Política de Privacidad de Evnyo

Bienvenido a la plataforma Evnyo, una solución SaaS de pago por evento destinada a las PYME europeas para la gestión de sus eventos. La protección de sus datos personales es nuestra prioridad absoluta. Esta política de privacidad explica de manera transparente cómo Evnyo trata sus datos, en total cumplimiento con el Reglamento (UE) 2016/679 (RGPD) y las leyes nacionales aplicables. Redactada con el más alto nivel de exigencia jurídica, esta política refleja nuestro compromiso en materia de privacidad y seguridad. Detallamos las finalidades de los tratamientos de datos, nuestras bases legales, los encargados de tratamiento que utilizamos, las medidas de seguridad implementadas, sus derechos y cómo ejercerlos.

Evnyo se compromete a respetar los principios de licitud, lealtad, transparencia, minimización de datos y limitación de la finalidad previstos por el RGPD. También velamos por la responsabilidad proactiva (accountability) documentando rigurosamente nuestro cumplimiento. Al utilizar nuestra plataforma, usted mantiene el control de sus datos: solo los utilizamos para las finalidades explícitas descritas a continuación y nunca los comercializamos.

El responsable del tratamiento de los datos recogidos a través de la plataforma Evnyo es MACK, sociedad de responsabilidad limitada francesa con capital social de 246.389,00 €, domicilio social APPARTEMENT 6 2 ALL SAINT MICHEL 59890 QUESNOY SUR DEULE, inscrita en el Registro Mercantil de Lille Métropole bajo el número 852 895 747, SIRET 85289574700032 (en adelante "Evnyo" o "nosotros"). Como responsable del tratamiento, determinamos las finalidades y medios de los tratamientos relativos a la gestión del sitio y de las cuentas de clientes. Además, cuando tratamos datos de participantes por cuenta de nuestros clientes (organizadores de eventos), actuamos en calidad de encargado del tratamiento conforme al artículo 28 del RGPD (véase la sección "Encargo del Tratamiento" más adelante).

Designación de un Referente de Protección de Datos: Como PYME, Evnyo no tiene la obligación legal de designar un referente de protección de datos en el sentido del artículo 37 del RGPD y de las legislaciones nacionales equivalentes, ya que nuestra actividad principal no consiste en un tratamiento a gran escala que requiera un seguimiento regular y sistemático de los interesados, ni en un tratamiento a gran escala de categorías especiales de datos. Esta evaluación se ha realizado conforme a las directrices del Comité Europeo de Protección de Datos (CEPD) y de las autoridades nacionales. No obstante, por transparencia y mejora continua de nuestras prácticas, hemos decidido designar un referente de protección de datos. Este referente no tiene el estatus de referente de protección de datos en el sentido del artículo 37 del RGPD.

Autoridades de control competentes: Según su lugar de residencia, la autoridad de control competente es:

• Francia: Commission Nationale de l'Informatique et des Libertés (CNIL)
• Reino Unido: Information Commissioner's Office (ICO)
• Alemania: Autoridades de protección de datos de los Länder y Bundesbeauftragte für den Datenschutz
• España: Agencia Española de Protección de Datos (AEPD)
• Italia: Garante per la protezione dei dati personali
• Portugal: Comissão Nacional de Proteção de Dados (CNPD)
• Polonia: Urząd Ochrony Danych Osobowych (UODO)
• Rumania: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
• Países Bajos: Autoriteit Persoonsgegevens (AP)
• Bélgica: Autorité de protection des données (APD/GBA)
• Austria: Datenschutzbehörde (DSB)

Para cualquier pregunta relativa a esta política o para ejercer sus derechos (detallados más adelante), puede contactar con nuestro referente de protección de datos:

• Dominique PRASIVORAVONG – Referente de Protección de Datos de Evnyo
• Contacto: privacy@evnyo.com (o por correo postal a la dirección de nuestra sede, a la atención del referente de protección de datos)

Recogemos y tratamos datos personales únicamente para finalidades determinadas, explícitas y legítimas. A continuación encontrará la lista detallada de nuestras finalidades de tratamiento, así como la base legal correspondiente para cada una de ellas, conforme al artículo 6 del RGPD:

• Envío de invitaciones y recordatorios para eventos: Evnyo permite a los organizadores enviar invitaciones por correo electrónico (a través de Postmark) y SMS (a través de Twilio) a los participantes, hacer seguimiento a las personas que no han respondido o enviarles recordatorios antes del evento. Este tratamiento es necesario para la ejecución del contrato que nos vincula con nuestros clientes organizadores (artículo 6(1)(b) RGPD) – actuamos bajo instrucciones de nuestros clientes para contactar con los invitados en el marco de la organización del evento. El organizador, como responsable de las invitaciones, se asegura por su parte de disponer de una base legal adecuada (por ejemplo su interés legítimo para invitar a sus contactos profesionales).

• Seguimiento de la participación y gestión del check-in: Nuestra plataforma trata las respuestas de los invitados (participación confirmada, rechazo, etc.), asegura el seguimiento de las inscripciones y gestiona el acceso al evento. Estos datos permiten al organizador hacer seguimiento en tiempo real de la afluencia y gestionar la presencia de los participantes el día del evento. El tratamiento se efectúa en el marco del servicio proporcionado (gestión del evento), sobre base contractual (artículo 6(1)(b)).

• Importación de contactos: Evnyo ofrece una funcionalidad de importación de contactos para ayudar a nuestros clientes a integrar fácilmente sus listas de invitados (por ejemplo desde una libreta de direcciones). Esta operación, activada a petición del usuario, implica el tratamiento de datos de contacto (ej. nombres, emails, números) de sus contactos para añadirlos como invitados. El uso de datos de usuario sin procesar o derivados recibidos de las API de Workspace se adherirá a la Política de datos de usuario de Google, incluidos los requisitos de uso limitado. La base legal es la ejecución del contrato y el interés legítimo del organizador para simplificar la adición de participantes (artículo 6(1)(b) o (f) según los casos). El cliente se compromete a importar solo contactos que esté autorizado a utilizar y a haber informado a estas personas si es necesario.

• Corrección de datos y generación de imágenes por IA: Para mejorar la experiencia del usuario, ofrecemos funcionalidades asistidas por inteligencia artificial. Concretamente, Evnyo puede enviar a OpenAI extractos de datos proporcionados por el cliente (por ejemplo un archivo CSV mal estructurado o una lista de participantes copiada y pegada) para corregir el formato o generar automáticamente una imagen (visual del evento) bajo petición. Estos tratamientos tienen como finalidad facilitar la preparación del evento (datos uniformizados, visuales atractivos). La base legal se basa en la ejecución del contrato – estas funcionalidades se activan únicamente bajo su petición para servirle. Nota: Los datos transmitidos a OpenAI se limitan a lo estrictamente necesario (principio de minimización) y son objeto de un tratamiento automatizado. Conforme a las condiciones de uso de OpenAI, los datos enviados a través de su API no se utilizan para entrenar sus modelos (salvo opt-in explícito por nuestra parte, lo que no hacemos) y se eliminan automáticamente de sus sistemas en un plazo máximo de 30 días después del tratamiento. Importante: Los datos de contactos de Google Workspace se utilizan exclusivamente para las invitaciones a eventos. Ningún modelo de IA o aprendizaje automático utiliza datos de las API de Google Workspace. Nuestras funciones de IA operan de forma completamente independiente de las fuentes de datos de Google.

