1. Tratamiento
| Correo electrónico | info@klipmeet.com |
|---|---|
| Sitio web | https://klipmeet.com |
Mientras la entidad no esté formalmente constituida, la persona física promotora de la plataforma asume la condición de responsable del tratamiento a todos los efectos del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018 (LOPDGDD).
2. Delegado de Protección de Datos
KlipMeet no está obligada actualmente a designar un Delegado de Protección de Datos (DPD/DPO) con arreglo al artículo 37 del RGPD, al no realizar tratamientos a gran escala de categorías especiales de datos ni actividades de monitorización sistemática a gran escala.
Para cualquier consulta sobre privacidad o protección de datos, puede dirigirse a: info@klipmeet.com (asunto: Protección de datos).
3. Tratamientos de datos personales realizados
3.1 Registro y autenticación
Datos tratados: nombre, dirección de correo electrónico, contraseña (almacenada con hash bcrypt), imagen de perfil (opcional), dirección IP y cadena User-Agent (navegador y dispositivo).
Finalidad: Crear y gestionar la cuenta de usuario; autenticar el acceso; verificar la dirección de correo electrónico; permitir el restablecimiento de contraseña; seguridad de la cuenta.
Base jurídica: Ejecución de un contrato en el que el interesado es parte (art. 6.1.b RGPD). Los datos técnicos de sesión (IP, User-Agent) se tratan por interés legítimo en la seguridad del servicio (art. 6.1.f RGPD).
Plazo de conservación: Mientras la cuenta permanezca activa. Tras la baja, los datos se eliminan en un plazo máximo de 30 días, salvo obligación legal de conservación. Los registros de sesión (IP) se conservan un máximo de 12 meses.
3.2 Inicio de sesión con Google (OAuth)
Datos tratados: correo electrónico, nombre e imagen de perfil obtenidos de Google; tokens de acceso y refresco OAuth (almacenados cifrados).
Finalidad: Permitir la autenticación mediante la cuenta Google del usuario como alternativa al registro con contraseña.
Base jurídica: Ejecución del contrato (art. 6.1.b RGPD); el usuario inicia voluntariamente el flujo de autenticación. Consentimiento implícito en el proceso OAuth (art. 6.1.a RGPD).
Tercero implicado: Google LLC (ver sección 4). Los datos de perfil se transmiten desde los servidores de Google a KlipMeet en el momento de la autenticación.
Plazo de conservación: Mientras la cuenta Google permanezca vinculada. Los tokens se eliminan cuando el usuario desvincula su cuenta Google o da de baja su perfil en KlipMeet.
3.3 Perfil de usuario
Datos tratados: nombre, imagen de perfil, biografía (opcional), localización geográfica a nivel de ciudad/región/país (opcional), idioma preferido.
Finalidad: Personalizar la experiencia en la plataforma; mostrar información de perfil a otros miembros del mismo grupo cuando el usuario participa en él.
Base jurídica: Ejecución del contrato (art. 6.1.b RGPD) para los datos básicos de perfil. Consentimiento del usuario (art. 6.1.a RGPD) para los campos opcionales (bio, localización, imagen), que puede retirar en cualquier momento desde la configuración del perfil sin que ello afecte a la licitud del tratamiento previo.
Plazo de conservación: Mientras la cuenta permanezca activa. Los datos opcionales se eliminan de inmediato cuando el usuario los suprime desde su perfil.
3.4 Gestión de grupos y organizaciones
Datos tratados: datos del grupo (nombre, tipo, descripción, web, teléfono, correo de contacto, foto, localización); estado de membresía del usuario (pendiente/activo/rechazado); rol de organizador.
Finalidad: Permitir la creación y gestión de organizaciones en la plataforma (AMPAs, asociaciones, empresas, grupos); gestionar el acceso de los miembros a los eventos del grupo.
Base jurídica: Ejecución del contrato (art. 6.1.b RGPD).
Plazo de conservación: Mientras el grupo esté activo. El borrado de grupos es lógico; los datos de membresía se conservan hasta la eliminación definitiva del grupo o solicitud del interesado.
3.5 Gestión de eventos y control de asistencia
Datos tratados: nombre del evento, fecha, descripción, datos del lugar (nombre, dirección, coordenadas geográficas); estado del RSVP del usuario (pendiente/confirmado/denegado); registro de asistencia.
Finalidad: Crear, publicar y gestionar eventos; gestionar confirmaciones de asistencia (RSVP); controlar el acceso físico mediante lectura de códigos QR; enviar confirmaciones y recordatorios.
