Privacy Policy


PRIVACY POLICY

Last updated: 26th May 2026

1. Data Controller

The controller of the personal data processed through this Website is:

Company name: MOSAICO BOUTIQUE HOSTEL SL

Registered address: Calle Villalar 7, Bajo Izquierda, 28001, Madrid, Spain

Tax ID (NIF/CIF/VAT): B22672893

Contact email for data protection matters: [EMAIL]

This Privacy Policy is issued in compliance with Regulation (EU) 2016/679 (“GDPR”), Spanish Organic Law 3/2018 on Personal Data Protection and Guarantee of Digital Rights (“LOPDGDD”), and Law 34/2002 on Information Society Services (“LSSI-CE”).

2. Personal Data We Collect

During the current pre-launch phase, the Website only collects personal data that the User voluntarily provides through newsletter, waitlist, interest or contact forms. Specifically:

(a) Identification data: name;

(b) Contact data: email address and phone number;

(c) Technical and usage data: IP address, device, browser, pages visited and similar information collected via cookies and analytics tools, as described in section 9.

No special categories of data (Article 9 GDPR) are collected. No payment data, identity document data or booking data is collected at this stage.

3. Purposes of Processing

Personal data is processed for the following purposes:

(a) Responding to enquiries and contact requests submitted through the Website;

(b) Managing the waitlist and the User’s interest in the future launch of the hostel and its services;

(c) Sending newsletters, commercial communications and information about the brand, content, openings, promotions and related experiences, by email and/or other electronic means, where the User has consented;

(d) Carrying out analytical, statistical and segmentation activities, including profile analysis based on engagement with our communications, in order to improve our content and offers;

(e) Complying with applicable legal obligations;

(f) Protecting our rights and managing any complaints or claims.

4. Legal Basis for Processing

Each processing activity is based on one of the following legal grounds under Article 6 GDPR:

(a) Consent of the data subject (Art. 6.1.a GDPR) — for the sending of newsletters, commercial communications and segmentation activities based on engagement;

(b) Pre-contractual measures and legitimate interest (Art. 6.1.b and 6.1.f GDPR) — for responding to enquiries and managing the User’s expression of interest;

(c) Legitimate interest of the Company (Art. 6.1.f GDPR) — for security, fraud prevention, technical maintenance, basic analytics and defending our rights, with appropriate safeguards;

(d) Legal obligation (Art. 6.1.c GDPR) — where processing is required to comply with applicable law.

Consent may be withdrawn at any time without affecting the lawfulness of processing carried out before such withdrawal.

5. Data Retention

Personal data will be retained for as long as necessary to fulfil the purposes for which it was collected and, in any case, for the following minimum periods:

(a) Newsletter / waitlist data: until the User unsubscribes or withdraws consent, plus the legally required blocking period;

(b) Contact form enquiries: for the time strictly necessary to address the enquiry and up to one (1) year afterwards for follow-up purposes, unless a longer retention is justified;

(c) Data subject to legal obligations: for the period legally required (e.g. tax or accounting periods).

After such periods, personal data will be deleted or duly anonymised.

6. Recipients and Data Processors

Personal data may be shared with the following categories of recipients, acting as data processors or as independent controllers where applicable:


(a) Email marketing and lead-capture platform: Klaviyo, Inc., used to manage newsletter sign-ups, send commercial communications and perform engagement analytics;

(b) Hosting, IT and infrastructure providers needed to operate the Website;

(c) Analytics, performance and security service providers (e.g. website analytics tools);

(d) Professional advisors (legal, tax, accounting) when strictly necessary;

(e) Public authorities and law enforcement when required by law.

No personal data will be sold to third parties. Data processors are bound by written agreements that meet the requirements of Article 28 GDPR.

7. International Data Transfers

Some of our service providers — in particular Klaviyo, Inc. and certain analytics or hosting providers — are based outside the European Economic Area (EEA), including in the United States. Where such transfers take place, they are protected through one or more of the following safeguards (Articles 44–49 GDPR):

(a) European Commission adequacy decisions, where applicable (e.g. EU–US Data Privacy Framework, when the recipient is certified);

(b) Standard Contractual Clauses (SCCs) approved by the European Commission;

(c) Additional technical and organisational measures, where required by the EU–US transfer framework or by case law.

Users may request a copy of the safeguards in place by writing to [EMAIL].

