CarHey

Política de Privacidad de CarHey

Last updated: 2026-05-22

Versión: 1.0.0 Última actualización: 2026-05-22

1. Identificación del Responsable

La presente Política de Privacidad describe cómo se recopilan, utilizan, comparten y protegen los datos personales de los Usuarios de la plataforma CarHey (en adelante, “la Plataforma”) por parte de EVOLVE AI, S.L. (en adelante, “CarHey”), así como los derechos que asisten a los Usuarios y los medios para ejercerlos.

Nuestra actividad se desarrolla en cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD”), de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”) y del resto de normativa aplicable en materia de protección de datos personales (en adelante, conjuntamente, la “Normativa de Protección de Datos”).

El responsable del tratamiento de los datos personales recogidos a través de la Plataforma es:

  • Titular: EVOLVE AI, S.L.
  • Domicilio social: Calle Amistad, 15, 28411, Moralzarzal (Madrid), España
  • C.I.F.: B-26608265
  • Registro Mercantil: Registro Mercantil de Madrid, Tomo 8, Hoja M-879138, Inscripción 1 (Tomo, Folio, Hoja)
  • Plataforma web: carhey.com
  • Contacto en materia de protección de datos: [email protected]
  • Designación de Delegado de Protección de Datos (DPD): a la fecha de la última actualización, CarHey no ha designado un Delegado de Protección de Datos por no concurrir actualmente los supuestos del artículo 37.1 RGPD ni del artículo 34 LOPDGDD. CarHey reevaluará periódicamente la procedencia de designación formal a medida que evolucionen el volumen y la naturaleza de los tratamientos (en particular, la geolocalización a gran escala y la verificación de identidad). Las consultas en materia de protección de datos pueden dirigirse, en todo caso, a [email protected].

2. Enfoque y ámbito de aplicación

2.1. La presente Política de Privacidad establece la forma en que CarHey recopila, almacena, procesa, transfiere, comparte y utiliza los datos personales que identifiquen al Usuario o que estén asociados a éste (“datos personales” o “información personal”) en el uso de la Plataforma, incluyendo la aplicación móvil y el sitio web operados por CarHey.

2.2. Esta Política de Privacidad se aplica exclusivamente al tratamiento de datos personales realizado por CarHey en el marco de la Plataforma. No se aplica al tratamiento que terceros independientes (por ejemplo, proveedores de servicios de pago, proveedores de verificación de identidad o redes sociales) realicen por su cuenta y bajo sus propios términos.

2.3. Esta Política de Privacidad debe leerse e interpretarse conjuntamente con los Términos y Condiciones Generales de Uso (TyCGU) de CarHey, disponibles en /legal/terms. Las definiciones empleadas en los TyCGU se aplican igualmente a esta Política de Privacidad.

3. Tipo de cuentas

En CarHey existe un único tipo de Cuenta de Usuario, mediante la que la persona usuaria puede utilizar la Plataforma tanto para ofrecer Trayectos en calidad de Conductor como para reservar Plazas en calidad de Pasajero, según su necesidad en cada momento. La Cuenta es personal, única e intransferible. CarHey no se hace responsable del uso indebido o negligente de la Cuenta por parte de su titular ni del uso por parte de terceros no autorizados.

4. Función de CarHey en el tratamiento

CarHey actúa como Responsable del Tratamiento de los datos personales del Usuario cuando:

a) gestiona el alta, registro, mantenimiento y baja de Cuentas en la Plataforma; b) trata la información necesaria para la creación, publicación, búsqueda, reserva y ejecución de Trayectos, ya sea en calidad de Conductor o de Pasajero; c) administra los pagos, cobros, retiradas, incentivos, créditos y cualesquiera otros servicios financieros asociados a la Plataforma; d) realiza el seguimiento del uso de la Plataforma con fines de mejora del servicio, seguridad, prevención y detección de Fraude, calidad y cumplimiento normativo; e) gestiona la generación, certificación, cesión y monetización de los ahorros energéticos en el marco del sistema español de Certificados de Ahorro Energético (CAE), conforme al Real Decreto 36/2023 y a su normativa de desarrollo; f) gestiona, en su caso, las comunidades, programas o ventajas promovidas por entidades facilitadoras (empresas, universidades, ayuntamientos u otras organizaciones) que pongan a disposición de sus colaboradores la posibilidad de usar la Plataforma.

