningún dato personal identificativo (apellido, nombre, datos de contacto) se transmite a ElevenLabs.

6.3. Autoridades públicas

Maloc puede verse obligada a comunicar datos personales a las autoridades competentes en virtud de un requerimiento legal o judicial:

  • Servicios de policía o gendarmería en el marco de una investigación judicial;
  • Administración fiscal (DGFIP) en el marco de las obligaciones DAC7;
  • CNIL en el marco de sus funciones de control (art. 47 Ley francesa de Protección de Datos);
  • Tribunales en el marco de procedimientos contenciosos.

Maloc se compromete a realizar dichas comunicaciones únicamente en el estricto marco legal requerido, e informar al Usuario afectado en la medida de lo posible y legalmente permitido.

6.4. No venta de datos

Maloc se compromete formal e irrevocablemente a no vender, alquilar, ceder a título oneroso ni intercambiar los datos personales de sus Usuarios con terceros con fines comerciales.

Artículo 7 — TRANSFERENCIAS DE DATOS FUERA DE LA UNIÓN EUROPEA

7.1. Principio de localización en la Unión Europea

Maloc procura mantener los datos personales de sus Usuarios dentro de la Unión Europea:

  • La base de datos principal (Supabase) está alojada en Fráncfort, Alemania;
  • Los servidores de aplicación (Hetzner) están alojados en Alemania;
  • La geocodificación (HERE.com) se procesa en los Países Bajos (UE).

7.2. Transferencias a Estados Unidos

Algunos encargados del tratamiento están establecidos u operan parcialmente en Estados Unidos. Estas transferencias se rigen de conformidad con los artículos 44 a 49 del RGPD por los siguientes mecanismos:

a) Data Privacy Framework (DPF) — Decisión de adecuación de la Comisión Europea de 10 de julio de 2023 (C(2023) 4745):

  • Stripe, Inc. — certificado DPF
  • Cloudflare, Inc. — certificado DPF
  • Meta Platforms, Inc. — certificado DPF

b) Cláusulas Contractuales Tipo (SCC) — Decisión de Ejecución (UE) 2021/914, de 4 de junio de 2021:

  • Resend, Inc.
  • ElevenLabs, Inc.
  • Cloudflare, Inc. (SCC complementarias al DPF)

7.3. Medidas complementarias de protección

De conformidad con las recomendaciones del CEPD (Guidelines 05/2021 sobre transferencias de datos personales en virtud del RGPD), Maloc implementa las siguientes medidas complementarias:

  • Cifrado de datos en tránsito mediante TLS 1.3 (mínimo TLS 1.2) para todas las comunicaciones;
  • Cifrado de datos en reposo para los datos sensibles (documentos de identidad, datos KYC);
  • Seudonimización de datos en los entornos de desarrollo y pruebas;
  • Principio de minimización: solo se transmiten a los encargados del tratamiento fuera de la UE los datos estrictamente necesarios.

7.4. Registro de transferencias internacionales

Maloc mantiene un registro de transferencias internacionales de datos de conformidad con el artículo 30.1.e) del RGPD. Este registro está disponible previa solicitud motivada dirigida a dpo@maloc.life.

Artículo 8 — DERECHOS DE LOS INTERESADOS

De conformidad con los artículos 15 a 22 del RGPD, todo interesado — incluidos los directivos de las sociedades Arrendadoras en lo que respecta a sus datos personales — dispone de los siguientes derechos:

8.1. Derecho de acceso (art. 15 RGPD)

Todo interesado puede obtener la confirmación de que sus datos son objeto de tratamiento por Maloc, y acceder al conjunto de dichos datos, así como a la información sobre las finalidades, los destinatarios, los plazos de conservación y los derechos disponibles. Se puede proporcionar una copia de los datos en un formato legible.

8.2. Derecho de rectificación (art. 16 RGPD)

Los datos inexactos pueden ser rectificados directamente desde el espacio personal o mediante solicitud al DPD. Para los datos KYC (documentos de identidad caducados, cambio de directivo), se invita al Usuario a presentar los documentos actualizados a través de la Plataforma.