• Estadísticas anonimizadas: Evnyo puede elaborar estadísticas globales y anonimizadas a partir de los datos de los eventos (ej. tasa promedio de respuesta, número total de participantes, etc.) con el fin de proporcionar a los organizadores indicadores sobre el éxito de sus eventos y mejorar nuestros servicios. Ningún dato personal aparece en estas estadísticas (los resultados se agregan de forma irreversible). La producción de tales estadísticas no tiene impacto en la privacidad (datos no identificativos), puede efectuarse sobre la base de nuestro interés legítimo para evaluar y mejorar nuestros servicios (artículo 6(1)(f) RGPD).

• Procesamiento de pagos y facturación: Evnyo utiliza Stripe para procesar los pagos de nuestros clientes organizadores por el uso de nuestra plataforma pay-per-event, así como para la gestión de facturación recurrente y suscripciones. Esta función incluye el procesamiento seguro de datos bancarios, validación de pagos, gestión de cronogramas de facturación y seguimiento de transacciones. La base legal para este tratamiento es la ejecución del contrato que nos vincula con nuestros clientes (Artículo 6(1)(b) RGPD) – estos datos de pago son esenciales para proporcionar nuestro servicio de pago y cumplir nuestras obligaciones contractuales de facturación.

• Gestión de cookies y consentimientos: En nuestro sitio web, utilizamos cookies y rastreadores conforme a los requisitos de la Directiva ePrivacy (2002/58/CE) y sus transposiciones nacionales, particularmente las estrictas regulaciones alemanas y francesas en materia de cookies. Las cookies no esenciales (por ejemplo para mediciones de audiencia o funcionalidades de personalización) solo se depositan tras obtener su consentimiento previo, libre, específico, informado e inequívoco a través de nuestro banner de consentimiento gestionado por CookieYes. Este consentimiento se registra y documenta conforme a los estándares más estrictos. La base legal para el uso de cookies no esenciales es su consentimiento explícito (artículo 6(1)(a) RGPD). Respecto a las cookies estrictamente necesarias para el funcionamiento del servicio (ej. para mantenerse conectado a su cuenta), se basan en nuestro interés legítimo o la necesidad técnica vinculada a la ejecución del servicio solicitado (artículo 6(1)(b) o (f)). Puede gestionar sus preferencias de cookies en cualquier momento gracias a la herramienta de consentimiento (CMP) y retirar su consentimiento tan fácilmente como lo otorgó. (Véase la sección "Cookies" más adelante.)

• Documentación de consentimientos y obligaciones legales: Para demostrar nuestro cumplimiento regulatorio en todos los países donde operamos, conservamos la prueba de cualquier consentimiento que pueda haber dado (por ejemplo su consentimiento a las cookies a través de CookieYes, o para recibir comunicaciones si aplica). En virtud del RGPD y las leyes nacionales equivalentes, el responsable del tratamiento debe poder aportar en cualquier momento la prueba de que la persona ha consentido en condiciones válidas. Por tanto documentamos las condiciones de recogida de consentimientos y mantenemos un registro de consentimientos conforme a las recomendaciones de las autoridades europeas de protección de datos. Este tratamiento es necesario para el cumplimiento de una obligación legal que recae sobre nosotros (artículo 6(1)(c) RGPD, art. 7(1) RGPD – capacidad para probar el consentimiento). Por ejemplo, el registro de consentimientos recogidos a través de CookieYes (incluyendo el historial de decisiones de cada usuario, un identificador, fecha/hora y dirección IP anonimizada) se conserva de manera segura para constituir una prueba en caso de control o contestación.

En todas las circunstancias, Evnyo solo trata sus datos personales para las finalidades mencionadas y nunca procederá a tratamientos posteriores incompatibles con estas finalidades sin informarle y, en su caso, obtener su consentimiento nuevamente. Además, no se implementa ninguna toma de decisiones automatizada ni elaboración de perfiles en el sentido del artículo 22 RGPD a través de nuestros servicios.

En el marco de las finalidades anteriores, Evnyo puede recoger diferentes categorías de datos de carácter personal:

• Datos de identificación y contacto: nombre, apellido, dirección de correo electrónico, número de teléfono de los participantes invitados a un evento (proporcionados por el organizador o por el propio participante durante la inscripción). Para los usuarios clientes (organizadores), recogemos nombres, apellidos, datos de contacto profesionales, función/título, así como información relativa a la empresa (razón social, dirección, CIF en su caso) durante la creación de la cuenta y facturación.

• Datos relativos al evento: información vinculada a la invitación y participación de las personas – por ej. estado de la invitación (enviada/abierta), respuesta (sí/no/pendiente), número de acompañantes, preferencias expresadas (ej. elección de franja horaria o régimen alimentario, si el organizador lo solicita), presencia efectiva durante el check-in. Estos datos permiten el seguimiento logístico del evento.

• Datos importados: si el organizador utiliza la función de importación de contactos, Evnyo tratará los datos de su libreta de direcciones de terceros (por ej. contactos de Gmail, Outlook) que haya seleccionado – típicamente nombre, email, empresa, teléfono de los contactos a invitar. Importante: esta importación solo se realiza por iniciativa del usuario y con su autorización explícita para acceder a estos contactos a través del servicio de terceros (que puede solicitar la autorización OAuth correspondiente). Evnyo no utiliza estos datos más allá de la constitución de la lista de invitados.

• Contenidos proporcionados: cualquier contenido libre que pueda introducir en la plataforma, por ejemplo el mensaje personalizado de la invitación, el logo o visual del evento (que puede contener una imagen, potencialmente el rostro de una persona si la sube, etc.), o archivos que adjunte (ej. programa del evento en PDF). Estos contenidos solo se utilizan en el marco del evento (difusión de la invitación, puesta a disposición de los participantes, etc.). Cuando Evnyo recurre a OpenAI para generar una imagen o reformatear un texto proporcionado, el prompt y/o los datos enviados a la IA pueden incluir ciertos elementos de estos contenidos proporcionados (ej. texto bruto con nombres). No obstante, velamos por no enviar información superflua o altamente sensible a estos servicios externos.

• Datos técnicos y de navegación: durante su uso de la plataforma o consulta del sitio, podemos recoger ciertos datos técnicos: dirección IP (anonimizada para las mediciones de audiencia), información del dispositivo y navegador, preferencias de idioma, logs de conexión (fechas/horas) y cookies (véase sección dedicada). Estos datos se utilizan principalmente para la seguridad, prestación del servicio (ej. mantener su sesión abierta) y estadísticas agregadas. También pueden servir para detectar y prevenir usos abusivos de la plataforma.

Todos los datos recogidos se obtienen directamente de usted (usuario organizador o invitado) o provienen de su uso de los servicios (por ej. estado de participación). En los raros casos donde datos nos son transmitidos por un tercero autorizado (por ej. un colega le inscribe a un evento a través de Evnyo), el organizador se compromete a haber obtenido las autorizaciones necesarias. Pedimos a nuestros clientes-organizadores que se aseguren de informar correctamente a los participantes del uso de la plataforma Evnyo para gestionar las invitaciones, conforme al artículo 14 RGPD en su caso.

Sus datos personales son accesibles al personal autorizado de Evnyo en la medida estrictamente necesaria (principio de acceso limitado – por ejemplo, nuestro equipo de soporte puede acceder a información de su cuenta para asistirle). Aparte de estos accesos internos protegidos por compromisos de confidencialidad, Evnyo no comunica sus datos a terceros, excepto a sus prestadores técnicos debidamente autorizados, listados a continuación. Estos prestadores actúan en nuestro nombre y por nuestra cuenta como encargados del tratamiento, según nuestras instrucciones y respetando esta política.

