VMFES

Política de Privacidad

1. Responsable del Tratamiento de los Datos

El responsable del tratamiento de los datos personales recopilados a través de esta plataforma web es la sociedad mercantil estonia VM Network OÜ, con código de registro de la República de Estonia 16575889 y domicilio social en Tallin, Estonia. Para cualquier consulta, solicitud o ejercicio de derechos ARCO-POL, puede contactar con nuestro departamento legal a través del buzón electrónico oficial: .

2. Datos Personales Objeto de Tratamiento

VM Network OÜ recopila y trata diferentes tipos de datos personales de los usuarios. Esta información se divide entre los datos que usted nos facilita activamente y aquellos que se recopilan de forma automatizada mediante tecnologías de infraestructura, analítica y seguridad:

  • Datos de facilitación directa: Dirección de correo electrónico, nombre, pseudónimo de usuario, procedencia geográfica y cualquier información, fotografía o metadato de archivos de imagen/vídeo que usted envíe voluntariamente al participar en el concurso de patrimonio histórico nacional.
  • Datos técnicos y de infraestructura de red: Dirección IP (Internet Protocol), metadatos de cabecera de red, datos del agente de usuario (user-agent), sistema operativo, resolución de pantalla, tipo y versión del navegador, idioma de preferencia y proveedor de servicios de internet (ISP).
  • Datos de telemetría y seguridad (Anti-Bot): Datos sobre el comportamiento de navegación del usuario, interacciones con la interfaz gráfica, telemetría del dispositivo, latencia de red y patrones de movimiento no identificativos, utilizados con la única finalidad de descartar el uso de software malicioso automatizado.
  • Datos de analítica y comportamiento web: Páginas visitadas dentro del dominio, tiempo de permanencia, fuentes de referencia (sitio web desde el cual accedió a nuestro portal), clics en enlaces, rutas de navegación y tasas de rebote [2].

3. Bases Jurídicas y Finalidades del Tratamiento

De conformidad con el Artículo 6 del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, el tratamiento de sus datos personales se fundamenta en las siguientes bases legales y se destina a las siguientes finalidades de tratamiento:

  • Consentimiento expreso del usuario (Art. 6.1.a RGPD): Aplicable para el tratamiento de su dirección de correo electrónico para el envío de boletines y alertas de la taquilla de espectáculos, la resolución de consultas mediante el formulario de contacto, la participación en el certamen nacional de fotografía, y el rastreo de comportamiento web con fines de análisis mediante cookies opcionales [4, 5].
  • Ejecución de un contrato (Art. 6.1.b RGPD): Aplicable para el tratamiento de los datos necesarios para la compra, emisión, registro digital, validación tecnológica (mediante Smart Contracts o base de datos) y control de acceso físico de las entradas para los espectáculos producidos por VMFES.
  • Interés legítimo del responsable (Art. 6.1.f RGPD): Aplicable para el procesamiento técnico de direcciones IP, metadatos y telemetría de red con la finalidad de mitigar ataques de denegación de servicio (DDoS), bloquear bots de reventa especulativa de entradas, prevenir el fraude informático y optimizar la velocidad de carga de la web a nivel global.

4. Proveedores Tecnológicos y Encargados de Tratamiento

VM Network OÜ no vende, alquila ni cede datos personales de sus usuarios. Para asegurar el funcionamiento de la plataforma, el almacenamiento de datos, la seguridad y la medición del rendimiento, el sitio web utiliza servicios de terceros que actúan bajo la figura de Encargados de Tratamiento. Se han firmado los correspondientes Contratos de Encargo de Tratamiento (DPA) con cada uno de ellos, garantizando el cumplimiento estricto del RGPD:

  • Cloudflare, Inc. (EE. UU. / UE): Utilizado como red de distribución de contenidos (CDN), cortafuegos de aplicaciones web (WAF) y optimizador de rendimiento. Cloudflare procesa las direcciones IP y el tráfico de red para bloquear amenazas de seguridad.
  • Cloudflare Turnstile (Cloudflare, Inc.): Utilizado como herramienta de verificación de seguridad ("Challenge") para detener bots y spam. Turnstile es una alternativa de reCAPTCHA respetuosa con la privacidad que evalúa la telemetría del navegador de forma invisible y sin utilizar cookies de seguimiento de terceros ni almacenar perfiles de comportamiento del usuario.
  • Google Ireland Limited (Google Analytics 4 / GA4): Utilizado para medir la interacción de los usuarios con el sitio web de forma agregada. Google Analytics 4 recopila datos de navegación y comportamiento. Esta herramienta está configurada para realizar la **anonimización de la dirección IP** por defecto antes de su almacenamiento, impidiendo que Google identifique de forma única al visitante [2].
  • Google LLC (Google reCAPTCHA Enterprise): En caso de ser activado como medida de seguridad complementaria en determinados formularios o pasarelas de pago, este servicio procesa datos técnicos del navegador y cookies del usuario para evaluar el riesgo de tráfico malicioso.

5. Transferencias Internacionales de Datos

Dado que nuestros proveedores de infraestructura y analítica (Cloudflare, Inc. y Google LLC) son entidades basadas en los Estados Unidos, se realizan transferencias de datos de carácter puramente técnico (direcciones IP, metadatos y cookies técnicas) fuera del Espacio Económico Europeo (EEE) [1.1.2]. Estas transferencias son conformes al RGPD y plenamente legítimas al amparo de:

  • El **Marco de Privacidad de Datos Unión Europea-EE. UU. (EU-US Data Privacy Framework)**, una decisión de adecuación de la Comisión Europea que certifica que las empresas adheridas de EE. UU. (como Google y Cloudflare) ofrecen un nivel de protección equivalente al europeo [1.1.2].
  • Las **Cláusulas Contractuales Tipo (SCC)** de la Comisión Europea, incorporadas en los términos de tratamiento de datos de estos proveedores como garantía jurídica adicional.

6. Plazo de Conservación de los Datos

Los periodos de retención de los datos se limitan estrictamente al tiempo necesario para cumplir con sus fines:

  • Los datos técnicos y de tráfico recopilados por Cloudflare y los sistemas de seguridad se conservan de forma temporal en archivos de registro (*logs*) y se eliminan o anonimizan automáticamente en un plazo de **30 días**.
  • Los datos de analítica recopilados por Google Analytics 4 se conservan en nuestros servidores de análisis durante un período máximo de **14 meses**, procediendo a su borrado automático una vez transcurrido este plazo [2].
  • Los datos relacionados con las transacciones financieras y la adquisición de entradas se conservarán durante un período de **7 años**, de conformidad con las exigencias mercantiles y de auditoría fiscal marcadas por la legislación de la República de Estonia [4].
  • Los correos electrónicos de suscripción a boletines y notificaciones de la gira se conservarán hasta que el usuario decida revocar su consentimiento.

7. Derechos de los Usuarios (Derechos ARCO-POL)

Como interesado y de conformidad con el RGPD, usted tiene derecho a ejercitar de forma gratuita sus derechos enviando un correo electrónico a :

  • Derecho de **Acceso** a sus datos personales para saber qué información estamos procesando.
  • Derecho de **Rectificación** de cualquier dato inexacto o incompleto.
  • Derecho de **Supresión (Derecho al Olvido)** cuando los datos ya no sean necesarios para los fines que fueron recogidos o retire su consentimiento.
  • Derecho a la **Limitación del Tratamiento** bajo determinadas condiciones legales.
  • Derecho de **Oposición** a que sigamos tratando sus datos para finalidades de marketing directo o envío de información.
  • Derecho a la **Portabilidad** de sus datos para recibirlos en un formato estructurado y de uso común.

8. Autoridades de Control y Reclamaciones

Al estar VM Network OÜ constituida en la República de Estonia, la autoridad de control líder encargada de supervisar el cumplimiento de la protección de datos de la empresa es la Inspección de Protección de Datos de Estonia (Andmekaitse Inspektsioon, con sede en Tallin, Estonia, www.aki.ee).

No obstante, de conformidad con el Reglamento General de Protección de Datos (RGPD), si usted considera que se han vulnerado sus derechos en materia de privacidad, tiene el derecho de presentar una reclamación directa ante la autoridad de protección de datos de su propio país de residencia dentro de la Unión Europea.