Política de privacidad

Aviso importante

Esta Política de Privacidad explica cómo LocalWheels Albania (“LocalWheels”, “nosotros”, “nos”) procesa datos personales cuando utiliza nuestro sitio web y nuestros servicios. Está diseñado para ser detallado y alineado con los deberes de transparencia bajo la legislación de datos personales de Albania (Ley No. 9887/2008 "Sobre la Protección de Datos Personales" y modificaciones y estatutos posteriores) y, cuando corresponda, el Reglamento General de Protección de Datos de la UE (GDPR) para los usuarios que están dentro de su alcance. No es asesoramiento legal; consulte a un abogado para su situación específica.

Responsable del tratamiento y contacto

El responsable del tratamiento de los datos personales procesados ​​a través de este mercado es la entidad operativa detrás de LocalWheels Albania, tal como se identifica en la página legal/impresa o de contacto del sitio web. Para solicitudes de protección de datos (acceso, rectificación, supresión en su caso, oposición, reclamación), póngase en contacto con nosotros a través del correo electrónico o dirección postal publicada en la página de Contacto. Podemos hacer preguntas razonables para verificar su identidad antes de cumplir con las solicitudes.

Categorías de datos personales que procesamos

Account and profile: email address, password hash, display name, account role (traveller / owner / driver / admin), preferred language, account closure timestamps, and similar account metadata.

Identity and eligibility: where offered, identity verification status, uploaded identity document references or URLs, and related review notes accessible only to authorised staff.

Owner / host business data: phone numbers shown or stored for hosting workflows, bank or payout details if collected for host settlements, internal wallet ledger references, and promotion purchase history.

Driver / transfer partner data: driver profile display name, phone number, verification status, service areas, vehicle make/model/plate/seats/luggage capacity, per-driver commission override if set, internal wallet balance and ledger entries (payouts, cancellation shares, penalties, withdrawals), and withdrawal request metadata.

Booking and trip data (car rental): traveller and host identifiers linked to a booking, vehicle ID, pickup and return instants, pickup and drop-off location IDs, booking status, optional traveller message text, child seat count requested, outside-country selection flag, voucher identifiers and discount amounts applied, frozen ’listing terms snapshot’ JSON capturing pricing/policy fields at booking time, fee and deposit amounts in EUR/cents, Stripe identifiers (session ID, payment intent ID, payment status, paid-at timestamp), refund status fields, pickup/return dispute descriptions, URLs or JSON arrays of proof images uploaded to cases, administrative ruling fields, and timestamps for lifecycle events (vehicle returned, host acknowledgement, etc.).

Transfer request and trip data: traveller and assigned driver identifiers, route from/to location IDs, scheduled pickup instant, passenger count, luggage notes, traveller phone and optional flight number (shared with the assigned driver after payment), transfer status, driver offers (price, message, timestamps), accepted offer totals, commission and driver payout amounts in cents, Stripe checkout identifiers and payment status, cancellation split amounts, driver penalty amounts, dispute descriptions and admin resolution fields, transfer message bodies, transfer review rating/text, and lifecycle timestamps.

Messaging: booking and transfer message bodies, sender user ID, timestamps, and optional attached image URLs for dispute evidence.

Payments metadata: we do not store full payment card numbers or CVC codes. Stripe provides tokens, payment intent IDs, charge status, and amounts. We store our own breakdown of checkout line items in cents for accounting and customer support.

Technical and security: server logs may contain IP addresses, user-agent strings, timestamps, request paths, error diagnostics, and anti-abuse signals.

Cookies and local storage: see the dedicated section below.

Marketing: we only send promotional communications where we have a lawful basis (typically consent or soft opt-in where permitted). You can withdraw marketing consent at any time.

Categorías especiales de datos

Los documentos de identidad pueden contener datos considerados confidenciales según la legislación albanesa o de la UE (por ejemplo, datos que revelan la nacionalidad o la semejanza biométrica en una identificación con fotografía). Procesamos dichos datos solo cuando es necesario para la verificación, la prevención del fraude o el cumplimiento legal, y con las restricciones de acceso adecuadas. Si no desea proporcionar estos datos, es posible que no pueda utilizar las funciones controladas por verificación.

Propósitos y bases legales (Albania / mapeo estilo GDPR)

Performing the contract with you (Article 6(1)(b) GDPR-style; analogous contractual necessity under Albanian law): creating accounts, publishing listings, processing booking and transfer requests, driver offers, calculating prices, operating messaging, displaying booking and transfer history, and processing card payments for platform fees, car-rental checkout, and transfer fares through Stripe.

Legitimate interests (Article 6(1)(f) GDPR-style; balanced against your rights): fraud detection, network security, debugging, product analytics that does not require consent where not using non-essential cookies, enforcing our Terms, and defending legal claims.

Legal obligation (Article 6(1)(c)): tax, accounting, and responding to lawful requests from public authorities.

Consent (Article 6(1)(a)): non-essential cookies / optional analytics when we enable them and you opt in via the banner; any optional marketing you explicitly agree to.

Where Albanian law applies without the GDPR, we still apply similar principles: purpose limitation, data minimisation, security, and retention aligned with the purposes above.

