Esta traducción se ofrece a título informativo: solo la versión francesa da fe.
El presente aviso forma parte integrante de las condiciones generales de uso del servicio VivAccess, aceptadas por el usuario al utilizar el servicio o suscribirse al mismo.
¿Qué es VivAccess?
El servicio VivAccess permite a los usuarios y usuarias acceder a contenidos, herramientas o funcionalidades relacionados con la accesibilidad, en particular en el marco de eventos, formaciones o dispositivos de acompañamiento.
Funciones en el tratamiento
VivAccess actúa en calidad de responsable del tratamiento para el conjunto de los datos tratados a través del servicio.
Los organizadores que utilizan VivAccess para acoger a participantes en sus eventos siguen siendo, por su parte, responsables de sus propias obligaciones en materia de RGPD respecto de dichos participantes. VivAccess proporciona las herramientas técnicas y las medidas de seguridad necesarias para dicha conformidad.
Finalidades y bases legales
VivAccess trata los datos de carácter personal del usuario para las siguientes finalidades:
| Finalidades | Base legal | Población afectada |
|---|---|---|
| Creación y gestión de la cuenta | Ejecución del contrato (Art. 6.1.b) | Organizador, staff |
| Autenticación y acceso al servicio | Ejecución del contrato (Art. 6.1.b) | Organizador, staff |
| Tramitación de las solicitudes de asistencia | Ejecución del contrato (Art. 6.1.b) | Participante |
| Tratamiento de los datos de accesibilidad (salud) | Consentimiento explícito (Art. 9.2.a) | Participante |
| Supervisión de errores y seguridad | Interés legítimo (Art. 6.1.f) | Todos |
| Cookies no esenciales | Consentimiento (Art. 6.1.a) | Todos |
Datos tratados por población
Organizador
- Identificación: apellido, nombre, correo electrónico, contraseña (cifrada mediante hash);
- Facturación: razón social, SIRET, dirección, medio de pago;
- Conexión: registros de sesión, IP, agente de usuario (user-agent).
Staff
- Identificación: apellido, nombre, correo electrónico;
- Funcionamiento: función, evento asignado, token de sesión.
Participante
- No se crea ninguna cuenta — identificador técnico UUID anónimo;
- Datos facilitados voluntariamente en la solicitud de asistencia (descripción de la necesidad, ubicación dentro del evento);
- Datos de accesibilidad (Art. 9 RGPD) si se declaran con consentimiento explícito;
- Intercambios escritos con el staff en el marco de la solicitud.
¿Quién tiene acceso a los datos?
| Encargado del tratamiento | Servicio | Región | Garantías |
|---|---|---|---|
| Supabase | Base de datos + Realtime | UE (Fráncfort) | DPA + cláusulas tipo |
| LiveKit | WebRTC audio/vídeo | Francia (OVH Bare Metal) | DPA OVH |
| Sentry | Supervisión de errores | UE | DPA |
| Better-Auth | Autenticación (autoalojada) | UE | n/a |
| Resend | Envío de correos electrónicos transaccionales | EE. UU. | DPF + CCT |
| Vercel | Alojamiento edge | Francia (París) | DPF + CCT |
Los datos recogidos son accesibles únicamente a las personas habilitadas, dentro de los límites de sus funciones: los equipos internos de VivAccess; los proveedores técnicos enumerados anteriormente; en su caso, las autoridades competentes en el marco de una obligación legal.
Plazos de conservación
| Categoría de datos | Duración activa | Archivo / supresión |
|---|---|---|
| Cuenta de organizador activa | Duración del contrato | — |
| Cuenta de organizador inactiva | — | Supresión tras 3 años de inactividad |
| Datos de facturación | Duración del contrato | 10 años (L.123-22 del Código de Comercio francés) |
| Datos de evento cerrado | 13 meses | Anonimización |
| Solicitudes de asistencia del participante | Duración del evento + 30 días | Anonimización |
| Datos de accesibilidad (Art. 9) | Duración del evento | Supresión inmediata tras el evento salvo consentimiento explícito |
| Registros técnicos / supervisión Sentry | 90 días | Supresión |
| Cookies de sesión | Duración de la sesión | — |
| Otras cookies | 13 meses máx. (CNIL) | — |
| Correos electrónicos de soporte | Duración del intercambio | Supresión 3 años después del último contacto |
Alojamiento y transferencias
VivAccess privilegia un alojamiento europeo para los datos más sensibles: LiveKit (flujos de audio/vídeo en tiempo real) en Francia sobre infraestructura OVH Bare Metal; Supabase (base de datos y Realtime) en la región UE (Fráncfort); Sentry (supervisión) en la región UE; Better-Auth (sesiones) autoalojado en la UE.
