Introducción

La operativa de este sitio web se encuentra a cargo de Littlepay Limited y sus filiales («Littlepay», «nosotros» o «nos»). Consulte la política de cookies para obtener información acerca de nuestro uso de cookies.

Littlepay se compromete a proteger los datos a los que tengamos acceso en el curso de la prestación de nuestros servicios. Dedique tiempo a consultar esta Política de Privacidad, en la cual se explica qué datos personales recopilamos, cómo los utilizamos y los derechos que le corresponden. Littlepay Limited («Littlepay», «nosotros» o «nos») es el responsable del tratamiento de los datos recopilados a través o en relación con los servicios que ofrecemos en el Espacio Económico Europeo y en el Reino Unido, a excepción de nuestra solución CNP, para la cual somos el encargado del tratamiento de los datos recopilados. Para los residentes de California, Estados Unidos, Littlepay Inc. ejerce el control de los datos que se describen en el Aviso de privacidad de California que figura a continuación.

¿Qué datos recopilamos y tratamos?

Littlepay presta servicios de procesamiento de pagos seguros a operadores de transporte, permitiéndoles aceptar el pago de particulares para viajar en transporte público utilizando tarjetas de pago o billetes digitales de prepago («billetes»). A continuación, describimos cuándo recopilamos sus datos y qué elementos de datos se recopilan.

Datos de pago. Si usted utiliza su tarjeta de pago al subir al transporte público para pagar a uno de los operadores de transporte que utilizan nuestros servicios (un «Operador»), o compra un Billete en línea a un Operador para prepagar su viaje en transporte público con nuestra solución de tarjeta virtual («CNP»), trataremos sus Datos de pago en nombre del Operador. Estos datos pueden incluir el «PAN» de la tarjeta de pago (número de cuenta personal, por sus siglas en inglés), el tipo de tarjeta de pago y los datos de caducidad de la misma) y, en el caso de los Billetes adquiridos en línea con nuestra solución CNP, el nombre del titular de la tarjeta, la dirección de facturación y el CVV2. También podemos recopilar Datos de pago cuando usted vea su historial en línea de pagos de transporte público.

Datos relacionados con usted que faciliten los Operadores. También recopilamos datos facilitados por nuestros Operadores. Esta información puede incluir su nombre, dirección, datos de contacto, función y datos del empleador, así como cualquier otra información que usted decida facilitarnos.

Información del Operador. Si usted es un Operador, trataremos sus datos de acceso a nuestro Portal de operadores en línea (un portal web que cumple la normativa PCI y que permite a los Operadores ver transacciones de cada pasajero).

Identificadores de dispositivos y datos de uso. Al utilizar nuestro sitio web, recopilamos determinada información estándar que su navegador envía de forma automática a nuestro sitio web. Esto incluye información técnica sobre su dispositivo, como dirección IP, tipo de navegador, identificadores del dispositivo, sistema operativo, idioma, configuración de la zona horaria, horas de acceso y direcciones de los sitios web de referencia, así como información de uso, como las páginas que visita, el tiempo que pasa en cada página y las URL.

Otros datos que nos facilite. Podemos recopilar cualquier otro dato que usted decida facilitarnos cuando interactúe con nosotros, como cuando nos envíe un correo electrónico o solicite asistencia técnica. Pueden ser su nombre, datos de contacto y cualquier otra información que nos aporte al comunicarse con nosotros.

¿Para qué utilizamos estos datos?