Seleccionamos nuestros encargados del tratamiento con el mayor cuidado, asegurándonos de que presenten garantías suficientes en materia de protección de datos (experiencia, medidas de seguridad, cumplimiento del RGPD). Importante: Como PYME, Evnyo se basa en contratos y DPA (Acuerdos de Procesamiento de Datos) estándar ofrecidos por sus prestadores de servicios. No tenemos el peso contractual para negociar cláusulas personalizadas con los gigantes tecnológicos, pero nos aseguramos de que sus condiciones estándar cumplan los requisitos del artículo 28 del RGPD. Estos DPA estándar definen el objeto y duración del tratamiento, la naturaleza de las operaciones realizadas, los tipos de datos y personas afectadas, así como las obligaciones de confidencialidad, seguridad y asistencia que les incumben. Nuestros encargados del tratamiento nunca utilizarán sus datos para otros fines que los que les hemos especificado según sus condiciones generales de uso. Aquí está la lista completa de nuestros prestadores de servicios y su papel exacto:

• CookieYes – Plataforma de Gestión de Consentimiento (CMP): herramienta de gestión de consentimientos de cookies. CookieYes despliega el banner de cookies en nuestro sitio y registra las decisiones de cada usuario respecto a las cookies. Papel: garantizar que los rastreadores no esenciales solo se activen con consentimiento, y conservar la prueba del consentimiento o rechazo del usuario. Ubicación: CookieYes Limited es una empresa registrada en el Reino Unido. Las preferencias de consentimiento pueden almacenarse localmente (a través de una cookie técnica en su navegador) y/o en los servidores de CookieYes. Estos datos (identificador anónimo de consentimiento, fecha, tipo de consentimiento) son puramente técnicos y se utilizan para probar el cumplimiento de sus decisiones.

• Declaración de uso de datos de la API de Google: El uso por parte de Evnyo de la información recibida de las API de Google cumple con la Política de Datos de Usuario de los Servicios API de Google, incluyendo los requisitos de Uso Limitado. Para más información sobre estos requisitos puede visitar: Google Workspace API User Data Policy y Google API Services User Data Policy .

• OpenAI – Inteligencia Artificial (IA): servicio de IA avanzada que utilizamos a través de API para funcionalidades específicas (ej: corrección de datos mal formateados, generación de imágenes bajo demanda). Papel: tratamiento algorítmico del contenido que le enviamos para producir un resultado (archivo corregido o imagen generada) devuelto a Evnyo. Ubicación: Estados Unidos (OpenAI, Inc.). Datos transmitidos: extractos de texto o instrucciones que nos proporciona para uso de la IA (que pueden contener datos personales si los ha incluido). Garantías: Conforme a las condiciones de uso de la API de OpenAI (OpenAI API Data Processing Terms), los datos que transmitimos no son utilizados por OpenAI para entrenar sus modelos de IA (salvo opt-in explícito por nuestra parte, lo que no hacemos) y se eliminan automáticamente de sus sistemas en un plazo máximo de 30 días después del tratamiento. OpenAI se compromete contractualmente a no utilizar estos datos para otros fines que la prestación del servicio solicitado.

• Supabase – Base de datos y alojamiento de archivos: Supabase es nuestro proveedor de infraestructura de aplicaciones. Papel: alojamiento de la base de datos PostgreSQL que contiene los datos de Evnyo (cuentas, eventos, invitaciones, respuestas, etc.), y almacenamiento de archivos asociados (por ej. imágenes de sus eventos) en un espacio dedicado (bucket). Ubicación: Unión Europea. Utilizamos los servidores europeos de Supabase (región UE) para que todos los datos y archivos se alojen exclusivamente en Europa. Cabe señalar que Supabase se basa en centros de datos certificados (utilizan especialmente infraestructuras Cloud regionales conformes al RGPD). Los datos almacenados en la base o el bucket están cifrados en reposo (véase sección Seguridad) y solo son accesibles a las aplicaciones de Evnyo y a nuestros administradores autorizados. Supabase no accede a los datos en claro y no los utiliza de otra manera que para las necesidades técnicas del almacenamiento.

• Vercel – Alojamiento frontend: Vercel es la plataforma de alojamiento del frontend de nuestra aplicación (sitio web e interfaz de usuario de Evnyo). Papel: distribución de la aplicación web y contenidos estáticos a los usuarios finales, a través de una red mundial de distribución de contenidos (CDN) para un rendimiento óptimo. Ubicación: principalmente en Estados Unidos (Vercel Inc.), con un CDN a través del mundo (incluyendo servidores en Europa) para acercar el contenido al usuario. Garantías de transferencia: Vercel está certificado en el EU-US Data Privacy Framework y ofrece un Acuerdo de Procesamiento de Datos estándar conforme al RGPD. Datos afectados: esencialmente datos técnicos de navegación. Cuando utiliza Evnyo, su navegador se conecta a los servidores de Vercel para cargar la interfaz; Vercel puede registrar datos técnicos (ej. dirección IP, fecha, recurso solicitado) para necesidades de registro y caché, pero no trata ningún dato personal de aplicación almacenado (la base de datos permanece en Supabase). Los logs de Vercel solo se utilizan para fines de resolución de problemas y se purgan regularmente.

• Postmark – Envío de emails transaccionales: servicio de emailing (ofrecido por Wildbit/ActiveCampaign) utilizado para encaminar los correos generados por Evnyo. Papel: envío fiable de emails transaccionales relacionados con eventos (ej. invitaciones, confirmaciones de inscripción, recordatorios, seguimientos post-evento) en nombre del organizador. Ubicación: principalmente en Estados Unidos (servidores de envío de Postmark), con infraestructuras redundantes. Garantías de transferencia: Postmark ofrece un Acuerdo de Procesamiento de Datos (DPA) estándar conforme a los requisitos del RGPD y garantías contractuales para transferencias internacionales. Datos transmitidos: dirección de email del destinatario, contenido de la invitación o mensaje (incluyendo posiblemente el nombre del invitado, detalles del evento, etc.). Postmark actúa como simple vector de envío y almacena temporalmente información de envío (registro de emails, estado de entrega) para fines de seguimiento y prueba de envío. Estos registros se conservan durante un tiempo limitado y luego se eliminan según su política de retención. Postmark está contractualmente obligado a respetar la confidencialidad de los datos transmitidos.

• Twilio – Envío de SMS transaccionales: plataforma utilizada para el envío de SMS (por ejemplo invitaciones o recordatorios por SMS, o mensajes de verificación) a participantes que han proporcionado un número de teléfono. Papel: encaminar SMS hacia los operadores telefónicos de sus contactos. Ubicación: Twilio Inc. es una empresa americana, pero tiene puntos de presencia en la UE. Por defecto, las peticiones SMS de Evnyo se enrutan a través de servidores situados en la UE. Sin embargo, en caso de sobrecarga o necesidad de enrutamiento internacional, puede ocurrir que el mensaje sea procesado por un servidor fuera de la UE (ej. en Estados Unidos) para garantizar la entregabilidad – es el "fallback" internacional. Garantías de transferencia: Twilio dispone de Normas Corporativas Vinculantes (BCR) aprobadas por las autoridades europeas de protección de datos y ofrece un Acuerdo de Procesamiento de Datos conforme al RGPD. Datos transmitidos: número de teléfono del destinatario, contenido textual del SMS (incluyendo posiblemente el nombre del evento o un enlace de confirmación). Twilio solo conserva estos datos para el registro y facturación (detalles de los mensajes) y los elimina según plazos conformes a las regulaciones de telecomunicaciones.

