Política de Privacidad

De conformidad con el Reglamento (UE) 2016/679 (RGPD):

• <strong>Responsable del Tratamiento de los datos del Evento:</strong> el Usuario (organizador, también por cuenta de su propia Organización) que crea el evento, en cuanto determina las finalidades y la base jurídica del tratamiento de las fotografías, de los contenidos subidos y de los datos de los invitados incluidos en las listas en el ámbito del Evento.
• <strong>Encargado del Tratamiento:</strong> fotia, que proporciona la plataforma de software en modalidad SaaS y trata los datos personales relativos al Evento por cuenta del Responsable, de conformidad con el art. 28 RGPD, con autonomía limitada a las modalidades técnicas necesarias para la prestación del servicio.
• <strong>Responsable autónomo para tratamientos específicos:</strong> fotia actúa además como Responsable del tratamiento de los datos personales tratados para finalidades propias, tales como la gestión de las cuentas, la seguridad de la plataforma, la prevención de abusos, la gestión de los registros técnicos, el cumplimiento de obligaciones legales (incluido el Digital Services Act) y la tutela de sus propios derechos.

La presente Política de Privacidad describe cómo fotia trata los datos personales de los usuarios que utilizan la plataforma Software as a Service (SaaS) para la gestión de eventos: organización de los accesos mediante listas de invitados, códigos QR y check-in (módulo Gate) y recopilación y compartición de galerías fotográficas (módulo Gallery).

fotia opera como proveedor de alojamiento técnico y no utiliza los contenidos subidos ni los datos de los invitados para finalidades propias.

El servicio involucra a las siguientes categorías de sujetos:

• Usuarios registrados que crean y gestionan Eventos (organizadores), también por cuenta de una Organización (venue, local, promoter)
• Miembros del equipo de la Organización (PR y staff), invitados por el organizador y registrados con una cuenta propia
• Invitados en lista: personas incluidas en las listas de invitados por el organizador o por sus PR, que no necesitan ninguna cuenta
• Invitados anónimos, que suben o visualizan fotografías sin crear una cuenta

4.1 Usuarios registrados y miembros del equipo

Para la creación y gestión de la cuenta, fotia trata en particular:

• nombre completo
• dirección de correo electrónico
• número de teléfono (opcional)
• aceptación de los términos del servicio
• rol desempeñado dentro de una Organización (owner, PR o staff) y la pertenencia correspondiente

No se realizan elaboraciones de perfiles ni análisis de comportamiento con fines comerciales.

4.2 Invitados en lista (módulo Gate)

Cuando un organizador o uno de sus PR incluye a un invitado en una lista, fotia trata por cuenta del organizador:

• nombre del invitado (o del representante del grupo)
• número de teléfono (opcional, utilizado exclusivamente para el envío del QR de invitación)
• número de acompañantes y de entradas de cortesía
• eventuales notas organizativas introducidas por quien gestiona la lista

Estos datos se refieren por lo general a personas que no tienen una cuenta fotia y se recogen sin obtenerse del interesado: es el organizador, en calidad de Responsable del tratamiento, quien garantiza la licitud de la recogida e informa a los interesados. El QR de invitación contiene exclusivamente identificadores aleatorios, no vinculables a datos personales por parte de terceros. La página pública de la invitación muestra solo el nombre del invitado, el evento y la lista; no es indexable por los motores de búsqueda, está protegida por límites de acceso y el enlace deja de funcionar 24 horas después del final del evento.

4.3 Registros de entrada (check-in)

En el momento de la entrada de un invitado se registra:

• fecha y hora de la entrada
• el operador (owner o staff) que ha efectuado el check-in
• el tipo de entrada (de pago o de cortesía)

Los registros de check-in son inmutables: no pueden modificarse ni eliminarse individualmente, en garantía de la integridad de los recuentos de entradas y del cálculo de las comisiones. Se eliminan definitivamente junto con el evento al que se refieren.

4.4 Invitados anónimos (módulo Gallery)

Los invitados que suben fotografías:

• no deben registrarse
• no se les solicitan datos identificativos directos

fotia no requiere registro ni datos identificativos directos, salvo la dirección IP tratada con fines de seguridad.

4.5 Datos técnicos recogidos durante la subida

fotia trata algunos datos técnicos asociados a la subida de las fotografías, tales como:

• dirección IP de quien sube el contenido
• información sobre el navegador
• sistema operativo
• tipo de dispositivo

La dirección IP se conserva durante un período limitado y proporcionado a las finalidades de seguridad y prevención de abusos (30 días), y posteriormente se elimina o anonimiza. Los demás datos técnicos se tratan de forma agregada o seudonimizada, cuando es posible.

