Política de Privacidad

1. Introducción

OUIRACE SAS (en adelante «OuiRace», «nosotros», «nuestro» o «nuestros») se compromete a proteger la privacidad y los datos personales de todos los usuarios de la Plataforma OuiRace. La presente Política de Privacidad explica cómo recopilamos, utilizamos, almacenamos y protegemos los datos personales de conformidad con el Reglamento General de Protección de Datos (RGPD - Reglamento UE 2016/679) y la Ley francesa de Informática y Libertades (Loi Informatique et Libertés).

Información de la empresa

Delegado de Protección de Datos

Para cualquier consulta relativa a la presente Política de Privacidad o al tratamiento de datos personales:

2. Ámbito de aplicación de la presente Política

La presente Política de Privacidad se aplica a:

• Participantes: personas físicas que se inscriben en eventos deportivos a través de la Plataforma
• Organizadores: personas físicas o jurídicas que crean y gestionan eventos en la Plataforma
• Visitantes: personas que navegan por la Plataforma sin crear una cuenta

La presente política cubre todos los datos personales recopilados a través de:

• El sitio web OuiRace (www.ouirace.com)
• La aplicación móvil OuiRace
• Las comunicaciones por correo electrónico
• Las interacciones con el servicio de atención al cliente

3. Responsables del tratamiento y responsabilidad conjunta

3.1 Responsable principal del tratamiento

OuiRace actúa como responsable principal del tratamiento para:

• Los datos de cuentas de usuario (Participantes y Organizadores)
• Los datos de uso de la Plataforma y las estadísticas
• Los datos técnicos (direcciones IP, cookies, registros)
• Las comunicaciones con el servicio de atención al cliente

3.2 Responsables conjuntos del tratamiento

Para los datos de inscripción de los Participantes, OuiRace y el Organizador del Evento son responsables conjuntos del tratamiento en virtud del artículo 26 del RGPD. Esto significa que:

• OuiRace recopila y trata los datos de inscripción a través de la Plataforma
• El Organizador recibe y utiliza estos datos para gestionar la participación en el Evento
• Ambas partes son responsables del cumplimiento de las obligaciones en materia de protección de datos
• Los Participantes pueden ejercer sus derechos ante OuiRace o ante el Organizador

El acuerdo de responsabilidad conjunta establece:

• OuiRace es responsable de: la recopilación segura de datos, el procesamiento de pagos, las medidas de seguridad de los datos, la puesta a disposición de herramientas para el ejercicio de los derechos de los interesados
• El Organizador es responsable de: la exactitud de la información del Evento, el uso apropiado de los datos de los Participantes, la respuesta a las consultas de los Participantes, la supresión de los datos cuando ya no sean necesarios

3.3 Encargado del tratamiento

Stripe, Inc. actúa como encargado del tratamiento para el procesamiento de pagos. Stripe trata los datos de pago en nuestro nombre y está vinculado por obligaciones contractuales de protección de dichos datos de conformidad con las normas del RGPD.

4. Datos personales que recopilamos

4.1 Datos recopilados de los Participantes

Al inscribirse en un Evento, recopilamos:

Datos de identidad:

• Apellido, nombre
• Fecha de nacimiento
• Género (opcional, para las estadísticas del Evento)

Datos de contacto:

• Dirección de correo electrónico
• Número de teléfono
• Dirección postal (si lo exige el Organizador)

Datos relacionados con el Evento:

• Evento y categoría seleccionados
• Fecha y hora de inscripción
• Preferencias de inscripción

Datos de pago:

• Información de tarjeta bancaria (procesada y almacenada por Stripe, no por OuiRace)
• Identificador de transacción
• Fecha e importe del pago
• Datos de facturación

Datos opcionales:

• Datos de contacto de emergencia (si lo exige el Organizador)
• Información médica (si lo exige el Organizador para la verificación del certificado médico)
• Talla de camiseta u otras preferencias

4.2 Datos recopilados de los Organizadores

Al crear una cuenta de Organizador, recopilamos:

Datos de identidad (personas físicas):

• Apellido, nombre
• Fecha de nacimiento
• Copia de un documento de identidad en vigor (DNI o pasaporte)