• Stripe – Procesamiento de pagos: plataforma de pagos utilizada para procesar los pagos de nuestros clientes organizadores de eventos y la facturación de nuestros servicios. Función: procesamiento seguro de pagos con tarjeta de crédito, transferencias bancarias y otros métodos de pago, así como gestión de facturación y suscripciones. Ubicación: Stripe Europe, Ltd. (Irlanda) para clientes europeos, con infraestructura distribuida en Europa y cumplimiento SEPA. Garantías de transferencia: Stripe cuenta con certificaciones RGPD integrales y aplica Cláusulas Contractuales Estándar (CCE) para cualquier transferencia fuera de la UE. Datos transmitidos: detalles de facturación del organizador (nombre, dirección, email, información de pago), montos de transacciones, historial de facturación. Stripe actúa como responsable del tratamiento para aspectos relacionados con pagos y como encargado para datos que le transmitimos como parte de nuestro servicio. Los datos de pago están cifrados y asegurados según estándares PCI DSS. Stripe conserva los datos de transacciones según sus propias políticas de retención y obligaciones regulatorias financieras.

• OVH – Gestión del nombre de dominio y DNS: OVHcloud es nuestro registrador y host DNS para el dominio evnyo.com. Papel: gestión técnica del nombre de dominio, registros DNS (especialmente los vinculados al envío de emails, como SPF/DKIM), y alojamiento de ciertas funciones auxiliares (por ej. redirección del sitio hacia Vercel). Ubicación: Francia (OVH, empresa francesa). Datos personales: muy pocos datos en realidad – OVH trata esencialmente datos técnicos (consultas DNS de visitantes, que no contienen datos personales identificables per se salvo posiblemente la IP de quien hace la consulta). Por transparencia, mencionamos OVH porque es un prestador de servicios en nuestra cadena técnica, pero no explota ningún dato de usuario final.

Cada prestador de servicios mencionado anteriormente solo actúa bajo instrucciones de Evnyo y nunca por cuenta propia. Mantenemos el control de sus datos. Si en el futuro tuviéramos que recurrir a nuevos prestadores de servicios o cambiar alguno de ellos, actualizaríamos esta lista y, en su caso, le informaríamos previamente si esto impacta sus datos. Por supuesto conserva sus derechos (véase sección "Sus Derechos") incluyendo sobre los datos tratados a través de estos encargados del tratamiento: Evnyo sigue siendo su único punto de contacto.

Evnyo se asegura de que todos sus encargados del tratamiento ofrezcan garantías contractuales robustas en materia de protección de datos, conforme al artículo 28 del RGPD. Esto significa especialmente que:

• Solo autorizamos a nuestros encargados del tratamiento a tratar los datos para fines específicos y documentados, en relación con nuestras instrucciones. Un encargado del tratamiento no puede bajo ninguna circunstancia reutilizar sus datos para su propio uso (ej. marketing) o transmitirlos a terceros sin autorización.

• Cada encargado del tratamiento está vinculado por una cláusula de confidencialidad estricta respecto a los datos a los que puede tener acceso. El personal de nuestros prestadores de servicios autorizado para manejar sus datos está sujeto a un deber de confidencialidad legal o contractual.

• Nuestros contratos exigen a estos prestadores de servicios implementar todas las medidas de seguridad requeridas por el artículo 32 del RGPD (véase detalles en la sección Seguridad más adelante), y asistirnos para permitir el ejercicio de sus derechos (ej: si solicitara la eliminación de sus datos, el encargado del tratamiento debe cooperar para eliminarlos de sus sistemas).

• Ningún encargado del tratamiento posterior (llamado "subencargado del tratamiento") puede ser contratado sin nuestra autorización escrita previa. Si uno de nuestros prestadores de servicios desea contratar a otro para ejecutar parte del tratamiento, debe informarnos previamente y contratar con él obligaciones idénticas. En cualquier caso, el prestador de servicios inicial permanece plenamente responsable ante Evnyo de cualquier falta de su subencargado del tratamiento (principio de responsabilidad en cascada, art. 28(4) RGPD).

• Al finalizar la prestación, nuestros contratos estipulan que los encargados del tratamiento deben, a elección de Evnyo, eliminar todos los datos personales o devolverlos y destruir cualquier copia existente (salvo obligación legal contraria). Por ejemplo, si elimina un evento y solicita la eliminación de datos de participantes, nos aseguraremos de que esta información también se elimine de los sistemas de nuestros prestadores de servicios (Supabase, copias de seguridad, etc.).

• Finalmente, nuestros encargados del tratamiento deben proporcionarnos toda la información necesaria para demostrar el cumplimiento de los requisitos del RGPD y permitir la realización de auditorías eventuales. Evnyo realiza diligencias debidas regulares (revisión de certificaciones, auditorías de terceros, informes de seguridad) para asegurar el cumplimiento continuo de estas obligaciones.

Trabajando así con un ecosistema de prestadores de servicios conformes y contractualmente comprometidos, Evnyo garantiza que el encargo del tratamiento de ciertas operaciones no debilita en nada el nivel de protección aplicado a sus datos.

Evnyo concede especial importancia a la soberanía y localización de datos. Todos sus archivos y datos se alojan exclusivamente dentro de la Unión Europea a través de nuestro socio tecnológico Supabase, cuya infraestructura europea garantiza una localización estricta de los datos en territorio de la UE. Este enfoque europeo nos permite mantener un control jurídico óptimo sobre su información, con los documentos que importa y las listas de participantes permaneciendo físicamente en servidores europeos, sujetos a la regulación europea. Los beneficios son dobles: latencias reducidas gracias a la proximidad geográfica con sus participantes europeos, y un mejor control jurídico, con sus datos no expuestos a las legislaciones extraterritoriales de países terceros. En resumen, Evnyo prioriza el alojamiento europeo conforme a los requisitos de soberanía digital, garantizando seguridad reforzada y cumplimiento del RGPD reforzado.

Evnyo busca en la medida de lo posible evitar las transferencias de datos fuera del Espacio Económico Europeo (EEE). La regla general es que los datos se tratan y almacenan dentro de la UE. Sin embargo, algunos de nuestros encargados del tratamiento o herramientas estando basados fuera de la UE, pueden ocurrir transferencias internacionales de datos de manera limitada. Detallamos a continuación estos casos y las garantías puestas en marcha:

• Ninguna transferencia sin marco: Ninguna transferencia de datos de carácter personal se efectúa hacia un país no miembro del EEE sin protección. Todos nuestros flujos internacionales están enmarcados para asegurar un nivel de protección de datos esencialmente equivalente al de la UE. En la práctica, esto significa que si sus datos van a dejar suelo europeo, Evnyo se apoya en uno de los mecanismos previstos por el RGPD: por ejemplo, la existencia de una decisión de adecuación de la Comisión Europea para el país de destino, o la firma de Cláusulas Contractuales Tipo (CCT) cuando se trata de una transferencia hacia un prestador de servicios situado en un país sin adecuación.

• Prestadores de servicios situados fuera de la UE: Entre nuestros encargados del tratamiento listados, algunos están establecidos en Estados Unidos (por ej. OpenAI, Postmark, Twilio, Vercel). Como tal, los datos que les son transmitidos en el marco de su misión constituyen transferencias hacia EEUU. Importante: Evnyo se asegura de que todos sus subcontratistas fuera de la UE dispongan de mecanismos de transferencia validados (BCR, CCT, decisión de adecuación). Los DPA estándar utilizados respetan las exigencias del artículo 28 del RGPD. Concretamente:
• Stripe: basado en Irlanda (UE) para los clientes europeos, dispone de certificaciones GDPR completas y aplica Standard Contractual Clauses (SCC) para todo transferir hors UE
• Twilio: dispone de Normas Corporativas Vinculantes (BCR) aprobadas por las autoridades europeas y se adhiere a las condiciones de su Acuerdo de Procesamiento de Datos estándar
• Postmark: ofrece un Acuerdo de Procesamiento de Datos (DPA) estándar conforme a los requisitos del RGPD
• Vercel: certificado en el EU-US Data Privacy Framework y ofrece un DPA estándar
• OpenAI: aplica los OpenAI API Data Processing Terms estándar (retención ≤ 30 días, sin entrenamiento sin opt-in)

Estos mecanismos, aunque no negociados individualmente por Evnyo, ofrecen garantías legales equivalentes a CCT para proteger sus datos durante transferencias internacionales.

