Cogoleto
ES
Privacidad

Política de privacidad

Cómo tratamos los datos personales en cogole.to.

Última actualización: 8 de junio de 2026 · Versión: 2026-06-08-v4

El presente aviso describe cómo cogole.to trata los datos personales de los usuarios con arreglo al Reglamento (UE) 2016/679 (RGPD) y al Decreto Legislativo italiano 196/2003 en su versión modificada.

1. Responsable del tratamiento

El sitio web cogole.to es una guía turística independiente de la localidad de Cogoleto (Italia), gestionada de forma privada por una persona física residente en Suiza (cantón de Argovia), con carácter no profesional y sin ánimo de lucro. Para las solicitudes relacionadas con la privacidad, el contacto está disponible a través de la página de Contacto o en [email protected].

El responsable del tratamiento está establecido en Suiza (un tercer país respecto de la Unión Europea), pero ofrece el servicio también a usuarios situados en la UE: el tratamiento entra, por tanto, dentro del ámbito de aplicación del RGPD en virtud del art. 3, apdo. 2, del RGPD, y al responsable del tratamiento le resulta de aplicación además la Ley Federal suiza de Protección de Datos (LPD). Suiza se beneficia de una decisión de adecuación de la Comisión Europea, de modo que los flujos de datos de la UE hacia el responsable del tratamiento se dirigen a un país que ofrece un nivel de protección adecuado (art. 45 del RGPD).

Dado que se trata de un tratamiento a pequeña escala y no sistemático que no incluye categorías especiales de datos (art. 9 del RGPD) ni datos relativos a condenas penales (art. 10 del RGPD), no se cumplen las condiciones del art. 37 del RGPD para la designación de un delegado de protección de datos (DPD). El titular sigue siendo el punto de contacto directo para cualquier asunto de protección de datos en [email protected].

Puesto que el tratamiento no es meramente ocasional (postales, reseñas, encuestas, moderación y acceso a las cuentas), el responsable del tratamiento mantiene el registro de actividades de tratamiento conforme al art. 30 del RGPD, que se aporta a solicitud de la autoridad de control competente.

2. Datos recogidos y finalidades

Solo tratamos los datos estrictamente necesarios para el funcionamiento del sitio y para las interacciones solicitadas por los usuarios:

2.1 Visitantes anónimos (sin cuenta)

  • Registros del servidor web: dirección IP, agente de usuario, páginas visitadas, idioma, referente. Finalidad: seguridad, diagnóstico, prevención de abusos. Base jurídica: interés legítimo (art. 6, apdo. 1, letra f, del RGPD). Conservación: 30 días.
  • Cookies técnicas (estado del banner de cookies, idioma, sesión): no se requiere consentimiento.
  • Estadísticas agregadas (Google Analytics 4): únicamente con consentimiento explícito. Conservación: 24 meses (valor predeterminado de GA4).

2.2 Usuarios registrados

  • Identidad: correo electrónico, nombre para mostrar, foto de perfil opcional procedente del proveedor de OAuth (Google, Facebook, Instagram, Apple) o enlace mágico por correo electrónico.
  • Proveedor: identificador del proveedor y —solo en el caso de Instagram— nombre de usuario público (p. ej. @username).
  • Contenido generado por el usuario: postales (foto + leyenda), reseñas, votos en encuestas, puntos de control de la búsqueda del tesoro, insignias obtenidas.
  • Sesiones: identificador de sesión del lado del servidor, IP y agente de usuario cifrados mediante hash (para la detección de abusos).
  • Registro de consentimientos: cada otorgamiento/retirada del consentimiento a las cookies se registra con marca de tiempo, versión de la política e IP+UA cifrados mediante hash.
  • Registro de auditoría: cada acción relevante (inicio de sesión, solicitud de exportación, eliminación de cuenta, etc.).