Algunos proveedores implican una transferencia de datos a los Estados Unidos: Resend (correos electrónicos transaccionales), Vercel (alojamiento edge — datos en reposo en EE. UU.) y Deepgram (transcripción de voz). Estas transferencias están reguladas por la adhesión al Data Privacy Framework (DPF) para los proveedores certificados y por las cláusulas contractuales tipo de la Comisión Europea (CCT 2021/914).
Los datos comprendidos en el artículo 9 del RGPD (necesidades de accesibilidad, asimilables a datos de salud) no se transmiten nunca fuera de la Unión Europea.
Para los tratamientos basados en el interés legítimo, VivAccess ha evaluado que dicho interés no menoscaba de forma desproporcionada los derechos de los usuarios: datos minimizados, agregados cuando es posible, plazo de conservación limitado y derecho de oposición garantizado en todo momento a través de rgpd@vivaccess.com.
Cookies
Cookies estrictamente necesarias (no requieren consentimiento):
| Cookie | Finalidad | Duración |
|---|---|---|
| sesión Better-Auth | Autenticación del usuario | Duración de la sesión |
| staff-session-token | Autenticación del staff | Duración del evento |
| NEXT_LOCALE | Idioma de la interfaz | 1 año |
Herramientas de supervisión (interés legítimo, sin cookies de rastreo): Sentry recoge una sesión técnica únicamente en caso de error — todos los campos de entrada están enmascarados y los medios bloqueados antes de la recogida. No se utiliza ninguna cookie analítica de terceros (Google Analytics, Mixpanel, etc.).
Notificación de violación
En caso de violación de datos que pueda entrañar un riesgo para los derechos y libertades de los usuarios, VivAccess lo notifica a la CNIL en un plazo de 72 horas a partir del momento en que tiene conocimiento del incidente (artículo 33 del RGPD). Cuando la violación pueda entrañar un riesgo elevado, VivAccess informa directamente a los usuarios afectados a la mayor brevedad (artículo 34 del RGPD).
Sus derechos
De conformidad con la normativa aplicable, el usuario dispone de los siguientes derechos: acceso, rectificación, supresión, limitación del tratamiento, oposición, portabilidad (cuando sea aplicable) y retirada del consentimiento en cualquier momento cuando el tratamiento se base en este. El usuario puede asimismo definir directrices relativas al destino de sus datos tras su fallecimiento.
Para ejercer sus derechos, el usuario puede ponerse en contacto con VivAccess en rgpd@vivaccess.com. Podrá solicitarse una prueba de identidad. VivAccess responde en el plazo de un mes, prorrogable dos meses en caso de solicitud compleja (artículo 12.3 del RGPD).
Datos de contacto de la CNIL
El usuario dispone del derecho a presentar una reclamación ante la Commission Nationale de l'Informatique et des Libertés:
CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr/plaintes. No obstante, VivAccess invita al usuario a contactar con ella prioritariamente en rgpd@vivaccess.com a fin de buscar una solución amistosa.
Delegado de Protección de Datos
VivAccess no ha designado un Delegado de Protección de Datos, dado que su actividad no cumple los criterios de designación obligatoria del artículo 37 del RGPD. Para cualquier consulta: rgpd@vivaccess.com o por vía postal: VivAccess, 140 rue Yves Montand, 29820 Guilers.
Modificaciones
La presente política puede evolucionar para tener en cuenta las modificaciones del servicio, de la normativa o de las prácticas de VivAccess.
Historial de versiones — V1.0 · 21/05/2026 · Publicación inicial.