8.3. Derecho de supresión — «Derecho al olvido» (art. 17 RGPD)

Todo interesado puede solicitar la supresión de sus datos cuando:

  • Los datos ya no sean necesarios en relación con los fines para los que fueron recogidos;
  • Se haya retirado el consentimiento y no exista otra base legal;
  • Se haya ejercido una oposición válida (art. 21 RGPD);
  • Los datos hayan sido objeto de un tratamiento ilícito.

Limitaciones de este derecho: La supresión no puede concederse cuando el tratamiento sea necesario para el cumplimiento de una obligación legal de conservación (datos contables, PBC/FT), para la formulación o la defensa de reclamaciones legales, o para fines de archivo en interés público.

8.4. Derecho a la portabilidad de los datos (art. 20 RGPD)

Los datos tratados sobre la base del contrato o del consentimiento pueden recuperarse en un formato estructurado, de uso común y lectura mecánica (JSON o CSV). Este derecho se aplica a los Arrendatarios y a los directivos de los Arrendadores en lo que respecta a sus datos personales.

8.5. Derecho de oposición (art. 21 RGPD)

Todo interesado puede oponerse en cualquier momento:

  • Al tratamiento basado en el interés legítimo de Maloc, por motivos relacionados con su situación particular — Maloc deberá entonces demostrar motivos legítimos imperiosos que prevalezcan sobre los intereses del interesado;
  • A la prospección comercial (oposición absoluta, sin justificación requerida);
  • A la inclusión en el sistema de puntuación de los Arrendadores (véase el Artículo 11).

La oposición a la prospección comercial puede ejercerse directamente desde los ajustes de notificaciones de la cuenta o escribiendo a dpo@maloc.life.

8.6. Derecho a la limitación del tratamiento (art. 18 RGPD)

La limitación del tratamiento puede solicitarse en particular:

  • En caso de impugnación de la exactitud de los datos, durante el período de verificación por Maloc;
  • Si el tratamiento es ilícito y el interesado se opone a la supresión;
  • Si Maloc ya no necesita los datos, pero el interesado los necesita para la formulación de reclamaciones legales.

8.7. Derecho de retirada del consentimiento (art. 7.3 RGPD)

La retirada del consentimiento (cookies, marketing) puede ejercerse en cualquier momento, sin afectar a la licitud de los tratamientos anteriores. La retirada se efectúa a través del banner de gestión de cookies o por correo electrónico a dpo@maloc.life. La retirada se hace efectiva en un plazo máximo de 72 horas.

8.8. Derecho a presentar una reclamación ante la CNIL (art. 77 RGPD)

Todo interesado puede presentar una reclamación ante la autoridad de control competente:

CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy — TSA 80715 — 75334 París Cedex 07
Teléfono: +33 (0)1 53 73 22 22
Sitio web: https://www.cnil.fr
Formulario en línea: https://www.cnil.fr/fr/plaintes

8.9. Modalidades prácticas de ejercicio de los derechos

Cómo ejercer sus derechos:

  • Por correo electrónico: dpo@maloc.life (asunto: «Ejercicio de derechos RGPD — [Naturaleza del derecho]»)
  • Por correo postal: MALOC SASU, 15 quai aux fleurs, 75004 París — A la atención del DPD (confidencial)
  • A través del espacio personal en la Plataforma para los derechos directamente accesibles (rectificación, oposición al marketing)

Plazo de respuesta: Maloc se compromete a responder en un plazo de treinta (30) días naturales a partir de la recepción de la solicitud (art. 12.3 RGPD). Este plazo puede prorrogarse dos (2) meses adicionales en caso de complejidad o de un número elevado de solicitudes, con notificación motivada dentro del plazo inicial de treinta días.

Verificación de identidad: Podrá solicitarse una copia de un documento de identidad para tramitar las solicitudes sensibles, con el fin de prevenir el acceso fraudulento. Este documento se suprime una vez tramitada la solicitud.

Gratuidad: El ejercicio de los derechos es gratuito. En caso de solicitudes manifiestamente infundadas o excesivas (frecuencia abusiva), Maloc puede cobrar una tasa razonable o negarse a dar curso, con notificación motivada (art. 12.5 RGPD).

