Política de Privacidad

Última actualización: 22/08/2025 · Versión 1.2

1. Responsable

• Responsable: Malgorzata Dorota Korolczuk – NIE X6403058L (trabajadora autónoma)
• Dirección: C/ Río Miño 1, Local 5 · 28935 Móstoles (España)
• Email de contacto general / ejercicio de derechos: info@fiestero.es
• Canal postal derechos (opcional): A la atención de “Derechos RGPD”, en la dirección indicada.
• Delegado de Protección de Datos (DPO): No designado; no concurren los supuestos del art. 37 RGPD.

2. Finalidades y bases jurídicas

• Gestionar la compra y emisión de entradas (ejecución de contrato, art. 6.1.b RGPD).
• Facturación y cumplimiento de obligaciones legales (art. 6.1.c RGPD).
• Comunicaciones operativas sobre el evento (ejecución de contrato).
• Prevención de fraude y seguridad transaccional (interés legítimo, art. 6.1.f RGPD: protección de usuarios y del servicio).
• Atención de consultas y reclamaciones (ejecución de contrato / interés legítimo de soporte).
• Mejora del servicio y métricas internas agregadas (interés legítimo; datos agregados / pseudonimizados siempre que sea posible).
• Marketing directo (consentimiento expreso; revocable en cualquier momento).

Interés legítimo: evaluado mediante test de ponderación (seguridad, prevención de abuso, mejora) sin impacto desproporcionado en los derechos del interesado. Puedes oponerte (ver apartado Derechos).

Retirada del consentimiento: no afecta a la licitud del tratamiento previo.

3. Categorías de datos tratados

Identificativos (nombre, apellidos), contacto (email, teléfono opcional), datos de transacción (evento, fecha, número de entradas, importe), estado de pago, sellos temporales de operaciones, tokens de acceso / sesión, dirección IP (almacenada y/o truncada), agente de usuario (navegador / dispositivo), identificadores técnicos para seguridad (hash de combinación de atributos), logs de validación de entradas (fecha/hora, resultado).

No almacenamos números completos de tarjeta; los procesa la pasarela (tokenización).

4. Cesiones y encargados

Se ceden datos a Organizadores estrictamente para control de acceso y operativa del evento. Se emplean proveedores (encargados art. 28 RGPD) con contratos y cláusulas de tratamiento:

• Pasarela de pago: Stripe Payments Europe Ltd. (UE) y entidades del grupo (transferencias internacionales conforme a SCC).
• Alojamiento / infraestructura: Microsoft Azure (Región Oeste de Europa / West Europe - UE). Datos primarios almacenados en centros de datos dentro del EEE.
• Email transaccional: DonDominio (Soluciones Corporativas IP, SLU) – servidores en la UE (España). Sin transferencias fuera del EEE para esta finalidad.
• Analítica: Actualmente no utilizamos herramientas externas con cookies de terceros (actualizar si cambia).

No se venden datos personales.

5. Transferencias internacionales

Si algún proveedor implica salida de datos fuera del EEE (actualmente solo posibles transferencias derivadas de servicios de Stripe a EE. UU. u otros países), se aplican Cláusulas Contractuales Tipo (Decisión 2021/914) y, cuando procede, cifrado, minimización y controles de acceso. Azure (región West Europe) y DonDominio operan dentro del EEE, por lo que no realizan transferencias internacionales para los tratamientos descritos. Información detallada disponible previa solicitud.

6. Plazos de conservación

• Datos de transacción y facturación: 6 años (obligaciones mercantiles y fiscales).
• Soporte y reclamaciones: hasta 5 años (posibles responsabilidades).
• Logs de seguridad / acceso: hasta 12 meses (rotación y agregación anonimizante posterior).
• Marketing: hasta revocación o 24 meses de inactividad (sin interacción medible), lo que ocurra primero.
• Backups: cifrados, ciclos máximos de 90 días.

Se aplican procesos periódicos de depuración y minimización.

7. Origen de los datos

Proporcionados directamente por el interesado al registrarse / comprar / contactar. Datos técnicos generados automáticamente por el uso del servicio (logs, IP, eventos de validación).

8. Derechos de los interesados

Puedes ejercer acceso, rectificación, supresión, oposición, limitación y portabilidad, así como retirar el consentimiento y oponerte al interés legítimo cuando proceda.

Cómo ejercer: enviar email a info@fiestero.es con asunto “Ejercicio de derechos RGPD”, indicando el derecho solicitado y suficiente información para localizar tu registro. Adjunta copia de documento identificativo (se usará solo para verificar identidad y se eliminará tras validar). Responderemos en 1 mes (prorrogable 2 meses en casos complejos, notificándolo).

Reclamación: ante la Agencia Española de Protección de Datos (AEPD) si consideras que no hemos atendido correctamente tus derechos.

Oposición a interés legítimo: valoraremos motivos imperiosos; en caso contrario cesaremos el tratamiento afectado.

9. Seguridad

Medidas implementadas: cifrado TLS en tránsito, hash robusto de contraseñas (bcrypt coste 12) sin almacenamiento en texto plano, control de accesos basado en roles, principio de mínimo privilegio, registros de eventos relevantes, segregación lógica de datos, rotación de claves y revisión periódica de dependencias.

Ningún sistema es 100% invulnerable; notificaremos incidentes conforme a la normativa aplicable.

10. Decisiones automatizadas y perfilado

No adoptamos decisiones individuales automatizadas con efectos jurídicos significativos. El control antifraude se limita a reglas técnicas básicas (patrones de uso anómalos, repeticiones inusuales) sin perfilado exhaustivo.

11. Menores

El servicio no está dirigido a menores de 16 años. No recopilamos conscientemente datos de menores. Si crees que un menor nos ha facilitado datos, contacta para su supresión.

12. Cookies y tecnologías similares

Detalles completos en la Política de Cookies. No cargamos cookies no esenciales antes del consentimiento. Puedes configurarlas o revocar tu elección en cualquier momento (mecanismo de gestión de cookies, si se implementa).

13. Privacidad desde el diseño y minimización

Solo se recaban datos estrictamente necesarios para cada finalidad. Se evalúan cambios de producto con criterios de minimización, se segmenta acceso interno y se realiza revisión periódica de retención.

14. Información adicional

Puedes solicitar un listado actualizado de encargados y transferencias internacionales escribiendo a info@fiestero.es. Atenderemos la solicitud dentro de plazos razonables.

15. Actualizaciones

Podemos modificar esta Política para adaptarla a cambios normativos o funcionales. La nueva versión se publicará identificando fecha y número de versión. Te recomendamos revisarla periódicamente si mantienes una relación activa.