Política de Privacidad
Última actualización: 2026-05-10
En BLUEPLANET INVESTMENTS, S.L. nos tomamos en serio tu privacidad. Esta política explica qué datos personales tratamos, con qué finalidad, durante cuánto tiempo y qué derechos tienes sobre ellos. Está redactada conforme al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
1. Responsable del tratamiento
| Responsable | BLUEPLANET INVESTMENTS, S.L. |
|---|---|
| NIF | B72724917 |
| Domicilio | [Domicilio social pendiente de actualización] |
| Email para asuntos de privacidad y derechos | hola@festaticket.com (centralizado en el buzón general) |
Delegado de Protección de Datos (DPO): BLUEPLANET INVESTMENTS, S.L. no está obligada a designar DPO conforme al artículo 37 RGPD (no realiza observación habitual y sistemática de interesados a gran escala ni trata datos de categorías especiales a gran escala). Para cualquier asunto de privacidad puedes contactar directamente en hola@festaticket.com.
2. Roles del tratamiento — Responsable y Encargado
FESTATicket actúa con dos roles distintos según el tratamiento:
- Como RESPONSABLE respecto de los datos del organizador del evento (el cliente que contrata FESTATicket): cuenta de usuario, datos fiscales para facturación, comunicaciones comerciales y soporte.
- Como ENCARGADO DEL TRATAMIENTO (art. 28 RGPD) respecto de los datos que los organizadores incorporan a la Plataforma sobre sus propios clientes (compradores de entradas, titulares de pulseras NFC, asistentes a sus eventos): el organizador es el responsable y FESTATicket trata esos datos por cuenta suya bajo las instrucciones documentadas en los Términos de Uso y, si procede, en un contrato de encargo de tratamiento (DPA) específico que el organizador puede solicitar.
3. Datos que tratamos, finalidades y bases jurídicas
3.1. Datos del organizador (cliente FESTATicket)
| Datos tratados | Nombre, email, contraseña cifrada, teléfono, datos fiscales (razón social, NIF, dirección fiscal), método de pago. |
|---|---|
| Finalidad | Crear y gestionar la cuenta, prestar el servicio SaaS, emitir facturas, atender el soporte, comunicar incidencias técnicas y novedades operativas del producto. |
| Base jurídica | Ejecución de un contrato (art. 6.1.b RGPD) y cumplimiento de obligaciones legales contables y fiscales (art. 6.1.c RGPD: Cód. de Comercio, Ley 58/2003 General Tributaria, Ley 37/1992 IVA, Reglamento de facturación RD 1619/2012). |
| Conservación | Mientras el cliente mantenga la cuenta activa. Tras baja: 6 años para obligaciones contables y fiscales (Cód. de Comercio art. 30; Ley General Tributaria art. 66, plazo 4 años + bloqueo 2 años). |
3.2. Datos del comprador de entradas y vouchers online
| Datos tratados | Nombre y apellidos, email, teléfono, importe pagado, método de pago, paquete adquirido. Si la entrada es nominativa, también DNI/NIE. Si requiere envío físico, dirección postal. |
|---|---|
| Finalidad | Procesar la compra, emitir el voucher con QR y localizador, enviar el comprobante al email, permitir el canje en taquilla y atender devoluciones o incidencias del evento. |
| Base jurídica | Ejecución del contrato de compraventa con el organizador (art. 6.1.b). El responsable es el organizador del evento; FESTATicket es encargado del tratamiento. |
| Conservación | Mientras dure la relación con el evento. Tras la celebración del evento: 6 años para justificar la operación de venta (libro registro de IVA, Cód. de Comercio). |
3.3. Datos del titular de pulsera NFC
| Datos tratados | UID NFC de la pulsera, alias, nombre opcional del titular, email opcional, teléfono opcional, saldo actual, historial de movimientos (recargas y consumos con timestamp, importe, punto de venta y cajero). |
|---|---|
| Finalidad | Gestionar el monedero prepago, permitir recargas online, autorizar pagos en barra y en taquilla, bloquear la pulsera en caso de pérdida, emitir devoluciones del saldo no consumido, justificar ante el titular o la autoridad cualquier movimiento. |
| Base jurídica | Ejecución del contrato y consentimiento explícito del titular (art. 6.1.a y 6.1.b). El organizador es responsable; FESTATicket es encargado. |
| Conservación | Movimientos atómicos: 6 años (justificante contable). Datos identificativos del titular: hasta liquidación final del evento + 30 días, salvo retención por reclamación. |
3.4. Datos técnicos y de seguridad
| Datos tratados | Dirección IP, identificador de dispositivo, fecha y hora de acceso, navegador, intentos de inicio de sesión. |
|---|---|
| Finalidad | Seguridad del servicio, prevención de fraude, detección de accesos no autorizados, cumplimiento de obligaciones de auditoría técnica. |
| Base jurídica | Interés legítimo (art. 6.1.f RGPD) en proteger la integridad del servicio y de los datos de los usuarios. |
| Conservación | 12 meses (logs de acceso). Logs de auditoría críticos (manager_audit): 5 años. |
4. Destinatarios de los datos
No cedemos tus datos a terceros para finalidades publicitarias. Únicamente compartimos los datos estrictamente necesarios con los siguientes encargados del tratamiento que nos prestan servicios técnicos, todos ellos con contrato firmado en los términos del art. 28 RGPD:
| Redsys Servicios de Procesamiento, S.L. |
Función: Pasarela de pagos con tarjeta (TPV virtual del banco adquirente) Ubicación: España (UE) Garantías: No aplica transferencia internacional. Los datos de tarjeta se procesan en infraestructura de Redsys ubicada en territorio de la Unión Europea. https://www.redsys.es/aviso-legal/politica-de-privacidad.html |
|---|---|
| BluePlanet CODEX (BLUEPLANET INVESTMENTS, S.L.) |
Función: Hosting y administración técnica de la plataforma Ubicación: España (datacenter europeo) Garantías: No aplica transferencia internacional. https://blueplanetcodex.com |
Adicionalmente, podríamos comunicar tus datos a las Administraciones Públicas competentes (Agencia Tributaria, Fuerzas y Cuerpos de Seguridad, Juzgados, Tribunales) cuando exista una obligación legal de hacerlo.
