Un evento con 300 personas supone 300 formularios de inscripción, listas de asistencia, escaneos de acreditaciones, correos electrónicos de confirmación, fotos y quizá un boletín informativo posterior. Tantos puntos de recogida de datos personales, tantas obligaciones en virtud del RGPD. Como organizador, ¿cumple realmente con la normativa? Vale la pena plantear la pregunta sin rodeos. Este artículo repasa las obligaciones concretas que se aplican a su actividad —desde la recogida de datos de los participantes hasta la seguridad de la plataforma que utiliza— para que pueda actuar, y no sufrir las consecuencias.
RGPD: un reglamento europeo que también se aplica a los eventos
El Reglamento General de Protección de Datos, que entró en vigor el 25 de mayo de 2018, se aplica a cualquier organización que trate datos personales de residentes europeos, independientemente de su tamaño. Para un organizador de eventos, esto significa en la práctica que cada recogida de datos —incluida una lista de asistencia en papel o un escaneo de una tarjeta de identificación— constituye un tratamiento en el sentido del RGPD y conlleva una serie de obligaciones. Las sanciones de la CNIL son reales: en 2024, la autoridad impuso 87 sanciones que representaron más de 55 millones de euros en multas acumuladas (fuente: CNIL, informe de actividad de 2024). No es motivo para entrar en pánico, es motivo para actuar.
Los dos actores clave: el responsable del tratamiento y el encargado del tratamiento
El RGPD se basa en una distinción fundamental: el responsable del tratamiento (Data Controller) y el encargado del tratamiento (Data Processor). Como organizador, usted es el responsable del tratamiento: decide por qué y cómo se recogen los datos. La plataforma de eventos que utiliza es su encargado del tratamiento: trata los datos en su nombre, siguiendo sus instrucciones. Esta distinción tiene una consecuencia directa: aunque delegue en una plataforma, usted sigue siendo responsable ante la ley de las prácticas de dicho encargado del tratamiento. Volveremos sobre este punto crucial en la última sección.
A tener en cuenta
Como organizador, usted es el responsable del tratamiento.
La plataforma que elija es su encargado del tratamiento.
Usted es responsable ante la ley de las prácticas de este último.
Eventos B2B: obligaciones que a menudo se subestiman
Una idea preconcebida muy extendida es que «los datos profesionales no están sujetos al RGPD». Esto es incorrecto. Los datos de contacto de un empleado —su nombre, su correo electrónico profesional, su cargo— son datos personales en el sentido del reglamento. Conferencias sectoriales, ferias profesionales, seminarios para clientes: todos ellos están sujetos a esta normativa. La base jurídica del «interés legítimo» suele ser aplicable en el ámbito B2B para el envío de invitaciones o el seguimiento comercial, pero debe figurar obligatoriamente en su registro de tratamientos. No exime de la obligación de informar a las personas.
Eventos B2C: un nivel de exigencia aún mayor
En el ámbito B2C, a menudo se requiere el consentimiento explícito, sobre todo cuando el tratamiento de datos va más allá de la organización logística del evento. Las fotos y los vídeos del evento difundidos públicamente, la recogida de datos de salud para un evento deportivo o el tratamiento de datos de menores son casos delicados que requieren una atención especial. Hay un aspecto que a menudo se pasa por alto: la comunicación posterior al evento —envío de una repetición, cuestionario de satisfacción, boletín de seguimiento— requiere una base jurídica distinta de la simple inscripción. El consentimiento obtenido para la inscripción no equivale al consentimiento para comunicaciones posteriores.
Evento B2B2C
Algunos eventos B2B también pueden contar con la participación de acompañantes, como cónyuges o incluso hijos. Por ejemplo, en eventos del tipo«family days», en los que la empresa, la fábrica o la planta se abre a los familiares para que conozcan el trabajo de un padre o madre empleado.
Algunas empresas que forman parte del patrimonio industrial también pueden abrir sus puertas durante las jornadas del patrimonio.
En esas ocasiones, se da una mezcla de empleados y participantes o invitados del «público en general».
¿Qué debe incluir un prospecto conforme?
El artículo 13 del RGPD establece que toda nota informativa debe incluir los siguientes datos: la identidad y los datos de contacto del responsable del tratamiento, las finalidades y la base jurídica de cada tratamiento, los destinatarios o categorías de destinatarios de los datos, el plazo de conservación, los derechos de los interesados y la forma de ejercerlos, los datos de contacto del delegado de protección de datos (DPO) si su organización designa a uno, y la existencia de posibles transferencias fuera de la Unión Europea. Esta nota informativa debe estar redactada en un lenguaje claro y comprensible: la jerga jurídica no es una excusa, es un obstáculo.
¿Cuándo debe facilitarse la información?
El principio es sencillo, pero innegociable: la información debe preceder a la recogida de datos. En la práctica, esto implica que debe estar disponible en el formulario de inscripción en línea (antes de enviarlo), en el correo electrónico de confirmación de la inscripción, en la aplicación de gestión de acreditaciones y en el punto de registro in situ. No basta con incluir un enlace a la política de privacidad al pie de página de un correo electrónico. La información debe ser visible, accesible y presentarse antes de que la persona facilite sus datos.
