Política de Privacidad

Djambar AI FZCO Dubai Silicon Oasis, Dubái, Emiratos Árabes Unidos Correo: privacy@myumrah.ai Para los datos de peregrinos, la agencia de viajes cliente es el responsable del tratamiento y Djambar AI FZCO actúa como encargado del tratamiento.

Datos de la agencia: nombre, dirección, registro mercantil, correo electrónico, teléfono, datos bancarios, número de IVA intracomunitario. Datos de peregrinos (recopilados por la agencia a través de la plataforma): • Identidad: nombre, fecha de nacimiento, nacionalidad • Documentos: número de pasaporte, visado (cifrado AES-256) • Salud: información médica requerida para el viaje (cifrado AES-256) • Contacto: correo electrónico, teléfono, contacto de emergencia • Viaje: fechas, paquete, preferencias Datos de pago: tipo de tarjeta bancaria (Visa, Mastercard, Amex), últimos cuatro dígitos de la tarjeta, identificador de transacción Stripe. Los números completos de tarjeta, códigos de seguridad (CVV/CVC) y fechas de vencimiento nunca son recopilados, procesados ni almacenados por MyUmrah.ai. Estos datos son procesados exclusivamente por Stripe, proveedor certificado PCI DSS Nivel 1. Datos de navegación: páginas visitadas, duración de la sesión (a través de Umami Analytics, sin cookies, sin datos personales).

• Gestión de la relación comercial con las agencias • Prestación de los servicios de la plataforma (gestión de paquetes, CRM, mensajería) • Cumplimiento normativo (RGPD, PDPL) a través del módulo vDPO • Mejora de la plataforma (analítica anonimizada) • Seguridad de la plataforma (detección de fraudes, registro de auditoría)

• Ejecución del contrato (Art. 6.1.b RGPD): prestación de los servicios suscritos • Interés legítimo (Art. 6.1.f RGPD): seguridad, mejora del servicio • Obligación legal (Art. 6.1.c RGPD): cumplimiento fiscal y normativo • Consentimiento explícito (Art. 9 RGPD): datos de salud y creencias religiosas

Los datos solo son accesibles para: • La agencia de viajes correspondiente (mediante aislamiento RLS) • El equipo técnico de Djambar AI FZCO (soporte, mantenimiento) • Nuestros subencargados técnicos: Supabase (alojamiento), Vercel (CDN), Stripe (pagos), Anthropic (IA) Cada subencargado está vinculado por un DPA conforme al artículo 28 del RGPD.

Los datos pueden ser tratados en los siguientes países: • Unión Europea (Supabase EU) • Estados Unidos (Vercel, Stripe, Anthropic) - Cláusulas Contractuales Tipo (SCC) vigentes • Emiratos Árabes Unidos (sede de Djambar AI) Todas las transferencias están cubiertas por garantías adecuadas conforme al Capítulo V del RGPD y los requisitos del PDPL.

• Datos críticos (pasaporte, salud): eliminación automática 6 meses después del viaje • Datos sensibles (financieros, contactos de emergencia): máximo 3 años • Datos estándar (identidad, preferencias): duración del contrato + 1 año • Datos de facturación: 10 años (obligación legal) • Analítica: anonimizada de forma continua, sin datos personales conservados

En virtud del RGPD (artículos 15 a 22) y del PDPL, usted dispone de los siguientes derechos: • Derecho de acceso • Derecho de rectificación • Derecho de supresión ("derecho al olvido") • Derecho a la limitación del tratamiento • Derecho a la portabilidad de los datos • Derecho de oposición Para ejercer estos derechos: privacy@myumrah.ai Plazo de respuesta: 30 días como máximo. También puede presentar una reclamación ante la CNIL (Francia), SDAIA (Arabia Saudí) o cualquier autoridad de protección de datos competente.

MyUmrah.ai utiliza Umami Analytics, una solución de análisis respetuosa con la privacidad que no establece cookies ni recopila datos personales. Stripe, nuestro proveedor de pago, puede utilizar cookies estrictamente necesarias para la prevención del fraude y la seguridad de las transacciones durante el proceso de pago. Estas cookies están exentas del requisito de consentimiento conforme al artículo 5(3) de la Directiva 2002/58/CE (Directiva ePrivacy). Aparte de estas cookies funcionales, no se requiere banner de consentimiento.

Implementamos las siguientes medidas: • Cifrado AES-256 de datos sensibles en reposo • TLS 1.3 para todas las comunicaciones • Row Level Security (RLS) para aislamiento de datos por agencia • Autenticación MFA disponible • Registro de auditoría de todos los accesos a datos sensibles • Pruebas de seguridad periódicas • Cumplimiento del NIST Cybersecurity Framework y CIS Benchmarks Level 1

De conformidad con la Ley de Protección de Datos Personales (PDPL): • Registro SDAIA: documentación prerrellenada disponible • Doble opt-in para datos sensibles (salud, religión) • Consentimiento parental requerido para datos de menores • Notificación de violación de datos dentro de 72 horas a SDAIA • Período de retención limitado conforme al artículo 18 del PDPL

Nos reservamos el derecho de modificar esta política. Cualquier cambio sustancial será notificado por correo electrónico a los Clientes al menos 30 días antes de su entrada en vigor.

Para cualquier consulta sobre esta política: Djambar AI FZCO Correo: privacy@myumrah.ai Dirección: Dubai Silicon Oasis, Dubai, EAU