• Reino Unido: El prestador de servicios CookieYes estando basado en el Reino Unido, cabe señalar que el Reino Unido se beneficia de una decisión de adecuación de la Comisión Europea desde el 28 de junio de 2021, permitiendo transferencias de datos bajo las mismas condiciones que hacia el EEE (conforme al artículo 45 RGPD). Sin embargo, el Reino Unido aplica ahora el UK GDPR y la Data Protection Act 2018, que pueden presentar divergencias con el RGPD europeo. Evnyo monitorea la evolución de esta decisión de adecuación y de las regulaciones británicas, y tomará las medidas necesarias si la situación cambiara (ej: conclusión de un UK Addendum a las CCT, etc.).

• Caso especial de Twilio (SMS): Como se mencionó, Twilio dispone de mecanismos legalmente aprobados. Twilio ha implementado especialmente Normas Corporativas Vinculantes (BCR) internas validadas por las autoridades europeas, que constituyen su principal instrumento de transferencia. Además, Twilio se adhiere a CCT para países terceros no cubiertos por sus BCR. Así, el uso de Twilio para enviar SMS (incluso si estos se enrutan fuera de la UE) permanece conforme a los requisitos europeos.

• Evaluación de riesgos de transferencia: Antes de utilizar cualquier prestador de servicios situado fuera de la UE, Evnyo evalúa los riesgos vinculados a la transferencia de datos personales teniendo en cuenta:
• La naturaleza y sensibilidad de los datos transferidos (minimización a lo estrictamente necesario)
• La finalidad y duración del tratamiento
• Las garantías contractuales ofrecidas por el prestador de servicios (DPA, BCR, certificación Data Privacy Framework)
• La legislación del país de destino y riesgos de acceso gubernamental
• Medidas de seguridad técnicas adicionales (cifrado, pseudonimización)

Esta evaluación nos permite asegurar que cada transferencia se beneficie de un nivel de protección adecuado, incluso sin negociación de CCT personalizadas.

En resumen, ninguna transferencia de sus datos fuera del EEE tiene lugar sin marco estricto. Evnyo permanece atento a las evoluciones jurisprudenciales (sentencia "Schrems II", etc.) y recomendaciones de las autoridades para ajustar si es necesario sus mecanismos de transferencias internacionales. Nuestro objetivo es que sus datos se beneficien dondequiera que estén de un nivel de confidencialidad y seguridad conforme a los estándares europeos.

Evnyo solo conserva sus datos personales durante periodos limitados, proporcionales a las finalidades para las cuales fueron recogidos, y en conformidad con las exigencias legales. Aquí están nuestras principales políticas de retención:

• Datos vinculados a eventos y participantes: Los datos personales de invitados/participantes (nombres, contactos, estado, etc.) se conservan durante la vida del evento y su gestión activa, luego se eliminan o anonimizan 90 días después del fin del evento o la terminación del contrato, lo que ocurra primero. En la práctica, tan pronto como un evento ha pasado y es cerrado por el organizador, comienza un contador de retención. Al final de 90 días, purgamos de nuestra base todos los detalles identificativos relativos a este evento (lista de participantes con su información). Este periodo de 3 meses después del evento permite al organizador acceder aún a los informes y estadísticas, efectuar seguimientos post-evento (agradecimientos, informes anonimizados) y gestionar eventuales reclamaciones (ej. solicitud de certificado de participación) antes de la eliminación. Pasado este plazo, el organizador ya no tiene acceso a los datos personales de los participantes en Evnyo, siendo estos eliminados definitivamente o conservados bajo forma agregada/anonimizada para las estadísticas globales. (Ejemplo: una tasa de participación del 80% podrá conservarse sin ninguna mención de quién participó o no.)

• Datos de cuenta cliente (organizador): La información relativa a su cuenta Evnyo (perfil de usuario, información de la empresa cliente, historial de facturación) se conserva mientras utilice nuestros servicios y sea un cliente activo. Si decide cerrar su cuenta o en caso de rescisión del contrato, eliminaremos o anonimizaremos los datos de su perfil y eventos pasados como máximo 30 días después del fin del contrato, excepto aquellos que debemos guardar más tiempo para cumplir nuestras obligaciones legales o establecer la prueba de un derecho. Por ejemplo, los datos de facturación (facturas emitidas, información de pago) se conservarán conforme a las obligaciones contables y fiscales durante la duración legal (en España, 6 años para los documentos contables). Se eliminarán después. Del mismo modo, los intercambios contractuales que puedan tener valor jurídico podrán archivarse durante el tiempo de las prescripciones legales aplicables.

• Logs técnicos y datos de navegación: Los registros de actividad del sistema (conexiones, acciones realizadas) se conservan para la seguridad y trazabilidad durante una duración de 12 meses rodantes, salvo exigencia legal diferente. Los logs más sensibles (ej. logs de acceso de administrador) pueden guardarse hasta 2 años. Las direcciones IP recogidas para fines de seguridad o registro se conservan generalmente 3 meses (salvo IP asociadas a los logs de administración, conservadas 2 años). Los datos de navegación recogidos para fines estadísticos (vía cookies analíticas) son agregados y anonimizados inmediatamente, pero los datos brutos asociados a las cookies (ej. identificador de cookie) pueden conservarse 13 meses máximo conforme a las recomendaciones de las autoridades europeas de protección de datos, particularmente las exigencias estrictas de la CNIL francesa y las autoridades alemanas.

• Consentimientos: Los registros de consentimiento (por ej. registros CMP de CookieYes, prueba de opt-in) se conservarán el tiempo necesario para poder probar el cumplimiento en todos los países donde operamos. Así, los logs de consentimiento de cookies se archivan durante 6 meses a 13 meses (según que el usuario mantenga sus decisiones o las renueve), en línea con las regulaciones nacionales más estrictas en materia de cookies. Las pruebas de consentimiento para recibir comunicaciones (si Evnyo ofrece una newsletter u otro) se conservarían hasta cesación del envío + 3 años (duración de prescripción). De manera general, no borramos una prueba de consentimiento mientras el tratamiento en cuestión esté en curso y no sea contestado. En caso de retirada de consentimiento, podemos conservar la información de que se ha opuesto (lista de oposición) el tiempo necesario para no solicitarle de manera indebida.

• Copias de seguridad: Nuestro sistema realiza copias de seguridad cifradas regulares de la base de datos para asegurar la continuidad del servicio. Estas copias de seguridad pueden contener datos personales y se conservan en general durante 30 días rodantes antes de ser sobrescritas por nuevas copias de seguridad. Así, incluso después de eliminación de datos en la base principal, puede subsistir una copia en una copia de seguridad hasta su expiración. Pasados 30 días, las copias de seguridad que contienen estos datos obsoletos se destruyen automáticamente. Las copias de seguridad solo son accesibles para fines de restauración por nuestros administradores y están sujetas a las mismas medidas de seguridad y confidencialidad.

Al término de las duraciones anteriores, los datos se eliminan de forma segura o se vuelven anónimos de manera irreversible. Cuando los datos se anonimizan, salen del ámbito del RGPD (ninguna persona es identificable ya) y pueden conservarse más tiempo sin límite particular, por ejemplo para alimentar nuestras estadísticas globales o análisis internos.