Datos de identidad (personas jurídicas):

• Razón social o nombre de la asociación
• Número de registro (SIREN/SIRET)
• Forma jurídica
• Documentos oficiales (extracto Kbis, recibo de prefectura, estatutos)
• Identidad del representante legal y copia de su documento de identidad

Datos de contacto:

• Dirección de correo electrónico
• Número de teléfono
• Dirección postal
• Justificante de domicilio (de menos de 3 meses de antigüedad)

Datos financieros:

• Datos bancarios (IBAN, BIC)
• Número de identificación fiscal
• Dirección de facturación

Datos relacionados con los Eventos:

• Eventos creados y gestionados
• Listas de participantes y estadísticas
• Transacciones financieras y transferencias
• Comunicaciones con los Participantes

4.3 Datos recopilados de todos los usuarios

Datos técnicos:

• Dirección IP
• Tipo y versión del navegador
• Tipo de dispositivo y sistema operativo
• Preferencias lingüísticas
• Sitio web de origen
• Páginas consultadas y tiempo de permanencia
• Fecha y hora de la visita

Cookies y tecnologías similares:

• Cookies de sesión (esenciales para el funcionamiento de la Plataforma)
• Cookies de análisis (con consentimiento, para la mejora de la Plataforma)
• Cookies de preferencias (para la configuración del usuario)

5. Cómo utilizamos los datos personales

5.1 Base jurídica del tratamiento

Tratamos los datos personales sobre las siguientes bases jurídicas:

Necesidad contractual (artículo 6(1)(b) del RGPD):

• Procesamiento de inscripciones a Eventos
• Gestión de cuentas de usuario
• Procesamiento de pagos
• Prestación de atención al cliente
• Prestación de los servicios solicitados por los usuarios

Obligación legal (artículo 6(1)(c) del RGPD):

• Cumplimiento de obligaciones contables y fiscales
• Verificación KYC (Know Your Customer) para la prevención del blanqueo de capitales
• Respuesta a solicitudes legales de las autoridades
• Conservación de facturas y documentos financieros

Interés legítimo (artículo 6(1)(f) del RGPD):

• Prevención del fraude y seguridad
• Mejora de la Plataforma y estadísticas
• Comunicaciones comerciales a clientes existentes (con posibilidad de darse de baja)
• Defensa de derechos en sede judicial

Consentimiento (artículo 6(1)(a) del RGPD):

• Cookies no esenciales y estadísticas
• Comunicaciones comerciales a no clientes
• Campos de datos opcionales

5.2 Finalidades del tratamiento

Utilizamos los datos personales para las siguientes finalidades:

6. Intercambio de datos y destinatarios

6.1 Dentro de OuiRace

Los datos personales pueden ser consultados por:

• El equipo de atención al cliente (para solicitudes de asistencia)
• El equipo técnico (para el mantenimiento y la resolución de problemas de la Plataforma)
• El equipo financiero (para el procesamiento de pagos y la contabilidad)
• La dirección (para las operaciones y el cumplimiento normativo)

Todos los empleados de OuiRace están sujetos a obligaciones de confidencialidad y reciben formación en materia de protección de datos.

6.2 Organizadores de Eventos

Los datos de inscripción de los Participantes se comparten con el Organizador del Evento correspondiente, incluyendo:

• Nombre, correo electrónico, número de teléfono, fecha de nacimiento
• Detalles de inscripción y preferencias
• Cualquier información adicional requerida para la participación en el Evento

Los Organizadores se comprometen a:

• Utilizar los datos únicamente con fines de gestión del Evento
• Proteger los datos de conformidad con el RGPD
• No compartir los datos con terceros sin consentimiento
• Suprimir los datos cuando ya no sean necesarios

6.3 Proveedores de servicios y encargados del tratamiento

Compartimos datos con las siguientes categorías de proveedores de servicios:

Procesamiento de pagos:

• Stripe, Inc. - Procesamiento de pagos, prevención del fraude, cumplimiento PCI-DSS
• Datos compartidos: información de pago, detalles de transacciones
• Ubicación: centros de datos en la Unión Europea
• Política de privacidad: Política de privacidad de Stripe