Cuando un proveedor externo trata datos por cuenta de CarHey, lo hace en calidad de Encargado del Tratamiento y queda vinculado por un contrato conforme al artículo 28 RGPD. Cuando un proveedor externo determina sus propios fines y medios, lo hace en calidad de responsable independiente, en cuyo caso así se indica expresamente en la presente Política.

5. Información que recopilamos y cómo la utilizamos

CarHey trata los datos personales del Usuario que recopila directamente del propio Usuario, los que se generan como consecuencia del uso de la Plataforma y los que recibe de terceros legítimamente autorizados.

5.1 Registro y creación de Cuenta

Al registrarte en la Plataforma, CarHey trata la información necesaria para crear y mantener tu Cuenta:

  • Información obligatoria: dirección de correo electrónico, contraseña (almacenada en forma cifrada), número de teléfono móvil verificado mediante un código por SMS, dirección IP, datos del dispositivo y del navegador, e información derivada de la geolocalización por IP (país, ciudad).
  • Información obligatoria para acceder a determinadas funcionalidades: nombre y apellidos legales, fecha de nacimiento, tipo y número de documento de identidad (DNI, NIE o Pasaporte), país de expedición y país de residencia.
  • Información voluntaria: fotografía de perfil, biografía, preferencias de viaje, datos de empresa, universidad o institución a la que pertenezcas, idioma preferido y cualquier otra información que decidas facilitar.

Bases jurídicas: ejecución del contrato (art. 6.1.b RGPD) para los datos necesarios para la prestación del servicio; cumplimiento de una obligación legal (art. 6.1.c RGPD) en cuanto a las verificaciones de identidad exigidas por la normativa CAE y de prevención del fraude; consentimiento del Usuario (art. 6.1.a RGPD) para la información voluntaria; e interés legítimo de CarHey (art. 6.1.f RGPD) en la prevención del Fraude y en la seguridad de la Plataforma.

5.2 Uso de la Plataforma como Conductor o Pasajero

Para que puedas publicar, buscar, reservar y ejecutar Trayectos, CarHey trata los datos que introduces o generas al utilizar la Plataforma, incluyendo:

  • origen, destino y trayecto previsto, paradas intermedias, fecha y hora;
  • número de Plazas ofrecidas o reservadas e importe de Costes Compartidos;
  • mensajes intercambiados con otros Usuarios a través de la Plataforma;
  • direcciones favoritas, preferencias de viaje, valoraciones y comentarios;
  • datos del vehículo (marca, modelo, color, matrícula, país de matriculación, tipo de vehículo, número de plazas);
  • datos de la documentación del vehículo cuando resulten necesarios (carnet de conducir, póliza de seguro, certificado de ITV, ficha técnica).

Bases jurídicas: ejecución del contrato (art. 6.1.b RGPD); interés legítimo de CarHey (art. 6.1.f RGPD) en garantizar la seguridad, integridad y calidad del servicio; cumplimiento de obligaciones legales (art. 6.1.c RGPD) cuando proceda.

5.3 Datos de geolocalización durante el Trayecto

Para verificar la realización efectiva del Trayecto, prevenir y detectar el Fraude (incluida la simulación de Trayectos o la Suplantación de Identidad), garantizar la seguridad de los Usuarios y cumplir con los requisitos de verificación exigibles para la obtención de Certificados de Ahorro Energético, CarHey podrá tratar datos de geolocalización en tiempo real del Conductor y de los Pasajeros durante el Trayecto, así como cualquier otro dato técnico vinculado a la ejecución del mismo (telemetría, lecturas de acelerómetro, datos del dispositivo, etc.).

La recopilación de la geolocalización en tiempo real comienza cuando el Usuario activa expresamente el inicio del Trayecto en la App y finaliza cuando el Usuario marca su finalización o, en defecto de finalización manual, una vez transcurrido un tiempo razonable equivalente al doble de la duración estimada del Trayecto.