Base jurídica para los usuarios registrados:

  • Ejecución de un servicio solicitado (art. 6, apdo. 1, letra b, del RGPD) para las postales, reseñas, encuestas y búsqueda del tesoro.
  • Consentimiento (art. 6, apdo. 1, letra a, del RGPD) para las estadísticas y las cookies no técnicas.
  • Interés legítimo (art. 6, apdo. 1, letra f, del RGPD) para los registros técnicos, la lucha contra el abuso y la moderación.
  • Obligación legal (art. 6, apdo. 1, letra c, del RGPD) para los registros de auditoría y moderación conservados a efectos de cumplimiento legal.

2.3 Fotos de las postales

Las fotos subidas como «postales de Cogoleto» se premoderan: no se publica nada sin aprobación. Los metadatos EXIF (incluidas las coordenadas GPS) se eliminan al subir el archivo para evitar publicar su ubicación.

2.4 Plazos de conservación

  • Registros del servidor: 30 días.
  • Estadísticas (GA4): 24 meses.
  • Identidad de la cuenta y contenido generado por el usuario: se conservan mientras la cuenta esté activa; se eliminan en un plazo de 30 días desde la supresión (véase el § 5).
  • Registro de consentimientos: se conserva como prueba del consentimiento durante toda la vida de la cuenta más el plazo de prescripción aplicable.
  • Registros de auditoría y moderación: se conservan hasta 12 meses a efectos de cumplimiento legal.

3. Cookies

Dividimos las cookies en cinco categorías:

  • Necesarias (siempre activas): cogoleto_consent (recuerda su elección en el banner), __Host-cogoleto (sesión si ha iniciado sesión), cogoleto-lang (idioma preferido), cogoleto-theme (tema claro/oscuro).
  • Estadísticas (opcionales): _ga, _ga_* de Google Analytics 4 — conservación de 24 meses.
  • Preferencias (opcionales): cookies locales para el diseño, las insignias obtenidas, etc.
  • Inicio de sesión rápido con Google (One Tap) (opcional, desactivado por defecto): carga el script de Google Identity Services para mostrar automáticamente la tarjeta «Iniciar sesión con Google» mientras navega. Incluso sin hacer clic, la carga del script envía a Google su dirección IP, la URL de la página, el agente de usuario y —si ya ha iniciado sesión en Google— la identidad de su cuenta de Google. Véase el § 3a de la política de cookies para más detalles.
  • Marketing: no utilizamos cookies publicitarias. Esta categoría se declara por transparencia y podría activarse en el futuro únicamente con consentimiento explícito.

Cada envío de formulario (contacto, inicio de sesión, votos en encuestas) está protegido por Google reCAPTCHA v3 como medida necesaria de lucha contra el abuso / de seguridad; instala la cookie técnica _GRECAPTCHA en el dominio google.com y calcula una puntuación antispam. Base jurídica: interés legítimo en la seguridad (art. 6, apdo. 1, letra f, del RGPD). Véase la política de cookies para más detalles.

Todos los detalles en la política de cookies. Puede cambiar sus elecciones en cualquier momento haciendo clic en «Gestionar cookies» en el pie de página.

4. Destinatarios y transferencias

Los datos son tratados por el responsable del tratamiento y por los siguientes terceros, estrictamente para las finalidades descritas:

  • Cloudflare, Inc. (EE. UU. / Irlanda) — CDN, DNS, protección contra DDoS. Se basa en las Cláusulas Contractuales Tipo de la UE 2021/914.
  • Google Ireland Ltd. y Google LLC (EE. UU.) — únicamente si se autoriza: Google Analytics 4, Iniciar sesión con Google, Google One Tap (inicio de sesión rápido), Google reCAPTCHA v3. Transferencias a EE. UU.: Marco de Privacidad de Datos UE-EE. UU. (EU-US Data Privacy Framework) (Google está autocertificado) con las Cláusulas Contractuales Tipo de la UE 2021/914 como garantía de respaldo.
  • Meta Platforms Ireland Ltd. — únicamente si utiliza Iniciar sesión con Facebook o Iniciar sesión con Instagram.
  • Apple Distribution International Ltd. (Irlanda) — únicamente si utiliza Iniciar sesión con Apple.
  • Alojamiento: infraestructura autoalojada propiedad del responsable del tratamiento, ubicada en Suiza (un país cubierto por una decisión de adecuación de la UE — art. 45 del RGPD).