Artículo 9 — ELABORACIÓN DE PERFILES Y DECISIONES AUTOMATIZADAS

9.1. Sistema de puntuación de los Arrendadores

Maloc utiliza un sistema de puntuación automatizado para evaluar la calidad de servicio de los Arrendadores en la Plataforma. Esta puntuación se calcula sobre la base de criterios objetivos de rendimiento:

| Criterio | Ponderación indicativa | |---|---| | Calificación media recibida de los Arrendatarios | Significativa | | Tasa de puntualidad (check-in/check-out) | Significativa | | Tasa de cancelación por parte del Arrendador | Significativa | | Capacidad de respuesta a las solicitudes de reserva | Moderada | | Calidad y exhaustividad del perfil y de los Anuncios | Moderada | | Número y antigüedad de las reservas | Moderada | | Tasa de resolución de litigios a favor del Arrendatario | Significativa |

Base legal: Interés legítimo de Maloc (art. 6.1.f) RGPD) — mejora de la calidad del servicio y protección de los Arrendatarios. Maloc ha realizado una prueba de ponderación que confirma que este interés prevalece sobre los intereses de los Arrendadores, teniendo en cuenta el carácter profesional de estos últimos y los efectos limitados de la puntuación.

Efectos de la puntuación:

  • Influencia en la clasificación de los Anuncios en los resultados de búsqueda;
  • Una puntuación insuficiente puede desencadenar un procedimiento de verificación o advertencia;
  • La puntuación no conlleva la resolución automática de la cuenta (véase §9.3).

9.2. Derecho de exclusión de la puntuación

Todo Arrendador puede oponerse a la inclusión de sus datos en el sistema de puntuación dirigiendo una solicitud a dpo@maloc.life. En caso de oposición válida, el Arrendador será excluido del sistema de clasificación basado en la puntuación, lo que puede conllevar una visibilidad reducida de sus Anuncios en los resultados de búsqueda. Maloc informará al Arrendador de las consecuencias prácticas de su oposición antes de implementarla.

9.3. Ausencia de decisiones exclusivamente automatizadas que produzcan efectos jurídicos

De conformidad con el artículo 22 del RGPD, Maloc se compromete a no tomar ninguna decisión que produzca efectos jurídicos significativos — en particular resolución de cuenta, suspensión permanente, prohibición de acceso — sobre la base exclusiva de un tratamiento totalmente automatizado, sin intervención humana. Toda decisión de suspensión o exclusión de una cuenta es objeto de una revisión humana previa por el equipo Trust & Safety de Maloc.

9.4. Derecho a una explicación y derecho de impugnación

Todo Usuario afectado por una decisión que implique un tratamiento automatizado dispone de:

  • El derecho a obtener una explicación sobre la lógica del tratamiento y los criterios utilizados (art. 22.3 RGPD);
  • El derecho a impugnar la decisión ante un interlocutor humano de Maloc;
  • El derecho a hacer valer su punto de vista antes de que la decisión sea definitiva.

Estos derechos se ejercen dirigiendo una solicitud a dpo@maloc.life o a través del procedimiento de recurso interno previsto en las Condiciones Generales de Uso.

Artículo 10 — SEGURIDAD DE LOS DATOS

10.1. Medidas técnicas y organizativas (art. 32 RGPD)

Maloc implementa las medidas de seguridad apropiadas en función de los riesgos identificados en la Evaluación de Impacto en la Protección de Datos (EIPD):

Medidas técnicas:

  • Cifrado en tránsito: TLS 1.3 (mínimo TLS 1.2) para todas las comunicaciones entre los Usuarios y la Plataforma (HTTPS obligatorio);
  • Cifrado en reposo: Cifrado AES-256 de los datos sensibles (documentos de identidad, datos KYC) en las bases de datos;
  • Autenticación fuerte: Autenticación OTP (código de un solo uso por correo electrónico o SMS) para cada inicio de sesión y acción sensible;
  • Hash de contraseñas: Almacenamiento en forma de hash con bcrypt (coste >= 12);
  • Aislamiento de entornos: Separación estricta de los entornos de producción, staging y desarrollo;
  • Seudonimización: Uso de datos seudonimizados en los entornos de pruebas.

