Política de Privacidad
Artículo 1 — Responsable del tratamiento
El responsable del tratamiento de los datos personales es:
CES Venture SAS (nombre comercial: Hello Mira)
Domicilio social: Euratechnologies, 165 avenue de Bretagne, 59000 Lille, Francia
SIREN: 991 370 115
Representante legal: Cédric Tumminello, Presidente
Delegado de Protección de Datos (DPD/DPO):
Cédric Tumminello
Correo electrónico: [email protected]
Artículo 2 — Ámbito de aplicación
La presente Política de Privacidad se aplica a todos los datos personales recogidos y tratados en el marco de:
- el uso de la Plataforma Hello Mira (aplicación móvil Mira Nomad, sitio web hello-mira.com, Mira Chat);
- la suscripción y el uso del Mira Pass;
- la reserva y la ejecución de los Mira Trips;
- las interacciones con los Mira Agents y Mira Brain;
- la participación en Mira Tribes y en la comunidad Mira;
- los intercambios con el servicio de atención al cliente.
Artículo 3 — Datos recogidos y finalidades
3.1 Datos de registro y perfil
| Dato | Finalidad | Base jurídica |
|---|---|---|
| Nombre, apellidos | Identificación, personalización | Ejecución del contrato |
| Dirección de correo electrónico | Comunicación, autenticación | Ejecución del contrato |
| Contraseña (hash) | Autenticación | Ejecución del contrato |
| Fecha de nacimiento | Verificación de edad (18 años), elegibilidad de destinos | Ejecución del contrato |
| Nacionalidad | Elegibilidad de destinos (visado), personalización | Ejecución del contrato |
| Número de teléfono móvil | Comunicación, notificaciones, asistencia de emergencia | Ejecución del contrato |
| País de residencia fiscal (solicitado en el momento del pago) | Aplicación del tipo de IVA | Obligación legal |
| Profesión / actividad profesional | Personalización, asignación de Mira Tribes | Consentimiento |
| Foto de perfil | Identificación comunitaria | Consentimiento |
| Preferencias de viaje | Personalización, recomendaciones de IA | Consentimiento |
3.2 Datos de reserva y de viaje
| Dato | Finalidad | Base jurídica |
|---|---|---|
| Escaneo del pasaporte | Verificación de identidad (KYC) | Ejecución del contrato + obligación legal |
| Datos MRZ extraídos del pasaporte (nombre, nacionalidad, fecha de nacimiento, fecha de caducidad, número de documento) | KYC, elegibilidad de destinos | Ejecución del contrato |
| Ciudad de salida | Cálculo del precio (suplemento de vuelo) | Ejecución del contrato |
| Historial de reservas | Gestión de la cuenta, descuentos por fidelidad | Ejecución del contrato |
| Justificante de seguro de viaje | Verificación del requisito previo de reserva | Ejecución del contrato |
| Datos de pago | Procesamiento de transacciones (a través de Stripe) | Ejecución del contrato |
3.3 Datos de uso de la Plataforma
| Dato | Finalidad | Base jurídica |
|---|---|---|
| Registros de conexión | Seguridad, prevención del fraude | Interés legítimo |
| Conversaciones con los Mira Agents y Mira Brain | Funcionamiento del servicio, mejora de modelos de IA | Ejecución del contrato (funcionamiento) / Interés legítimo (mejora) |
| Mensajes en Mira Tribes | Funcionamiento del servicio, moderación | Ejecución del contrato |
| Mensajes privados (DM) | Funcionamiento del servicio | Ejecución del contrato |
| Datos de navegación (analítica) | Mejora de la experiencia de usuario (UX) | Consentimiento (Clarity) / Exento (Plausible) |
3.4 Datos de comunicación
| Dato | Finalidad | Base jurídica |
|---|---|---|
| Historial de intercambios con el soporte técnico | Atención al cliente | Ejecución del contrato |
| Preferencias de notificación | Comunicación dirigida | Consentimiento |
| Dirección de correo electrónico (boletines) | Prospección comercial | Consentimiento (opt-in) |
Artículo 4 — Base jurídica para la mejora de los modelos de IA
Las conversaciones del Usuario con los Mira Agents y Mira Brain podrán utilizarse para mejorar la calidad de las respuestas y enriquecer Mira Knowledge (base de conocimiento propietaria).
