Política de Privacidad

1. Responsable del Tratamiento

Titular: Raimundo Palma Méndez
DNI: 54184186G
Dirección: Av. Montequinto 8, Dos Hermanas, Sevilla, España (41089)
Email de contacto: contacto@rayelus.com

2. Datos que Recopilamos

Recopilamos únicamente los datos estrictamente necesarios para la prestación del servicio, según el tipo de interacción:

• Usuarios registrados: Nombre o alias, dirección de correo electrónico, contraseña (almacenada de forma cifrada mediante bcrypt), imagen de perfil (propia o de proveedor OAuth), e identificador de cliente de Stripe. Nunca almacenamos los datos completos de tu tarjeta de crédito o débito; estos son gestionados directamente por Stripe.
• Datos de eventos: Títulos, descripciones, fechas de galas, nombres de nominados e imágenes asociadas a los eventos que creas. Estos datos son proporcionados voluntariamente por ti.
• Colaboradores: Cuando invitas a otro usuario registrado como colaborador de un evento, procesamos su dirección de correo electrónico o identificador de usuario para gestionar la invitación y el acceso.
• Votantes anónimos: No recopilamos datos personales identificables de los participantes que votan sin estar registrados. Para garantizar la integridad de las votaciones utilizamos un identificador anonimizado (voterHash) derivado de una huella técnica del navegador y el evento, así como cookies técnicas. Este hash no permite identificar a la persona por sí mismo.
• Datos de navegación: Podemos registrar datos técnicos como la dirección IP (de forma anonimizada para el control de tasas de petición), tipo de navegador y sistema operativo, exclusivamente para prevenir abusos y garantizar la seguridad del servicio.

3. Finalidad del Tratamiento y Base Legal

Tratamos tus datos con las siguientes finalidades y bases legales conforme al artículo 6 del RGPD:

Lo que NO hacemos con tus datos:

• No vendemos, alquilamos ni cedemos tus datos a terceros con fines comerciales.
• No compartimos tu información con empresas o proyectos ajenos a la prestación del servicio.
• No utilizamos tus datos ni el contenido de tus eventos para entrenar modelos de inteligencia artificial.
• No realizamos perfilado o toma de decisiones automatizada con efectos jurídicos sobre ti.

4. Plazos de Conservación

Conservamos tus datos personales durante el tiempo estrictamente necesario para cumplir con las finalidades para las que fueron recogidos:

• Datos de cuenta activa: Mientras mantengas tu cuenta registrada en POLLNOW.
• Datos de facturación y pagos: 5 años desde la última transacción, conforme a las obligaciones fiscales establecidas en la Ley 58/2003 General Tributaria.
• Datos de eventos: Mientras el evento esté activo y durante 12 meses adicionales tras su eliminación, para atender posibles reclamaciones.
• Tras la eliminación de la cuenta: Los datos se eliminarán de forma definitiva en un plazo máximo de 30 días, salvo obligación legal de conservación.
• Hashes de votación anónima: Se conservan durante la vida del evento correspondiente para garantizar la integridad de la votación.

5. Encargados del Tratamiento (Subprocesadores)

Para prestar el servicio, compartimos datos con los siguientes proveedores externos que actúan como encargados del tratamiento, con los que mantenemos los acuerdos de tratamiento de datos exigidos por el RGPD:

• Stripe, Inc. (EE. UU.) — Procesamiento de pagos y gestión de suscripciones. Certificado PCI DSS nivel 1. Transferencia a EE. UU. amparada en las Cláusulas Contractuales Tipo de la UE.
• Neon, Inc. (EE. UU.) — Alojamiento de la base de datos PostgreSQL. Transferencia a EE. UU. amparada en las Cláusulas Contractuales Tipo de la UE. Los datos se alojan en la región eu-central-1 (Europa, Frankfurt).
• Vercel, Inc. (EE. UU.) — Infraestructura de alojamiento de la aplicación web. Transferencia a EE. UU. amparada en las Cláusulas Contractuales Tipo de la UE.
• Pusher Ltd. (Reino Unido) — Servicio de comunicación en tiempo real para la funcionalidad de colaboración. El Reino Unido cuenta con una decisión de adecuación de la Comisión Europea.
• Resend, Inc. (EE. UU.) — Envío de correos electrónicos transaccionales (recuperación de contraseña, invitaciones). Transferencia a EE. UU. amparada en las Cláusulas Contractuales Tipo de la UE.
• Pollinations AI — Generación de imágenes mediante inteligencia artificial para los planes de pago. Los prompts enviados no contienen datos personales identificables de los usuarios.