Base jurídica: Ejecución del contrato (art. 6.1.b RGPD).
Plazo de conservación: El historial de asistencia se conserva mientras el usuario mantenga su cuenta activa.
3.6 Datos de asistentes y personas dependientes
Datos tratados: nombre del asistente o dependiente, grupo al que pertenece, campos personalizados opcionales definidos por el organizador (p. ej., curso escolar, número de socio) e identificador del usuario progenitor/tutor vinculado en el caso de los dependientes.
Finalidad: Permitir a los organizadores gestionar listas de asistentes; habilitar el control de acceso sin conexión mediante la aplicación móvil PWA.
Base jurídica: Ejecución del contrato con el usuario (organizador o progenitor/tutor) que introduce los datos (art. 6.1.b RGPD). Los datos de menores son introducidos por sus progenitores o tutores legales registrados en la plataforma, quienes dan su consentimiento en nombre del menor.
Datos de menores: KlipMeet establece la edad mínima de 14 años para el registro directo como usuario, de conformidad con el artículo 7 de la LOPDGDD. Los datos de menores de 14 años son gestionados exclusivamente por sus progenitores o tutores legales registrados, que asumen la responsabilidad de dicho tratamiento.
Categorías especiales: KlipMeet no solicita ni trata datos de categorías especiales (datos de salud, origen étnico, opiniones políticas, datos biométricos, etc.). Los campos personalizados de los grupos son configurados por los organizadores, que asumen la responsabilidad de su contenido.
Plazo de conservación: Mientras el asistente esté activo en la plataforma del organizador.
3.7 Comunicaciones por correo electrónico
Datos tratados: correo electrónico, nombre del usuario, datos del evento o grupo referenciado, código QR (codifica únicamente el identificador interno del usuario).
Finalidad: Enviar notificaciones transaccionales del servicio: confirmación de registro, verificación del correo electrónico, restablecimiento de contraseña, confirmación de asistencia a eventos, recordatorios de eventos (24 h antes), notificaciones de nuevos eventos en grupos, invitaciones a grupos, comunicaciones sobre solicitudes de membresía.
Base jurídica: Ejecución del contrato (art. 6.1.b RGPD) para las comunicaciones transaccionales. Interés legítimo (art. 6.1.f RGPD) para los recordatorios de eventos a los que el usuario ya ha confirmado asistencia. No se envían comunicaciones comerciales no solicitadas sin consentimiento previo, de conformidad con el artículo 21 de la LSSI-CE.
Preferencias: El usuario puede gestionar sus preferencias de notificación desde su perfil en la plataforma.
Plazo de conservación: Se conserva un registro del tipo y fecha de notificación enviada mientras la cuenta esté activa, para evitar duplicados y respetar las preferencias del usuario. El contenido de los correos no se almacena en los servidores de KlipMeet.
3.8 Cookies y tecnologías de seguimiento
| Cookie | Tipo | Finalidad | Duración |
|---|---|---|---|
session_token | Estrictamente necesaria | Mantener la sesión autenticada del usuario | Duración de la sesión |
i18n_redirected | Estrictamente necesaria | Recordar el idioma preferido del usuario | 1 año |
KlipMeet no utiliza cookies de publicidad, analítica de terceros ni seguimiento de comportamiento. Las cookies empleadas son exclusivamente técnicas y necesarias para el funcionamiento del servicio. De conformidad con el artículo 22.2 de la LSSI-CE y la Guía sobre el uso de las cookies de la AEPD, las cookies estrictamente necesarias no requieren consentimiento previo.
3.9 Aplicación móvil sin conexión (PWA)
La aplicación móvil de KlipMeet (app.klipmeet.com) almacena datos localmente en el dispositivo del usuario mediante IndexedDB. Estos datos incluyen listas de asistentes, eventos y registros de asistencia sincronizados desde el servidor.
Estos datos residen únicamente en el dispositivo del usuario y no se transmiten a terceros desde el dispositivo. La sincronización se realiza exclusivamente a través de conexiones cifradas HTTPS con los servidores de KlipMeet. El usuario puede eliminar estos datos locales en cualquier momento desde la configuración de su navegador.