Excepciones particulares: Puede ocurrir que debamos conservar ciertos datos más tiempo en caso de litigio o investigación (por ej. congelación de datos a petición de una autoridad, o conservación hasta resolución de un litigio). En este caso, bloquearemos el acceso a los datos en cuestión y los conservaremos el tiempo necesario para la acción judicial o administrativa. Sus datos también pueden conservarse más tiempo si la ley lo exige (por ej. en el marco de una obligación legal de conservación o archivo público).

Reevaluamos regularmente nuestras políticas de conservación para evitar almacenar datos personales más tiempo del necesario. Si estima que uno de sus datos se conserva indebidamente, no dude en ejercer su derecho a la eliminación (véase más adelante "Sus Derechos"), analizaremos su solicitud con atención respetando el RGPD.

Evnyo implementa medidas de seguridad técnicas y organizacionales rigurosas para proteger sus datos contra riesgos de pérdida, alteración, divulgación o acceso no autorizado, conforme al artículo 32 del RGPD. Nuestro enfoque de seguridad se basa en las mejores prácticas del sector y una evaluación continua de riesgos. Entre las medidas implementadas:

• Cifrado de intercambios (TLS): Todas las comunicaciones entre su navegador/dispositivo y la plataforma Evnyo están protegidas por un cifrado TLS 1.3 (https) de extremo a extremo. Esto garantiza que los datos que transmite o consulta en Evnyo no puedan ser interceptados o leídos por un tercero durante el tránsito. Puede verificar la presencia del candado de seguridad en su navegador durante el uso del servicio.

• Cifrado de datos en reposo: Los datos personales almacenados en nuestra base de datos así como los archivos importados en el bucket de Supabase están cifrados en reposo utilizando algoritmos de vanguardia (AES-256 por ejemplo). El cifrado en reposo significa que incluso en caso de acceso físico o robo de los soportes de almacenamiento, los datos permanecen ilegibles sin las claves de descifrado apropiadas. Estas claves de cifrado se mantienen secretas y protegidas en módulos seguros.

• Control de acceso y autenticación reforzada: Internamente, el acceso a datos personales está estrictamente reservado a las personas que lo necesitan para sus funciones (principio del need-to-know). Utilizamos una gestión fina de accesos por roles (RBAC – Role-Based Access Control) para segmentar los permisos dentro de nuestro equipo. Por ejemplo, un técnico de soporte puede ver ciertos datos de su cuenta para ayudarle, pero no tendrá acceso a datos financieros o listas de invitados de otros clientes. Además, todas nuestras cuentas de administrador y sensibles están protegidas por autenticación multifactor (MFA) obligatoria, reduciendo el riesgo de intrusión vía robo de contraseña. La autenticación de usuarios clientes también soporta estándares de seguridad (contraseñas hasheadas con salt, exigencias de complejidad, posibilidad de 2FA si lo desea, etc.).

• Pruebas, auditorías y mantenimiento de seguridad: Realizamos regularmente pruebas de penetración y análisis de vulnerabilidades en nuestra plataforma para identificar eventuales fallos. Cualquier componente o dependencia de software se actualiza rápidamente cuando un parche de seguridad está disponible. Seguimos las recomendaciones del OWASP Top 10 para prevenir vulnerabilidades aplicativas comunes (inyecciones, XSS, CSRF, etc.). Además, nuestros encargados del tratamiento críticos (ej. Supabase, Vercel) están certificados o auditados (certificaciones ISO 27001, SOC 2 Type II, etc.), asegurando un alto nivel de seguridad de la infraestructura.

• Integridad y resistencia: Nuestros sistemas integran mecanismos que garantizan la confidencialidad, integridad, disponibilidad y resistencia de sus datos. Por ejemplo, duplicamos los datos en varios servidores redundantes para prevenir la pérdida en caso de fallo (con copias de seguridad regulares como se mencionó). El acceso a los datos en producción se registra y supervisa permanentemente. Cualquier anomalía (intento de acceso injustificado, pico de tráfico sospechoso, etc.) desencadena alertas de seguridad en tiempo real. También tenemos procedimientos de restauración de emergencia probados regularmente para restablecer rápidamente el servicio y acceso a los datos en caso de incidente mayor (plan de continuidad de actividad / plan de recuperación tras siniestro).

• Seguridad de desarrollos: Nuestros equipos integran la seguridad desde la concepción de nuevas funcionalidades (privacy by design & by default, art. 25 RGPD). Los entornos de prueba están aislados de los datos reales (utilizamos conjuntos de datos ficticios para el desarrollo para no exponer datos verdaderos). Cualquier modificación de código está sujeta a revisiones (code review) y pruebas unitarias/funcionales incluyendo aspectos de seguridad.

• Confidencialidad del personal y formación: Cada colaborador de Evnyo que tiene acceso a datos personales está sujeto contractualmente a una obligación de confidencialidad. Además, sensibilizamos regularmente a todo el personal sobre las buenas prácticas de protección de datos (formaciones RGPD, seguridad informática, procedimientos a seguir en caso de incidente, etc.).

• Medidas físicas y ambientales: Aunque Evnyo es una solución cloud, nos aseguramos de que nuestros alojadores dispongan de medidas de protección física robustas (centros de datos vigilados 24/7, control de acceso físico biométrico o por tarjeta, redundancia eléctrica, detección de incendios, etc.).

En caso de violación de datos personales a pesar de todas estas precauciones (por ej. intrusión probada, pérdida o divulgación no autorizada de datos), nos comprometemos a seguir el procedimiento legal: notificación a la AEPD en 72h si se exige (artículo 33 RGPD) y comunicación a las personas afectadas cuando la violación sea susceptible de generar un riesgo elevado para ellas (artículo 34 RGPD). Disponemos de un registro interno de incidentes de seguridad y un plan de respuesta a incidentes para gestionar eficazmente este tipo de situación. Nuestro objetivo es ser proactivo y transparente: si está afectado por un incidente grave, será informado en los mejores plazos, con toda la información sobre la naturaleza del incidente y las medidas tomadas.

Conforme al RGPD, dispone de un conjunto de derechos relativos a sus datos personales. Evnyo se compromete a garantizar el respeto efectivo de estos derechos y a ofrecerle modalidades simples para ejercerlos. Aquí un resumen de sus derechos fundamentales:

• Derecho a estar informado: tiene derecho a estar informado de manera clara sobre los tratamientos de sus datos (este es precisamente el objeto de esta política de privacidad). Nos esforzamos por proporcionarle toda la información requerida por los artículos 13 y 14 RGPD (identidad del responsable, finalidades, bases legales, destinatarios, periodos de conservación, etc.).

• Derecho de acceso: puede solicitarnos confirmación de que poseemos datos personales que le conciernen, y en su caso, obtener una copia así como información sobre las modalidades del tratamiento (finalidades, categorías de datos, destinatarios, etc.). Concretamente, esto le permite saber qué datos tenemos sobre usted. Proporcionaremos esta información de forma comprensible y por el medio de comunicación de su elección (electrónico o papel). Nota: para los invitados de eventos, en la medida en que Evnyo actúa como encargado del tratamiento del organizador, a menudo es más pertinente solicitar primero al organizador (responsable del tratamiento) el acceso a sus datos de inscripción. Sin embargo, también puede contactarnos directamente; coordinaremos entonces con nuestro cliente para aportarle una respuesta completa.

• Derecho de rectificación: si constata que datos que le conciernen son inexactos o incompletos, puede solicitar su corrección o actualización. Por ejemplo, si su nombre está mal escrito o si cambia de dirección de email, procederemos a la modificación en los mejores plazos. En la práctica, los usuarios organizadores pueden rectificar ellos mismos cierta información de su cuenta vía los parámetros del perfil. Para los participantes, una solicitud puede dirigirse al organizador o a nosotros, y rectificaremos bajo instrucción del organizador.