6. Transferencias Internacionales de Datos

Algunos de nuestros proveedores están ubicados fuera del Espacio Económico Europeo (EEE), concretamente en Estados Unidos. Estas transferencias se realizan con las garantías adecuadas exigidas por el Capítulo V del RGPD, mediante Cláusulas Contractuales Tipo adoptadas por la Comisión Europea (Decisión de Ejecución 2021/914/UE), lo que garantiza un nivel de protección equivalente al del EEE.

Puedes solicitar más información sobre las garantías aplicables a estas transferencias escribiendo a contacto@rayelus.com.

7. Tus Derechos

Conforme al RGPD y la LOPDGDD, tienes los siguientes derechos respecto a tus datos personales:

• Acceso (art. 15 RGPD): Conocer qué datos tuyos tratamos.
• Rectificación (art. 16 RGPD): Corregir datos inexactos o incompletos. Puedes actualizar la mayoría de tus datos directamente desde la configuración de tu cuenta.
• Supresión (art. 17 RGPD): Solicitar la eliminación de tus datos cuando ya no sean necesarios, retires el consentimiento o te opongas al tratamiento, salvo obligación legal de conservación.
• Limitación del tratamiento (art. 18 RGPD): Solicitar que suspendamos el tratamiento de tus datos en determinados supuestos.
• Portabilidad (art. 20 RGPD): Recibir tus datos en un formato estructurado, de uso común y lectura mecánica.
• Oposición (art. 21 RGPD): Oponerte al tratamiento basado en interés legítimo.
• No ser objeto de decisiones automatizadas (art. 22 RGPD): No aplicamos perfilado automatizado con efectos jurídicos.

Para ejercer cualquiera de estos derechos, escríbenos a contacto@rayelus.com indicando tu nombre, el derecho que deseas ejercer y adjuntando una copia de tu DNI u otro documento identificativo. Responderemos en el plazo máximo de un mes desde la recepción de tu solicitud (art. 12 RGPD).

8. Derecho a Presentar una Reclamación ante la AEPD

Si consideras que el tratamiento de tus datos personales vulnera la normativa de protección de datos, tienes derecho a presentar una reclamación ante la autoridad de control competente en España:

Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6, 28001 Madrid
Web: www.aepd.es
Sede electrónica: sedeagpd.gob.es

Te recomendamos que, antes de presentar una reclamación ante la AEPD, te pongas en contacto con nosotros para intentar resolver la situación de forma directa y eficaz.

9. Seguridad de los Datos

Aplicamos medidas técnicas y organizativas apropiadas para proteger tus datos personales contra el acceso no autorizado, la divulgación, la alteración o la destrucción. Estas medidas incluyen, entre otras: cifrado de contraseñas (bcrypt), transmisión de datos mediante HTTPS/TLS, control de acceso basado en roles y auditoría de acciones críticas.

En caso de producirse una violación de seguridad que afecte a tus datos, te notificaremos sin dilación indebida y, en todo caso, en el plazo máximo de 72 horas desde que tengamos conocimiento de ella, conforme al artículo 33 del RGPD.

10. Actualización de esta Política

Podemos actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas, en los servicios o en la legislación aplicable. Cuando realicemos cambios significativos, te lo notificaremos mediante un aviso destacado en la plataforma o por correo electrónico con antelación suficiente. La fecha de la última actualización figura siempre al inicio de este documento.