Para participar en el sistema CAE y, en su caso, beneficiarse de los incentivos asociados a éste, es imprescindible que el Usuario otorgue permiso para la recopilación de la ubicación exacta durante el Trayecto. Sin este permiso, los Trayectos no podrán certificarse a efectos CAE, sin perjuicio de que el Usuario pueda continuar utilizando la Plataforma a efectos meramente colaborativos cuando ello sea técnicamente posible.

Bases jurídicas: ejecución del contrato (art. 6.1.b RGPD); cumplimiento de una obligación legal (art. 6.1.c RGPD) derivada del Real Decreto 36/2023 y de los criterios de verificación exigidos por el Coordinador Nacional, los Sujetos Delegados y los verificadores de ahorro energético; e interés legítimo de CarHey (art. 6.1.f RGPD) en la prevención del Fraude y la seguridad de los Usuarios.

5.4 Programa de Certificados de Ahorro Energético (CAE)

En el marco del sistema español de Certificados de Ahorro Energético, regulado por el Real Decreto 36/2023 y su normativa de desarrollo (incluidas las fichas TRA030 y TRA040 en su versión vigente), CarHey trata los datos personales del Usuario estrictamente necesarios para la generación, certificación, agregación, comercialización y monetización de los ahorros energéticos asociados a sus Trayectos, incluyendo, sin limitación: nombre y apellidos, NIF/NIE/pasaporte, dirección de correo electrónico, número de teléfono, matrícula del vehículo, datos del Trayecto (origen, destino, fecha, hora, distancia, duración, ocupación, justificantes de pago) y resultados de las verificaciones realizadas.

CarHey, en su condición de cesionario de los ahorros energéticos conforme a la cláusula 16 de los TyCGU, podrá comunicar dichos datos a uno o varios Sujetos Delegados acreditados conforme al RD 36/2023, así como al Coordinador Nacional, a las entidades verificadoras y a las autoridades públicas competentes, con la finalidad exclusiva de cumplir con los requisitos de certificación. CarHey podrá modificar, sustituir o ampliar la lista de Sujetos Delegados con los que colabora en cualquier momento sin necesidad de notificación individual al Usuario, conforme a lo previsto en la cláusula 16 de los TyCGU.

Estos terceros tratarán los datos como Encargados del Tratamiento por cuenta de CarHey o, en su caso, como responsables independientes cuando ostenten obligaciones legales propias en el sistema CAE.

Bases jurídicas: ejecución del contrato (art. 6.1.b RGPD) en cuanto a la cesión y monetización aceptadas en los TyCGU; cumplimiento de obligaciones legales (art. 6.1.c RGPD) derivadas del RD 36/2023; e interés legítimo de CarHey (art. 6.1.f RGPD) en la correcta gestión y comercialización de los ahorros energéticos cedidos por el Usuario.

5.5 Verificación de identidad y documentación

Para cumplir con las obligaciones de prevención del Fraude, prevención del blanqueo de capitales y de la financiación del terrorismo (Ley 10/2010, de 28 de abril), así como con los criterios de identificación exigidos por la normativa CAE, CarHey podrá someter al Usuario a procesos de verificación documental e identidad, que podrán incluir:

  • la captura del anverso y reverso del documento de identidad (DNI, NIE o Pasaporte);
  • la captura de un autorretrato (selfie) y la comparación biométrica del rostro con la fotografía del documento;
  • la verificación del documento contra fuentes oficiales y de la coincidencia de la letra de control en el caso del DNI/NIE.

A la fecha de la última actualización de la presente Política, CarHey realiza estos procesos internamente, sin intervención de proveedores externos especializados en verificación de identidad. Las imágenes del documento de identidad y del autorretrato (selfie) se almacenan cifradas en los sistemas de CarHey conforme a las medidas descritas en la cláusula 12, y son tratadas exclusivamente por personal autorizado de CarHey y, cuando proceda, por las autoridades o entidades del sistema CAE legitimadas para ello.

Si en el futuro CarHey incorpora proveedores externos para estas tareas (entidades de identificación electrónica, biometría o análisis documental), éstos podrán actuar como Encargados del Tratamiento o como responsables independientes según la operación, lo que se reflejará en una versión actualizada de la presente Política, identificando al proveedor, su rol en el tratamiento y los medios para conocer su propia política de privacidad y contactar con su delegado de protección de datos.

