Política de Privacidad de eventplus.app

1) Alcance y roles

• Esta Política aplica al uso de la plataforma eventplus.app por Organizadores, Patrocinadores y Usuarios finales (asistentes/staff/invitados).
• Roles de tratamiento:
  • DoitXR S.A. actúa como encargado cuando procesa datos de asistentes por cuenta del Organizador; y como responsable para datos de su plataforma (seguridad, facturación, analítica de producto, comunicaciones institucionales).
  • En eventos co‑organizados con LPDI S.A.S. o donde eventplus.app sea patrocinador, podrá existir corresponsabilidad.
• Marco normativo: GDPR (UE/EEE/UK), leyes locales de LATAM aplicables y, solo si corresponde (servicios con PHI en EE. UU.), HIPAA en calidad de Business Associate.

2) Datos que tratamos

A. Usuarios finales (asistentes/staff)

Identificación y contacto; datos de registro/entradas; empresa/cargo; preferencias; comunicaciones; telemetría y logs; cookies/identificadores; IDV/biometría cuando el evento lo requiera (ver § 8).

B. Organizadores/Patrocinadores

Datos de cuenta y facturación; actividad en panel/API; registros de uso y soporte.

C. Datos especiales

• Biométricos/IDV: se recogen por proveedor de verificación de identidad; eventplus.app retiene solo el resultado/veredicto o vector necesario para control de acceso; la "scan data" (geometría facial extraída de documento/selfie) es almacenada por el proveedor y se destruye al completar la verificación o ≤ 6 meses desde la última interacción, salvo obligación legal.
• Salud/condiciones (p. ej., restricciones sanitarias de acceso) no se solicitarán salvo requerimiento expreso del Organizador y base legal suficiente.

3) Finalidades y bases legales (GDPR)

• Prestación del servicio (gestión de eventos, emisión/validación de entradas, comunicaciones operativas, soporte): art. 6.1(b) contrato / 6.1(f) interés legítimo operativo.
• Seguridad/antifraude/IDV (prevención de abuso, integridad del sistema, verificación de identidad cuando aplique): 6.1(f); art. 9.2(a) consentimiento expreso si hay biométricos.
• Analítica de producto (mejora y calidad): 6.1(f) con minimización y anonimización cuando sea viable.
• Marketing propio (newsletters, novedades): 6.1(a) consentimiento/opt‑in o 6.1(f) conforme legislación local; marketing de Patrocinadores solo con consentimiento inequívoco y granular.
• Cumplimientos legales (fiscales, requerimientos de autoridad): 6.1(c) obligación legal.
• Cookies y publicidad : uso proporcional de cookies; consentimiento para no esenciales y publicidad conductual; no respondemos a señales DNT a nivel global (se informa y se ofrecen controles).

4) Orígenes de los datos

Directamente del titular (formularios/panel), del Organizador (p. ej., listas corporativas autorizadas), de integraciones técnicas (PSP, correo/SMS, analítica) y de proveedores IDV conforme su política.

5) Destinatarios y categorías de terceros

• Organizador: acceso a los datos estrictamente necesarios para operar el evento y atender consultas.
• Patrocinadores: únicamente si el titular consintió (base y alcance documentados).
• Subprocesadores: hosting, email/SMS, analítica, soporte, antifraude, IDV, sujetos a contrato art. 28 GDPR.
• Autoridades/defensa legal: cuando sea obligatorio o necesario para proteger derechos.

6) Transferencias internacionales

• Cuando se exporten datos fuera de su país de origen o del EEE/UK se usarán SCC y, si corresponde, EU‑US Data Privacy Framework para EEUU (incluyendo UK Extension / Swiss‑US DPF), y salvaguardas equivalentes con onward transfers.

7) Conservación

Conservamos datos solo el tiempo necesario y luego los suprimimos o anonimizamos. Matriz orientativa (ver Anexo A):

• Cuentas activas + 12 meses;
• Entradas/registros de evento: vida del evento + 12 meses;
• Facturación: 5–10 años (ley fiscal local);
• Logs de seguridad: 12–18 meses;
• Soporte: 12–24 meses;
• IDV (resultado/veredicto/vector): ≤ 180 días; imágenes/scan‑data: proveedor IDV, destrucción al finalizar o ≤ 6 meses.

8) Verificación de identidad (IDV) y biometría

• Algunos eventos podrán exigir IDV; en tal caso, el proveedor procesa documento y selfie para verificar autenticidad y coincidencia; eventplus.app solo conserva el resultado necesario para control de acceso. Reusable Persona no guarda biométricos; el descifrado lo controla el usuario.
• Se recabará consentimiento explícito cuando la ley lo exija; se ofrecerán alternativas proporcionadas (p. ej., verificación presencial).

9) Cookies y tecnologías similares

• CMP con consentimiento granular (analítica, ads, pixels de terceros); panel para retirar consentimiento; información clara de terceros que colocan cookies. No honramos DNT, pero proveemos controles eficaces.

10) Derechos de los titulares (ARCO/DSR)

• Acceso, rectificación, supresión, limitación, portabilidad y oposición; revocación de consentimientos.
• Plazos: responder ≤ 30 días naturales (o el que exija la ley del país del evento); verificación de identidad previa (podrá apoyarse en el flujo IDV).
• Si eventplus.app actúa como encargado, cooperará con el Organizador para atender la solicitud.

11) Seguridad

• Medidas técnicas y organizativas: cifrado en tránsito (TLS 1.2+), cifrado de secretos/volúmenes, gestión de identidades (MFA/PoLP), segregación de entornos, hardening, gestión de vulnerabilidades, copias cifradas y pruebas de restauración, monitoreo y logging centralizados, respuesta a incidentes. (Ver Anexo C).
• Publicaremos summaries de auditoría y pentests bajo NDA cuando proceda.

12) Menores

• Por defecto, ≥ 18 años; si un Organizador admite menores, exigirá consentimiento parental/documentación y limitará finalidades (sin marketing).

13) Contenido generado por el usuario (UGC) y reportes

• Si el evento permite UGC, aplicaremos proceso notice‑and‑takedown para reportes y remoción ágil, inspirado en prácticas tipo DMCA. (Procedimiento en Anexo E).

14) Cambios a esta Política

• Publicaremos cambios con aviso razonable y efectos no retroactivos (salvo que la ley exija lo contrario).