1. Identificación del Responsable del Tratamiento
| Responsable | Roots N'Joy S.L. |
| CIF | B16784951 |
| Domicilio | C. Rectora María Luisa Tejedor Salguero, 35, 38320 La Laguna, Santa Cruz de Tenerife |
| Correo electrónico | hola@zibarit.com |
| Sitio web | https://zibarit.com |
Para cualquier consulta relacionada con la protección de datos, puedes escribir a privacidad@zibarit.com.
2. Qué datos personales recopilamos
Recopilamos diferentes categorías de datos según tu relación con Zibarit:
2.1. Asistentes (Subscribers)
| Dato | Obligatorio | Finalidad |
|---|---|---|
| Nombre y apellidos | Sí | Identificación y emisión de entradas |
| Correo electrónico | Sí | Cuenta de usuario, comunicaciones transaccionales |
| Teléfono | No | Comunicaciones de servicio, WhatsApp (con consentimiento) |
| Contraseña | Sí | Autenticación (almacenada cifrada, nunca en texto plano) |
| Preferencias de región (CCAA) | No | Recomendación de eventos relevantes |
| Datos de facturación | No | Emisión de facturas cuando se solicitan |
2.2. Organizadores
| Dato | Obligatorio | Finalidad |
|---|---|---|
| Nombre y apellidos | Sí | Identificación de la cuenta |
| Correo electrónico | Sí | Cuenta de usuario, comunicaciones transaccionales |
| Teléfono | No | Comunicaciones de servicio |
| Nombre de la organización | Sí | Perfil público del organizador |
| Descripción de la organización | No | Perfil público |
| NIF/CIF | Sí | Facturación y obligaciones fiscales |
| Dirección fiscal completa | Sí | Facturación |
| Imágenes del organizador | No | Perfil público |
2.3. Asistentes a eventos (Attendees)
| Dato | Obligatorio | Finalidad |
|---|---|---|
| Nombre | Sí | Identificación en lista de asistentes |
| Código QR / UUID de entrada | Sí (generado) | Validación de acceso al evento |
2.4. Datos de compra y pago
| Dato | Finalidad |
|---|---|
| Método de pago (tipo) | Procesamiento del pago |
| Identificador de pedido (Redsys) | Trazabilidad del pago |
| Importe y descuentos | Registro contable |
| Solicitud de factura | Emisión de factura |
| Comentarios del pedido | Comunicación con el organizador |
Nota: Zibarit no almacena datos de tarjeta de crédito/débito. Todos los pagos se procesan directamente a través de Redsys, entidad de pago autorizada por el Banco de España.
2.5. Datos técnicos y de navegación
| Dato | Finalidad | Base legal |
|---|---|---|
| Dirección IP | Seguridad y prevención de fraude | Interés legítimo |
| Tipo de navegador y dispositivo | Compatibilidad técnica | Interés legítimo |
| Páginas visitadas | Análisis de uso del producto | Consentimiento |
| Interacciones en la plataforma | Mejora de la experiencia | Consentimiento |
| Grabaciones de sesión (con campos enmascarados) | Detección de errores de usabilidad | Consentimiento |
3. Bases legales del tratamiento
Procesamos tus datos personales basándonos en las siguientes bases legales del artículo 6.1 del RGPD:
3.1. Ejecución contractual (Art. 6.1.b)
- Creación y gestión de tu cuenta de usuario
- Procesamiento de reservas y compras de entradas
- Emisión de entradas y códigos QR
- Gestión de cancelaciones y reembolsos
- Emisión de facturas
- Comunicación de información esencial sobre tus reservas (confirmaciones, cambios, recordatorios)
- Gestión del perfil y eventos de organizadores
- Liquidaciones y pagos a organizadores
3.2. Consentimiento (Art. 6.1.a)
- Envío de comunicaciones comerciales y newsletters
- Campañas segmentadas por WhatsApp o correo electrónico
- Inscripción en Zibarit Club
- Uso de cookies analíticas y de personalización
- Grabación de sesiones de navegación
Puedes retirar tu consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento previo. Para retirar el consentimiento de:
- Comunicaciones comerciales: Usa el enlace de cancelación en cada email o escribe a privacidad@zibarit.com
- WhatsApp: Responde "BAJA" al mensaje recibido
- Cookies y grabaciones de sesión: Usa el botón de preferencias de cookies en la esquina inferior de la web
3.3. Interés legítimo (Art. 6.1.f)
- Análisis agregado de uso de la plataforma para mejorar el servicio
- Prevención de fraude y seguridad de la plataforma
- Notificaciones internas del equipo (Slack) para operaciones del negocio
- Automatizaciones operativas internas
Hemos realizado una evaluación de interés legítimo (LIA) para cada uno de estos tratamientos, concluyendo que nuestro interés legítimo no prevalece sobre tus derechos y libertades. Puedes solicitar una copia de estas evaluaciones escribiendo a privacidad@zibarit.com.