Con independencia de lo anterior, el Proveedor de Pago (Stripe Payments Europe, Limited) podrá someter al Usuario a sus propios procedimientos KYC/AML al amparo de la cláusula 5.7, en calidad de responsable independiente conforme a sus términos.

Bases jurídicas: cumplimiento de obligaciones legales (art. 6.1.c RGPD); ejecución del contrato (art. 6.1.b RGPD); e interés legítimo de CarHey (art. 6.1.f RGPD) en la prevención del Fraude. En el caso de los datos biométricos, la base será el consentimiento explícito del Usuario (art. 9.2.a RGPD) o el interés público esencial (art. 9.2.g RGPD) cuando sea aplicable en el marco del sistema CAE.

5.6 Verificación por foto/selfie durante el Trayecto

Adicionalmente, CarHey podrá requerir la captura de fotografías o autorretratos (individuales o grupales) asociados a un Trayecto concreto, con el fin de verificar la presencia física de los ocupantes y prevenir el Fraude o la Suplantación de Identidad. Estas verificaciones podrán incluir el análisis automatizado de las imágenes mediante tecnologías de detección de rostros, limitado a la comprobación del número de personas presentes y de su consistencia con la información del Trayecto, sin que ello implique identificación biométrica unívoca de los ocupantes.

Bases jurídicas: cumplimiento de obligaciones legales (art. 6.1.c RGPD) e interés legítimo de CarHey (art. 6.1.f RGPD) en la prevención del Fraude y en la integridad del sistema CAE.

5.7 Pagos, retiradas y cumplimiento KYC/AML

Cuando participas en Trayectos remunerados, CarHey trata la información necesaria para procesar pagos, cobros, retiradas y compensaciones, incluyendo: nombre y apellidos, dirección postal, datos identificativos, IBAN o datos de tarjeta, importe de la transacción, identificadores de transacción y país de residencia fiscal.

Los pagos son procesados por Stripe Payments Europe, Limited (en adelante, el “Proveedor de Pago”), que actúa como responsable independiente o como Encargado del Tratamiento según la operación, conforme a sus propios términos. El Proveedor de Pago podrá someter al Usuario a procedimientos KYC/AML basados en sus propios criterios y umbrales financieros, con independencia de las verificaciones realizadas por CarHey.

Bases jurídicas: cumplimiento de obligaciones legales (art. 6.1.c RGPD), incluida la Ley 10/2010 de prevención del blanqueo de capitales y la financiación del terrorismo, así como las obligaciones contables y fiscales (art. 30 Código de Comercio, Ley 58/2003 General Tributaria); ejecución del contrato (art. 6.1.b RGPD); e interés legítimo de CarHey (art. 6.1.f RGPD) en la prevención del Fraude.

5.8 Comunicaciones, soporte y gestión de incidencias

CarHey trata los datos derivados de las comunicaciones que mantiene con los Usuarios — incluidas las consultas, reclamaciones, mensajes de soporte, conversaciones por chat, llamadas telefónicas (cuando proceda y sean grabadas previo aviso) y cualesquiera comunicaciones intercambiadas a través de la Plataforma — con el fin de gestionar las incidencias, evaluar la calidad del servicio, formar a su personal, prevenir el Fraude y conservar evidencia ante posibles reclamaciones.

CarHey podrá monitorizar, archivar y analizar dichas comunicaciones cuando ello resulte razonablemente necesario para los fines anteriores, en la máxima medida permitida por la Normativa de Protección de Datos.

Bases jurídicas: ejecución del contrato (art. 6.1.b RGPD); interés legítimo de CarHey (art. 6.1.f RGPD) en la calidad y seguridad del servicio; cumplimiento de obligaciones legales (art. 6.1.c RGPD) cuando proceda.