Utilizamos sus datos para:

• Facilitarle el pago a los Operadores por el uso de servicios de transporte público, tanto si se trata de una transacción directa con tarjeta en el momento de subir al vehículo de transporte, como de la compra anticipada de un Billete para el transporte correspondiente.
• Procesar el pago.
• Cumplir nuestras obligaciones contractuales con el Operador correspondiente.
• Cumplir nuestros requisitos y obligaciones legales y normativas.
• Investigar el fraude, detectar y evitar transacciones fraudulentas y realizar la autenticación segura antes de verificar su compra.
• Comercializar, publicitar y promover nuestros servicios.
• Guardar sus Datos de pago cifrados para utilizarlos en futuras transacciones, cuando usted así lo decida.
• Ponernos en contacto y comunicarnos con usted en relación con la prestación de nuestros servicios o cuando se haya puesto en contacto con nosotros.
• Gestionar sus compras y su cuenta de usuario.
• Llevar a cabo análisis y estudios de mercado.
• Llevar a cabo otras actividades empresariales, como por ejemplo la negociación, conclusión y cumplimiento de contratos, gestión de cuentas y registros, apoyo a las actividades de responsabilidad social de la empresa, investigaciones legales, reglamentarias e internas y administración de deudas.

Fundamentos legales del tratamiento de sus datos

Nuestros fundamentos legales para tratar sus datos según la legislación de protección de datos pertinente son: 

• Su autorización: en determinadas circunstancias (por ejemplo, para fines de marketing directo, publicidad y promoción), podemos solicitar su autorización para el tratamiento de sus datos personales. En estos casos, la autorización se obtiene de acuerdo con los requisitos legales pertinentes. Cuando nos basamos en su autorización como fundamento legal para tratar sus datos personales, usted tiene derecho a retirar dicha autorización en cualquier momento poniéndose en contacto con nosotros.
• Contrato: el tratamiento es necesario para que podamos cumplir nuestro contrato con el Operador para prestar servicios de procesamiento de pagos. Cuando necesitemos recopilar sus datos personales para cumplir nuestro contrato con usted y usted no facilite los datos cuando se le soliciten, es posible que no podamos cumplir el contrato que tenemos o intentamos celebrar con usted. En tal caso, es posible que tengamos que cancelar los servicios de procesamiento de pagos que haya suscrito o trate de suscribir.
• Obligación legal: el tratamiento es necesario para cumplir nuestras obligaciones legales.
• Intereses legítimos: cuando el tratamiento sea necesario para los intereses legítimos de Littlepay (en la medida en que sus derechos e intereses no prevalezcan sobre nuestros intereses legítimos), que pueden incluir uno o varios de los siguientes supuestos:
• realizar y procesar su pago con el fin de prestar el servicio que el Operador ha contratado;
• llevar a cabo nuestra actividad empresarial;
• desarrollar nuestros productos y servicios y mejorar nuestra actividad empresarial;
• mejorar nuestro sitio web y mantenerlo actualizado y adecuado para su fin;
• analizar el modo en que los clientes adquieren y utilizan nuestros productos y servicios y fundamentar nuestra estrategia de marketing;
• prestación de servicios de TI y administración interna;
• mantener nuestros registros actualizados; y
• asegurar nuestra red y sistemas.

¿Con quién compartimos sus datos?

Compartimos sus datos en las siguientes circunstancias:

• Personas de nuestra organización que tienen una «necesidad de conocer» dichos datos por razones comerciales o legales, por ejemplo para llevar a cabo una función administrativa.
• Como operamos a nivel internacional, podemos compartir sus datos con cualquier entidad del grupo de empresas Littlepay en todo el mundo.
• Con el correspondiente Operador, banco u otra institución o instituciones financieras, según sea necesario para prestar nuestros servicios de pago. Tenga en cuenta que no compartimos con nuestros Operadores datos completos de pagos con tarjeta.
• Con nuestras filiales, según sea necesario para prestar nuestros servicios y llevar a cabo nuestras actividades empresariales.
• Con proveedores que prestan servicios en nuestro nombre, y con nuestros asesores profesionales y jurídicos, según sea necesario para el funcionamiento de nuestra empresa.
• Con terceros que nos prestan servicios de seguridad y prevención y detección del fraude.
• Con las fuerzas del orden u otras autoridades gubernamentales, por ejemplo, para denunciar un fraude o en respuesta a una solicitud legal o para cumplir una obligación legal.
• Con terceros en caso de que vendamos, compremos o fusionemos cualquier línea de negocio o activo, incluyendo al posible vendedor o comprador de dicha línea de negocio o activo.
• De otro modo, cuando tengamos su consentimiento o estemos legalmente autorizados a hacerlo.