Determinar el fundamento jurídico adecuado en función del tipo de evento
Todo tratamiento debe basarse en uno de los fundamentos jurídicos previstos en el RGPD.
Las bases legales más habituales en el sector de los eventos son las siguientes:
• Consentimiento: se utiliza, en particular, para el envío de un boletín informativo tras el evento, así como para la utilización de fotos y vídeos. Debe ser libre, específico, informado y revocable en cualquier momento.
• Interés legítimo: se recurre a él a menudo para el envío del programa, los recordatorios comerciales B2B o determinadas comunicaciones relacionadas con el evento. Su uso requiere un equilibrio de intereses documentado entre las necesidades del organizador y los derechos de las personas afectadas.
• Ejecución del contrato: se refiere, por ejemplo, a una inscripción de pago o a la entrega de una acreditación necesaria para la participación. Esta base legal debe limitarse a los datos estrictamente necesarios para la ejecución del servicio solicitado.
El error más común es utilizar el consentimiento como base jurídica por defecto, cuando la ejecución del contrato o el interés legítimo suelen ser más adecuados —y más fáciles de gestionar—. Lo importante es definir la base jurídica con antelación y documentarla.
Minimización de datos: recopilar solo lo necesario
El principio de minimización es uno de los pilares del RGPD: solo se recogen los datos estrictamente necesarios para los fines declarados. Aplicado al sector de los eventos, esto lleva a plantearse preguntas concretas: ¿es realmente necesaria la fecha de nacimiento para una conferencia profesional? ¿Es imprescindible el número de teléfono si toda la comunicación se realiza por correo electrónico? Responder a estas preguntas antes de cada evento es más eficaz que una auditoría anual.
Formulario de inscripción: buenas prácticas
El cumplimiento normativo también se juega en los detalles del formulario. Casillas de selección sin marcar por defecto, textos de consentimiento claros y diferenciados por finalidad (una casilla para el registro, otra para el boletín informativo), enlace a la política de privacidad visible antes de enviar el formulario, ausencia de campos obligatorios injustificados: cada elemento cuenta. Una plataforma de eventos que cumpla con la normativa debe permitirle configurar estos parámetros sin necesidad de recurrir a soluciones técnicas alternativas. Si su herramienta no lo permite, es una señal de alarma.
Establecer plazos adecuados para cada objetivo
No existe un plazo de conservación universal: depende de la finalidad de cada tratamiento. Algunas pautas razonables: los datos de facturación deben conservarse durante 10 años, de conformidad con las obligaciones contables legales; los datos de contacto para la prospección comercial, durante 3 años a partir del último contacto, según la recomendación de la CNIL; los datos de participación en un evento, durante un máximo de 12 meses con fines estadísticos. Estos plazos deben documentarse obligatoriamente en su registro de tratamientos. Muchos organizadores conservan los datos indefinidamente por falta de un procedimiento: esto constituye en sí mismo un incumplimiento normativo.
En Appcraft recomendamos conservar los datos durante tres meses después del evento. En el 90 % de los casos, eso es más que suficiente.
Acreditaciones, tarjetas de identificación y datos de asistencia: el caso concreto
Los datos recopilados al escanear las acreditaciones merecen una atención especial. La hora de entrada, las sesiones visitadas, las interacciones con los expositores: se trata de datos de comportamiento en toda regla. Deben estar amparados por una base legal explícita, mencionarse en la nota informativa y eliminarse tras un plazo definido. Este punto suele pasarse por alto en los eventos profesionales, incluso en organizaciones que, por lo demás, consideran que su cumplimiento del RGPD está bien controlado.
Derecho de acceso, rectificación y supresión
Los artículos 15, 16 y 17 del RGPD garantizan a los participantes el derecho a acceder a sus datos, a que se rectifiquen y a solicitar su supresión. En principio, dispone de un mes para responder a una solicitud (plazo ampliable a tres meses en el caso de solicitudes complejas). Caso concreto: un participante solicita la supresión de sus datos tras el evento. Debe poder eliminar su perfil de su plataforma, de las listas de correo electrónico asociadas y de cualquier base de datos de terceros a los que haya transmitido su información. Si su plataforma no permite esta supresión a petición, eso supone un problema.
Derecho de oposición y retirada del consentimiento
El derecho de oposición se aplica a los tratamientos basados en el interés legítimo: el participante puede oponerse a ellos en cualquier momento, y usted debe cesar dicho tratamiento salvo que exista un motivo imperioso. La retirada del consentimiento se refiere a los tratamientos basados en el consentimiento: debe ser tan sencillo como su concesión. No basta con incluir un enlace de baja en cada correo electrónico si hay otros tratamientos basados en el consentimiento en curso. El ejercicio de estos derechos debe aplicarse a todos los tratamientos afectados, no solo al envío de correos electrónicos.
¿Cómo se gestiona en la práctica la tramitación de estas solicitudes?