Alojamiento e infraestructura:

• Proveedores de alojamiento en la nube (servidores ubicados en la Unión Europea)
• Datos compartidos: todos los datos de la Plataforma
• Certificaciones de seguridad: ISO 27001, SOC 2

Proveedores de servicios de correo electrónico:

• Envío de correos electrónicos transaccionales (confirmaciones de inscripción, facturas)
• Correos electrónicos de marketing (con consentimiento)
• Datos compartidos: direcciones de correo electrónico, nombres, contenido de los mensajes

Estadísticas:

• Estadísticas de uso (anonimizadas en la medida de lo posible)
• Datos compartidos: estadísticas de uso agregadas, datos técnicos
• Utilizados para: mejora de la Plataforma, seguimiento del rendimiento

Todos los proveedores de servicios son cuidadosamente seleccionados y están vinculados por acuerdos de tratamiento de datos (DPA) que garantizan el cumplimiento del RGPD.

6.4 Obligaciones legales

Podemos divulgar datos personales cuando la ley lo exija:

• En respuesta a resoluciones judiciales o procedimientos legales
• Para cumplir con requisitos regulatorios
• Para proteger los derechos, la propiedad o la seguridad de OuiRace, de los usuarios o del público
• En el marco de una investigación o prevención del fraude

6.5 Transferencias empresariales

En caso de fusión, adquisición, reorganización o cesión de activos, los datos personales pueden ser transferidos a la entidad adquirente, sujeto a:

• Protección continuada en virtud de la presente Política de Privacidad
• Notificación a los usuarios afectados
• Posibilidad de oponerse o solicitar la supresión de los datos

6.6 Terceros con los que NO compartimos

7. Transferencias internacionales de datos

7.1 Ubicación del almacenamiento de datos

Los datos personales se almacenan principalmente en servidores ubicados en la Unión Europea, lo que garantiza una protección completa en virtud del RGPD.

7.2 Transferencias fuera de la UE

Algunos proveedores de servicios (por ejemplo, Stripe) pueden tratar datos fuera del Espacio Económico Europeo (EEE). En tal caso, garantizamos una protección adecuada mediante:

• Cláusulas contractuales tipo de la UE (CCT): garantías contractuales aprobadas por la Comisión Europea
• Decisiones de adecuación: transferencias a países reconocidos por la UE como proveedores de una protección adecuada
• Privacy Shield o certificaciones equivalentes (en su caso)

7.3 Sus derechos respecto a las transferencias internacionales

Usted tiene derecho a:

• Solicitar información sobre las transferencias internacionales
• Obtener una copia de las garantías establecidas
• Oponerse a las transferencias en determinadas circunstancias

Contacte con dpo@ouirace.com para más información.

8. Plazos de conservación de datos

Conservamos los datos personales únicamente durante el tiempo necesario para las finalidades descritas en la presente política:

8.1 Datos de los Participantes

8.2 Datos de los Organizadores

8.3 Datos técnicos

8.4 Procedimiento de supresión

Al vencimiento de los plazos de conservación:

• Los datos personales se eliminan definitivamente de las bases de datos activas
• Las copias de seguridad que contienen datos personales se eliminan o anonimizan
• Los datos almacenados por los proveedores de servicios se eliminan conforme a los acuerdos
• Solo los datos estadísticos anonimizados pueden conservarse indefinidamente

9. Sus derechos en virtud del RGPD

Como persona interesada en la Unión Europea, usted dispone de los siguientes derechos:

9.1 Derecho de acceso (artículo 15)

Usted tiene derecho a obtener:

• La confirmación de que sus datos personales están siendo tratados
• El acceso a sus datos personales
• Información sobre las finalidades del tratamiento, las categorías, los destinatarios, los plazos de conservación
• Una copia de sus datos personales

Cómo ejercer este derecho: Envíe un correo electrónico a dpo@ouirace.com con el asunto «Solicitud de acceso». Adjunte una prueba de identidad.

Plazo de respuesta: En el plazo de 1 mes (ampliable a 3 meses para solicitudes complejas).