3.4. Obligación legal (Art. 6.1.c)
- Conservación de datos de facturación durante el plazo legal (5 años)
- Cumplimiento de obligaciones fiscales y contables
4. Destinatarios de los datos
Compartimos tus datos personales con los siguientes terceros, todos ellos bajo contratos de encargo de tratamiento (DPA) conformes al artículo 28 del RGPD:
4.1. Proveedores de servicios esenciales
| Proveedor | Finalidad | Datos compartidos | Ubicación |
|---|---|---|---|
| Redsys | Procesamiento de pagos | ID de pedido, importe, método de pago | España (UE) |
| ActiveCampaign | Email transaccional y CRM | Nombre, email, teléfono, tags de segmento | EE.UU.* |
| Mailtrap | Email transaccional | Nombre, email, contenido del email | UE |
4.2. Proveedores de analítica (con consentimiento)
| Proveedor | Finalidad | Datos compartidos | Ubicación |
|---|---|---|---|
| PostHog | Analítica de producto y grabación de sesiones | ID de usuario, email, nombre, rol, navegación | UE (Alemania) |
| Google Analytics | Analítica web | Datos de navegación anonimizados | EE.UU.* |
| Google Tag Manager | Gestión de etiquetas | Datos de navegación | EE.UU.* |
4.3. Proveedores de comunicación
| Proveedor | Finalidad | Datos compartidos | Ubicación |
|---|---|---|---|
| Meta (WhatsApp Business) | Mensajes transaccionales y campañas (con consentimiento) | Teléfono, nombre | EE.UU.* |
| Slack | Notificaciones internas del equipo | Email de usuario, detalles del evento (uso interno) | EE.UU.* |
4.4. Gestión del consentimiento
| Proveedor | Finalidad | Ubicación |
|---|---|---|
| Iubenda | Gestión de consentimiento de cookies (CMP) | UE (Italia) |
4.5. Organizadores de eventos
Cuando compras una entrada para un evento, el organizador del evento recibirá:
- Nombre de los asistentes
- Estado de la reserva
- Estado de check-in
El organizador actúa como corresponsable del tratamiento en lo relativo a la gestión de la asistencia a su evento.
(*) Transferencias internacionales: Los proveedores ubicados en EE.UU. operan bajo el marco de adecuación EU-U.S. Data Privacy Framework (Decisión de adecuación de la Comisión Europea de 10 de julio de 2023) o, en su defecto, bajo Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea. Puedes solicitar información sobre las garantías específicas escribiendo a privacidad@zibarit.com.
5. Política de cookies
5.1. Cookies estrictamente necesarias (sin consentimiento)
| Cookie | Finalidad | Duración |
|---|---|---|
zibarit_session | Gestión de la sesión de usuario | 120 minutos |
XSRF-TOKEN | Protección contra ataques CSRF | Sesión |
_iub_cs-* | Almacenamiento de preferencias de cookies | 12 meses |
5.2. Cookies analíticas (requieren consentimiento)
| Cookie | Proveedor | Finalidad | Duración |
|---|---|---|---|
ph_* | PostHog | Identificación de sesión y usuario para analítica | 12 meses |
_ga, _gid | Google Analytics | Analítica web | 2 años / 24h |
_gat | Google Analytics | Limitación de peticiones | 1 minuto |
5.3. Gestión de preferencias
Puedes gestionar tus preferencias de cookies en cualquier momento mediante el botón de preferencias de cookies situado en la esquina inferior derecha de la web. También puedes configurar tu navegador para rechazar todas las cookies, aunque esto podría afectar a la funcionalidad de la plataforma.
6. Plazos de conservación
| Categoría de datos | Plazo | Justificación |
|---|---|---|
| Datos de cuenta de usuario | Mientras la cuenta esté activa + 30 días tras solicitar baja | Ejecución contractual |
| Datos de reservas y compras | 5 años desde la fecha del evento | Obligación fiscal y contable (Código de Comercio art. 30) |
| Datos de facturación | 5 años | Obligación fiscal (Ley General Tributaria art. 66) |
| Datos de pago (Redsys) | No almacenados en Zibarit | N/A |
| Comunicaciones de marketing | Hasta retirada del consentimiento | Consentimiento |
| Datos analíticos (PostHog) | 12 meses | Interés legítimo / Consentimiento |
| Grabaciones de sesión | 90 días | Consentimiento |
| Cookies analíticas | Según tabla de cookies | Consentimiento |
| Logs de seguridad | 12 meses | Interés legítimo |
Transcurridos los plazos indicados, los datos serán eliminados o anonimizados de forma irreversible. Durante el periodo de conservación posterior a la finalización de la relación, los datos permanecerán bloqueados y solo serán accesibles para su puesta a disposición de autoridades competentes.