Exigimos a todos los terceros que respeten la seguridad de sus datos personales y que los traten de acuerdo con la ley. No permitimos que nuestros proveedores de servicios externos utilicen sus datos personales para sus propios fines y solo les permitimos tratar sus datos personales para fines específicos y de acuerdo con nuestras instrucciones.

Almacenamiento y retención

Littlepay tiene oficinas en Delaware, Londres y Australia, y tiene capacidad para procesar pagos a nivel mundial. En consecuencia, sus datos pueden ser tratados en países fuera de su jurisdicción de residencia, incluso en países en los que usted puede tener menos derechos legales con respecto a sus datos que en virtud de la legislación local. Si usted reside en el Espacio Económico Europeo («EEE») o en el Reino Unido («RU»), cuando transfiramos datos fuera del EEE/Reino Unido (según corresponda) nos aseguraremos, según lo exija la legislación aplicable, de que sus derechos de privacidad estén adecuadamente protegidos: (i) transfiriendo solamente sus datos personales a países que se haya considerado que ofrecen un nivel adecuado de protección de los datos personales, o (ii) con las garantías apropiadas, como las cláusulas contractuales estándar de la UE (u otras cláusulas o garantías de transferencia de datos que puedan ser aprobadas por la autoridad supervisora de protección de datos pertinente de forma ocasional). Póngase en contacto con nosotros en la dirección de correo legal@littlepay.com si desea más información sobre estas medidas de protección.

Conservaremos sus datos durante el tiempo que los necesitemos para los fines expuestos anteriormente, por lo que este periodo variará en función de sus interacciones con nosotros. Cuando ya no tengamos necesidad de conservar su información, la eliminaremos. Tenga en cuenta que si se da de baja de nuestras comunicaciones de marketing, mantendremos un registro de su dirección de correo electrónico para asegurarnos de no enviarle correos electrónicos de marketing en el futuro.

Almacenamos los Datos de pago, incluidos los datos de la tarjeta y su dirección, durante un máximo de 60 minutos tras el procesamiento de un pago, con el fin de verificar la transacción. Almacenamos los datos de su tarjeta, incluyendo el PAN, tipo de tarjeta de pago y datos de caducidad de la tarjeta de pago (pero nunca el CVV2) de forma cifrada y tokenizada durante siete (7) años tras el procesamiento de cada pago. Si lo desea, haremos que esta información esté disponible para futuras transacciones, lo que significa que solo tendrá que introducir el CVV2 de su tarjeta.

Si, al adquirir un billete en línea, usted opta por que almacenemos sus Datos de pago para futuras transacciones (incluidos los acuerdos de autorización de pagos continuos que pueda tener con un Operador), guardaremos su nombre, PAN, tipo de tarjeta de pago y datos de caducidad de la tarjeta de pago. Esta información se cifra y guarda como un token cifrado. Otros datos de pago que usted puede proporcionarnos al ver su historial de pagos de transporte público en línea, como el nombre y dirección de facturación o el CVV2 de la tarjeta de pago, no se conservan una vez que usted haya sido verificado de forma satisfactoria. Si decide configurar una autorización de pago continuo a través de uno de nuestros Operadores, las condiciones de dicha autorización de pago continuo serán las acordadas entre usted y el Operador, incluido el importe de la recarga automática y el saldo al que se produce la recarga. Para obtener información sobre cualquier autorización de pago continuo que haya acordado, póngase en contacto con el Operador al que compra el billete o, en su caso, con su banco.

Seguridad

Hemos establecido medidas de seguridad apropiadas para proteger sus datos contra el uso, el acceso, la alteración o la divulgación no autorizados, o la pérdida accidental. Además, limitamos el acceso a sus datos a aquellos empleados, contratistas y demás terceros que tengan una necesidad empresarial de conocerlos. Solo tratarán sus datos siguiendo nuestras instrucciones y deben cumplir una obligación de confidencialidad.