Este tratamiento se basa en el interés legítimo de Hello Mira (artículo 6.1.f del RGPD), tras un ejercicio de ponderación con los derechos y libertades de los Usuarios:
- Interés perseguido: mejora continua de la pertinencia y fiabilidad de la información proporcionada a los Nómadas, en un ámbito (viajes, visados, salud, fiscalidad) donde la calidad de la información es crítica;
- Medidas de protección: anonimización de los datos antes de su uso para el entrenamiento, minimización de datos, derecho de oposición del Usuario.
El Usuario puede en cualquier momento oponerse al uso de sus conversaciones para la mejora de los modelos, desde los parámetros de su cuenta o por correo electrónico a [email protected]. Esta oposición se aplica a las conversaciones futuras.
Artículo 5 — Destinatarios de los datos
5.1 Internamente
Los datos son accesibles para los equipos operativos de Hello Mira (atención al cliente, operaciones de viaje, técnico, marketing) en la estricta medida necesaria para el ejercicio de sus funciones.
5.2 Subencargados técnicos
Hello Mira recurre a los siguientes subencargados para el tratamiento de datos personales:
| Subencargado | Servicio | Localización de los datos | Transferencia fuera de la UE |
|---|---|---|---|
| OVHcloud | Alojamiento, infraestructura | Francia / UE | No |
| Supabase (AWS Estocolmo) | Base de datos, autenticación | Suecia (UE) | No |
| Stripe | Pagos, Stripe Connect (depósito en garantía) | UE (sede en EE. UU.) | Posible (CCT) |
| Brevo | Correo electrónico, boletines | Francia | No |
| Cloudflare | CDN, protección DDoS | Cachés en UE (sede en EE. UU.) | Posible (CCT) |
| Duffel | API de vuelos | Reino Unido | No (decisión de adecuación) |
| Vonage | Comunicaciones (SMS, voz) | Sede en EE. UU. | Probable (CCT) |
| Firebase (Google) | Notificaciones push | Sede en EE. UU. | Probable (CCT) |
| Plausible | Analítica web | UE | No |
| Microsoft Clarity | Analítica de comportamiento (mapas de calor, repeticiones de sesión) | Sede en EE. UU. | Probable (CCT) |
| Google Gemini | IA generativa (Mira Brain) | Sede en EE. UU. | Probable (CCT) |
| Anthropic (Claude) | IA generativa (Mira Brain) | Sede en EE. UU. | Probable (CCT) |
| OpenAI (GPT) | IA generativa (investigación KYC, Mira Brain) | Sede en EE. UU. | Probable (CCT) |
| Mistral AI | IA generativa (Mira Brain) | Francia | No |
Nota: Hello Mira sigue un enfoque progresivo de soberanía tecnológica, con el desarrollo de modelos de IA propietarios alojados en la UE, con el objetivo de reducir la dependencia de proveedores extraeuropeos.
Cada subencargado está vinculado por un contrato de subcontratación conforme al artículo 28 del RGPD.
5.3 Socios de viaje (en la fase de venta efectiva)
En el marco de la ejecución de un Mira Trip, determinados datos podrán ser transmitidos a los proveedores del viaje:
- Alojamientos (coliving, hoteles): datos estrictamente necesarios para la reserva (nombre, fechas, preferencias);
- Compañías aéreas: datos de pasajeros exigidos por la normativa aeronáutica;
- Mira Amigos: datos limitados (nombre de pila, intereses).
Transmisión del pasaporte a los proveedores: con el consentimiento explícito del Viajero, Hello Mira podrá transmitir los datos del pasaporte a los operadores del viaje (compañías aéreas, alojamientos) que los necesiten para los trámites administrativos. Este consentimiento es facultativo, independiente y revocable en cualquier momento.
5.4 Autoridades
Los datos podrán ser comunicados a las autoridades competentes en respuesta a una obligación legal (administración tributaria, autoridades judiciales, etc.).
5.5 Compartición con fines de marketing
Hello Mira podrá compartir datos anonimizados y agregados (que no permiten la identificación de los Usuarios) con socios de marketing a efectos de análisis estadístico y mejora de las campañas.
Ningún dato personal identificable será compartido con socios de marketing sin el consentimiento expreso del Usuario.