Dichos datos se tratan para:

• garantizar la seguridad de la plataforma y prevenir usos ilícitos o abusivos
• diagnosticar y resolver eventuales errores técnicos
• asegurar el correcto funcionamiento y la mejora técnica del servicio

4.6 Datos relativos a las denuncias (DSA)

En caso de denuncia de contenidos con arreglo al Digital Services Act, se recogen:

• dirección de correo electrónico del denunciante (obligatoria)
• nombre del denunciante (opcional)
• dirección IP del denunciante
• relación del denunciante con el contenido (p. ej., persona afectada, tercero, titular de los derechos)
• descripción y categoría de la denuncia

La dirección IP del denunciante se elimina automáticamente después de 30 días. Los demás datos de la denuncia se conservan durante el tiempo necesario para las obligaciones de conformidad con el DSA y para garantizar la trazabilidad de las acciones emprendidas.

4.7 Registros de errores

fotia registra logs técnicos internos para la supervisión del servicio. Dichos logs pueden contener, de forma incidental, referencias a usuarios registrados (ID, correo electrónico) y se eliminan automáticamente después de 30 días.

4.8 Patrocinadores y mediciones agregadas

Si el organizador asocia un patrocinador a un evento, fotia contabiliza de forma agregada y anónima las visualizaciones de la imagen del patrocinador en la página de invitación y en la gallery. El recuento es un simple contador numérico: no utiliza cookies, no identifica a los visitantes y no implica el tratamiento de datos personales.

Las fotografías subidas:

• Siguen siendo propiedad del interesado o del Usuario organizador.
• Se procesan automáticamente para la optimización de la visualización web (conversión al formato WebP, redimensionado y compresión).
• Se conservan tanto en la versión original como en la versión optimizada para la visualización.
• Conservan los metadatos técnicos incorporados en el archivo (EXIF: por ejemplo, fecha de captura, modelo del dispositivo y eventuales coordenadas GPS), que no se eliminan en la subida y permanecen visibles para quien descarga el archivo original. Quien no desee compartirlos debe eliminarlos antes de la subida.
• No se utilizan con fines de marketing ni de entrenamiento de IA.
• No se analizan mediante reconocimiento facial ni otros datos biométricos.

El tratamiento de los datos personales se realiza de conformidad con el art. 6 del RGPD, sobre la base de las siguientes condiciones de licitud:

• Ejecución de un contrato (art. 6(1)(b) GDPR), con referencia a la prestación del servicio SaaS a los organizadores que utilizan la plataforma.
• Cumplimiento de obligaciones legales (art. 6(1)(c) GDPR), por ejemplo en relación con las obligaciones previstas por el Digital Services Act o por otras normativas aplicables.
• Interés legítimo (art. 6(1)(f) GDPR):

En particular:

• el Organizador, en calidad de Responsable del tratamiento de las fotografías del evento y de los datos de los invitados incluidos en las listas, puede fundamentar el tratamiento en su propio interés legítimo o en otra base jurídica idónea determinada por él;
• fotia actúa como Responsable autónomo para los tratamientos necesarios para la seguridad de la plataforma, la prevención de abusos, la gestión técnica del servicio, la gestión de las denuncias y el cumplimiento de las obligaciones de compliance.

Los datos personales se tratan mediante herramientas informáticas y procedimientos automatizados, respetando los principios de licitud, lealtad, transparencia, minimización y limitación del plazo de conservación previstos por el RGPD.

Las fotografías y los contenidos subidos son objeto del procesamiento técnico necesario para la prestación del servicio (p. ej., optimización para la visualización web y gestión del almacenamiento).

fotia adopta medidas técnicas y organizativas adecuadas de conformidad con el art. 32 RGPD, entre las que se incluyen:

• controles de acceso lógico a los sistemas y a los datos, con segregación por rol (owner, PR y staff acceden exclusivamente a los datos de su competencia)
• sistemas de autenticación y protección de las credenciales
• códigos de acceso de gallery y álbumes conservados exclusivamente en forma cifrada (hash), nunca en claro
• QR de invitación basados en identificadores aleatorios no predecibles
• supervisión técnica, límites antiabuso (rate limiting) y registro de los eventos relevantes a efectos de seguridad
• procedimientos automatizados de gestión y eliminación de los datos según los períodos de conservación previstos
• medidas de prevención de accesos no autorizados, pérdida, alteración o divulgación indebida de los datos

fotia aplica los principios de privacidad desde el diseño y por defecto, adoptando medidas técnicas y organizativas proporcionadas a la naturaleza de los datos tratados y a los riesgos asociados.