Medidas organizativas:

  • Control de acceso: Principio de privilegio mínimo — acceso a los datos personales estrictamente limitado a las personas autorizadas en función de su rol;
  • Registro: Registros de acceso a los datos sensibles, conservados durante un (1) año, que permiten la detección de accesos no autorizados;
  • Copias de seguridad: Copias de seguridad cifradas regulares (diarias), almacenadas en entornos seguros geográficamente separados de la producción;
  • Formación: Formación anual de los equipos de Maloc en las mejores prácticas de protección de datos;
  • Revisión de accesos: Revisión trimestral de las autorizaciones de acceso a los datos.

10.2. Violación de datos — Procedimiento (art. 33-34 RGPD)

En caso de violación de datos personales (acceso no autorizado, destrucción, pérdida, alteración, divulgación no autorizada), Maloc aplica el siguiente procedimiento:

Etapa 1 — Detección y calificación (H+0 a H+4):

  • Identificación de la naturaleza de la violación y de los datos afectados;
  • Evaluación de la probabilidad de riesgo para los derechos y libertades de los interesados;
  • Activación de la célula de crisis interna.

Etapa 2 — Notificación a la CNIL (en las 72 horas):

  • De conformidad con el artículo 33 del RGPD, Maloc notifica a la CNIL en un plazo de setenta y dos (72) horas tras tener conocimiento de una violación susceptible de generar un riesgo para los derechos y libertades de los interesados;
  • La notificación incluye: la naturaleza de la violación, las categorías y el número aproximado de interesados afectados, los datos afectados, las consecuencias probables, las medidas adoptadas o propuestas;
  • Si la notificación no puede completarse dentro del plazo de 72 horas, se envía una notificación inicial y se completa sin demora injustificada.

Etapa 3 — Notificación a los interesados (si riesgo elevado):

  • De conformidad con el artículo 34 del RGPD, Maloc informa sin demora injustificada a los interesados cuando la violación sea susceptible de generar un riesgo elevado para sus derechos y libertades (ej.: usurpación de identidad, discriminación, perjuicio financiero);
  • La comunicación describe en términos claros la naturaleza de la violación, los datos afectados, las consecuencias probables y las medidas adoptadas para remediarla;
  • La comunicación se efectúa a través del correo electrónico asociado a la cuenta del Usuario y, en su caso, mediante notificación in-app.

Etapa 4 — Documentación:

  • Toda violación de datos se documenta en el registro interno de violaciones (art. 33.5 RGPD), conservado durante cinco (5) años, haya sido o no notificada a la CNIL.

Artículo 11 — GEOLOCALIZACIÓN Y FOTOGRAFÍAS

11.1. Geolocalización de los Vehículos — Solo dirección estática

La Plataforma Maloc utiliza datos de geolocalización en los siguientes contextos:

  • Visualización cartográfica de los Anuncios: La dirección de disponibilidad del Vehículo, indicada por el Arrendador, se geocodifica a través del servicio HERE.com (conversión dirección a coordenadas GPS) para mostrar el Vehículo en el mapa de búsqueda. Se trata de una dirección estática elegida por el Arrendador, no de una posición en tiempo real.

  • Metadatos GPS de las fotos de inspección del vehículo: Las coordenadas GPS extraídas de las fotografías de check-in/check-out corresponden a la posición geográfica del lugar de entrega o devolución del Vehículo en el momento de la toma fotográfica. Estas coordenadas sirven para marcar temporalmente y geolocalizar la inspección del vehículo con valor probatorio.

Maloc no realiza en ningún caso:

  • Un seguimiento GPS continuo o periódico del Vehículo durante la duración del alquiler;
  • Una recopilación de la posición geográfica en tiempo real del Arrendatario o del Arrendador a través de la Plataforma;
  • Ninguna forma de vigilancia de la movilidad de los Usuarios.

11.2. Fotografías de la inspección del vehículo — Tratamiento de datos potencialmente sensibles

Las fotografías de inspección del vehículo (check-in/check-out) tienen como objeto exclusivo documentar el estado del Vehículo. Estas fotografías pueden, de manera fortuita, captar a personas físicas identificables (transeúntes, otras personas presentes durante la inspección del vehículo).