8. User Rights under GDPR

The User may exercise the following rights at any time, free of charge:

(a) Right of access — to obtain confirmation of whether their data is being processed and a copy of such data;

(b) Right to rectification — to correct inaccurate or incomplete data;

(c) Right to erasure (“right to be forgotten”) — to request deletion when the legal grounds apply;

(d) Right to restriction of processing — in the cases provided for in Article 18 GDPR;

(e) Right to object — including to processing based on legitimate interest and to direct marketing;

(f) Right to data portability — to receive their data in a structured, commonly used and machine-readable format;

(g) Right to withdraw consent at any time, without retroactive effects;

(h) Right not to be subject to automated decisions that produce legal effects or similarly significant effects;

(i) Right to lodge a complaint with the Spanish Data Protection Agency (Agencia Española de Protección de Datos, www.aepd.es).

These rights may be exercised by writing to [EMAIL], indicating the right being exercised and, where necessary, attaching a copy of an ID document or equivalent identification.

9. Cookies and Analytics

9.1 What are cookies. Cookies are small files that a website stores on the User's device when they visit it. They are widely used to make websites work, improve their performance, and provide information to the website's owners. The Website also uses similar technologies such as pixels, tags and local storage, which are treated as cookies for the purposes of this Policy.

9.2 Types of cookies used. The Website may use the following categories of cookies:

(a) Strictly necessary cookies (technical): essential for the basic functioning of the Website (e.g. navigation, security, load balancing, storing the User's cookie preferences). These cookies do not require consent.

(b) Analytics or measurement cookies: allow the Company to analyse traffic and usage of the Website (number of visits, most viewed pages, browsing behaviour) in order to improve content and user experience. They may be operated by the Company or by third parties on its behalf.

(c) Functional or preference cookies: remember choices made by the User to provide a more personalised experience (e.g. language, region).

(d) Marketing cookies: used to track Users across websites and devices, build interest profiles and deliver relevant communications, including via Klaviyo and, where applicable, social media platforms.

9.3 Third-party cookies. Some cookies are installed by third parties when the User visits the Website, including email marketing providers (such as Klaviyo), analytics providers and social media platforms. These third parties may process data on their own behalf according to their own privacy policies.

9.4 Legal basis and consent. In accordance with Article 22 of Law 34/2002 (LSSI-CE) and the criteria of the Spanish Data Protection Agency (AEPD), non-essential cookies are only installed after the User has provided prior, free, specific, informed and unambiguous consent through the cookie banner displayed on the User's first visit to the Website. Strictly necessary cookies do not require consent.

9.5 Managing your preferences. The User can accept, reject or configure cookies at any time through the cookie banner or, where available, through the preferences panel accessible from the Website. The User may also manage and delete cookies directly from their browser settings.

9.6 Retention. Cookies are kept for the period strictly necessary to fulfil their purpose, with maximum durations generally not exceeding 24 months in the case of analytics and marketing cookies. The User's consent will be requested again upon expiry or when there are substantial changes to the cookies used.

9.7 Withdrawal of consent. The User may withdraw their consent to non-essential cookies at any time, with effect for the future, through the cookie preferences panel on the Website or by clearing the cookies from their browser.

13. Changes to this Privacy Policy

The Company may update this Privacy Policy to reflect legal, technical or organisational changes. The updated version will be published on the Website with its effective date. Material changes will be communicated through the usual means.

14. Contact

For any question relating to this Privacy Policy or the exercise of your rights, please contact: hello@mosaicohostel.com


POLÍTICA DE PRIVACIDAD

Última actualización: 26 de mayo 2026

1. Responsable del Tratamiento

El responsable del tratamiento de los datos personales recabados a través de este Sitio Web es:

Denominación social: MOSAICO BOUTIQUE HOSTEL SL

Domicilio social: Calle Villalar 7, Bajo Izquierda, 28001, Madrid, Spain

NIF/CIF: B22672893

Correo electrónico de contacto en materia de protección de datos: [EMAIL]

La presente Política de Privacidad se emite en cumplimiento del Reglamento (UE) 2016/679 («RGPD»), la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales («LOPDGDD»), y la Ley 34/2002, de Servicios de la Sociedad de la Información («LSSI-CE»).

2. Datos Personales que Recogemos

Durante la actual fase pre-lanzamiento, el Sitio Web solo recoge datos personales que el Usuario facilita voluntariamente a través de formularios de newsletter, lista de espera, interés o contacto. En concreto:

(a) Datos identificativos: nombre;

(b) Datos de contacto: dirección de correo electrónico y número de teléfono;

(c) Datos técnicos y de uso: dirección IP, dispositivo, navegador, páginas visitadas e información similar recogida mediante cookies y herramientas de analítica, conforme se describe en la sección 9.

No se recogen categorías especiales de datos (artículo 9 RGPD). En esta fase no se recogen datos de pago, datos de documentos de identidad ni datos de reserva.