• Derecho a la eliminación ("derecho al olvido"): puede obtener la supresión de sus datos personales en nuestros archivos, especialmente si ya no son necesarios respecto a las finalidades para las cuales fueron recogidos, o si retira su consentimiento (cuando el tratamiento se basaba en el consentimiento). Este derecho no es absoluto: podremos tener que conservar ciertos datos si una obligación legal nos obliga a ello o si son aún necesarios para constatar/ejercer/defender un derecho en justicia. Concretamente, para un invitado que ya no desea aparecer en la lista de participantes, el organizador o nosotros mismos podemos suprimir sus datos (lo que se realizará salvo impedimento legítimo). Si Evnyo interviene como encargado del tratamiento, informaremos al organizador de su solicitud de eliminación y, salvo instrucción contraria legítima de su parte, procederemos a la supresión efectiva de sus datos en nuestros sistemas y confirmaremos la operación.

• Derecho a la limitación del tratamiento: en ciertas situaciones, puede solicitar la limitación (congelación temporal) del tratamiento de sus datos. Por ejemplo, si contesta la exactitud de un dato o la licitud de un tratamiento, el tiempo que verifiquemos o que encontremos un acuerdo, puede solicitar que el dato ya no se utilice (pero simplemente se conserve). Cuando se otorga la limitación, ya no tratamos el dato excepto para conservarlo o por motivos legales imperativos. Le informaremos previamente si la limitación debe levantarse.

• Derecho de oposición: tiene derecho a oponerse, por razones relativas a su situación particular, a todo tratamiento de sus datos fundado en el interés legítimo de Evnyo (artículo 6(1)(f)). Si ejerce este derecho, cesaremos el tratamiento contestado, salvo que existan motivos legítimos e imperiosos para continuar (por ejemplo, la necesidad de conservar ciertos datos para la defensa de derechos en justicia) o si el tratamiento es requerido por la ley. También puede oponerse en cualquier momento al tratamiento de sus datos con fines de prospección (ej: si Evnyo enviara newsletters o comunicaciones de marketing – lo que solo hacemos con consentimiento). En este último caso, la oposición es absoluta: cesaremos sin condición el envío de solicitaciones. Respecto a las cookies, su derecho de oposición se traduce en la posibilidad de rechazar toda cookie no esencial vía la CMP (lo que es una forma de oposición a un tratamiento de perfilado publicitario por ej.).

• Derecho a la portabilidad: tiene derecho a recibir sus datos personales que nos ha proporcionado, en un formato estructurado, de uso común y legible por máquina, y a transmitirlos a otro responsable del tratamiento si lo desea. Este derecho se aplica únicamente a los datos que ha proporcionado activamente (ej: información de su perfil, listas de invitados importadas) o generados por su actividad, y solo para los tratamientos automatizados fundados en su consentimiento o un contrato. En la práctica, los organizadores pueden exportar ellos mismos muchos datos vía nuestra interfaz (por ej. exportar la lista de participantes de un evento en CSV). Si desea que Evnyo facilite la transferencia hacia otro servicio, haremos lo posible (ej: proporcionar un archivo conteniendo sus eventos y contactos invitados). Para los participantes, la portabilidad puede ejercerse ante el organizador (que es responsable del tratamiento de sus datos de invitación) o ante Evnyo que retransmitirá la solicitud.

• Derecho a no ser objeto de una decisión automatizada: Evnyo no toma ninguna decisión que tenga efectos jurídicos o significativos sobre usted de manera automatizada (sin intervención humana). Este derecho, previsto en el artículo 22 RGPD, apunta a casos como el perfilado automático que lleva a un rechazo de servicio, etc., lo que no tiene lugar aquí. En cualquier caso, tendría derecho a solicitar la intervención humana, expresar su punto de vista y contestar la decisión.

Además de estos derechos, le recordamos que si el tratamiento de sus datos se basa en su consentimiento, puede retirar este consentimiento en cualquier momento (tan fácilmente como lo otorgó). La retirada del consentimiento pone fin al tratamiento en cuestión para el futuro, sin efecto retroactivo (esto no afecta la licitud del tratamiento pasado). Por ejemplo, puede darse de baja de una newsletter o rechazar las cookies opcionales, respetaremos esta elección inmediatamente.

Ejercicio de sus derechos: Estos derechos pueden ejercerse gratuitamente (salvo abuso repetido) contactándonos en las coordenadas indicadas en la sección Responsable del tratamiento. Para facilitar sus gestiones, puede enviar un email a privacy@evnyo.com precisando el objeto de su solicitud y justificando su identidad (para evitar que un tercero ejerza sus derechos en su lugar de manera fraudulenta, podríamos pedirle un justificante o una verificación). También puede enviar una carta postal a nuestra dirección legal (mencionada en nuestro sitio) a la atención del referente de protección de datos. Acusaremos recibo de su solicitud y le daremos seguimiento en los mejores plazos.

Plazo de respuesta: Nos comprometemos a responderle en 1 mes a partir de la recepción de la solicitud. Si su solicitud es compleja o recibimos muchas, este plazo podrá prolongarse 2 meses suplementarios, pero entonces será informado de la necesidad de prolongación en el primer mes. En caso de rechazo excepcional de acceder a su solicitud (por ejemplo si es manifiestamente infundada o excesiva, art. 12(5) RGPD), le expondremos las razones y tendrá la posibilidad de contestar esta decisión.

Evnyo se esforzará siempre por facilitar el ejercicio de sus derechos. Ninguna solicitud razonable será ignorada. Si estima que no le hemos satisfecho en el ejercicio de sus derechos, o más generalmente que no respetamos nuestras obligaciones en materia de protección de datos, tiene derecho a introducir una reclamación ante la autoridad de control competente de su país de residencia:

• Francia: Commission Nationale de l'Informatique et des Libertés (CNIL) - Sitio web: cnil.fr, sección "Quejas". Dirección: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Reino Unido: Information Commissioner's Office (ICO) - Sitio web: ico.org.uk
• Alemania: Según su Land de residencia, contacte la autoridad competente vía bfdi.bund.de
• España: Agencia Española de Protección de Datos (AEPD) - Sitio web: aepd.es
• Italia: Garante per la protezione dei dati personali - Sitio web: garanteprivacy.it
• Portugal: Comissão Nacional de Proteção de Dados (CNPD) - Sitio web: cnpd.pt
• Polonia: Urząd Ochrony Danych Osobowych (UODO) - Sitio web: uodo.gov.pl
• Rumania: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) - Sitio web: dataprotection.ro
• Países Bajos: Autoriteit Persoonsgegevens (AP) - Sitio web: autoriteitpersoonsgegevens.nl
• Bélgica: Autorité de protection des données (APD/GBA) - Sitio web: dataprotectionauthority.be
• Austria: Datenschutzbehörde (DSB) - Sitio web: dsb.gv.at

Si reside en otro país de la UE/EEE, puede contactar la autoridad de protección de datos de su país, que transmitirá en su caso a la autoridad líder (la CNIL francesa para Evnyo) o tratará en cooperación con ella según el mecanismo de ventanilla única del RGPD.

Le invitamos sin embargo a contactarnos en primer recurso: estamos abiertos al diálogo y haremos todo lo posible para resolver directamente cualquier problema que nos plantee.

