Pendiente de validación legalEste documento describe el tratamiento real de datos del sistema NFC y panel corporate de Grupo Sounds (mayo 2026). Los datos del responsable están pendientes de confirmación. Antes de publicar, validar con asesor legal y reemplazar los marcadores [REVISAR].
1. Responsable del tratamiento
El responsable del tratamiento de tus datos personales es:
Razón social: Grupo Sounds [REVISAR — razón social completa]
Nombre comercial: Grupo Sounds
CIF/NIF: [REVISAR — CIF/NIF]
Domicilio: Madrid, España [REVISAR — dirección fiscal completa]
Delegado de protección de datos (DPO): dpo@gruposounds.com [REVISAR — confirmar existencia o sustituir por canal de contacto RGPD]
2. ¿Qué datos tratamos y con qué finalidad?
Tratamos distintas categorías de datos según el flujo en el que participes. En todos los casos, recogemos el mínimo imprescindible para prestar el servicio (principio de minimización, art. 5.1.c RGPD).
2.1. Programa Hoteles (acceso a salas FITZ)
Cuando un huésped acerca su móvil a la tarjeta NFC de un recepcionista del hotel colaborador:
Datos del huésped: nombre, email, teléfono y evento seleccionado.
Finalidad: emitir la entrada al venue (FITZ Madrid, Marbella, Mallorca, etc.) a través de nuestro proveedor de ticketing.
Base legal: ejecución de la relación contractual de acceso al venue (art. 6.1.b RGPD).
Conservación: 6 meses tras la fecha del evento, salvo obligaciones legales aplicables.
2.2. Programa Corporativo (lead comercial)
Cuando contactas con nosotros vía landing web, tarjeta NFC corporate o formulario de contacto:
Datos del contacto: nombre, apellidos, empresa, email, teléfono y mensaje opcional. También recopilamos parámetros UTM, IP y user-agent para análisis estadístico interno.
Finalidad: contactarte para gestionar tu solicitud de evento corporativo o información comercial.
Base legal: consentimiento explícito (art. 6.1.a RGPD) prestado al marcar la casilla de aceptación.
Conservación: 24 meses desde el último contacto, salvo que solicites antes la supresión.
2.3. Solicitudes de invitación personal (panel corporate)
Si dispones de tarjeta corporate y solicitas tu invitación anual:
Datos: nombre del beneficiario, email, teléfono, fecha solicitada, nombre del acompañante (si aplica).
Finalidad: gestionar y emitir tu acceso.
Base legal: ejecución contractual del programa corporativo.
Conservación: 24 meses tras la fecha de la invitación.
2.4. Recepcionistas y personal de hoteles colaboradores
Datos: nombre, código de empleado, email opcional, contraseña en formato hash, credencial biométrica (FaceID) si la activas, puntos acumulados.
Finalidad: permitir el acceso al panel y operar la emisión de entradas.
Base legal: ejecución contractual con el hotel colaborador.
Conservación: durante la vigencia de la relación laboral con el hotel + 6 meses.
2.5. Registros de auditoría
Datos: IP, user-agent, ruta solicitada, identificador interno de tarjeta o sesión, tipo de evento.
Finalidad: seguridad, prevención del fraude y obligaciones legales.
Base legal: interés legítimo (art. 6.1.f RGPD) en garantizar la seguridad del sistema.
Conservación: hasta 5 años (registros inmutables) por finalidad de prueba en caso de incidente.
3. Encargados del tratamiento
Para prestar el servicio, nos apoyamos en los siguientes proveedores que actúan como encargados del tratamiento (con contrato RGPD firmado o equivalente):
Proveedor
Finalidad
Ubicación
Fourvenues
Emisión y validación de entradas en puerta.
Unión Europea
Cloudflare
Hosting edge, almacenamiento KV, seguridad WAF.
Global (DPA marco RGPD)
Supabase
Base de datos PostgreSQL.
Unión Europea
Resend
Envío de emails transaccionales.
Unión Europea
Pendiente de validación legalConfirmar acuerdo de encargado del tratamiento (DPA) firmado con cada proveedor antes de publicar.
4. Transferencias internacionales
El servicio se opera principalmente en infraestructura ubicada en la Unión Europea. Cloudflare puede procesar tráfico en su red global; en ese caso, opera bajo las cláusulas contractuales tipo aprobadas por la Comisión Europea (Decisión 2021/914) que garantizan un nivel de protección adecuado.
5. Tus derechos
De acuerdo con el RGPD y la LOPDGDD, puedes ejercer los siguientes derechos sobre tus datos:
Acceso: conocer qué datos tuyos tratamos.
Rectificación: corregir datos inexactos.
Supresión: solicitar que borremos tus datos.
Limitación: pedir que sólo conservemos pero no usemos tus datos.
Portabilidad: recibir tus datos en un formato estructurado.
Oposición: oponerte al tratamiento basado en interés legítimo.
Retirar el consentimiento: cuando el tratamiento se base en él.
Para ejercerlos, escribe a corporate@gruposounds.com indicando claramente el derecho que ejerces y adjuntando copia de tu DNI/NIE/pasaporte.
Si consideras que tu solicitud no ha sido atendida correctamente, puedes reclamar ante la Agencia Española de Protección de Datos (www.aepd.es).
6. Seguridad
Aplicamos medidas técnicas y organizativas para proteger tus datos:
Cifrado en tránsito (TLS) en todas las comunicaciones.
Cifrado en aplicación de campos sensibles (cifrado simétrico AES-GCM antes de persistir en base de datos).
Control de acceso basado en roles para personal interno.
Autenticación reforzada (PIN + biometría FaceID + TOTP) para el panel de administración.
Registros de auditoría inmutables.
Pruebas periódicas de seguridad y revisiones de código.
7. Menores
El acceso a las salas de Grupo Sounds está restringido a personas mayores de 18 años (derecho de admisión). En consecuencia, no recogemos datos de menores. Si detectas que se ha registrado un menor, contáctanos para suprimirlos.
8. Cambios en esta política
Podemos modificar esta política para adaptarla a cambios legales o de funcionamiento. Cualquier cambio sustancial se notificará en esta misma página con su fecha de entrada en vigor. La versión vigente es siempre la publicada en https://nfc.web-mate.net/legal/privacidad.