Medidas aplicables:

  • Maloc recomienda expresamente a las partes no fotografiar a terceros identificables durante la inspección del vehículo;
  • En caso de presencia de una persona identificable en una fotografía, dicha imagen constituye un dato personal en el sentido del RGPD y está sujeta a las protecciones correspondientes;
  • Las personas identificables que aparezcan de manera fortuita en estas fotografías pueden ejercer su derecho de acceso y supresión ante el DPD (dpo@maloc.life), sin perjuicio de las obligaciones de conservación con fines probatorios;
  • El acceso a las fotografías está estrictamente limitado: las partes de la transacción (Arrendador y Arrendatario) tienen acceso, así como Maloc y, en su caso, las autoridades competentes en el marco de un litigio.

Plazo de conservación: 5 años desde el check-out (valor probatorio en caso de litigio sobre el estado del Vehículo).

Artículo 12 — COOKIES Y RASTREADORES

12.1. Marco regulatorio aplicable

La gestión de cookies y rastreadores se rige por:

  • la Directiva 2002/58/CE relativa a la privacidad en las comunicaciones electrónicas (ePrivacy);
  • el artículo 82 de la Ley francesa de Protección de Datos (transposición francesa de la Directiva ePrivacy);
  • las recomendaciones de la CNIL de 17 de septiembre de 2020 sobre cookies y rastreadores (deliberación n.º 2020-091);
  • las directrices del CEPD sobre el consentimiento (Guidelines 05/2020).

12.2. Principio de consentimiento previo

De conformidad con el artículo 82 de la Ley francesa de Protección de Datos, solo las cookies estrictamente necesarias para el funcionamiento de la Plataforma pueden instalarse sin el consentimiento previo del Usuario. Todas las demás cookies requieren un consentimiento libre, específico, informado e inequívoco (art. 4.11 RGPD).

12.3. Ausencia de cookie wall — Acceso libre sin consentimiento a las cookies no esenciales

De conformidad con las directrices de la CNIL y la jurisprudencia del CEPD, el rechazo de las cookies no esenciales no puede condicionar el acceso a la Plataforma. Todo Usuario puede acceder y utilizar todas las funcionalidades de la Plataforma Maloc sin aceptar las cookies analíticas o de marketing. La ausencia de cookie wall es una garantía fundamental de la libertad del consentimiento.

12.4. Simetría del consentimiento y del rechazo

De conformidad con las directrices CNIL 2020, rechazar las cookies debe ser tan sencillo como aceptarlas. La interfaz de gestión de cookies de la Plataforma ofrece:

  • Un botón «Aceptar todo» y un botón «Rechazar todo» con presentación y accesibilidad equivalentes;
  • La posibilidad de una configuración granular por categoría de cookies;
  • Ninguna restricción de navegación adicional para acceder al botón de rechazo.

12.5. Tabla de cookies utilizadas

a) Cookies estrictamente necesarias — Exentas de consentimiento (art. 82 Ley francesa de Protección de Datos)

| Nombre / Identificador | Editor | Finalidad | Duración | |---|---|---|---| | sb-[project]-auth-token | Maloc (Supabase) | Mantenimiento de la sesión autenticada del Usuario | Duración de la sesión | | csrf_token | Maloc | Protección contra ataques Cross-Site Request Forgery (CSRF) | Duración de la sesión | | user_prefs | Maloc | Memorización de las preferencias de visualización (idioma, zona horaria) | 13 meses |

Estas cookies son indispensables para el funcionamiento técnico de la Plataforma. Su desactivación haría que la Plataforma fuera inutilizable o insegura. No recopilan datos con fines de seguimiento comportamental.

b) Cookies analíticas — Consentimiento requerido

| Herramienta | Editor | Finalidad | Duración | Base legal | |---|---|---|---|---| | Herramienta analítica (a precisar en el momento del despliegue) | A precisar | Medición de audiencia anonimizada: páginas visitadas, duración de las sesiones, tasa de rebote — datos agregados y anonimizados | 13 meses como máximo | Consentimiento — art. 6.1.a) RGPD + art. 82 Ley francesa de Protección de Datos |