5.9 Análisis, mejora y prevención del Fraude

CarHey trata datos sobre el uso de la Plataforma, incluyendo identificadores técnicos, datos del dispositivo, dirección IP, eventos de uso, patrones de actividad, datos de sesión, cookies y tecnologías equivalentes (SDK, píxeles, fingerprinting), con el fin de:

  • analizar el rendimiento, la usabilidad y el comportamiento de la Plataforma;
  • mejorar los Servicios y desarrollar nuevas funcionalidades;
  • prevenir, detectar e investigar el Fraude, los abusos y los incumplimientos de los TyCGU;
  • generar estadísticas, informes y modelos analíticos agregados o anonimizados;
  • personalizar la experiencia del Usuario y, en su caso, dirigirle comunicaciones de productos o servicios análogos a los ya contratados, conforme al considerando 47 del RGPD.

CarHey podrá utilizar datos anonimizados o agregados, que ya no permitan identificar al Usuario, sin restricción alguna y para cualesquiera fines (incluida la investigación, el desarrollo, el entrenamiento de modelos de aprendizaje automático y la cesión a terceros).

Bases jurídicas: interés legítimo de CarHey (art. 6.1.f RGPD); ejecución del contrato (art. 6.1.b RGPD) cuando proceda; consentimiento del Usuario (art. 6.1.a RGPD) para las cookies y tecnologías equivalentes que requieran consentimiento conforme a la normativa aplicable, conforme se detalla en la Política de Cookies de la Plataforma.

5.10 Datos derivados, inferidos y agregados

CarHey podrá generar nuevos datos a partir de la información recogida (por ejemplo, indicadores de fiabilidad, índices de actividad, segmentos de Usuario, métricas de Trayecto, modelos predictivos de Fraude) y utilizarlos para los fines descritos en esta Política. Una vez anonimizados de forma irreversible, dichos datos no constituirán datos personales y podrán ser utilizados, conservados, cedidos y comercializados libremente por CarHey.

6. Plazos de conservación

CarHey conservará los datos personales del Usuario únicamente durante el tiempo necesario para cumplir con las finalidades para las que fueron recopilados, así como para atender posibles obligaciones legales, contractuales o de defensa frente a reclamaciones. A título orientativo:

  • Cuentas activas: mientras el Usuario mantenga la Cuenta y continúe utilizando la Plataforma, así como durante un periodo razonable adicional una vez cesado el uso.
  • Cuentas inactivas (sin uso prolongado): podrán conservarse durante un periodo máximo de cinco (5) años desde la última actividad antes de ser dadas de baja o anonimizadas.
  • Cierre de cuenta a solicitud del Usuario: los datos personales serán suprimidos en un plazo máximo de sesenta (60) días desde la solicitud, salvo en lo que se refiera a las categorías de datos sujetas a obligaciones legales de conservación, que se conservarán durante el plazo legalmente exigible (entre otros: documentación contable y fiscal durante 6 años conforme al artículo 30 del Código de Comercio y plazos de hasta 10 años conforme a la Ley General Tributaria; documentación derivada del sistema CAE conforme al Real Decreto 36/2023, de 24 de enero, y a su normativa de desarrollo —en particular el artículo 14.12 de la Orden TED/815/2023, de 18 de julio (BOE-A-2023-16734)—, que exige su conservación durante al menos tres (3) años desde su liquidación, conservándola CarHey durante cuatro (4) años como margen de seguridad; documentación derivada de la Ley 10/2010 durante 10 años).
  • Cuentas suspendidas o bloqueadas por Fraude o por incumplimientos graves de los TyCGU: podrán conservarse durante el tiempo necesario para depurar las responsabilidades administrativas, civiles o penales correspondientes y para defender los intereses legítimos de CarHey.
  • Comunicaciones de soporte y registros de incidencias: podrán conservarse durante un periodo de hasta cinco (5) años desde la última interacción.
  • Datos derivados de cookies y tecnologías de análisis: durante los plazos indicados en la Política de Cookies.
  • Datos anonimizados o agregados: podrán conservarse sin limitación temporal, ya que no constituyen datos personales.

7. Destinatarios y comunicaciones de datos

CarHey comunicará los datos personales del Usuario únicamente cuando exista una base jurídica que lo justifique. CarHey no vende los datos personales del Usuario.

