1) Responsable del tratamiento Responsable: Creative Celeris Email de contacto: infoceleris@creativeceleris.com 2) Datos que tratamos Al registrarte y usar los Servicios podemos tratar: Identificativos: nombre, apellidos, alias, email, contraseña (hash), ID de usuario. Datos de cuenta ExPass: código único de tarjeta (exp_code), QR asociado, rol/estado de la membresía. Uso de perks: verificaciones/redenciones realizadas (fecha, establecimiento/partner, perk aplicado, resultado de validación). Datos técnicos: IP, agente de usuario, logs de acceso, incidencias de seguridad. Comunicaciones: incidencias de soporte, preferencias de marketing (si las aceptas). (Opcional) Facturación: si más adelante hay planes de pago, datos necesarios a efectos contables/fiscales. No solicitamos categorías especiales de datos (art. 9 RGPD). 3) Finalidades del tratamiento Registro y gestión de cuenta (creación, acceso autenticado, recuperación de contraseña). Emisión y uso de la tarjeta digital ExPass (generación de código/QR, verificación y control de perks en partners). Funcionamiento del mapa ExPass (mostrar puntos afiliados y permitir su búsqueda/filtrado). Atención al usuario y comunicación operativa (avisos sobre cambios de servicio, incidencias, seguridad). Prevención del fraude y seguridad (verificación del uso debido de perks, auditoría y logs técnicos). (Opcional) Marketing: envío de comunicaciones informativas/comerciales solo si lo consientes. Cumplimiento legal (obligaciones contables/fiscales si procede y respuesta a requerimientos legítimos). 4) Bases jurídicas Tratamos tus datos conforme a las bases legitimadoras del art. 6 RGPD: Ejecución de contrato (art. 6.1.b): registro, acceso a la cuenta, tarjeta digital y verificación de perks. Interés legítimo (art. 6.1.f): seguridad, prevención del fraude y mejora del servicio (impacto mínimo, puedes oponerte cuando proceda). Cumplimiento legal (art. 6.1.c): obligaciones contables/fiscales y atención de derechos. Consentimiento (art. 6.1.a): comunicaciones de marketing y cookies no técnicas (cuando corresponda). Podrás retirarlo en cualquier momento. 5) Destinatarios y encargados Podemos compartir datos con proveedores (encargados del tratamiento) que nos prestan servicios bajo contrato y siguiendo nuestras instrucciones, por ejemplo: Alojamiento y plataforma web (hosting y WordPress). Automatización/n8n (webhooks de verificación de códigos y registro de redenciones). Email/SMTP para notificaciones y recuperación de credenciales. Herramientas de analítica y seguridad (logs, detección de abuso). Partners/establecimientos afiliados solo reciben la información estrictamente necesaria para validar tu perk (p. ej., confirmación de que un código es válido y aplicable). No les cedemos tu email ni otros datos no necesarios. 6) Transferencias internacionales Si algún proveedor procesa datos fuera del Espacio Económico Europeo (EEE), garantizaremos un nivel adecuado mediante Decisiones de Adecuación de la Comisión o Cláusulas Contractuales Tipo (SCC), además de medidas complementarias cuando sea necesario. Puedes solicitar detalle actualizado de estos proveedores contactándonos. 7) Conservación de los datos Cuenta y perfil: mientras mantengas activa tu cuenta. Si la cierras, conservaremos datos bloqueados el tiempo necesario para atender responsabilidades legales. Verificaciones/redenciones: durante el tiempo necesario para control antifraude y conciliación con partners [p. ej., 12 meses], y posteriormente bloqueados por plazos legales. Facturación (si aplica): durante los plazos exigidos por normativa fiscal/contable (habitualmente 6 años en España). Marketing: hasta que retires tu consentimiento u objetes al tratamiento. 8) Derechos de las personas usuarias Puedes ejercer tus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad, así como a no ser objeto de decisiones automatizadas. Para ello, escribe a [correo@dominio], indicando “Protección de Datos – ExPass” y adjuntando, si es necesario, prueba de identidad. Si no estás de acuerdo con nuestra respuesta, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) a través de su sede electrónica. 9) Menores de edad Nuestros Servicios no están dirigidos a menores. En España, el consentimiento para servicios de la sociedad de la información es válido a partir de 14 años; por debajo de esa edad requerimos autorización de madre/padre o tutor/a legal. Si detectamos registros que no cumplan estos requisitos, los cancelaremos. 10) Seguridad Aplicamos medidas técnicas y organizativas apropiadas para proteger tus datos (cifrado en tránsito, control de accesos, registro de incidencias, copias de seguridad y mínima retención). Aun así, ningún sistema es 100% seguro; notificaremos, cuando proceda, incidentes conforme a la normativa. 11) Cookies y tecnologías similares Usamos cookies técnicas necesarias para el funcionamiento. Las cookies no necesarias (analítica/marketing) se usan solo con tu consentimiento según nuestra Política de Cookies. Puedes configurar o revocar tu consentimiento en cualquier momento desde el panel de preferencias. 12) Decisiones automatizadas y perfiles No tomamos decisiones con efectos jurídicos basadas exclusivamente en tratamientos automatizados. Si en el futuro aplicamos segmentaciones para perks u ofertas, te informaremos y podrás oponerte cuando corresponda. 13) Cambios en la Política Podemos actualizar esta Política para reflejar cambios legales o funcionales. Publicaremos la versión vigente e indicaremos su fecha. Si los cambios son sustanciales, te lo notificaremos por medios razonables (p. ej., email o aviso en la cuenta). 14) Contacto Para cualquier cuestión sobre privacidad, escribe a infoceleris@creativeceleris.com