Si los datos recopilados son estrictamente agregados y anonimizados, Maloc podrá, en su caso, solicitar una exención de consentimiento ante la CNIL de conformidad con su deliberación n.º 2022-253, de 19 de julio de 2022 (cookies analíticas de medición de audiencia exentas).

c) Cookies de marketing y publicitarias — Consentimiento requerido

| Herramienta | Editor | ID / Identificador | Finalidad | Duración | Base legal | |---|---|---|---|---|---| | Meta Pixel | Meta Platforms Ireland Limited | ID Pixel: 1605202037392588 | Medición de la eficacia de las campañas publicitarias de Meta (Facebook, Instagram), retargeting publicitario, creación de audiencias similares | 13 meses como máximo | Consentimiento — art. 6.1.a) RGPD + art. 82 Ley francesa de Protección de Datos |

El Meta Pixel está inactivo por defecto. Solo se carga y deposita cookies tras la obtención del consentimiento explícito del Usuario. En caso de rechazo o ausencia de elección, no se deposita ninguna cookie de Meta y no se transmite ningún identificador de seguimiento a Meta Platforms.

12.6. Interfaz de gestión de cookies (Consent Management Platform)

Un banner de gestión de cookies conforme a las recomendaciones de la CNIL se muestra en cada primera visita a la Plataforma y en caso de cualquier modificación sustancial de las cookies utilizadas. El Usuario puede modificar en cualquier momento sus preferencias a través del enlace «Gestionar mis cookies» disponible al pie de cada página de la Plataforma.

12.7. Duración de validez del consentimiento

El consentimiento es válido por un período máximo de trece (13) meses. A la expiración de este plazo, el banner se presenta nuevamente al Usuario para su renovación. A falta de renovación, las cookies no esenciales se desactivan automáticamente.

12.8. Cookies de terceros

Ciertas cookies pueden ser depositadas directamente por terceros (Meta Platforms) en el dispositivo del Usuario. Maloc no tiene control directo sobre estas cookies de terceros una vez otorgado el consentimiento. Se invita a los Usuarios a consultar las políticas de privacidad de los terceros en cuestión:

  • Meta Platforms: https://www.facebook.com/privacy/policy/

Artículo 13 — MENORES

13.1. La Plataforma Maloc está reservada exclusivamente a personas físicas de al menos dieciocho (18) años de edad. Maloc no recopila deliberadamente datos personales relativos a menores.

13.2. El Usuario que crea una cuenta en la Plataforma certifica ser mayor de edad. En caso de descubrir que se han recopilado datos de un menor, Maloc procederá a la supresión de dichos datos a la mayor brevedad posible y sin demora injustificada.

13.3. Los padres o tutores legales de un menor cuyos datos hayan podido ser recopilados pueden solicitar la supresión inmediata contactando al DPD en dpo@maloc.life.

Artículo 14 — ROLES RESPECTIVOS DEL ARRENDADOR / MALOC (ART. 26-28 RGPD)

14.1. Maloc en calidad de responsable del tratamiento

Maloc es responsable del tratamiento para el conjunto de los tratamientos realizados con fines propios: gestión de la plataforma, facturación, seguridad, puntuación de los Arrendadores, obligaciones legales.

14.2. Maloc en calidad de encargado del tratamiento de los Arrendadores

Para los tratamientos realizados por cuenta de los Arrendadores a través de las herramientas de la Plataforma (mensajería interna, gestión de las inspecciones del vehículo, almacenamiento de los contratos de alquiler), Maloc actúa en calidad de encargado del tratamiento en el sentido del artículo 28 del RGPD. En este marco:

  • Un Acuerdo de Tratamiento de Datos (DPA) entre Maloc y cada Arrendador formaliza las obligaciones respectivas;
  • Maloc trata estos datos únicamente según las instrucciones documentadas del Arrendador;
  • Maloc no subcontrata estos datos a terceros salvo en el marco de los encargados del tratamiento enumerados en el Artículo 6.2.