Artículo 6 — Transferencias fuera de la Unión Europea
Algunos subencargados de Hello Mira están establecidos fuera de la Unión Europea, principalmente en Estados Unidos (Stripe, Cloudflare, Vonage, Firebase, Google Gemini, Anthropic, OpenAI, Microsoft Clarity).
Estas transferencias están encuadradas por las siguientes garantías:
- Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea, incorporadas a los contratos con los subencargados correspondientes;
- Decisiones de adecuación de la Comisión Europea, en su caso (p. ej.: Reino Unido para Duffel);
- Medidas adicionales: cifrado de los datos en tránsito y en reposo, minimización de los datos transmitidos.
Hello Mira vela por transmitir únicamente los datos estrictamente necesarios para la finalidad del tratamiento. En particular, los datos sensibles (escaneo del pasaporte) no se transmiten a los proveedores de IA, salvo para el proceso de KYC (investigación de nombres a través de OpenAI GPT-4.1 Vision), para el cual los datos transmitidos se limitan al mínimo estrictamente necesario y están sujetos a las CCT de OpenAI.
Artículo 7 — Plazos de conservación
| Tipo de dato | Plazo de conservación |
|---|---|
| Datos de cuenta activa | Duración de la relación contractual |
| Datos de cuenta tras la supresión | 3 años (prescripción, gestión de litigios) |
| Datos de cuenta tras inactividad (sin supresión) | Archivo tras 24 meses de inactividad, supresión tras 36 meses |
| Datos de reserva | Duración del contrato + 5 años (obligaciones contables) |
| Facturas y datos de pago | 10 años (obligación contable, art. L123-22 Code de commerce [Código de Comercio francés]) |
| Escaneo del pasaporte — rechazado/fallido | 24 horas tras el rechazo |
Escaneo del pasaporte — validado, retain_document = false | Imagen suprimida 30 días tras la validación; datos MRZ conservados mientras el Mira Pass esté activo |
Escaneo del pasaporte — validado, retain_document = true | Conservado mientras el Mira Pass esté activo + 90 días de gracia tras la expiración |
| Escaneo del pasaporte — derecho al olvido | Soft delete inmediato + supresión física en 30 días |
| Conversaciones IA (cuenta activa) | Duración de la relación contractual |
| Conversaciones IA (tras la supresión de la cuenta) | Anonimizadas en 30 días (contenido conservado de forma anónima para la mejora del servicio) |
| Mensajes Mira Tribes / DM | Anonimizados tras la supresión de la cuenta |
| Registros de conexión | 1 año (recomendación de la CNIL) |
| Datos de prospección | 3 años tras el último contacto |
| Cookies y rastreadores | Máximo 13 meses (recomendación de la CNIL) |
| Créditos promocionales | 12 meses a partir de la fecha de atribución |
Artículo 8 — Seguridad de los datos
8.1 Medidas técnicas
Hello Mira implementa las siguientes medidas de seguridad:
- cifrado de los datos en tránsito (TLS/SSL) y en reposo;
- control de acceso estricto basado en roles (RBAC);
- registro de todos los accesos a archivos sensibles (en particular los escaneos de pasaporte), con trazabilidad completa;
- URLs prefirmadas con tiempo de vida limitado (15 minutos) para el acceso a archivos sensibles;
- alojamiento en servidores certificados (OVHcloud) situados en Francia y en la UE;
- seudonimización de los datos cuando sea técnicamente posible.
8.2 Medidas organizativas
- política de seguridad interna;
- sensibilización de los equipos sobre los retos de la protección de datos;
- acceso a los datos limitado al personal autorizado, en cumplimiento del principio de minimización.
8.3 Notificación de violaciones
En caso de violación de datos personales susceptible de generar un riesgo para los derechos y libertades de las personas:
- la CNIL (Commission Nationale de l'Informatique et des Libertés, autoridad francesa de protección de datos) es notificada en un plazo de 72 horas;
- las personas afectadas son informadas a la mayor brevedad posible si el riesgo es elevado.