4. Destinatarios de los datos (encargados del tratamiento)
KlipMeet puede compartir datos con los siguientes encargados del tratamiento, con los que mantiene contratos de encargo de tratamiento que garantizan el cumplimiento del RGPD:
| Proveedor | País | Servicio | Garantías |
|---|---|---|---|
| Vercel Inc. | EE. UU. | Alojamiento web y app (klipmeet.com, app.klipmeet.com) | EU-US Data Privacy Framework (certificado); DPA |
| Plus Five Five, Inc. (Resend) | EE. UU. | Envío de correos electrónicos transaccionales | EU-US DPF + Cláusulas Contractuales Tipo 2021/914; DPA |
| Google LLC | EE. UU. | Autenticación OAuth (Google Sign-In) | EU-US DPF; DPA de Google Workspace |
| [PROVEEDOR VPS] | [PAÍS] | Alojamiento del servidor de API (api.klipmeet.com) | [DPA o régimen aplicable] |
KlipMeet no vende ni cede datos personales a terceros con fines publicitarios ni comerciales.
Los organizadores de grupos tienen acceso a los datos de sus miembros y asistentes para la gestión del grupo. KlipMeet no controla el uso que los organizadores hagan de esos datos fuera del entorno de la plataforma.
5. Transferencias internacionales de datos
Los proveedores establecidos en los Estados Unidos se someten a uno o varios de los siguientes mecanismos de garantía reconocidos por la Comisión Europea:
- Marco EU-EE. UU. de Privacidad de Datos (EU-US DPF): Vercel Inc., Google LLC y Plus Five Five, Inc. (Resend) están certificados en el marco del EU-US DPF, reconocido como nivel de protección adecuado mediante la Decisión de Adecuación de la Comisión Europea de 10 de julio de 2023.
- Cláusulas Contractuales Tipo (CCT): Para los proveedores no cubiertos por el DPF o como garantía adicional, KlipMeet suscribe las cláusulas estándar adoptadas por la Decisión de Ejecución 2021/914/UE.
6. Derechos de los interesados
De conformidad con los artículos 15 a 22 del RGPD, puede ejercer los siguientes derechos:
| Derecho | Descripción |
|---|---|
| Acceso (art. 15) | Obtener confirmación del tratamiento y acceder a sus datos |
| Rectificación (art. 16) | Corregir datos inexactos o incompletos |
| Supresión / «derecho al olvido» (art. 17) | Solicitar la eliminación cuando los datos ya no sean necesarios |
| Limitación del tratamiento (art. 18) | Suspender temporalmente el tratamiento en determinadas circunstancias |
| Portabilidad (art. 20) | Recibir sus datos en formato estructurado y legible por máquina |
| Oposición (art. 21) | Oponerse al tratamiento basado en interés legítimo |
| Retirada del consentimiento | Retirar en cualquier momento el consentimiento dado, sin efecto retroactivo |
Cómo ejercerlos: Por escrito, adjuntando copia de documento de identidad, a: info@klipmeet.com (asunto: Ejercicio de derechos RGPD). También puede actualizar o eliminar directamente muchos de sus datos desde la configuración de su perfil en la plataforma.
Plazo de respuesta: 1 mes desde la recepción, prorrogable hasta 3 meses en casos complejos, con notificación previa al interesado.
Derecho a reclamar: Si considera que sus derechos no han sido atendidos correctamente, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan, 6, 28001 Madrid — teléfono: 900 293 183.
7. Medidas de seguridad
KlipMeet aplica las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, entre las que se incluyen:
- Cifrado de todas las comunicaciones mediante TLS/HTTPS
- Almacenamiento de contraseñas mediante hash bcrypt (función de un solo sentido)
- Cookies de sesión con atributos
HttpOnly,SecureySameSite=Lax - Control de acceso basado en roles (usuario / administrador)
- Base de datos con acceso restringido a personal autorizado
- Sistema de suspensión de cuentas y revocación de sesiones activas
- Tokens de verificación de correo electrónico y de restablecimiento de contraseña de uso único con expiración temporal (24 h y 1 h, respectivamente)
Ningún sistema de transmisión o almacenamiento electrónico es 100 % seguro. En caso de brecha de seguridad que afecte a sus datos personales, KlipMeet cumplirá con las obligaciones de notificación establecidas en los artículos 33 y 34 del RGPD.
8. Modificaciones de esta política
KlipMeet se reserva el derecho a modificar esta política de privacidad para adaptarla a cambios normativos o a nuevas funcionalidades. En caso de cambios sustanciales, se informará a los usuarios registrados por correo electrónico o mediante aviso destacado en la plataforma con antelación suficiente.
La versión vigente estará siempre disponible en: https://klipmeet.com/privacy
9. Legislación aplicable y jurisdicción
Esta política se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE). Para cualquier controversia relacionada con la privacidad, las partes se someten a los juzgados y tribunales competentes conforme a la normativa de protección de consumidores y usuarios vigente.