14.3. Obligaciones de los Arrendadores en calidad de responsables del tratamiento

Los Arrendadores profesionales, en calidad de responsables del tratamiento para sus propias actividades de alquiler, están obligados a:

  • Informar a sus clientes (Arrendatarios) de sus propios tratamientos de datos de conformidad con los artículos 13 y 14 del RGPD;
  • Disponer de una base legal válida para cada tratamiento de datos personales que realicen;
  • Respetar los plazos de conservación aplicables a sus propios tratamientos;
  • Garantizar los derechos de los interesados respecto a los tratamientos de los que son responsables.

Artículo 15 — EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS (EIPD)

De conformidad con el artículo 35 del RGPD, Maloc ha realizado o realizará una Evaluación de Impacto en la Protección de Datos (EIPD) para los tratamientos susceptibles de generar un riesgo elevado para los derechos y libertades de las personas, en particular:

  • El tratamiento de documentos de identidad y datos KYC (gran escala, datos sensibles);
  • El sistema de puntuación de los Arrendadores (elaboración de perfiles);
  • Las fotografías de inspección del vehículo con datos GPS.

Las conclusiones de estas EIPD están documentadas y conservadas por el DPD. Pueden transmitirse a la CNIL previa solicitud.

Artículo 16 — REGISTRO DE ACTIVIDADES DE TRATAMIENTO (ART. 30 RGPD)

16.1. De conformidad con el artículo 30 del RGPD, Maloc lleva y mantiene actualizado un registro de actividades de tratamiento. Este registro, mantenido por el DPD, documenta:

  • El nombre y los datos de contacto del responsable del tratamiento y del DPD;
  • Las finalidades de los tratamientos;
  • Las categorías de interesados y de datos;
  • Las categorías de destinatarios;
  • Las transferencias a terceros países y las garantías aplicables;
  • Los plazos de conservación;
  • Una descripción general de las medidas de seguridad.

16.2. Este registro está disponible previa solicitud motivada dirigida a dpo@maloc.life, en las condiciones previstas por la CNIL, en particular en el marco de una solicitud de la CNIL o de un interesado que desee verificar su existencia.

Artículo 17 — MODIFICACIÓN DE LA POLÍTICA DE PRIVACIDAD

17.1. Maloc se reserva el derecho de modificar la presente Política en cualquier momento, en particular para adaptarse a las evoluciones legales, reglamentarias (nuevas recomendaciones CNIL, CEPD) o a nuevas prácticas de tratamiento de datos.

17.2. En caso de modificación sustancial (nuevas finalidades, nuevos encargados del tratamiento, cambio de base legal, nuevas transferencias fuera de la UE), Maloc notificará a los Usuarios por correo electrónico a la dirección asociada a su cuenta, con al menos treinta (30) días de antelación respecto a la fecha de entrada en vigor de las modificaciones.

17.3. Si las modificaciones requieren un nuevo consentimiento (ej.: nuevo tratamiento basado en el consentimiento), Maloc recabará dicho consentimiento previamente a la implementación del nuevo tratamiento.

17.4. En caso de rechazo de las modificaciones que impliquen una evolución del contrato, el Usuario puede ejercer su derecho a la supresión de su cuenta. Maloc tratará entonces los datos restantes de conformidad con las obligaciones legales de conservación.

17.5. Las versiones sucesivas de la presente Política son archivadas por el DPD y están disponibles previa solicitud a dpo@maloc.life. Un historial de versiones también puede consultarse al pie de la página de la Política en la Plataforma.

Artículo 18 — CONTACTO Y EJERCICIO DE DERECHOS

Para cualquier pregunta relativa a la presente Política o para ejercer sus derechos en materia de protección de datos:

Delegado de Protección de Datos (DPD)

MALOC SASU — A la atención del DPD
15 quai aux fleurs, 75004 París
Correo electrónico: dpo@maloc.life
(Asunto recomendado: «Ejercicio de derechos RGPD — [Naturaleza de su solicitud]»)

Servicio de atención al cliente general

Correo electrónico: contact@maloc.life

Autoridad de control competente

CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy — TSA 80715 — 75334 París Cedex 07
Teléfono: +33 (0)1 53 73 22 22
Sitio web: https://www.cnil.fr
Reclamación en línea: https://www.cnil.fr/fr/plaintes