Artículo 9 — Derechos de los Usuarios
De conformidad con los artículos 15 a 22 del RGPD, el Usuario dispone de los siguientes derechos:
| Derecho | Descripción |
|---|---|
| Derecho de acceso (art. 15) | Obtener una copia de todos sus datos personales |
| Derecho de rectificación (art. 16) | Corregir datos inexactos o incompletos |
| Derecho de supresión (art. 17) | Solicitar la eliminación de sus datos («derecho al olvido») |
| Derecho de limitación (art. 18) | Limitar el tratamiento en determinados casos (impugnación, ilicitud) |
| Derecho a la portabilidad (art. 20) | Recuperar sus datos en un formato estructurado y legible por máquina |
| Derecho de oposición (art. 21) | Oponerse al tratamiento por razones legítimas (en particular al uso de conversaciones para la mejora de la IA) |
| Derecho a retirar el consentimiento | En cualquier momento, sin afectar a la licitud del tratamiento anterior |
| Derecho a no ser objeto de decisiones automatizadas (art. 22) | No estar sujeto a una decisión basada exclusivamente en un tratamiento automatizado que produzca efectos jurídicos o significativos |
9.1 Decisiones automatizadas
Hello Mira utiliza un sistema automatizado para la verificación de identidad (KYC): el escaneo del pasaporte es analizado por una IA que compara los datos MRZ con la información del perfil. Este sistema puede validar o rechazar automáticamente una verificación de identidad.
El Usuario tiene derecho a impugnar cualquier decisión automatizada y a solicitar una intervención humana contactando con el servicio de atención al cliente en [[email protected]]. Se prevé un sistema de investigación manual para los casos controvertidos.
9.2 Ejercicio de los derechos
El Usuario puede ejercer sus derechos:
- por correo electrónico a [email protected];
- por correo postal a CES Venture SAS — Euratechnologies, 165 avenue de Bretagne, 59000 Lille, France.
Hello Mira se compromete a responder en un plazo de un (1) mes a partir de la recepción de la solicitud. Este plazo podrá prorrogarse dos meses en caso de solicitud compleja, en cuyo caso el Usuario será informado del plazo adicional.
Podrá requerirse una verificación de identidad del solicitante para tramitar la solicitud.
9.3 Supresión del historial de conversaciones con IA
El Usuario puede solicitar la supresión de su historial de conversaciones con los Mira Agents y Mira Brain contactando con [email protected].
Artículo 10 — Cookies y rastreadores
10.1 Cookies estrictamente necesarias
Estas cookies son indispensables para el funcionamiento de la Plataforma (autenticación, seguridad, gestión de sesión). No requieren el consentimiento del Usuario.
10.2 Cookies analíticas
Plausible: herramienta de analítica respetuosa con la privacidad, que no instala cookies y no recopila datos personales. No se requiere consentimiento.
Microsoft Clarity: herramienta de análisis de comportamiento (mapas de calor, repeticiones de sesión). Clarity instala cookies y trata datos personales. Su activación está sujeta al consentimiento previo del Usuario a través del banner de cookies.
10.3 Gestión del consentimiento
En su primera visita, el Usuario es invitado a expresar su elección a través de un banner de cookies. El rechazo es tan fácil como la aceptación. Los rastreadores sujetos a consentimiento solo se activan tras la aceptación explícita.
El Usuario puede modificar sus preferencias en cualquier momento desde los ajustes de la Plataforma.
Las cookies tienen una duración máxima de 13 meses conforme a las recomendaciones de la CNIL (Commission Nationale de l'Informatique et des Libertés, autoridad francesa de protección de datos).
Artículo 11 — Datos de menores
La Plataforma no está destinada a menores de 18 años. Hello Mira no recopila intencionalmente datos personales de menores.
Si Hello Mira tiene conocimiento de la recopilación de datos de un menor, dichos datos serán suprimidos a la mayor brevedad posible.
Artículo 12 — Modificación de la Política de Privacidad
Hello Mira se reserva el derecho a modificar la presente Política de Privacidad. En caso de modificación sustancial, los Usuarios serán informados por correo electrónico y/o por notificación en la aplicación con al menos 30 días de antelación a la entrada en vigor.
Artículo 13 — Contacto y reclamación
Punto de contacto de datos personales: [email protected]
En caso de reclamación no resuelta, el Usuario podrá dirigirse a la autoridad de control competente:
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715
75334 Paris Cedex 07
Sitio web: www.cnil.fr
Los Usuarios que residan en otro Estado miembro de la UE también podrán dirigirse a la autoridad de protección de datos de su país de residencia.