7.1 Encargados del Tratamiento (proveedores de servicios)

CarHey contrata con terceros proveedores que tratan datos personales por cuenta de CarHey en el marco de un contrato conforme al artículo 28 RGPD. La lista actualizada de Encargados del Tratamiento incluye, entre otros:

  • Proveedor de infraestructura y alojamiento: Hetzner Online GmbH, con servidores ubicados en el centro de datos de Hetzner en Falkenstein (Sajonia, Alemania), para el alojamiento técnico de la Plataforma, bases de datos y copias de seguridad.
  • Proveedor de almacenamiento de objetos: Cloudflare, Inc. (Cloudflare R2), para el almacenamiento de archivos, fotografías y documentos.
  • Proveedor de servicios de pago: Stripe Payments Europe, Limited, para el procesamiento de pagos y, en su caso, KYC/AML.
  • Proveedor de envíos de SMS: Twilio Inc. (o sus filiales europeas), para la verificación del número de teléfono y notificaciones operativas.
  • Proveedor de envío de correo electrónico transaccional: Amazon Web Services, Inc. (Amazon SES) y servicios análogos, para la entrega de correos transaccionales.
  • Proveedor de protección frente a ataques y bots: Cloudflare, Inc., para la protección de la Plataforma, gestión de tráfico, geolocalización por IP y verificación anti-bot (Turnstile).
  • Proveedor de verificación de identidad y biometría: a la fecha de la última actualización, CarHey no recurre a proveedores externos especializados para la verificación de identidad y biometría, realizando estos procesos internamente conforme a la cláusula 5.5. Cuando CarHey incorpore proveedores externos, éstos se reflejarán en la presente lista, identificándose en cada caso si actúan como Encargados del Tratamiento o como responsables independientes.
  • Proveedores de soporte al cliente, mensajería interna, notificaciones push y análisis de uso, en su caso, sometidos a contratos conformes al artículo 28 RGPD.

CarHey podrá modificar la lista de Encargados del Tratamiento en cualquier momento por motivos operativos, técnicos, contractuales o legales. La versión actualizada de esta lista podrá consultarse en la Plataforma o solicitarse a [email protected].

7.2 Sujetos Delegados y entidades del sistema CAE

En el marco descrito en la cláusula 5.4, CarHey podrá comunicar los datos estrictamente necesarios a uno o varios Sujetos Delegados acreditados conforme al Real Decreto 36/2023, así como al Coordinador Nacional, a las entidades verificadoras y a las autoridades públicas competentes en el sistema CAE, sin que ello requiera notificación individual al Usuario.

7.3 Entidades facilitadoras

Cuando el Usuario haya accedido a la Plataforma a través de una empresa, universidad, ayuntamiento o entidad facilitadora, CarHey podrá comunicar a dicha entidad datos identificativos (nombre, apellidos, correo electrónico de contacto), datos de pertenencia (departamento, centro, centro de coste) y datos agregados de uso (número de Trayectos, distancias acumuladas, ahorros estimados) para la aplicación de las ventajas, promociones, programas o iniciativas de movilidad sostenible promovidas por dicha entidad. Estas comunicaciones se realizarán únicamente cuando el Usuario haya manifestado su voluntad de adherirse a la comunidad correspondiente y se basarán en la ejecución del contrato (art. 6.1.b RGPD) o en el interés legítimo de CarHey y de la entidad facilitadora (art. 6.1.f RGPD).

7.4 Autoridades, terceros legítimos y reorganizaciones corporativas

CarHey podrá comunicar datos personales:

  • a las autoridades públicas, judiciales o administrativas cuando exista una obligación legal o un requerimiento legítimo;
  • a asesores profesionales (abogados, auditores, consultores fiscales) sometidos a deber de confidencialidad, cuando resulte necesario para la defensa de los intereses legítimos de CarHey o para el cumplimiento de obligaciones legales;
  • a aseguradoras, mediadores y peritos, cuando ello sea necesario para la gestión de siniestros, reclamaciones o coberturas relacionadas con el uso de la Plataforma;
  • a adquirentes, sucesores o continuadores del negocio de CarHey en el marco de operaciones de fusión, escisión, segregación (artículo 61 del Real Decreto-ley 5/2023, de 28 de junio, antes denominada aportación de rama de actividad), cesión global de activo y pasivo, adquisición de activos, reestructuración o cualquier otra operación corporativa similar, conforme a la cláusula 19.1 de los TyCGU. Cuando dicha comunicación implique un cambio en la identidad del Responsable del Tratamiento, CarHey notificará al Usuario con una antelación mínima de treinta (30) días naturales a la entrada en vigor del cambio, indicando la identidad y los datos de contacto del nuevo Responsable y los medios disponibles para ejercer los derechos del artículo 20 RGPD (portabilidad) y, en su caso, para oponerse a la continuidad de la relación mediante el cierre de la Cuenta sin coste, garantizándose en todo caso la continuidad de las finalidades del tratamiento y de los derechos del Usuario.

