Cumplimiento RGPD
Este documento resume cómo Evochi cumple con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo(Reglamento General de Protección de Datos, RGPD) y su transposición en España a través de laLey Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
1. Principios que guían nuestro tratamiento de datos
Tratamos los datos personales respetando los siguientes principios del RGPD:
- Licitud, lealtad y transparencia: siempre informamos sobre qué datos recogemos y con qué finalidad, tal como se detalla en nuestra Política de Privacidad.
- Limitación de la finalidad: los datos se recogen para finalidades determinadas y no se utilizan de forma incompatible con ellas.
- Minimización de datos: solo recogemos los datos estrictamente necesarios para prestar el Servicio.
- Exactitud: facilitamos mecanismos para que los usuarios puedan corregir o actualizar sus datos.
- Limitación del plazo de conservación: los datos se conservan solo durante el tiempo necesario, según los plazos detallados en nuestra Política de Privacidad.
- Integridad y confidencialidad: aplicamos medidas técnicas y organizativas adecuadas para proteger los datos frente a accesos no autorizados, pérdida o destrucción.
- Responsabilidad proactiva: documentamos nuestras actividades de tratamiento y adoptamos medidas para demostrar el cumplimiento.
2. Roles en el tratamiento de datos
Evochi como responsable del tratamiento
Evochi actúa como responsable del tratamiento de los datos de sus usuarios registrados (Organizadores): nombre, correo electrónico, datos de facturación y datos de uso de la Plataforma.
Evochi como encargado del tratamiento
Cuando el Organizador introduce datos de sus invitados (nombre, email, teléfono, preferencias alimentarias), Evochi actúa como encargado del tratamiento por cuenta del Organizador, quien es el responsable de haber obtenido la base jurídica apropiada para facilitar esos datos a Evochi.
A tal efecto, nuestros Términos y Condiciones incluyen las cláusulas de encargo del tratamiento exigidas por el artículo 28 del RGPD.
3. Base jurídica del tratamiento
Cada tratamiento que realizamos tiene una base jurídica clara, detallada en nuestra Política de Privacidad:
- Ejecución de contrato (art. 6.1.b): para prestar el Servicio contratado.
- Interés legítimo (art. 6.1.f): para mejorar el Servicio y prevenir el fraude.
- Consentimiento (art. 6.1.a): para comunicaciones comerciales y cookies analíticas.
- Obligación legal (art. 6.1.c): para conservar registros de facturación.
4. Derechos de los interesados
Facilitamos el ejercicio de todos los derechos reconocidos por el RGPD (acceso, rectificación, supresión, limitación, portabilidad y oposición), como se describe en nuestra Política de Privacidad.
Respondemos a todas las solicitudes en el plazo máximo de 30 días y contamos con procedimientos internos documentados para su gestión.
5. Encargados del tratamiento y subencargados
Todos nuestros proveedores de servicios que acceden a datos personales están vinculados con nosotros medianteacuerdos de encargo del tratamiento (DPA) conformes al artículo 28 del RGPD. Estos son los principales encargados:
| Proveedor | Rol | País/Región | Garantías |
|---|---|---|---|
| Vercel | Infraestructura / hosting | EE. UU. / UE | DPA + SCCs |
| Neon / Supabase (PostgreSQL) | Base de datos | UE | DPA |
| Upstash | Caché Redis | UE | DPA |
| Cloudinary | Almacenamiento de medios | EE. UU. | DPA + SCCs |
| Resend | Envío de emails | EE. UU. | DPA + SCCs |
| Stripe | Procesamiento de pagos | EE. UU. / UE | DPA + SCCs |
| PayPal | Procesamiento de pagos | Luxemburgo | DPA |
SCCs = Cláusulas Contractuales Tipo de la Comisión Europea para transferencias internacionales.
6. Transferencias internacionales
Cuando se transfieren datos a países fuera del Espacio Económico Europeo (principalmente EE. UU.), nos aseguramos de que existan garantías adecuadas conforme al artículo 46 del RGPD, principalmente mediante Cláusulas Contractuales Tipo adoptadas por la Comisión Europea.
7. Privacidad desde el diseño y por defecto
Evochi incorpora principios de privacy by design y privacy by default en el desarrollo de sus funcionalidades:
- Las invitaciones son privadas por defecto hasta que el Organizador las publica activamente.
- Los datos de invitados solo son accesibles por el Organizador del evento, no por otros usuarios.
- Las contraseñas se almacenan cifradas con bcrypt (factor de coste ≥ 12).
- Todas las comunicaciones se realizan sobre HTTPS/TLS.
- Se aplica el principio de mínimo privilegio en el acceso a la base de datos.
- Los tokens de acceso de invitados son únicos, aleatorios y de un solo uso.
8. Registro de actividades de tratamiento
De conformidad con el artículo 30 del RGPD, mantenemos un registro interno de las actividades de tratamiento que documentamos y actualizamos periódicamente. Este registro no es público, pero está disponible para las autoridades supervisoras cuando así lo requieran.
9. Notificación de brechas de seguridad
En caso de brecha de seguridad que suponga un riesgo para los derechos y libertades de las personas:
- Notificaremos a la AEPD en un máximo de 72 horas desde que tengamos conocimiento.
- Informaremos a los afectados sin dilación indebida si la brecha entraña un alto riesgo para sus derechos.
- Documentaremos todas las brechas en nuestro registro interno, independientemente de si requieren notificación.
10. Delegado de Protección de Datos (DPD)
Actualmente, el tamaño y naturaleza de las actividades de tratamiento de Evochi no requieren la designación obligatoria de un DPD conforme al artículo 37 del RGPD. No obstante, cualquier cuestión relativa a la protección de datos puede dirigirse a:
Contacto de privacidad de Evochi
privacidad@evochi.app
11. Autoridad de control
La autoridad de control competente en España es laAgencia Española de Protección de Datos (AEPD):
- Web: www.aepd.es
- Teléfono: 901 100 099
- Dirección: C/ Jorge Juan, 6 · 28001 Madrid
Tienes derecho a presentar una reclamación ante la AEPD si consideras que el tratamiento de tus datos no es conforme con el RGPD.