Los datos detrás de una visita subterránea de treinta minutos.

Este sitio lo opera Istanbul Tourist Information Ltd., una sociedad limitada turca registrada en Estambul con licencia TÜRSAB A-7812 y CIF 3470891204. Domicilio social: Sultanahmet Mah. Divan Yolu Cad. 17, 34122 Fatih, Estambul. Responsable de datos: privacy@istanbul-tourist-information.com.

Esta política de privacidad cubre basilicacistern.istanbul-tourist-information.com, el sitio dedicado de reservas y guía del visitante para la Cisterna Basílica. No cubre el sitio del operador de la cisterna del Municipio de Estambul, ni de ningún revendedor.

Cuatro categorías. Nada más.

Datos de contacto y reserva: nombre del titular de la tarjeta, correo electrónico, teléfono, hora elegida, cantidad de entradas, idioma opcional de la audioguía.

Datos de pago: tarjeta introducida en la página alojada de Stripe. Solo conservamos los últimos cuatro dígitos y la marca para tu factura.

Datos de uso: qué páginas visitas, fuente, tipo de dispositivo. Anonimizados antes de agregar.

Datos de soporte: si nos escribes, tu correo y nuestra respuesta. Se conservan en nuestro helpdesk durante 36 meses.

Cada elemento se asienta sobre una base legal específica del RGPD.

Ejecución de contrato. Datos de reserva: no podemos emitir una entrada sin ellos. Art. 6.1.b RGPD.

Obligación legal. Ley fiscal turca: conservación de 10 años de los registros de transacciones. Art. 6.1.c RGPD.

Interés legítimo. Analítica, detección de fraude, informes de fallos. Posibilidad de exclusión desde el panel de cookies. Art. 6.1.f RGPD.

Consentimiento. Cookies de marketing y boletines: opt-in explícito únicamente. Art. 6.1.a RGPD.

Directamente de ti, en el formulario de reserva o en un email de soporte. No compramos listas de datos, no enriquecemos con fuentes de terceros, no hacemos huella digital de tu dispositivo. Una excepción: los datos de la tarjeta van directamente a Stripe, que nos devuelve un token con el que referenciamos el pago.

Tu registro de reserva: referencia (prefijo BC-), hora de la franja, nombre del titular, correo de contacto, teléfono, cantidad de entradas, idioma de la audioguía, importe del IVA, total pagado, historial de reembolsos. Lista completa.

Visible para ti (en el email de confirmación) y para nuestro equipo de soporte cuando escribes. El personal de la entrada de la cisterna solo ve un código QR escaneado con la cantidad: ningún dato de contacto.

Herramienta de helpdesk: Front. Conservación: 36 meses. No se usa para entrenar IA. No se comparte con marketing. Solo lo ven el equipo de soporte y el responsable de datos.

GA4 con anonimización de IP, señales publicitarias desactivadas, datos demográficos apagados. Vemos cuántas personas llegan, dónde abandonan, no quiénes son. Sentry para informes de fallos con datos personales depurados antes de salir de tu navegador.

Cada proveedor tiene un Acuerdo de Tratamiento de Datos firmado con nosotros. Auditado anualmente.

No vendemos, alquilamos ni compartimos datos con socios para su propio marketing. Los proveedores de la sección 08 son los únicos terceros, todos actuando como encargados del tratamiento bajo nuestras instrucciones.

Excepción: orden válida de un tribunal turco o de la autoridad fiscal. Se te notificará a menos que la orden lo prohíba. Nunca ha ocurrido en la historia del sitio.

Registros de reserva: 10 años (ley fiscal turca).

Conversaciones de soporte: 36 meses desde el último mensaje, o hasta solicitud de borrado.

Analítica: 24 meses en GA4, agregados después.

Informes de fallos: 14 días en Sentry.

Cookies de marketing: 90 días o hasta que se revoquen.

La infraestructura principal está en la UE (Frankfurt, Ámsterdam). Stripe y Google enrutan algunos datos por infraestructura de EE. UU. al amparo del Marco UE-EE. UU. de Privacidad de Datos y de las Cláusulas Contractuales Tipo (Art. 46 RGPD).

TLS 1.3 en todas partes. Cifrado de la base de datos en reposo. 2FA obligatorio en todas las cuentas del personal. Pruebas de penetración trimestrales por una firma de seguridad turca. Compromiso de notificación de brechas en 72 horas (más estricto que la línea base del RGPD).

Ocho derechos según el RGPD (UE) y la KVKK (Türkiye).

No recopilamos a sabiendas datos de menores de 16 años. Un padre o madre puede reservar la entrada de un menor: el titular es el del adulto y solo aparece el nombre de pila del menor en el bono.

Cambios sustanciales: aviso por email con 30 días de antelación antes de entrar en vigor. Ediciones menores: publicadas sin notificación, número de versión incrementado en la cabecera.