Política de privacidad

RaX es un sistema de gestión de alquileres de vehículos (RMS) operado por Zentia Labs LLC, 30 N Gould St Ste N, Sheridan, WY 82801, USA. Zentia Labs es responsable del tratamiento de los datos recogidos en sus webs, formularios de contacto, demos, procesos de alta, onboarding, soporte, facturación y administración de cuentas.

Esta política regula los tratamientos propios de Zentia Labs como empresa SaaS B2B. No sustituye la política de privacidad que cada empresa de rent-a-car debe ofrecer a sus clientes finales y conductores cuando utiliza RaX en sus propias operaciones.

Zentia Labs LLC trata los datos personales objeto de esta política desde las siguientes ubicaciones:

• Estados Unidos de América: domicilio social de Zentia Labs y ubicación principal de los subprocesadores de infraestructura cloud, almacenamiento y modelos de IA.
• España: personal autorizado de Zentia Labs (producto, ingeniería, soporte).
• Colombia: personal autorizado de Zentia Labs (producto, ingeniería, soporte).

Al aceptar nuestros términos, el cliente autoriza expresamente estas ubicaciones de tratamiento y se compromete a reflejarlas en la información que facilite a sus clientes finales cuando la normativa aplicable lo requiera. Las salvaguardas para transferencias internacionales se detallan en la sección correspondiente.

• Datos comerciales y de prospección: nombre, email profesional, teléfono, empresa, tamaño de flota, país y necesidades operativas.
• Datos de cuenta y administración: usuarios, roles (RBAC), credenciales, preferencias, configuración de oficinas, eventos de autenticación y actividad administrativa dentro del backoffice.
• Datos contractuales y de facturación: entidad legal, dirección, identificadores fiscales, contactos de cobro, facturas y referencias de pago.
• Datos operativos de reservas y contratos: datos de reservas, contratos de alquiler, fechas, tarifas, extras y estado operativo.
• Datos de conductores y clientes del rent-a-car: nombre, documento de identidad, permiso de conducir y datos de contacto, introducidos manualmente por el operador en el backoffice.
• Datos de vehículos: matricula, marca, modelo, estado, kilometraje, asignaciones e historial de mantenimiento.
• Fotografias de daños: imágenes de inspección de vehículos asociadas a contratos de alquiler.
• Datos técnicos y de uso: IP, navegador, dispositivo, cookies, logs, eventos de seguridad, rendimiento y analítica del producto.

RaX permite iniciar sesión mediante correo electrónico y contraseña, enlace mágico (magic link) o mediante Google OAuth ("Iniciar sesión con Google").

Cuando eliges iniciar sesión con Google, accedemos a tu dirección de correo electrónico, nombre y foto de perfil a través de los permisos (scopes) openid, email y profile de Google OAuth 2.0. Estos datos se utilizan exclusivamente para crear o vincular tu cuenta de usuario en RaX y verificar tu identidad en cada inicio de sesión.

No accedemos a tus contactos, calendario, archivos de Drive ni a ningún otro dato de tu cuenta de Google.

Puedes revocar el acceso de RaX a tu cuenta de Google en cualquier momento desde la configuración de seguridad de tu cuenta en myaccount.google.com.

El uso de la información recibida de las APIs de Google se ajusta a la Política de Datos de Usuario de los Servicios API de Google, incluidos los requisitos de Uso Limitado.

• Atender solicitudes comerciales, demos, pruebas de producto y procesos de alta.
• Crear y administrar cuentas de cliente, usuarios autorizados, roles y configuración de oficinas.
• Prestar el servicio RMS contratado: gestión de reservas, contratos de alquiler, inventario de vehículos, planificador visual, check-in manual y facturación.
• Gestionar integraciones con OTAs (Booking.com, Rentalcars) y proveedores de telemática habilitados por el cliente.
• Prestar soporte, mantenimiento, monitorización, seguridad y prevención de fraude o abuso.
• Gestionar la relación contractual, la facturación, los cobros y las obligaciones contables o fiscales.
• Enviar comunicaciones de servicio y, cuando exista base legítima suficiente, comunicaciones B2B sobre el producto.

• Ejecución de medidas precontractuales o del contrato para demos, onboarding, provisión del SaaS, soporte y facturación.
• Cumplimiento de obligaciones legales para contabilidad, fiscalidad, seguridad y atención a requerimientos de autoridades.
• Interés legítimo para seguridad, prevención de abuso, mejora del producto, gestión de la relación B2B y comunicaciones profesionales razonables.
• Consentimiento para cookies no esenciales, determinadas acciones comerciales opcionales y otros tratamientos que lo requieran.
• RaX no trata categorías especiales de datos (Art. 9 RGPD). No se procesan datos biométricos, ni se realiza verificación de identidad automatizada o detección de vida.
• Respecto de los datos operativos introducidos por el cliente en el RMS (reservas, contratos, datos de conductores, fotos de daños), el cliente actúa como responsable del tratamiento y Zentia Labs los procesa siguiendo instrucciones documentadas y el correspondiente acuerdo de tratamiento por cuenta.

Para la prestación del servicio Zentia Labs se apoya en proveedores y subprocesadores pertenecientes a las siguientes categorías tecnológicas estándar, cuyo uso el cliente autoriza al aceptar nuestros términos: infraestructura cloud y hosting, almacenamiento, pasarelas y proveedores de pago, correo transaccional, CRM y email marketing, analítica y observabilidad.

• Proveedores de infraestructura, hosting, cache, email transaccional, monitorización y procesamiento tecnológico necesarios para prestar el servicio (Google Cloud Platform, Upstash, Resend).
• Procesadores de pago (Stripe) para gestionar cobros y facturación.
• Proveedores de CRM y email de marketing (Brevo) para comunicaciones B2B.
• OTAs y proveedores de telemática integrados por el cliente para la sincronización de reservas y datos de vehículos.
• Asesores profesionales y autoridades públicas cuando exista una obligación legal, una necesidad de defensa o un requerimiento válido.

Zentia Labs notificará con antelación razonable cualquier cambio material de subprocesadores con impacto en el tratamiento de datos personales; el cliente podrá oponerse por motivos razonables y justificados. Zentia Labs no vende datos personales ni utiliza los datos operativos del cliente para fines propios distintos de la prestación del servicio.

Además de los tratamientos descritos en las finalidades anteriores, Zentia Labs podrá tratar datos agregados, anonimizados o seudonimizados derivados del uso del servicio para las siguientes finalidades adicionales:

• Prestación y mejora técnica del servicio: depuración, rendimiento, fiabilidad y calidad de respuesta.
• Entrenamiento y evaluación interna de los modelos de inteligencia artificial utilizados por el servicio, así como ajuste de prompts, instrucciones y heurísticas.
• Análisis estadísticos agregados del sector de alquiler de vehículos (por ejemplo, métricas de demanda, sentimiento, tipologías de consulta) que no permitan identificar a personas físicas concretas.
• Desarrollo de nuevas funcionalidades y servicios adyacentes que puedan beneficiar a los clientes existentes y a clientes futuros.

En ningún caso usamos contenido conversacional identificable de clientes finales para entrenar modelos de inteligencia artificial de proveedores terceros con fines distintos de la prestación del servicio contratado. Cuando se utilicen modelos de proveedores externos (subencargados), se aplican los acuerdos contractuales y políticas de uso de esos proveedores, que prohíben el uso de datos del cliente para entrenamiento de modelos propios del proveedor salvo opt-in expreso.

La prestación del servicio implica el tratamiento de datos personales en el triángulo Estados Unidos – España – Colombia, en los términos descritos en la sección "Ubicaciones de tratamiento". Adicionalmente, determinados subprocesadores pueden operar desde otros países fuera del Espacio Económico Europeo.

Para legitimar estas transferencias internacionales aplicamos las salvaguardas reconocidas por la normativa aplicable, en particular:

• Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea mediante Decisión (UE) 2021/914, Módulo 2 (Responsable a Encargado), para las transferencias desde España o cualquier otro país del EEE hacia Estados Unidos y Colombia.
• Cláusulas contractuales modelo publicadas por la Superintendencia de Industria y Comercio (SIC) de Colombia para transferencias internacionales desde Colombia.
• Régimen estadounidense aplicable a Zentia Labs LLC como sociedad constituida en el Estado de Wyoming, incluyendo las obligaciones contractuales asumidas en el acuerdo de tratamiento.
• Decisiones de adecuación, certificaciones reconocidas o medidas técnicas complementarias razonables cuando resulten aplicables.

El acuerdo de tratamiento (DPA) incorporado a los términos del servicio constituye, por sí mismo, el mecanismo contractual de salvaguarda de las transferencias entre el cliente y Zentia Labs, al incorporar las obligaciones, garantías y derechos equivalentes a los previstos en las salvaguardas anteriores. Para las transferencias adicionales hacia subprocesadores, Zentia Labs se apoya en los DPA y cláusulas de transferencia publicados por dichos proveedores.

• Leads, formularios y comunicaciones comerciales B2B: hasta 24 meses desde la última interacción, salvo oposición o formalización contractual.
• Datos de cuenta, contrato y facturación: mientras exista relación comercial y después durante los plazos exigidos por la ley (6 años para documentación fiscal y contable en la mayoría de jurisdicciones).
• Datos operativos de reservas, contratos y conductores: según la configuración e instrucciones del cliente, ventanas técnicas de backup y el proceso de borrado pactado contractualmente.
• Fotografias de daños: según las instrucciones del cliente y los plazos de reclamación aplicables.
• Tickets de soporte: normalmente hasta 3 años desde el cierre del caso.
• Logs de seguridad y acceso: normalmente hasta 12 meses, salvo necesidad de investigación o retención reforzada.

• Aplicamos medidas técnicas y organizativas razonables, incluyendo controles de acceso basados en roles (RBAC), cifrado en tránsito, registros de eventos y revisión de proveedores.
• El acceso interno a datos se limita al personal autorizado con necesidad funcional y sujeto a deberes de confidencialidad.
• Los datos de cada empresa cliente se aíslan a nivel de tenant, garantizando que ningun operador pueda acceder a datos de otro.
• La relación de tratamiento por cuenta respecto de datos operativos del cliente se regula mediante contrato y acuerdo de tratamiento, junto con la gestión de subencargados y medidas de seguridad aplicables.

Puedes ejercer, cuando proceda, los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad respecto de los datos que tratemos como responsable propio.

Si la solicitud se refiere a datos de un conductor o cliente final introducidos por una empresa de rent-a-car en RaX, la vía principal debe ser esa empresa como responsable. No obstante, los interesados podrán dirigir sus solicitudes también de forma subsidiaria a Zentia Labs; en este caso, trasladaremos la solicitud al cliente sin demora injustificada y colaboraremos en su resolución conforme a nuestro papel de encargado del tratamiento.

• Solicitudes sobre leads, cuentas, billing, soporte o uso de nuestras webs: contacta con nosotros en privacy@raxmobility.com.
• Solicitudes sobre reservas, contratos o datos de conductores gestionados por una empresa de rent-a-car: contacta primero con esa empresa.

Podemos actualizar esta política para reflejar cambios legales, técnicos o de producto. Publicaremos la versión vigente en esta página e indicaremos la fecha de última actualización.