Transferencias fuera de la Unión Europea: únicamente a terceros países con decisiones de adecuación o al amparo de las Cláusulas Contractuales Tipo de la UE (Decisión 2021/914). No se realizan transferencias basadas en otras garantías.

5. Sus derechos (artículos 15 a 22 del RGPD)

En cualquier momento puede ejercer los siguientes derechos:

Derecho Cómo ejercerlo
Acceso (art. 15) Solicite una exportación ZIP completa de sus datos desde Mi perfil → Mis datos. Se entrega por correo electrónico en un plazo de 7 días.
Rectificación (art. 16) Edite su nombre, correo electrónico y foto directamente desde Mi perfil, o escríbanos un correo electrónico.
Supresión (art. 17 — derecho al olvido) Haga clic en «Eliminar mi cuenta» en la página de perfil. Su cuenta se suspende de inmediato y se elimina de forma permanente tras 30 días (periodo de reflexión). Puede solicitar la eliminación inmediata por correo electrónico.
Limitación (art. 18) «Pausar mi cuenta» en la página de perfil. Conservamos sus datos pero dejamos de tratarlos hasta que vuelva a activarla.
Portabilidad (art. 20) La misma exportación que en el art. 15 se ofrece en JSON abierto, legible por máquina y reutilizable en otro lugar.
Oposición (art. 21) Haga clic en «Oponerme a las estadísticas y al marketing» en la página de perfil, o retire su consentimiento a través del banner de cookies.
Reclamación Tiene derecho a presentar una reclamación ante la autoridad de control competente: en Italia la Autoridad italiana de Protección de Datos (Garante), o la autoridad de su país de residencia en la UE (art. 77 del RGPD). Para los asuntos regidos por el Derecho suizo, la autoridad competente es el Encargado Federal de la Protección de Datos y de la Transparencia (PFPDT).

Las solicitudes realizadas a través del panel de usuario se ejecutan automáticamente en cuestión de segundos (con una confirmación por correo electrónico). Las solicitudes enviadas por correo electrónico a [email protected] se responden en un plazo de 30 días, según exige el art. 12, apdo. 3, del RGPD.

6. Decisiones automatizadas

No utilizamos ninguna decisión automatizada ni elaboración de perfiles que produzca efectos jurídicos sobre el interesado (art. 22 del RGPD).

7. Seguridad

Medidas técnicas y organizativas que aplicamos:

  • TLS 1.2/1.3 impuesto en cada subdominio, con precarga HSTS.
  • Las cookies de sesión son HttpOnly, Secure, SameSite=Lax, con el prefijo __Host-.
  • Cifrado mediante hash SHA-256 de la IP y del agente de usuario en los registros de la aplicación (sin almacenamiento en texto sin formato).
  • Sin contraseñas de usuario final: la autenticación se realiza mediante OAuth/enlace mágico, sin contraseña que recordar.
  • Copias de seguridad diarias cifradas, conservadas en dos ubicaciones distintas.
  • Registro de auditoría completo de los eventos de seguridad, supervisado.

8. Edad mínima

El servicio no se dirige a menores de 14 años (umbral del consentimiento digital en España, art. 7 de la Ley Orgánica 3/2018, LOPDGDD). Si es usted madre/padre y cree que su hijo ha creado una cuenta, póngase en contacto con nosotros para su eliminación inmediata.

9. Cambios

El presente aviso está versionado. Cuando cambie de forma sustancial, le solicitaremos de nuevo su consentimiento a través del banner. Las versiones anteriores permanecen disponibles a solicitud en [email protected].