Destinatarios y procesadores

Compartimos datos personales con subprocesadores estrictamente según sea necesario:

Stripe Payments Europe Ltd (u otras entidades de Stripe según la configuración) para pagos con tarjeta, reembolsos y señales de fraude, sujeto a la política de privacidad de Stripe y, cuando corresponda, al Acuerdo de procesamiento de datos de Stripe.

Proveedores de alojamiento, bases de datos y entrega de correo electrónico que almacenan o transmiten datos en nuestro nombre bajo obligaciones contractuales de confidencialidad y seguridad.

Cloudinary (o similar) para alojar fotos de vehículos cargadas, imágenes a prueba de chat/disputas e imágenes de verificación.

Asesores profesionales (abogados, contadores) bajo secreto profesional cuando sea necesario.

Autoridades públicas cuando una solicitud legal y con el alcance adecuado requiere divulgación.

No vendemos sus datos personales en el sentido de intercambiar listas por dinero. Cualquier futuro socio de análisis o publicidad se incluirá aquí antes de que comience el procesamiento.

Transferencias internacionales

Algunos proveedores (en particular Stripe y la infraestructura con sede en EE. UU.) pueden procesar datos fuera de Albania o del EEE. Cuando se aplica el RGPD, confiamos en salvaguardas adecuadas, como cláusulas contractuales estándar (SCC) y/o decisiones de adecuación, complementadas con medidas técnicas y organizativas. La legislación albanesa también exige garantías para las transferencias; Implementamos protecciones contractuales con los procesadores.

Plazos de conservación (indicativos)

Active account data: for the life of the account plus a short technical grace period.

Closed accounts: we may anonymise or delete personal identifiers where possible; certain records (hashed audit trails, booking or transfer IDs without direct identifiers) may be kept longer where law requires.

Bookings, transfers, and invoices: typically kept for at least the statutory accounting and tax retention period applicable to our company (often multiple years — exact duration follows Albanian accounting/tax law and our auditor’s guidance).

Stripe transaction metadata: aligned with financial reconciliation needs and chargeback windows.

Server logs: rotated on a short cycle unless needed for security investigations.

Verification documents: retained only as long as needed for the verification purpose and legal defence, then deleted or anonymised unless a longer period is mandatory.

Exact schedules may be refined internally; you may request a summary for your data in a subject access request.

Tus derechos

Dependiendo de la ley aplicable, es posible que tenga derecho a: acceder a sus datos personales; solicitar la corrección de datos inexactos; solicitar la eliminación cuando corresponda; solicitar restricción de procesamiento; oponerse a determinados tratamientos basados ​​en intereses legítimos; retirar el consentimiento cuando el procesamiento se haya basado en el consentimiento; y recibir una copia legible por máquina de los datos que usted proporcionó (portabilidad de datos) cuando sea técnicamente posible.

Puede presentar una reclamación ante una autoridad de control. Para el procesamiento cubierto por el RGPD, esta puede ser la autoridad de control de su residencia habitual, lugar de trabajo o el lugar de la supuesta infracción. Para el procesamiento exclusivo de Albania, las quejas pueden dirigirse al Comisionado de Información y Protección de Datos de Albania (Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale) según lo dispuesto en la Ley 9887 y los datos de contacto actuales publicados por esa autoridad.

Toma de decisiones automatizada: no tomamos decisiones únicamente automatizadas con efectos legales o igualmente significativos para usted sin revisión humana; el precio es determinista a partir de las reglas que puede consultar en los Términos y las divulgaciones de listado.

Cookies, almacenamiento local y tecnologías similares

Essential / strictly necessary: authentication session cookies where the product uses cookie-based sessions; security cookies; and first-party storage such as `lw_locale` (language preference, typically up to one year) and `lw_cookie_consent_v1` (your cookie-banner choice: essential-only or analytics accepted, with a timestamp) needed to operate the site and honour consent. These do not require consent under EU ePrivacy guidance but we disclose them here.

Optional analytics (consent-based): disabled by default. If you click ’Accept all’ in the cookie banner, we record that choice in `lw_cookie_consent_v1` and may load Google Analytics 4 (gtag.js) to measure traffic and product usage. You can withdraw by choosing ’Essential only’ on a fresh visit after clearing site data, or by clearing local storage for this site.

Other measurement scripts: we may load third-party analytics scripts (for example Ahrefs) for aggregate site measurement. Where required by law, we treat these according to our consent configuration and update this section when our setup changes.

Do Not Track: there is no uniform standard; we currently do not respond to DNT browser signals beyond applying default privacy settings described here.

Niños

The service is directed at adults who can enter into rental or transport arrangements. We do not knowingly register children under the age required by Albanian law to consent to data processing without parental authority. If you believe a minor has provided data, contact us to delete it.

Seguridad

Implementamos medidas técnicas y organizativas adecuadas al riesgo: TLS para cifrado de transporte, controles de acceso para el personal, hashing de contraseñas para credenciales y segregación de secretos de producción. Ningún sistema en línea es perfectamente seguro; informar vulnerabilidades sospechosas a través de nuestro canal de contacto.

Cambios a esta política

Actualizaremos esta Política de Privacidad cuando cambie nuestro procesamiento. Se revisará la fecha de la “Última actualización”. Los cambios materiales se resaltarán cuando sea posible (aviso en el sitio web o correo electrónico).