5. Transferencias internacionales
Todos nuestros encargados de tratamiento operan dentro del Espacio Económico Europeo. La pasarela de pagos Redsys Servicios de Procesamiento, S.L. (TPV virtual del banco adquirente) procesa los datos de tarjeta íntegramente en infraestructura ubicada en España. No se realizan transferencias internacionales de datos personales.
Si en el futuro incorporáramos algún encargado fuera del EEE, lo notificaríamos aquí indicando las garantías aplicables (Cláusulas Contractuales Tipo, certificaciones, etc.). Para más información puedes contactar a hola@festaticket.com.
6. Tus derechos
Como interesado, conforme al RGPD y a la LOPDGDD, dispones de los siguientes derechos:
- Acceso — saber qué datos tratamos sobre ti.
- Rectificación — corregir datos inexactos o incompletos.
- Supresión ("derecho al olvido") — borrar tus datos cuando ya no sean necesarios o retires el consentimiento, salvo obligación legal de conservación.
- Oposición — oponerte a tratamientos basados en interés legítimo.
- Limitación del tratamiento — pedir que solo se conserven, sin tratarse activamente, en determinados supuestos.
- Portabilidad — recibir tus datos en formato estructurado y de uso común (JSON o CSV) para transferirlos a otro responsable.
- No ser objeto de decisiones automatizadas incluida la elaboración de perfiles. FESTATicket no realiza decisiones automatizadas con efectos jurídicos significativos sobre los interesados.
- Retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.
Para ejercer cualquiera de estos derechos, envía un email a hola@festaticket.com indicando claramente el derecho que ejerces, adjuntando copia de tu DNI o documento identificativo equivalente. Responderemos en el plazo máximo de un mes (ampliable a dos en casos justificados).
Si consideras que el tratamiento no se ajusta a la normativa, tienes derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD): C/ Jorge Juan, 6, 28001 Madrid. Web: www.aepd.es. También puedes acudir a la autoridad autonómica de protección de datos correspondiente (Autoritat Catalana de Protecció de Dades en Catalunya, Ararteko Euskadi en País Vasco).
7. Seguridad de los datos
Aplicamos medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo (entre otras):
- Cifrado en tránsito (HTTPS/TLS 1.3 obligatorio en toda la Plataforma).
- Cifrado de contraseñas con algoritmos modernos (bcrypt / Argon2).
- Autenticación de dos factores (TOTP RFC 6238) para el panel de organizador.
- Registros de auditoría de acciones críticas (tabla
manager_audit). - Hash único firmado por la caja para cada venta — los registros son inmutables y trazables.
- Copias de seguridad diarias con retención escalonada.
- Controles de acceso por roles, principio de mínimo privilegio.
- Aislamiento estricto multi-tenant: ningún organizador puede acceder a datos de otro.
En caso de brecha de seguridad que afecte a datos personales, lo notificaremos a la AEPD en un plazo máximo de 72 horas (RGPD art. 33) y, si supone alto riesgo, a los interesados sin dilación indebida (art. 34).
8. Menores de edad
La Plataforma está dirigida exclusivamente a mayores de 18 años. Para la compra de entradas a eventos con restricción de edad (consumo de alcohol, etc.), se aplicarán las restricciones legales pertinentes. Si detectamos que un menor ha facilitado datos sin autorización de sus tutores legales, los eliminaremos a la mayor brevedad.
9. Modificaciones
Podemos modificar esta política en cualquier momento para adaptarla a cambios normativos o evolución del servicio. La nueva versión entrará en vigor desde su publicación en esta página, con la fecha de última actualización indicada en cabecera. Si los cambios son sustanciales, lo comunicaremos a las cuentas de organizador por email.
© 2026 BLUEPLANET INVESTMENTS, S.L.