3. Finalidades del Tratamiento

Los datos personales se tratan para las siguientes finalidades:

(a) Atender consultas y solicitudes de contacto remitidas a través del Sitio Web;

(b) Gestionar la lista de espera y el interés del Usuario en el futuro lanzamiento del hostel y sus servicios;

(c) Enviar newsletters, comunicaciones comerciales e información sobre la marca, contenidos, aperturas, promociones y experiencias relacionadas, por correo electrónico y/u otros medios electrónicos, cuando el Usuario haya prestado su consentimiento;

(d) Realizar actividades analíticas, estadísticas y de segmentación, incluyendo el análisis de perfil basado en la interacción con nuestras comunicaciones, con el fin de mejorar nuestros contenidos y ofertas;

(e) Cumplir con las obligaciones legales aplicables;

(f) Proteger nuestros derechos y gestionar eventuales reclamaciones.

4. Base Jurídica del Tratamiento

Cada actividad de tratamiento se basa en una de las siguientes bases jurídicas conforme al artículo 6 del RGPD:

(a) Consentimiento del interesado (art. 6.1.a RGPD) — para el envío de newsletters, comunicaciones comerciales y actividades de segmentación basadas en la interacción;

(b) Medidas precontractuales e interés legítimo (arts. 6.1.b y 6.1.f RGPD) — para la atención de consultas y la gestión de la manifestación de interés del Usuario;

(c) Interés legítimo de la Empresa (art. 6.1.f RGPD) — para seguridad, prevención del fraude, mantenimiento técnico, analítica básica y defensa de nuestros derechos, con garantías adecuadas;

(d) Obligación legal (art. 6.1.c RGPD) — cuando el tratamiento sea necesario para cumplir con la legislación aplicable.

El consentimiento podrá retirarse en cualquier momento, sin que ello afecte a la licitud del tratamiento realizado con anterioridad a dicha retirada.

5. Plazo de Conservación

Los datos personales se conservarán durante el tiempo necesario para cumplir las finalidades para las que fueron recogidos y, en todo caso, durante los siguientes plazos mínimos:

(a) Datos de newsletter / lista de espera: hasta que el Usuario se dé de baja o retire su consentimiento, más el periodo de bloqueo legalmente exigible;

(b) Consultas de formularios de contacto: durante el tiempo estrictamente necesario para atender la consulta y hasta un (1) año posterior con fines de seguimiento, salvo que se justifique un plazo superior;

(c) Datos sujetos a obligaciones legales: durante el plazo legalmente exigible (p. ej., períodos fiscales o contables).

Transcurridos dichos plazos, los datos personales se suprimirán o se anonimizarán debidamente.

6. Destinatarios y Encargados del Tratamiento

Los datos personales podrán comunicarse a las siguientes categorías de destinatarios, actuando como encargados del tratamiento o como responsables independientes cuando corresponda:

(a) Plataforma de email marketing y captación de leads: Klaviyo, Inc., utilizada para gestionar suscripciones a la newsletter, enviar comunicaciones comerciales y realizar analítica de interacción;

(b) Proveedores de hosting, IT e infraestructura necesarios para operar el Sitio Web;

(c) Proveedores de servicios de analítica, rendimiento y seguridad (p. ej., herramientas de analítica web);

(d) Asesores profesionales (jurídicos, fiscales, contables) cuando sea estrictamente necesario;

(e) Autoridades públicas y fuerzas de seguridad cuando lo exija la ley.

No se venderán datos personales a terceros. Los encargados del tratamiento están vinculados mediante contratos por escrito que cumplen los requisitos del artículo 28 del RGPD.

7. Transferencias Internacionales de Datos

Algunos de nuestros proveedores —en particular Klaviyo, Inc. y determinados proveedores de analítica u hosting— están establecidos fuera del Espacio Económico Europeo (EEE), incluido Estados Unidos. Cuando se producen tales transferencias, estas se protegen mediante una o varias de las siguientes garantías (arts. 44–49 RGPD):

(a) Decisiones de adecuación de la Comisión Europea, cuando proceda (p. ej., Marco de Privacidad de Datos UE–EE.UU., cuando el destinatario esté certificado);

(b) Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea;

(c) Medidas técnicas y organizativas adicionales, cuando lo exija el marco de transferencias UE–EE.UU. o la jurisprudencia aplicable.

El Usuario puede solicitar una copia de las garantías aplicadas escribiendo a [EMAIL].