8. Transferencias internacionales de datos

CarHey procura que los tratamientos de datos personales se realicen, siempre que sea posible, dentro del Espacio Económico Europeo (EEE).

No obstante, algunos de los Encargados del Tratamiento listados en la cláusula 7.1 son sociedades pertenecientes a grupos internacionales que pueden estar sujetos a la jurisdicción de terceros países (por ejemplo, Estados Unidos), lo que puede implicar accesos puntuales a datos desde fuera del EEE. CarHey suscribe con dichos proveedores las Cláusulas Contractuales Tipo (Standard Contractual Clauses) aprobadas por la Comisión Europea y, cuando sea aplicable, exige medidas técnicas y organizativas adicionales (cifrado, pseudonymisation, controles de acceso) para garantizar un nivel de protección equivalente.

CarHey podrá igualmente realizar transferencias internacionales amparadas en:

  • Decisiones de adecuación de la Comisión Europea (art. 45 RGPD), cuando estén disponibles para el país de destino;
  • Garantías adecuadas del artículo 46 RGPD (Cláusulas Contractuales Tipo, normas corporativas vinculantes);
  • Excepciones del artículo 49 RGPD, cuando proceda (consentimiento explícito, ejecución de contrato, interés público, etc.).

El Usuario podrá solicitar copia de las garantías aplicables escribiendo a [email protected].

9. Decisiones automatizadas y elaboración de perfiles

CarHey utiliza sistemas automatizados para la prevención y detección del Fraude, la verificación de Trayectos, la asignación de incentivos, la verificación de identidad y la detección de comportamientos abusivos en la Plataforma. Estos sistemas podrán dar lugar, entre otros, a la suspensión temporal o definitiva de la Cuenta, a la cancelación de un Trayecto, a la denegación de un incentivo o a la retención temporal de saldos.

El uso de estos sistemas se ampara en (i) la necesidad para la celebración o ejecución del contrato entre el Usuario y CarHey (art. 22.2.a RGPD), (ii) el cumplimiento de obligaciones legales (incluida la prevención del Fraude y del blanqueo de capitales) y (iii) el interés legítimo de CarHey en proteger la integridad de la Plataforma.

Cuando una decisión automatizada produzca efectos jurídicos significativos para el Usuario, éste tendrá derecho a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión, salvo en los supuestos previstos por la normativa aplicable. Para ejercer este derecho, el Usuario podrá dirigirse a [email protected].

10. Derechos del Usuario

De conformidad con la Normativa de Protección de Datos, el Usuario tiene derecho a:

  • Información (arts. 13–14 RGPD): recibir información clara, transparente y comprensible sobre el tratamiento de sus datos personales.
  • Acceso (art. 15 RGPD): obtener confirmación de si se están tratando sus datos personales y, en tal caso, acceder a ellos.
  • Rectificación (art. 16 RGPD): solicitar la rectificación de datos personales inexactos o incompletos.
  • Supresión (art. 17 RGPD): solicitar la supresión de sus datos personales cuando ya no sean necesarios para los fines del tratamiento, sin perjuicio de las excepciones legales.
  • Limitación del tratamiento (art. 18 RGPD): solicitar la restricción del tratamiento en los supuestos previstos.
  • Portabilidad (art. 20 RGPD): recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.
  • Oposición (art. 21 RGPD): oponerse al tratamiento basado en interés legítimo, así como al tratamiento con fines de mercadotecnia directa.
  • Retirar el consentimiento (art. 7.3 RGPD): retirar en cualquier momento el consentimiento prestado para tratamientos basados en él, sin que ello afecte a la licitud del tratamiento previo.
  • No ser objeto de decisiones automatizadas (art. 22 RGPD): en los términos descritos en la cláusula 9.
  • Reclamar ante la AEPD: presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es, C/ Jorge Juan, 6, 28001 Madrid) cuando se considere que el tratamiento no se ajusta a la normativa.

El Usuario podrá ejercer estos derechos remitiendo una solicitud por correo electrónico a [email protected], aportando una copia de un documento que acredite su identidad cuando resulte razonablemente necesario para evitar suplantaciones.

CarHey atenderá la solicitud en los plazos legalmente establecidos. CarHey podrá denegar, restringir o limitar el ejercicio del derecho cuando concurran las excepciones previstas por la normativa, en particular cuando los datos sean necesarios para el cumplimiento de obligaciones legales, para la formulación, ejercicio o defensa de reclamaciones, o para la conservación derivada de la legislación contable, fiscal, mercantil, laboral o del sistema CAE.

11. Tratamiento de datos personales de menores

Los Servicios de CarHey no están dirigidos a menores de 18 años, conforme a los TyCGU. CarHey no recopila intencionadamente datos personales de menores de edad. En caso de que CarHey tenga conocimiento de que ha recopilado datos personales de un menor de 14 años sin el consentimiento válido de los titulares de la patria potestad o tutela, procederá a su supresión a la mayor brevedad posible, conforme al artículo 8 RGPD y al artículo 7 LOPDGDD. CarHey se reserva el derecho a bloquear cualquier Cuenta cuando existan indicios razonables de que ha sido creada o utilizada por un menor o utilizando datos fraudulentos.

12. Medidas de seguridad

CarHey aplica medidas técnicas y organizativas razonables y adecuadas para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD), incluyendo, entre otras: cifrado de datos en tránsito y en reposo cuando proceda, control de accesos basado en roles, segregación de entornos, monitorización de seguridad, copias de seguridad, formación del personal, gestión de incidentes y análisis de riesgos.

CarHey selecciona a sus Encargados del Tratamiento atendiendo a las garantías técnicas y organizativas que ofrezcan, formalizando con ellos los contratos exigidos por el artículo 28 RGPD.

A pesar de las medidas adoptadas, ningún sistema es completamente invulnerable. CarHey no puede garantizar la seguridad absoluta de los datos personales transmitidos a través de Internet, sin que ello constituya una limitación de las obligaciones legalmente exigibles a CarHey en materia de protección de datos.

13. Cookies y tecnologías similares

La Plataforma utiliza cookies y tecnologías equivalentes para el correcto funcionamiento técnico, la seguridad, la prevención del Fraude, el análisis del uso y, en su caso, la personalización de contenidos. La información detallada sobre las cookies utilizadas, sus finalidades y los mecanismos para gestionarlas está disponible en la Política de Cookies de la Plataforma.

14. Modificaciones de la Política de Privacidad

CarHey podrá modificar la presente Política de Privacidad para adaptarla a cambios normativos, jurisprudenciales, tecnológicos o de la propia Plataforma. La versión actualizada estará permanentemente disponible en la Plataforma, con indicación de la fecha de entrada en vigor.

En caso de modificaciones sustanciales, CarHey notificará al Usuario por correo electrónico, in-app o por cualesquiera otros medios razonables, con antelación razonable a la entrada en vigor. Cuando la modificación afecte a tratamientos basados en el consentimiento del Usuario, se solicitará un nuevo consentimiento conforme a la normativa aplicable.

15. Contacto

Para cualquier consulta o solicitud relacionada con la presente Política de Privacidad o con el tratamiento de los datos personales del Usuario, podrás dirigirte a:

  • Responsable del Tratamiento: EVOLVE AI, S.L.
  • Domicilio: Calle Amistad, 15, 28411, Moralzarzal (Madrid), España
  • Correo electrónico: [email protected]
CarHey

Sé el primero en enterarte

¡Ya casi estamos! Le estamos dando los últimos retoques a la app. Muy pronto podrás ganar dinero compartiendo coche en tus viajes diarios. Apúntate aquí abajo y serás de los primeros en enterarte:

Cero spam. Solo te avisaremos cuando lancemos la app.