En particular, hemos aplicado las siguientes medidas de seguridad:

• Cumplimos la Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS, por sus siglas en inglés) y tenemos certificación de seguridad de nivel 1.
• Todos los datos de la tarjeta de pago (PAN, nombre del titular de la tarjeta, caducidad y CVV) se captan utilizando nuestra interfaz de usuario segura o a través de los sistemas seguros del Operador y se nos envían a través de la API.
• Cada Operador crea una caja de pago en línea, normalmente a través de un desarrollador externo designado, que se asegura con nuestra plataforma a través de mecanismos de autenticación de confianza mutua para garantizar que los mensajes de pago cifrados que se reciben en nuestra plataforma provienen de una fuente y parte legítimas.
• Littlepay también cifra los mensajes de pago mediante técnicas criptográficas estándar en nuestra actividad de uso común en el sector de pagos, del modo siguiente:

• los datos de tarjetas de pago se tokenizan;
• cada conjunto de datos del cliente se almacena por separado; y
• todas las transacciones de pago se procesan utilizando los datos de la tarjeta de pago tokenizados que se guardan en un archivo seguro de tarjetas de pago conforme a PCI-DSS.
• No tratamos datos confidenciales (por ejemplo, datos biométricos, elaboración de perfiles a gran escala, datos genéticos o datos de niños).

Enlaces a otros sitios web

Esta Política de privacidad no cubre los enlaces de este sitio web que conectan con otros sitios web. Le recomendamos que lea las declaraciones de privacidad de los demás sitios web que visite. Littlepay emplea varios bancos adquirentes, uno de los cuales es Valitor hf, banco constituido según las leyes de Islandia, para sus servicios de adquisición. La política de privacidad de Valitor puede consultarse aquí: https://www.valitor.com/about-us/privacy-notice/ Otros bancos adquirentes que Littlepay puede emplear en la prestación de sus servicios son los siguientes: Global Payments, Elavon.

Sus derechos y opciones

Derechos legales

Dependiendo de su jurisdicción de residencia, usted puede, en ciertas circunstancias, tener determinados derechos con respecto a sus datos, incluyendo:

• el derecho de acceso a sus datos personales; 
• el derecho a solicitar la corrección de sus datos personales;
• el derecho a solicitar la eliminación de sus datos;
• el derecho a solicitar la restricción de sus datos personales;
• el derecho a retirar el consentimiento al tratamiento de sus datos personales; y
• el derecho a solicitar el traspaso de sus datos personales

También puede, en ciertas circunstancias, tener derecho a oponerse a que sus datos se utilicen para determinados fines, incluido el envío de publicidad. Consulte «Marketing» a continuación para obtener más información sobre cómo excluirse de actividades de marketing.

Atenderemos cualquier solicitud de ejercicio de sus derechos de acuerdo con la legislación pertinente. Observe, no obstante, que existen varias limitaciones relacionadas con estos derechos, por lo que pueden darse circunstancias en las que no podamos satisfacer su petición. Para realizar cualquier solicitud relativa a sus datos, o si tiene alguna pregunta o duda sobre estos, debe ponerse en contacto con nosotros utilizando los datos que figuran a continuación.

Si reside en el EEE o el Reino Unido y tiene una reclamación relacionada con nuestro tratamiento de datos, tiene derecho a ponerse en contacto con su autoridad supervisora en materia de protección de datos. No obstante, en la medida de lo posible, nos gustaría tener la oportunidad de tratar sus dudas antes de que se dirija a la autoridad de control, por lo que le pedimos que se ponga en contacto con nosotros en primera instancia.

Si reside en California, Estados Unidos, consulte nuestro Aviso de privacidad de California a continuación.