9.2 Derecho de rectificación (artículo 16)

Usted tiene derecho a:

• Corregir datos personales inexactos
• Completar datos personales incompletos

Cómo ejercer este derecho:

• Realice la actualización directamente en la configuración de su cuenta, o
• Envíe un correo electrónico a dpo@ouirace.com con las correcciones

Plazo de respuesta: En el plazo de 1 mes.

9.3 Derecho de supresión / «Derecho al olvido» (artículo 17)

Usted tiene derecho a solicitar la supresión de sus datos personales cuando:

• Los datos ya no sean necesarios para los fines para los que fueron recogidos
• Usted retire su consentimiento (cuando el tratamiento se base en el consentimiento)
• Usted se oponga al tratamiento y no existan motivos legítimos imperiosos
• Los datos hayan sido tratados de forma ilícita
• Una obligación legal exija la supresión

Excepciones (podemos conservar los datos a pesar de una solicitud de supresión):

• Cumplimiento de una obligación legal (fiscal, contable)
• Formulación, ejercicio o defensa de reclamaciones legales
• Fines de archivo en interés público

Cómo ejercer este derecho: Envíe un correo electrónico a dpo@ouirace.com con el asunto «Solicitud de supresión».

Plazo de respuesta: En el plazo de 1 mes.

9.4 Derecho a la limitación del tratamiento (artículo 18)

Usted tiene derecho a solicitar la suspensión temporal del tratamiento cuando:

• Usted cuestione la exactitud de los datos (durante la verificación)
• El tratamiento sea ilícito pero usted prefiera la limitación a la supresión
• Ya no necesitemos los datos pero usted los necesite para acciones legales
• Usted se haya opuesto al tratamiento (a la espera de la verificación de los motivos legítimos)

Cómo ejercer este derecho: Envíe un correo electrónico a dpo@ouirace.com con el asunto «Solicitud de limitación».

Plazo de respuesta: En el plazo de 1 mes.

9.5 Derecho a la portabilidad de los datos (artículo 20)

Usted tiene derecho a:

• Recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica (por ejemplo, CSV, JSON)
• Transmitir dichos datos a otro proveedor de servicios

Este derecho se aplica únicamente a los datos:

• Que usted nos haya proporcionado
• Tratados sobre la base del consentimiento o del contrato
• Tratados por medios automatizados

Cómo ejercer este derecho: Envíe un correo electrónico a dpo@ouirace.com con el asunto «Solicitud de portabilidad».

Plazo de respuesta: En el plazo de 1 mes.

Formato proporcionado: Archivo CSV que contiene los datos de su cuenta y de inscripción.

9.6 Derecho de oposición (artículo 21)

Usted tiene derecho a oponerse al tratamiento basado en:

• Interés legítimo: Usted puede oponerse en cualquier momento por razones relacionadas con su situación particular
• Comunicaciones comerciales: Usted puede oponerse en cualquier momento (incluida la elaboración de perfiles con fines comerciales)

Cómo ejercer este derecho:

• Para marketing: Haga clic en «Darse de baja» en cualquier correo electrónico de marketing, o modifique sus preferencias en la configuración de la cuenta
• Para otros tratamientos: Envíe un correo electrónico a dpo@ouirace.com con el asunto «Oposición»

Plazo de respuesta: En el plazo de 1 mes (baja de marketing: inmediatamente).

9.7 Derecho a retirar el consentimiento (artículo 7(3))

Cuando el tratamiento se base en su consentimiento, usted tiene derecho a retirarlo en cualquier momento.

Cómo ejercer este derecho:

• Modifique sus preferencias en la configuración de la cuenta
• Haga clic en «Darse de baja» en los correos electrónicos
• Envíe un correo electrónico a dpo@ouirace.com

Nota: La retirada del consentimiento no afecta a la licitud del tratamiento basado en el consentimiento otorgado antes de la retirada.

9.8 Derecho a presentar una reclamación

Usted tiene derecho a presentar una reclamación ante la autoridad de control en materia de protección de datos:

9.9 Ejercicio de sus derechos

Procedimiento general:

1. Envíe su solicitud a dpo@ouirace.com indicando:
   • En el asunto, el derecho que desea ejercer
   • Una prueba de identidad (copia del DNI o pasaporte)
   • Una descripción clara de su solicitud
2. Verificamos su identidad (puede solicitarse información adicional)
3. Respondemos en el plazo de 1 mes (ampliable a 3 meses para solicitudes complejas)
4. Proporcionamos la información o realizamos la acción solicitada de forma gratuita

Solicitudes excesivas o manifiestamente infundadas: Podemos cobrar una tarifa razonable o denegar la solicitud.

10. Medidas de seguridad de los datos

OuiRace implementa las medidas técnicas y organizativas apropiadas para proteger los datos personales:

10.1 Medidas técnicas

Cifrado:

• Cifrado SSL/TLS para todos los datos en tránsito
• Cifrado de datos sensibles en reposo
• Hashing seguro de contraseñas (algoritmo bcrypt)

Control de acceso:

• Control de acceso basado en roles (RBAC)
• Autenticación multifactor disponible
• Expiración automática de sesiones
• Requisitos de contraseñas seguras

Seguridad de la infraestructura:

• Protección mediante cortafuegos
• Sistemas de detección y prevención de intrusiones
• Parches de seguridad y actualizaciones regulares
• Protección contra ataques DDoS
• Entornos de producción y desarrollo aislados

Protección de datos:

• Copias de seguridad automatizadas diarias
• Cifrado de las copias de seguridad
• Plan de recuperación ante desastres
• Redundancia de datos en múltiples servidores

Seguridad de la aplicación:

• Validación y saneamiento de entradas
• Protección contra vulnerabilidades comunes (inyección SQL, XSS, CSRF)
• Pruebas y auditorías de seguridad regulares
• Prácticas de desarrollo seguro

10.2 Medidas organizativas

Políticas y procedimientos:

• Política de protección de datos
• Plan de respuesta ante incidentes
• Política de control de acceso
• Procedimientos de conservación y supresión de datos

Formación de empleados:

• Formación regular en materia de protección de datos
• Acuerdos de confidencialidad
• Programas de concienciación sobre seguridad
• Procedimientos claros de tratamiento de datos

Gestión de proveedores:

• Diligencia debida sobre los proveedores de servicios
• Acuerdos de tratamiento de datos (DPA)
• Evaluaciones regulares de la seguridad de los proveedores
• Requisitos contractuales de seguridad

Supervisión y auditoría:

• Registro y supervisión de accesos
• Auditorías de seguridad regulares
• Evaluaciones de vulnerabilidades
• Pruebas de penetración (anuales)

10.3 Respuesta en caso de violación de datos

En caso de violación de datos personales:

Detección y contención:

• Investigación y contención inmediatas
• Evaluación del alcance y del impacto
• Documentación de los detalles de la violación

Notificación:

• Notificación a la CNIL en las 72 horas siguientes (en caso de riesgo elevado)
• Notificación a las personas afectadas sin demora indebida (en caso de riesgo elevado para los derechos y libertades)
• La comunicación incluye la naturaleza de la violación, las consecuencias probables y las medidas de mitigación

Remediación:

• Implementación de medidas correctivas
• Prevención de futuras incidencias
• Revisión y actualización de los procedimientos de seguridad

11. Cookies y tecnologías de seguimiento

11.1 ¿Qué es una cookie?

Las cookies son pequeños archivos de texto almacenados en su dispositivo cuando visita la Plataforma. Nos ayudan a proporcionar, proteger y mejorar nuestros servicios.

11.2 Tipos de cookies utilizadas

Cookies esenciales (no requieren consentimiento):

• Gestión de sesiones y autenticación
• Seguridad y prevención del fraude
• Equilibrio de carga y rendimiento
• Preferencias del usuario (idioma, configuración de visualización)

Cookies de análisis (requieren consentimiento):

• Estadísticas de uso (páginas consultadas, tiempo de permanencia)
• Fuentes de tráfico y comportamiento de los usuarios
• Seguimiento de errores y depuración
• Pruebas A/B y optimización de funcionalidades

Cookies de marketing (requieren consentimiento):

• Retargeting y publicidad
• Integración de redes sociales
• Seguimiento de campañas de correo electrónico
• Seguimiento de conversiones

11.3 Cookies de terceros

Podemos utilizar cookies de terceros procedentes de:

• Google Analytics (estadísticas de uso)
• Plataformas de redes sociales (botones de compartir)
• Redes publicitarias (retargeting)

Estos terceros disponen de sus propias políticas de privacidad.

11.4 Duración de las cookies

• Cookies de sesión: Se eliminan cuando cierra su navegador
• Cookies persistentes: Se almacenan durante un máximo de 13 meses

11.5 Gestión de cookies

Usted puede gestionar las cookies a través de:

Configuración del navegador:

• Bloquear todas las cookies
• Eliminar las cookies existentes
• Autorizar cookies de sitios específicos
• Recibir notificaciones antes de la instalación de cookies

Banner de consentimiento de cookies:

• Aceptar o rechazar las cookies no esenciales
• Consultar y modificar las preferencias de cookies
• Acceder a información detallada sobre las cookies

Política de cookies: Para más información, consulte nuestra Política completa de cookies en www.ouirace.com/cookies

12. Protección de datos de menores

12.1 Requisitos de edad

Creación de cuenta: Reservada a personas de 18 años o más.

Inscripción a Eventos: Los menores pueden inscribirse en Eventos con autorización parental. El padre, madre o representante legal debe:

• Proporcionar su consentimiento durante la inscripción
• Cumplimentar el formulario de inscripción en nombre del menor
• Aceptar los Términos y Condiciones
• Asumir la responsabilidad de la participación del menor

12.2 Derechos de los padres

Los padres o representantes legales tienen derecho a:

• Acceder a los datos personales de su hijo/a
• Solicitar la rectificación o supresión
• Retirar su consentimiento
• Oponerse al tratamiento

12.3 Descubrimiento de datos de menores

Si descubrimos que hemos recopilado datos de un menor de 18 años sin el consentimiento parental requerido:

• Eliminamos los datos de forma inmediata
• Cerramos la cuenta
• Informamos a la persona afectada de la supresión

13. Toma de decisiones automatizada y elaboración de perfiles

13.1 Uso limitado de la automatización

OuiRace utiliza un tratamiento automatizado limitado para:

Detección del fraude:

• Análisis automatizado de transacciones de pago
• Evaluación de riesgos para actividades sospechosas
• Señalización de inscripciones potencialmente fraudulentas

Recomendaciones de Eventos:

• Sugerencia de Eventos basada en inscripciones anteriores
• Sugerencias de Eventos geolocalizadas
• Descubrimiento personalizado de Eventos

13.2 Sus derechos

Usted tiene derecho a:

• No ser objeto de una decisión basada exclusivamente en un tratamiento automatizado que produzca efectos jurídicos o le afecte significativamente
• Obtener una intervención humana
• Expresar su punto de vista
• Impugnar la decisión

Nota: Las medidas de detección del fraude son necesarias para la ejecución del contrato y la protección de OuiRace y de sus usuarios.

14. Modificaciones de la presente Política de Privacidad

14.1 Actualizaciones

Podemos actualizar la presente Política de Privacidad para reflejar:

• Cambios en nuestras prácticas de tratamiento de datos
• Nuevas funcionalidades o servicios
• Requisitos legales o reglamentarios
• Recomendaciones de buenas prácticas

14.2 Notificación

Cambios sustanciales:

• Publicados en la Plataforma con al menos 30 días de antelación a la fecha de entrada en vigor
• Notificados a los usuarios registrados por correo electrónico
• El uso continuado después de la fecha de entrada en vigor constituye aceptación

Cambios menores:

• Publicados en la Plataforma
• La notificación puede no ser proporcionada
• Ejemplos: correcciones tipográficas, aclaraciones, ejemplos adicionales

14.3 Historial de versiones

• Versión 1.0 - 15 de enero de 2025: Versión inicial

16. Referencias legales

La presente Política de Privacidad cumple con:

• RGPD: Reglamento UE 2016/679 de 27 de abril de 2016
• Ley francesa de Protección de Datos: Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (modificada)
• Directiva ePrivacy: Directiva 2002/58/CE (tal como ha sido transpuesta al derecho francés)
• Código de Consumo francés: Code de la consommation
• Código Civil francés: Code civil