Los datos se conservan durante los períodos estrictamente necesarios para las finalidades del tratamiento:

• <strong>Fotos y gallery:</strong> conservadas durante el período previsto por el plan de la gallery — desde un mínimo de 30 hasta un máximo de 365 días desde la creación de la gallery — salvo eliminación anticipada por parte del Usuario. Al vencimiento, la gallery y todas las fotos asociadas (originales y optimizadas) se eliminan definitivamente del almacenamiento mediante procedimientos automatizados.
• <strong>Listas de invitados y registros de check-in (módulo Gate):</strong> conservados durante la vida del evento, bajo la responsabilidad del organizador. Se eliminan definitivamente cuando el organizador elimina el evento, la lista o el invitado individual, o bien al cierre de su cuenta.
• <strong>Enlaces de invitación (QR):</strong> dejan de funcionar 24 horas después del final del evento.
• <strong>Direcciones IP de quienes suben contenidos:</strong> eliminadas automáticamente 30 días después de la subida.
• <strong>Direcciones IP de los denunciantes:</strong> eliminadas automáticamente 30 días después de la denuncia.
• <strong>Registros de errores:</strong> eliminados automáticamente después de 30 días.
• <strong>Invitaciones al equipo no aceptadas:</strong> el enlace de invitación caduca automáticamente después de 7 días.
• <strong>Exportaciones ZIP:</strong> los enlaces de descarga de las exportaciones fotográficas caducan automáticamente 7 días después de su generación.
• <strong>Denuncias y registro de auditoría:</strong> conservados durante el tiempo necesario para las obligaciones legales y para la tutela de los derechos en sede judicial, en conformidad con el Digital Services Act (DSA) y con las obligaciones de trazabilidad de las acciones de moderación.

Al cierre de una cuenta o a la eliminación de un Evento, fotia procede a la eliminación de todos los datos asociados: fotos (originales, optimizadas y eventuales exportaciones), listas de invitados y registros de check-in, mediante procedimientos automatizados de eliminación.

Los datos personales no se venden ni se ceden a terceros.

Para la prestación del servicio, fotia recurre a proveedores cualificados para servicios de alojamiento, base de datos, almacenamiento, envío de correos electrónicos e infraestructura cloud, designados encargados del tratamiento de conformidad con el art. 28 RGPD. La lista actualizada de los encargados está disponible previa solicitud. En caso de producirse transferencias a países fuera de la UE, estas se realizan respetando los arts. 44 y ss. RGPD mediante decisiones de adecuación o cláusulas contractuales tipo.

Cada proveedor está vinculado contractualmente al cumplimiento del RGPD y trata en particular los datos para las finalidades técnicas necesarias para el funcionamiento del servicio.

El eventual envío del QR de invitación a través de WhatsApp se realiza directamente desde el dispositivo de quien gestiona la lista (apertura de la aplicación con mensaje precompilado): fotia no comunica datos personales a WhatsApp ni a otros servicios de mensajería.

Los datos se alojan en centros de datos situados en la UE. Algunos proveedores pueden ser sociedades con sede fuera de la UE; las eventuales transferencias se realizan conforme a los arts. 44 y ss. Los datos personales de los usuarios (base de datos, fotos, correos electrónicos) se procesan y conservan dentro de la UE.

Las eventuales transferencias a países fuera de la UE, en caso de resultar necesarias en el futuro, se realizarán únicamente en presencia de garantías adecuadas de conformidad con los arts. 44–49 RGPD, y se comunicarán mediante la actualización de la presente Política.

De conformidad con el RGPD, el interesado tiene derecho de:

• acceso a los datos
• rectificación
• supresión
• limitación del tratamiento
• oposición
• portabilidad de los datos

Las solicitudes pueden enviarse a:

support@fotia.events

El interesado tiene además derecho a presentar una reclamación ante la Autoridad de Control en materia de Protección de Datos Personales.

Los invitados incluidos en una lista por un organizador o por uno de sus PR pueden ejercer sus derechos ante el organizador, en calidad de Responsable del tratamiento, o bien dirigirse a fotia, que remitirá la solicitud al Responsable competente prestando la colaboración técnica necesaria.

fotia puede actualizar la presente Política de Privacidad en caso de modificaciones normativas o funcionales.

Las modificaciones se comunicarán a través del sitio o de la cuenta de Usuario.

Para cualquier pregunta relativa a la privacidad: