Política de Privacidad

Vigente desde el 1 de enero de 2025. Última actualización: 03/04/2026.

Esta Política cumple con el RGPD (UE/EEE), la LGPD (Brasil), la LOPDP (Ecuador), la LFPDPPP (México), la Ley 1581 (Colombia), la Ley 25.326 (Argentina) y las demás leyes de protección de datos de los países donde operamos. En caso de conflicto, se aplicará la legislación local más protectora.

En KerPASS nos tomamos muy en serio la privacidad de nuestros clientes y de los datos personales que se gestionan a través de nuestra plataforma. Esta Política describe qué datos recopilamos, cómo los utilizamos, con quién los compartimos, y los derechos que le corresponden.

1. Responsable del Tratamiento e Identidad

Responsable del Tratamiento (datos de clientes y usuarios administradores):
KerPASS — plataforma de acreditación de eventos
Correo: privacy@kerpass.com

Rol en relación con datos de acreditados:
Para los datos personales de acreditados, periodistas, conductores y demás participantes de eventos que los clientes cargan en la plataforma, KerPASS actúa como encargado del tratamiento (processor / operador) por cuenta del cliente, quien es el responsable del tratamiento (controller / responsable) y debe contar con la base legal adecuada para tratar dichos datos.

2. Datos que Recopilamos

2.1 Datos de la organización cliente (KerPASS como responsable)

  • Nombre de la organización, país, tipo de organización.
  • Nombre, correo electrónico y contraseña (cifrada con bcrypt) del administrador y usuarios del equipo.
  • Datos de facturación: nombre legal, dirección, identificación fiscal (RUC, NIT, RFC, NIF, CNPJ, según país).
  • Registros de uso del Servicio (logs de acceso, auditoría de acciones, direcciones IP).
  • Comunicaciones con nuestro equipo de soporte.

2.2 Datos de acreditados (KerPASS como encargado, por cuenta del cliente)

  • Nombre completo, cargo, organización representada, número de documento de identidad.
  • Correo electrónico, teléfono (opcionales según configuración del cliente).
  • Foto de perfil y, cuando el cliente habilita el módulo de reconocimiento facial, datos biométricos derivados de dicha foto. Estos constituyen datos especialmente sensibles bajo el RGPD, la LGPD y otras legislaciones. Su tratamiento requiere consentimiento explícito del titular o habilitación legal específica.
  • Zona, nivel de acceso y grupo de acreditación asignados.
  • Registros de acceso y presencia en el evento (marca de tiempo, punto de control).
  • Datos de vehículos asociados (placa, modelo) cuando el módulo VAAP está habilitado.

2.3 Datos recopilados automáticamente

  • Dirección IP, tipo de navegador, sistema operativo, páginas visitadas y marca de tiempo (para seguridad y diagnóstico).
  • Cookies esenciales de sesión, CSRF y preferencias (ver Sección 9).

3. Finalidades y Bases Legales del Tratamiento

Finalidad Base legal (RGPD / LGPD / local)
Prestación del Servicio contratado Ejecución del contrato (Art. 6(1)(b) RGPD / Art. 7(V) LGPD)
Facturación y gestión fiscal Obligación legal (Art. 6(1)(c) RGPD / legislación fiscal local)
Seguridad, detección de fraude y auditoría Interés legítimo (Art. 6(1)(f) RGPD / Art. 10(IX) LGPD)
Mejora del Servicio (datos agregados y anónimos) Interés legítimo
Comunicaciones sobre el estado de la cuenta y seguridad Ejecución del contrato / interés legítimo
Comunicaciones de marketing y novedades Consentimiento explícito (cancelable en cualquier momento)
Cumplimiento de requerimientos legales o judiciales Obligación legal (Art. 6(1)(c) RGPD)

4. Datos Especialmente Sensibles

Cuando el cliente habilita el módulo de reconocimiento facial, la plataforma procesa imágenes que pueden constituir datos biométricos según la legislación aplicable.

  • El cliente es responsable de obtener el consentimiento explícito e informado de cada acreditado antes de activar este módulo.
  • KerPASS no comparte estos datos con terceros ni los utiliza para fines distintos al control de acceso del evento.
  • Bajo RGPD Art. 9, LGPD Art. 11 y normativas equivalentes, el tratamiento de datos biométricos requiere autoriza ción expresa y puede estar sujeto a evaluaciones de impacto (EIPD/RIPD).

5. Compartición de Datos

No vendemos ni alquilamos sus datos personales. Podemos compartirlos únicamente con:

  • Subencargados (subprocesadores): proveedores de infraestructura cloud (hosting, bases de datos), servicios de correo transaccional y procesadores de pago, todos bajo contratos de confidencialidad y con nivel de protección adecuado. Puede solicitar la lista actualizada de subprocesadores a privacy@kerpass.com.
  • Autoridades competentes: cuando sea requerido por ley válida, orden judicial firme o para proteger derechos legales. Notificaremos al cliente con antelación, salvo que la ley lo prohíba.
  • Sucesores corporativos: en caso de fusión, adquisición o venta de activos, con aviso previo de 30 días y manteniendo las mismas protecciones de esta Política.

6. Seguridad

Implementamos medidas técnicas y organizativas para proteger sus datos, incluyendo: cifrado en tránsito (TLS 1.3), cifrado de contraseñas con bcrypt, aislamiento total de datos por tenant (base de datos dedicada por organización), registros de auditoría inmutables, copias de seguridad cifradas y controles de acceso con privilegio mínimo.

En caso de brecha de seguridad que afecte a datos personales, notificaremos a los clientes afectados y, cuando sea legalmente requerido, a las autoridades de control competentes, en los plazos establecidos por la normativa aplicable (72 horas bajo RGPD; sin dilación indebida bajo LGPD).

7. Retención de Datos

  • Los datos de acreditados y eventos se mantienen mientras la cuenta del cliente esté activa.
  • Tras la cancelación de la cuenta, los datos se conservan 90 días para permitir la exportación y luego se eliminan de forma segura.
  • Los registros de auditoría y facturación se conservan según los requisitos legales aplicables en cada país (generalmente 5-7 años).
  • Los datos de logs de seguridad se conservan 12 meses.

8. Sus Derechos como Titular de Datos

Dependiendo de su jurisdicción, usted tiene derecho a:

  • Acceso (ARCO/SARCO): solicitar una copia de sus datos personales.
  • Rectificación: corregir datos inexactos o incompletos.
  • Supresión / Cancelación: solicitar la eliminación de sus datos (“derecho al olvido”), salvo cuando exista obligación legal de conservarlos.
  • Portabilidad: recibir sus datos en formato estructurado, de uso común y legible por máquina.
  • Oposición: oponerse al tratamiento basado en interés legítimo.
  • Limitación del tratamiento: solicitar la restricción en determinadas circunstancias.
  • Bloqueo / Anonimización: derecho específico reconocido por la LGPD (Brasil) y la LOPDP (Ecuador).
  • No ser objeto de decisiones automatizadas: a no ser sujeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos significativos (RGPD Art. 22, LGPD Art. 20).
  • Revocar el consentimiento en cualquier momento, sin que ello afecte la licitud del tratamiento previo.

Para ejercer estos derechos, contacte a privacy@kerpass.com. Respondemos en un plazo máximo de 30 días (extensible a 3 meses en casos complejos, con notificación).

Nota: Cuando los datos son gestionados por un cliente (e.g., usted es acreditado en un evento), dirigía su solicitud directamente al organizador del evento (responsable del tratamiento), quien contará con nuestra asistencia para atenderla.

