1. Reparto de roles RGPD
Primer Paso es responsable del tratamiento respecto a los datos que trata para gestionar su propia web, cuentas de empresa, relación contractual con profesionales del ocio, facturación propia, soporte, seguridad, auditoría, comunicaciones comerciales propias y solicitudes recibidas.
Cuando una empresa usuaria utiliza Primer Paso para gestionar sus alumnos, clientes, asistentes, compradores, pases, QR, accesos, comunicaciones, descuentos o recompensas, esa empresa decide los fines y medios principales del tratamiento y actúa como responsable de sus propios clientes. En esos casos Primer Paso actúa, con carácter general, como encargado del tratamiento o proveedor tecnológico siguiendo instrucciones de la empresa usuaria.
Cada empresa usuaria debe facilitar a sus clientes su propia información de privacidad, atender sus derechos RGPD, contar con base jurídica suficiente para sus comunicaciones y cumplir sus obligaciones legales. Primer Paso no asume la responsabilidad legal de la empresa frente a sus usuarios finales por el mero uso de la plataforma.
2. Datos que podemos tratar
- Datos identificativos y de contacto: nombre, email, teléfono y datos de cuenta.
- Datos de negocio: nombre comercial, página pública, enlaces, ubicación, servicios y configuración.
- Datos de pases y accesos: pase comprado o asignado, estado, caducidad, QR, validaciones, accesos recientes e historial operativo.
- Datos de pago y facturación: plan contratado, estado de suscripción, identificadores de pago, facturas y datos fiscales necesarios. Primer Paso no almacena los datos completos de tarjeta cuando el pago se procesa por proveedores externos como Stripe.
- Datos técnicos y de seguridad: IP, dispositivo, navegador, logs, eventos de auditoría, errores y actividad necesaria para proteger la plataforma.
- Datos de soporte y contacto: mensajes enviados mediante formularios, emails o canales de atención.
3. Finalidades y bases jurídicas
- Prestación del servicio: crear cuentas, páginas, pases, QR, accesos y paneles. Base jurídica: ejecución contractual o medidas precontractuales.
- Facturación y obligaciones legales: emitir facturas propias, conservar justificantes y cumplir obligaciones fiscales. Base jurídica: obligación legal.
- Seguridad, auditoría y prevención de abuso: proteger cuentas, detectar fraude, mantener logs y resolver incidencias. Base jurídica: interés legítimo y, cuando aplique, obligación legal.
- Comunicaciones comerciales propias: enviar información sobre Primer Paso si existe consentimiento o relación previa que lo permita. Base jurídica: consentimiento o interés legítimo conforme a la normativa aplicable.
- Tratamientos por cuenta de empresas usuarias: operar la plataforma para los clientes finales de cada empresa. Base jurídica: encargo de tratamiento bajo instrucciones de la empresa responsable.
4. Destinatarios y proveedores
Los datos podrán ser tratados por proveedores necesarios para prestar la plataforma: infraestructura cloud, base de datos, alojamiento, email transaccional, pasarelas de pago, herramientas de automatización, soporte, seguridad, analítica técnica y asesoría legal, fiscal o contable.
Cuando dichos proveedores actúen como subencargados, Primer Paso exigirá compromisos de confidencialidad, seguridad y tratamiento conforme al RGPD. Si existe transferencia internacional de datos, se aplicarán las garantías previstas por la normativa vigente.
5. Conservación
Conservaremos los datos durante el tiempo necesario para prestar el servicio, mantener la relación contractual, atender responsabilidades legales, cumplir obligaciones fiscales y resolver incidencias. Los logs de seguridad y auditoría se conservarán durante plazos proporcionados al riesgo y a las obligaciones aplicables.
Cuando una empresa elimine datos de sus clientes dentro de la plataforma, Primer Paso podrá conservar copias limitadas si existe obligación legal, necesidad de seguridad, copias de respaldo temporales o bloqueo de datos para atender responsabilidades.
6. Derechos
Las personas pueden solicitar acceso, rectificación, supresión, oposición, limitación, portabilidad y retirada del consentimiento mediante el formulario de contacto disponible en la web. Si la solicitud afecta a datos gestionados por una empresa usuaria sobre sus propios clientes, Primer Paso podrá derivar o coordinar la solicitud con dicha empresa como responsable del tratamiento.
También puede presentarse una reclamación ante la Agencia Española de Protección de Datos en www.aepd.es.
7. Menores
Primer Paso no está dirigido a menores de 14 años como usuarios autónomos. Si una empresa usuaria gestiona actividades donde participan menores, dicha empresa será responsable de recabar las autorizaciones y consentimientos necesarios de padres, madres, tutores o representantes legales cuando proceda.
8. Medidas de seguridad
Primer Paso aplica medidas técnicas y organizativas orientadas a proteger la confidencialidad, integridad, disponibilidad y trazabilidad de los datos, incluyendo control de acceso, aislamiento por negocio, registros de auditoría, cifrado cuando proceda, copias de seguridad y revisión de permisos. Estas medidas se revisarán conforme evolucione la plataforma.
Marco normativo consultado
- Ley 34/2002, de servicios de la sociedad de la información y comercio electrónico
- Reglamento (UE) 2016/679, Reglamento General de Protección de Datos
- Ley Orgánica 3/2018, de protección de datos personales y garantía de derechos digitales
- Guía sobre el uso de cookies de la AEPD
- FAQ AEPD sobre responsable y encargado del tratamiento
- Real Decreto 1007/2023 sobre sistemas informáticos de facturación
- Agencia Tributaria: sistemas informáticos de facturación VERI*FACTU