NEUROEVENTS
Política de Privacidad
1. Responsable del tratamiento
En cumplimiento del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), se informa:
| Denominación social | BABUMGA SL |
|---|---|
| NIF | B67696914 |
| Domicilio social | Calle Infanta Carlota 16, 28210, Valdemorillo, Madrid, España |
| Email de contacto | hello@neuroevents.app |
| Marca comercial | NeuroEvents |
BABUMGA SL opera la plataforma NeuroEvents (hub.neuroevents.app) y el sitio web neuroevents.app bajo dicha marca comercial.
2. Datos que recopilamos y finalidades
2.1 Datos de organizadores (usuarios registrados)
Al registrarse en la plataforma, recopilamos:
- Nombre y apellidos — identificación del usuario
- Empresa organizadora — contexto profesional
- Dirección de correo electrónico — autenticación y comunicaciones del servicio
Base jurídica: ejecución de contrato (Art. 6.1.b RGPD).
No almacenamos datos de tarjeta bancaria, datos de facturación ni información de pago. Los datos de facturación (nombre fiscal, NIF/CIF, dirección fiscal) y los pagos son recogidos y gestionados íntegramente por Stripe Inc. durante el proceso de pago. Stripe actúa como encargado del tratamiento bajo sus propios estándares de seguridad (PCI DSS nivel 1). NeuroEvents no almacena ni tiene acceso directo a estos datos.
2.2 Datos de asistentes a eventos
Los organizadores introducen en la plataforma la lista de asistentes a sus eventos. Estos datos se tratan en dos capas técnicas diferenciadas:
Capa 1 — Lista de asistentes (datos personales identificables):
- Nombre y apellidos del asistente
- Dirección de correo electrónico
- Grupo o sala asignada (opcional)
Estos datos se almacenan en texto claro y son visibles exclusivamente para el organizador propietario del evento. El organizador actúa como responsable del tratamiento de los datos de sus asistentes; NeuroEvents actúa como encargado del tratamiento (Art. 28 RGPD).
Base jurídica: interés legítimo del organizador en evaluar la eficacia de su evento (Art. 6.1.f RGPD).
Capa 2 — Respuestas al cuestionario (datos seudonimizados):
Las respuestas de los asistentes se almacenan vinculadas a un identificador seudónimo generado mediante hash criptográfico SHA-256 (correo electrónico combinado con identificador único del evento y una sal aleatoria). El resultado es un código alfanumérico irreversible que no permite reconstruir el email original. Las respuestas se almacenan vinculadas únicamente a este identificador. El email original del asistente no persiste junto a sus respuestas en la base de datos.
2.3 Datos de observadores de campo
Los observadores son personas designadas por el organizador para registrar comportamiento conductual durante el evento. Se recogen: dirección de correo electrónico, sala o bloque asignado y token de acceso temporal (expira al finalizar el evento). Estos datos son accesibles exclusivamente por el organizador propietario del evento.
Base jurídica: ejecución de contrato entre el organizador y sus colaboradores (Art. 6.1.b RGPD).
2.4 Generación de informes mediante Inteligencia Artificial
Los datos agregados y seudonimizados de los cuestionarios se envían a la API de Anthropic (Claude) para generar informes automáticos de diagnóstico. Los datos transmitidos incluyen puntuaciones agregadas por bloque de agenda, alertas de agenda y observaciones de campo anonimizadas. No se transmiten datos directamente identificables (ni nombres ni direcciones de correo electrónico de asistentes).
3. Encargados del tratamiento
| Proveedor | Finalidad | Ubicación | Garantías |
|---|---|---|---|
| Supabase Inc. | Base de datos, autenticación, almacenamiento | UE — Irlanda | Servidores en UE. DPA firmado. |
| Vercel Inc. | Hosting de la plataforma web | CDN global con nodos UE | CCT (Decisión UE 2021/914) |
| Resend Inc. | Emails transaccionales | EEUU | CCT (Decisión UE 2021/914) |
| Anthropic PBC | Generación de informes IA (datos seudonimizados) | EEUU | CCT (Decisión UE 2021/914). Solo datos agregados. |
| Stripe Inc. | Procesamiento de pagos y facturación | EEUU | CCT (Decisión UE 2021/914) + PCI DSS nivel 1 |
4. Transferencias internacionales de datos
Algunos de los encargados del tratamiento tienen servidores ubicados fuera del Espacio Económico Europeo (EEE), concretamente en Estados Unidos. En estos casos, las transferencias se realizan al amparo de las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea mediante Decisión de Ejecución (UE) 2021/914, de 4 de junio de 2021.
5. Conservación de datos
| Tipo de dato | Plazo | Base legal |
|---|---|---|
| Cuenta de organizador activa | Duración de la relación contractual | Ejecución de contrato |
| Datos de organizador tras baja | 4 años | Obligación legal tributaria |
| Lista de asistentes (nombre + email) | 2 años desde la fecha del evento | Interés legítimo |
| Respuestas seudonimizadas | 2 años desde la fecha del evento | Interés legítimo |
| Datos de observadores | 2 años desde la fecha del evento | Interés legítimo |
| Tokens de acceso | Expiración + 30 días | Seguridad técnica |
| Logs de autenticación | 12 meses | Seguridad técnica |
| Datos de pago y facturación | 5 años (gestión Stripe) | Obligación legal fiscal |
Transcurridos los plazos indicados, los datos se eliminan de forma segura o se anonimizan irreversiblemente.
6. Medidas de seguridad
En cumplimiento del Art. 32 RGPD, aplicamos las siguientes medidas técnicas y organizativas:
- Cifrado en tránsito: todas las comunicaciones mediante HTTPS/TLS.
- Seudonimización: las respuestas de asistentes se almacenan vinculadas a un hash SHA-256 irreversible.
- Control de acceso: Row Level Security (RLS) en base de datos — cada organizador solo accede a sus propios datos.
- Autenticación segura mediante tokens JWT.
- Cabeceras de seguridad HTTP desplegadas.
- Copias de seguridad con retención de 30 días.
- Eliminación en cascada al eliminar una cuenta.
7. Derechos de los interesados
En virtud del RGPD (Arts. 15–22) y la LOPDGDD, los interesados pueden ejercer los siguientes derechos: acceso, rectificación, supresión, limitación, portabilidad y oposición.
Para ejercer estos derechos: enviar email a hello@neuroevents.app con asunto «Ejercicio de derechos RGPD», indicando el derecho que se desea ejercer y aportando copia de documento identificativo.
Plazo de respuesta: un mes desde la recepción de la solicitud, prorrogable otros dos meses en casos de especial complejidad, informándose al interesado dentro del primer mes (Art. 12.3 RGPD).
La plataforma dispone de mecanismo de eliminación de cuenta desde la sección Configuración (Art. 17 RGPD). Al eliminar la cuenta se borran todos los datos personales directamente identificables.
Reclamaciones: el interesado tiene derecho a presentar reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.
8. Modificaciones
Nos reservamos el derecho a actualizar esta política. Los cambios significativos se notificarán a los usuarios registrados por correo electrónico con un mínimo de 30 días de antelación.
Última actualización: abril 2026