9. Derecho a Reclamar ante Autoridad de Control

Si considera que el tratamiento de sus datos no cumple con la legislación aplicable, tiene derecho a presentar una reclamación ante la autoridad de protección de datos de su país:

  • Ecuador: SNAP – Superintendencia Nacional de Protección de Datos Personales
  • España: AEPD – Agencia Española de Protección de Datos (aepd.es)
  • Francia: CNIL – Commission Nationale de l’Informatique et des Libertés (cnil.fr)
  • Portugal: CNPD – Comissão Nacional de Proteção de Dados (cnpd.pt)
  • Brasil: ANPD – Autoridade Nacional de Proteção de Dados (gov.br/anpd)
  • México: INAI – Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (inai.org.mx)
  • Colombia: SIC – Superintendencia de Industria y Comercio (sic.gov.co)
  • Argentina: AAIP – Agencia de Acceso a la Información Pública (argentina.gob.ar/aaip)
  • Chile: CPLT – Consejo para la Transparencia (cplt.cl)
  • Perú: ANPD – Autoridad Nacional de Protección de Datos Personales (gob.pe)
  • Costa Rica / Panamá / demás países: La autoridad nacional de protección de datos de su país.

Le animamos a contactarnos primero en privacy@kerpass.com para intentar resolver su inquietud directamente.

10. Cookies y Tecnologías de Seguimiento

Utilizamos únicamente cookies estrictamente necesarias para el funcionamiento del Servicio: cookie de sesión autenticada, token CSRF, y preferencia de idioma/tema. No utilizamos cookies de seguimiento publicitario ni compartimos datos con redes de publicidad. Puede controlar o eliminar cookies desde la configuración de su navegador, aunque esto puede afectar el funcionamiento del Servicio.

11. Transferencias Internacionales de Datos

Sus datos pueden ser procesados en servidores ubicados fuera de su país de origen. Para transferencias a países sin nivel adecuado de protección, garantizamos la existencia de salvaguardas apropiadas:

  • Cláusulas Contractuales Tipo (CCT/SCC) aprobadas por la Comisión Europea.
  • EU-U.S. Data Privacy Framework para transferencias a proveedores en Estados Unidos certificados.
  • Mecanismos equivalentes reconocidos por cada legislación nacional aplicable.

Nota: El mecanismo “Privacy Shield” fue invalidado por el Tribunal de Justicia de la UE en julio de 2020 (asunto Schrems II) y no se utiliza como base para ninguna transferencia.

12. Aviso de Privacidad Simplificado (México – LFPDPPP)

En cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México:

  • Responsable: KerPASS — privacy@kerpass.com
  • Datos recabados: nombre, correo, cargo, organización, datos de facturación y uso del servicio (ver Sección 2).
  • Finalidades: prestación del servicio contratado, facturación, soporte y mejora del servicio (finalidades primarias); comunicaciones de marketing con consentimiento (finalidad secundaria).
  • Transferencias: solo con subencargados bajo instrucciones del responsable; no se realizan transferencias nacionales a terceros sin su consentimiento.
  • Derechos ARCO: acceso, rectificación, cancelación y oposición ejercibles vía privacy@kerpass.com.
  • El Aviso de Privacidad completo es el presente documento.

13. Menores de Edad

El Servicio de administración no está dirigido a menores de 18 años. Sin embargo, en contextos deportivos o educativos, los clientes pueden gestionar acreditados menores de edad; en ese caso, el cliente (organización) asume la responsabilidad de obtener el consentimiento de los padres o tutores legales conforme a la ley aplicable.

14. Decisiones Automatizadas y Perfilado

KerPASS no toma decisiones que afecten significativamente a las personas basadas únicamente en tratamiento automatizado (sin intervención humana). El control de acceso mediante QR o reconocimiento facial se ejecuta bajo configuración y supervisión del cliente organizador, quien es responsable del proceso decisional final.

15. Cambios a esta Política

Podemos actualizar esta Política. Le notificaremos sobre cambios materiales con al menos 15 días de anticipación por correo electrónico o mediante aviso destacado en la plataforma. La fecha de “Última actualización” al inicio del documento indica cuándo se realizaron los últimos cambios. El uso continuado del Servicio después de la fecha de vigencia constituye aceptación de la nueva Política.

Contacto y Encargado de Protección de Datos

Para ejercer sus derechos, presentar consultas o solicitar el Acuerdo de Tratamiento de Datos (DPA): privacy@kerpass.com
Respondemos en un plazo máximo de 30 días.

→ Ver Términos de Servicio Crear cuenta gratis