8. Derechos del Usuario conforme al RGPD

El Usuario podrá ejercer en cualquier momento, de forma gratuita, los siguientes derechos:

(a) Derecho de acceso — a obtener confirmación de si se están tratando sus datos y una copia de los mismos;

(b) Derecho de rectificación — a corregir datos inexactos o incompletos;

(c) Derecho de supresión («derecho al olvido») — a solicitar la eliminación cuando concurran las causas previstas;

(d) Derecho a la limitación del tratamiento — en los supuestos previstos en el artículo 18 RGPD;

(e) Derecho de oposición — incluyendo al tratamiento basado en interés legítimo y a la mercadotecnia directa;

(f) Derecho a la portabilidad — a recibir sus datos en un formato estructurado, de uso común y lectura mecánica;

(g) Derecho a retirar el consentimiento en cualquier momento, sin efectos retroactivos;

(h) Derecho a no ser objeto de decisiones automatizadas que produzcan efectos jurídicos o le afecten significativamente;

(i) Derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

Estos derechos pueden ejercerse escribiendo a [EMAIL], indicando el derecho que se ejerce y, cuando sea necesario, adjuntando copia de un documento de identidad o identificación equivalente.

9. Cookies y Analítica

9.1 Qué son las cookies. Las cookies son pequeños archivos que un sitio web almacena en el dispositivo del Usuario cuando este lo visita. Se utilizan de forma generalizada para hacer funcionar los sitios web, mejorar su rendimiento y facilitar información a sus titulares. El Sitio Web también utiliza tecnologías similares como píxeles, etiquetas y almacenamiento local, que se asimilan a cookies a efectos de la presente Política.

9.2 Types of cookies used. The Website may use the following categories of cookies:

(a) Strictly necessary cookies (technical): essential for the basic functioning of the Website (e.g. navigation, security, load balancing, storing the User's cookie preferences). These cookies do not require consent.

(b) Cookies analíticas o de medición: permiten a la Empresa analizar el tráfico y uso del Sitio Web (número de visitas, páginas más vistas, comportamiento de navegación) con el fin de mejorar los contenidos y la experiencia del Usuario. Pueden ser operadas por la Empresa o por terceros por cuenta de ella.

(c) Cookies funcionales o de preferencias: recuerdan las opciones elegidas por el Usuario para ofrecer una experiencia más personalizada (p. ej., idioma, región).

(d) Cookies de marketing: se utilizan para realizar un seguimiento del Usuario en diferentes sitios y dispositivos, elaborar perfiles de interés y ofrecer comunicaciones relevantes, incluido a través de Klaviyo y, en su caso, de plataformas de redes sociales.

9.3 Cookies de terceros. Algunas cookies son instaladas por terceros cuando el Usuario visita el Sitio Web, incluidos proveedores de email marketing (como Klaviyo), proveedores de analítica y plataformas de redes sociales. Dichos terceros pueden tratar los datos por cuenta propia conforme a sus propias políticas de privacidad.

9.4 Base jurídica y consentimiento. De conformidad con el artículo 22 de la Ley 34/2002 (LSSI-CE) y los criterios de la Agencia Española de Protección de Datos (AEPD), las cookies no esenciales únicamente se instalan tras el consentimiento previo, libre, específico, informado e inequívoco del Usuario, prestado a través del banner de cookies que se muestra en la primera visita al Sitio Web. Las cookies estrictamente necesarias no requieren consentimiento.

9.5 Gestión de preferencias. El Usuario puede aceptar, rechazar o configurar las cookies en cualquier momento a través del banner de cookies o, cuando esté disponible, mediante el panel de preferencias accesible desde el Sitio Web. El Usuario también puede gestionar y eliminar las cookies directamente desde la configuración de su navegador. 

9.6 Conservación. Las cookies se conservan durante el tiempo estrictamente necesario para cumplir con su finalidad, con duraciones máximas que, con carácter general, no superan los 24 meses en el caso de cookies analíticas y de marketing. El consentimiento del Usuario será solicitado de nuevo al expirar dicho plazo o cuando se produzcan cambios sustanciales en las cookies utilizadas.

9.7 Retirada del consentimiento. El Usuario puede retirar su consentimiento a las cookies no esenciales en cualquier momento, con efectos para el futuro, a través del panel de preferencias de cookies del Sitio Web o eliminando las cookies desde su navegador.

13. Modificaciones de esta Política de Privacidad

La Empresa puede actualizar la presente Política de Privacidad para reflejar cambios legales, técnicos u organizativos. La versión actualizada se publicará en el Sitio Web con indicación de su fecha de entrada en vigor. Los cambios relevantes se comunicarán por los medios habituales.

14. Contacto

Para cualquier consulta relativa a la presente Política de Privacidad o al ejercicio de sus derechos, puede contactar en: hello@mosaicohostel.com