ANEXO A — GLOSARIO

| Término | Definición | |---|---| | RGPD | Reglamento (UE) n.º 2016/679 de 27 de abril de 2016 — Reglamento General de Protección de Datos | | LIL | Loi Informatique et Libertés n.º 78-17 de 6 de enero de 1978, modificada (Ley francesa de Protección de Datos) | | ePrivacy | Directiva 2002/58/CE relativa al tratamiento de datos y la protección de la intimidad en las comunicaciones electrónicas | | CNIL | Commission Nationale de l'Informatique et des Libertés — Autoridad de control francesa | | CEPD | Comité Europeo de Protección de Datos — Organismo europeo de coordinación | | DPD | Delegado de Protección de Datos (Data Protection Officer) | | KYC | Know Your Customer — Proceso de verificación de identidad y cumplimiento normativo | | PBC/FT | Prevención del Blanqueo de Capitales y la Financiación del Terrorismo | | SCC | Standard Contractual Clauses — Cláusulas Contractuales Tipo adoptadas por la Comisión Europea | | DPF | Data Privacy Framework — Marco de Protección de Datos UE-EE. UU. (decisión de adecuación 2023) | | DPA | Data Processing Agreement — Acuerdo de Tratamiento de Datos (art. 28 RGPD) | | EIPD | Evaluación de Impacto en la Protección de Datos (art. 35 RGPD) | | OTP | One-Time Password — Código de un solo uso para autenticación | | DAC7 | Directiva (UE) 2021/514 — Obligación declarativa de las plataformas digitales ante las autoridades fiscales | | PSD2 | Directiva (UE) 2015/2366 — Servicios de pago en el mercado interior | | CDN | Content Delivery Network — Red de distribución de contenidos | | TLS | Transport Layer Security — Protocolo de cifrado de comunicaciones (HTTPS) | | WAF | Web Application Firewall — Cortafuegos de aplicaciones web |

ANEXO B — MARCO LEGAL DE REFERENCIA

La presente Política se basa en los siguientes textos:

Unión Europea:

  • Reglamento (UE) n.º 2016/679 de 27 de abril de 2016 (RGPD)
  • Directiva 2002/58/CE de 12 de julio de 2002 (ePrivacy)
  • Reglamento (UE) 2022/2065 de 19 de octubre de 2022 (DSA — Digital Services Act)
  • Directiva (UE) 2015/2366 de 25 de noviembre de 2015 (PSD2)
  • Directiva (UE) 2021/514 de 22 de marzo de 2021 (DAC7)
  • Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021 (SCC)
  • Decisión de adecuación C(2023) 4745 de 10 de julio de 2023 (DPF UE-EE. UU.)

Francia:

  • Ley n.º 78-17 de 6 de enero de 1978 (Informatique et Libertés), modificada
  • Ordenanza n.º 2018-1125 de 12 de diciembre de 2018
  • Ley n.º 2004-575 de 21 de junio de 2004 (LCEN)
  • Ordenanza n.º 2016-1635 de 1 de diciembre de 2016 (PBC/FT)
  • Artículo L561-12 del Código Monetario y Financiero francés (conservación PBC/FT)
  • Artículo L123-22 del Código de Comercio francés (conservación contable)
  • Artículo 2224 del Código Civil francés (prescripción quinquenal de derecho común)
  • Artículo L110-4 del Código de Comercio francés (prescripción comercial)
  • Artículo L121-6 del Código de Circulación francés (designación del conductor)
  • Artículo L111-7 del Código de Consumo francés (operador de plataforma)

Recomendaciones y directrices:

  • Deliberación CNIL n.º 2020-091 de 17 de septiembre de 2020 (cookies y rastreadores)
  • Deliberación CNIL n.º 2022-253 de 19 de julio de 2022 (exención de cookies analíticas)
  • CEPD Guidelines 05/2020 sobre el consentimiento (versión revisada de 4 de mayo de 2020)
  • CEPD Guidelines 05/2021 sobre transferencias de datos personales
  • CEPD Guidelines 01/2022 sobre los derechos de los interesados

MALOC SASU — Política de Privacidad — Versión 2.0 — 22 de marzo de 2026
Responsable de la redacción: DPD Maloc (dpo@maloc.life)
Próxima revisión planificada: marzo de 2027