Marketing

Según cuál sea su relación con nosotros, es posible que le enviemos publicidad de forma ocasional.  Si usted es cliente o socio, podemos enviarle dichas comunicaciones de marketing sobre la base de nuestros intereses legítimos. Si no tiene una relación previa con nosotros, solicitaremos su autorización para enviarle comunicaciones de marketing. 

Si no desea seguir recibiendo noticias nuestras, utilice los datos facilitados en la comunicación de marketing para darse de baja o póngase en contacto con nosotros en legal@littlepay.com con el asunto «Baja».

Póngase en contacto con nosotros

Si tiene alguna duda sobre cualquier aspecto de nuestra Política de privacidad, póngase en contacto con nuestro Responsable de protección de datos por correo electrónico en legal@littlepay.com o por correo postal a una de nuestras oficinas.

VeraSafe ha sido designada representante de Littlepay en la Unión Europea para asuntos de protección de datos, de conformidad con el artículo 27 del Reglamento General de Protección de Datos de la Unión Europea. Si usted se encuentra en el Espacio Económico Europeo, puede ponerse en contacto con VeraSafe, además de con Littlepay, exclusivamente para asuntos relacionados con el tratamiento de datos personales. 

Para hacer una consulta de este tipo, póngase en contacto con VeraSafe mediante este formulario de contacto: https://verasafe.com/public-resources/contactdata-protection-representative o por teléfono llamando al: +420 228 881 031. También puede ponerse en contacto con VeraSafe en: VeraSafe Ireland Ltd. Unit 3D North Point House North Point Business Park New Mallow Road Cork T23AT2P Irlanda.

Cambios en esta Política de privacidad

Nos reservamos el derecho de actualizar esta Política de privacidad en cualquier momento, por lo que publicaremos cualquier actualización en este documento. Al principio de este aviso de privacidad, le indicaremos cuándo se actualizó por última vez. Le animamos a que consulte esta página con regularidad para comprobar si hay cambios. Al continuar utilizando los Servicios, usted confirma que ha leído y comprendido la última versión de esta Política de privacidad.

Aviso de privacidad de California

Esta sección ofrece información adicional sobre la información personal (tal como se define este término en la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés)) que recopilamos sobre consumidores de California, así como las solicitudes que los consumidores de California pueden realizar con respecto a su información personal.

Observe que esta sección se aplica exclusivamente a información que Littlepay controla como «empresa». Cuando Littlepay procesa su información en nombre de un Operador como «proveedor de servicios», debe ponerse en contacto con el Operador para obtener más información sobre sus derechos con respecto a su información personal.

Cómo recopilamos, utilizamos y divulgamos su información personal. En la sección «¿Qué datos recopilamos?» se describen las categorías de información personal que podemos haber recopilado en los últimos 12 meses. Recopilamos esta información para los fines descritos en la sección «¿Para qué utilizamos estos datos?», y compartimos esta información como se describe en la sección «¿Con quién compartimos estos datos personales?».

Solicitudes acerca de su información personal. Los consumidores de California pueden hacer las siguientes solicitudes relacionadas con su información personal:

• Una lista de las categorías de información personal que hemos recopilado sobre usted, así como las fuentes de dicha información, los fines para los que la hemos recopilado y las categorías de terceros con los que la compartimos;
• Los datos concretos que hemos recopilado sobre usted;
• Eliminación de la información personal que hayamos recopilado de usted (salvo las excepciones previstas en la legislación aplicable).

Tenga en cuenta que tendremos que solicitar información para verificar su identidad antes de responder a su solicitud.

Venta de información. Littlepay no «vende» (tal como se define este término en la CCPA) información sobre consumidores en el sentido que otorga la CCPA en los últimos 12 meses.

Shine the Light. La ley «Shine the Light» de California otorga a los residentes de este estado el derecho, en determinadas circunstancias, a solicitarnos información sobre la forma en que compartimos determinadas categorías de información personal (tal como se define en la ley Shine the Light) con terceros para sus fines de marketing directo. No compartimos su información personal con terceros para sus propios fines de marketing directo.