(Nota: Para los participantes invitados vía Evnyo, recuerde que el organizador del evento es generalmente el "responsable del tratamiento" principal de sus datos de invitación. Evnyo actúa entonces como encargado del tratamiento. Así, puede dirigir sus solicitudes bien directamente al organizador (que nos las retransmitirá si es necesario), bien a Evnyo vía nuestro referente de protección de datos – cooperaremos estrechamente con el organizador para responderle.)

El sitio y la plataforma Evnyo utilizan cookies y tecnologías similares para diversos fines, conforme a los requisitos de la Directiva ePrivacy (2002/58/CE) y sus transposiciones nacionales, especialmente:

• Francia: Artículos 82 y siguientes de la Loi Informatique et Libertés modificada
• Alemania: Telemediengesetz (TMG) y exigencias estrictas del BGH
• España: Ley de Servicios de la Sociedad de la Información (LSSI)
• Italia: Codice Privacy y directrices del Garante
• Reino Unido: Privacy and Electronic Communications Regulations (PECR)
• Países Bajos: Telecommunicatiewet y directrices estrictas de la Autoriteit Persoonsgegevens
• Bélgica: Loi du 13 juin 2005 relative aux communications électroniques
• Austria: Telekommunikationsgesetz (TKG) y estándares estrictos de la DSB
• Otros países: Regulaciones nacionales equivalentes

Consentimiento reforzado: Durante su primera visita, un banner de consentimiento (proporcionado por CookieYes) le permite aceptar o rechazar las cookies no esenciales de manera granular por categoría. Conforme a los estándares europeos más estrictos, obtenemos su consentimiento previo, libre, específico, informado e inequívoco para cada finalidad. Puede modificar sus decisiones en cualquier momento haciendo clic en el enlace "Cookies" o icono dedicado disponible en el sitio, y retirar su consentimiento tan fácilmente como lo otorgó.

Las cookies que utilizamos se clasifican especialmente en las siguientes categorías:

• Cookies estrictamente necesarias: indispensables para el funcionamiento del sitio o para la prestación del servicio que solicita. Por ejemplo, las cookies de sesión para mantenerle conectado, o las que sirven para memorizar las decisiones de consentimiento. Estas cookies no requieren consentimiento previo según la excepción del artículo 5(3) de la Directiva ePrivacy. No puede desactivarlas sin alterar el servicio, pero no tratan datos de carácter personal otros que puramente técnicos.

• Cookies de rendimiento y estadísticas: estas cookies (Google Analytics o equivalente, parametrizadas respetando la regulación con anonimización IP y duración de conservación limitada) nos ayudan a comprender cómo se utiliza el sitio, qué páginas son las más visitadas, etc. Hemos configurado estas herramientas para anonimizar su IP y evitar todo seguimiento individual. Solo se depositan con su consentimiento explícito. Los datos recogidos se agregan para mejorar nuestros servicios y la ergonomía del sitio.

• Cookies de funcionalidad: mejoran su experiencia (ej: memorizar sus preferencias de visualización, idioma, etc.). Son opcionales y están sujetas a consentimiento previo.

• Cookies de comunicación: si Evnyo integra en el futuro módulos de chat en directo, videoconferencia u otros servicios de terceros (por ej. para webinarios), estos servicios podrían depositar sus propias cookies. También estarán sujetas a consentimiento y claramente identificadas en la CMP.

Duración de conservación: Cada cookie tiene una duración de vida predefinida y proporcional a su finalidad (por ej. sesión, 1 mes, 13 meses máximo para las cookies analíticas). Encontrará el detalle de cada cookie, su finalidad, emisor y duración en nuestra Política de Cookies accesible vía la CMP.

Trazabilidad de consentimientos: Evnyo mantiene un registro detallado de los consentimientos de cookies vía CookieYes, lo que nos permite guardar la prueba de su acuerdo o rechazo para cada categoría de cookies en nuestro sitio. Esta trazabilidad garantiza que respetamos sus preferencias de manera continua y permite demostrar nuestro cumplimiento en caso de control.

Ninguna monetización de datos: No procedemos a ninguna venta de datos de navegación a anunciantes u otros terceros. Si se utilizaran cookies de terceros (por ej. YouTube, Google Maps integrados), también estarían sujetas a su consentimiento previo y claramente identificadas.

Para más información sobre nuestro uso de cookies, y sobre cómo parametrizarlas, consulte nuestra página dedicada "Política de Gestión de Cookies" o contáctenos.

Evnyo permite a los participantes del evento cargar fotos en los álbumes de eventos cuando esta función está habilitada por el organizador. Al cargar fotos en un evento, los usuarios deben proporcionar un consentimiento explícito y reconocer las siguientes responsabilidades:

Consentimiento y responsabilidades del usuario: Antes de cargar cualquier foto, los usuarios deben confirmar:

• Que tienen derecho a compartir el contenido cargado
• Que todas las personas identificables en las fotos han dado su consentimiento para ser fotografiadas y para que las fotos se compartan en el contexto del evento
• Que el organizador del evento puede usar estas fotos dentro del alcance del evento
• Que aceptan la responsabilidad total del contenido que cargan

Asignación de responsabilidades: Para garantizar una responsabilidad clara:

• El usuario que carga es el único responsable del contenido que carga, incluida la obtención de los permisos necesarios de las personas que aparecen en las fotos
• El organizador del evento es responsable de moderar el contenido si ha habilitado la moderación, y del uso que hace de las fotos cargadas
• Evnyo actúa como intermediario técnico y no es responsable del contenido cargado por los usuarios, pero cooperará con las solicitudes legítimas de eliminación

Derechos de imagen y privacidad: Los usuarios que cargan fotos deben respetar:

• Los derechos de imagen de todas las personas que aparecen en las fotos
• Las leyes de privacidad aplicables en su jurisdicción
• El contexto específico del evento y cualquier restricción comunicada por el organizador

Eliminación de contenido: Si aparece en una foto y desea que se elimine, puede:

• Contactar directamente al organizador del evento
• Usar la función de informe disponible en cada foto
• Contactar a nuestro oficial de protección de datos en privacy@evnyo.com

Procesaremos las solicitudes de eliminación de acuerdo con las leyes aplicables y podemos requerir prueba de identidad para garantizar la legitimidad de la solicitud.

Medidas técnicas: Por transparencia, registramos:

• Confirmación del consentimiento (marca de tiempo e IP anonimizada)
• Metadatos de carga para la responsabilidad
• Todas las fotos se procesan para eliminar los datos de ubicación GPS por privacidad

Esta política de privacidad podrá evolucionar, especialmente para reflejar cambios en nuestras prácticas o para conformarse a eventuales modificaciones legales/regulatorias. En caso de modificación sustancial (por ej. nuevas finalidades, nuevos destinatarios, etc.), le informaremos previamente, vía un aviso en el sitio o un email, y si lo requiere la ley, solicitaremos su consentimiento cuando la modificación lo exija. La versión actualizada de la política estará siempre accesible en nuestro sitio en la sección \"Privacidad\". Le invitamos a consultarla periódicamente.

Fecha de vigencia: Esta política está en vigor a partir del 01/06/2025.

Al elegir Evnyo, confía sus datos a una plataforma que sitúa la privacidad y la seguridad en el corazón de sus preocupaciones. Esperamos que este documento le haya aportado toda la transparencia esperada sobre nuestras prácticas. Si tiene alguna pregunta adicional sobre sus datos o nuestro cumplimiento, no dude en contactarnos – nuestro equipo y nuestro referente de protección de datos están aquí para aportarle respuestas expertas y personalizadas.

Gracias por su confianza, ¡y buenos eventos con Evnyo!

Para cualquier pregunta relativa a esta política o el ejercicio de sus derechos, puede contactar con nuestro equipo y nuestro referente de protección de datos que están aquí para proporcionarle respuestas expertas y personalizadas.