7. Tus derechos
De acuerdo con el RGPD y la LOPDGDD, tienes los siguientes derechos:
| Derecho | Descripción |
|---|---|
| Acceso (Art. 15) | Obtener confirmación de si tratamos tus datos y acceder a una copia |
| Rectificación (Art. 16) | Corregir datos inexactos o completar datos incompletos |
| Supresión (Art. 17) | Solicitar la eliminación de tus datos cuando ya no sean necesarios |
| Limitación (Art. 18) | Solicitar la limitación del tratamiento en determinadas circunstancias |
| Portabilidad (Art. 20) | Recibir tus datos en formato estructurado y legible por máquina |
| Oposición (Art. 21) | Oponerte al tratamiento basado en interés legítimo |
| Retirada del consentimiento (Art. 7.3) | Retirar tu consentimiento en cualquier momento |
Cómo ejercer tus derechos
Puedes ejercer cualquiera de estos derechos:
- Por email: Escribe a privacidad@zibarit.com indicando el derecho que deseas ejercer y adjuntando copia de tu DNI/NIE/Pasaporte
- Plazo de respuesta: Máximo 30 días desde la recepción de tu solicitud
Si consideras que tus derechos no han sido debidamente atendidos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.
8. Decisiones automatizadas y elaboración de perfiles
Zibarit no realiza decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o te afecten significativamente de modo similar (Art. 22 RGPD).
Utilizamos segmentación básica basada en reglas para:
- Asignarte a listas de comunicación según tu rol (asistente, organizador)
- Etiquetarte según tu región de preferencia para recomendarte eventos cercanos
- Clasificar tu estado de cuenta (activo, pendiente, etc.)
Esta segmentación no constituye elaboración de perfiles con efectos significativos. Puedes oponerte a esta segmentación en cualquier momento escribiendo a privacidad@zibarit.com.
9. Medidas de seguridad
Aplicamos las siguientes medidas técnicas y organizativas para proteger tus datos:
- Cifrado: Todas las comunicaciones se realizan mediante HTTPS/TLS. Las contraseñas se almacenan con hash bcrypt
- Control de acceso: Acceso restringido basado en roles (RBAC) con autenticación obligatoria
- Protección de sesión: Cookies HttpOnly y SameSite, protección CSRF
- Enmascaramiento: Las grabaciones de sesión enmascaran automáticamente todos los campos de formulario
- Infraestructura: Contenedores Docker con montajes noexec, OPcache, supervisión de procesos
- Datos de pago: No se almacenan datos de tarjeta — se delega en Redsys (PCI DSS Level 1)
- Copias de seguridad: Backups cifrados periódicos
- Monitorización: Alertas de seguridad y monitorización de accesos
10. Menores de edad
El acceso y uso de Zibarit está reservado a personas mayores de 14 años, de conformidad con el artículo 7 de la LOPDGDD.
En el caso de menores entre 14 y 18 años, se recomienda que el registro se realice con el conocimiento y supervisión de los padres o tutores legales.
No recopilamos intencionadamente datos de menores de 14 años. Si tienes conocimiento de que un menor de esa edad ha proporcionado datos personales a Zibarit, contacta con nosotros en privacidad@zibarit.com para proceder a su eliminación.
11. Modificaciones de esta política
Nos reservamos el derecho a modificar esta política de privacidad para adaptarla a novedades legislativas o jurisprudenciales. En caso de cambios sustanciales, te notificaremos mediante:
- Aviso en la plataforma al iniciar sesión
- Correo electrónico a la dirección asociada a tu cuenta
Te recomendamos revisar periódicamente esta página. La fecha de la última actualización se indica al inicio del documento.
12. Legislación aplicable y jurisdicción
Esta política de privacidad se rige por:
- Reglamento (UE) 2016/679 (RGPD)
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
- Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE), en lo relativo a cookies
Para cualquier controversia, serán competentes los Juzgados y Tribunales de Santa Cruz de Tenerife, salvo que la normativa aplicable establezca un fuero distinto.
13. Contacto
Para cualquier consulta sobre esta política o sobre el tratamiento de tus datos personales:
- Email general: hola@zibarit.com
- Email de privacidad: privacidad@zibarit.com
- Dirección postal: Roots N'Joy S.L., C. Rectora María Luisa Tejedor Salguero, 35, 38320 La Laguna, Santa Cruz de Tenerife