No es necesario contar con un delegado de protección de datos (DPO) a tiempo completo para gestionar eficazmente las solicitudes de ejercicio de derechos. En la mayoría de los casos, basta con una estructura de gestión sencilla: designar a un responsable interno del RGPD (incluso a tiempo parcial), crear una dirección de correo electrónico específica para las solicitudes (del tipo privacy@votreentreprise.fr), documentar cada solicitud y su respuesta en un registro sencillo, y asegurarse de que su plataforma permita la exportación y la supresión de datos cuando se solicite. Para las organizaciones de tamaño medio, un DPO externo puede aportar el asesoramiento jurídico necesario sin las limitaciones que supone una contratación específica.
El DPA (Acuerdo de tratamiento de datos): el primer documento que hay que solicitar
El artículo 28 del RGPD exige la firma de un contrato de subcontratación (Data Processing Agreement, o DPA) entre el organizador y cualquier plataforma que trate datos personales por cuenta de este. Este documento debe especificar el objeto y la duración del tratamiento, su naturaleza y finalidad, el tipo de datos tratados, las obligaciones del subcontratista en materia de seguridad y confidencialidad, las condiciones de subcontratación posterior y las modalidades de auditoría. La ausencia de un DPA constituye en sí misma un incumplimiento, lo que le expone a riesgos en caso de inspección, independientemente de la calidad de las medidas técnicas implantadas. Una plataforma que no ofrezca un DPA no puede considerarse conforme.
Alojamiento en Europa y seguridad técnica: los criterios innegociables
Más allá del DPA, deben verificarse varios criterios técnicos. El almacenamiento de los datos en servidores ubicados en la Unión Europea es un requisito indispensable. Las transferencias fuera de la UE —en particular, a subcontratistas estadounidenses sujetos a la Cloud Act— entrañan riesgos jurídicos reales que deben regularse mediante cláusulas contractuales tipo (CCT) u otros mecanismos.
En este sentido, el alojamiento de datos, incluso en servidores situados en Europa o incluso en Francia, a través de un proveedor estadounidense como AWS (de Amazon) o Azure (de Microsoft), te expone a la Ley Cloud estadounidense. El cifrado de los datos en tránsito y en reposo, la gestión de los derechos de acceso, la trazabilidad a través de registros de auditoría, un plan de respuesta a incidentes (con notificación a la CNIL en un plazo de 72 horas en caso de violación) y certificaciones reconocidas como la ISO 27001 son indicadores fiables de madurez en materia de seguridad.
En AppCraft, estos requisitos están integrados en la arquitectura de la plataforma: alojamiento en Francia en servidores de OVH (empresa francesa), datos de los participantes inaccesibles para el motor de IA, anonimización garantizada por la arquitectura y un acuerdo de tratamiento de datos disponible para cada cliente.
Lista de verificación para elegir una plataforma que cumpla plenamente con el RGPD
Antes de firmar con un proveedor, comprueba cada punto:
1. ¿Ofrece el proveedor un DPA (acuerdo de subcontratación conforme al RGPD) firmado y actualizado?
2. ¿Se alojanlos datos exclusivamente dentro de la Unión Europea?
3. ¿Está la empresa de alojamiento sujeta a una legislación incompatible con la legislación europea, como por ejemplo la Ley Cloud estadounidense?
4. ¿Se garantiza el cifrado de los datos en tránsito (TLS) y en reposo?
5. ¿Ofrecela plataforma registros de auditoría y trazabilidad de los accesos?
6. ¿Dispone de un procedimiento de notificación en caso de violación de datos (72 h CNIL)?
7. ¿Se puede configurar el formulario de inscripción para respetar los principios de minimización y consentimiento?
8. ¿Se puedeeliminar rápidamente los datos de un participante cuando se solicite?
9. ¿Cuentala plataforma con una certificación reconocida (ISO 27001 o equivalente)?
10. ¿Están identificados los subcontratistas de la plataforma y cubiertos por garantías contractuales?
11. ¿Puedeel equipo comercial o jurídico responder a sus preguntas sobre el RGPD sin demoras excesivas?
El cumplimiento del RGPD en el sector de los eventos no es una cuestión que competa a los juristas: es una cuestión que compete a los organizadores. Las obligaciones son concretas, los riesgos son reales y existen soluciones, incluso para organizaciones que no cuentan con un delegado de protección de datos (DPO) específico. Lo fundamental es estructurar el proceso: documentar los tratamientos de datos, elegir una plataforma que cumpla realmente con la normativa, informar a los participantes y dotarse de los medios necesarios para responder a sus derechos.
Más allá del mero cumplimiento normativo, la protección de datos es también un factor que genera confianza. Los participantes que saben que sus datos se tratan con seriedad se inscriben con mayor facilidad, comparten información más relevante y vuelven a las siguientes ediciones. El cumplimiento riguroso del RGPD, si se lleva a cabo correctamente, es tanto una ventaja competitiva como una obligación legal.
Para profundizar: el cumplimiento del RGPD plantea, como es lógico, otras cuestiones relacionadas, como la gestión de las cookies en tu sitio web de eventos, la política de conservación de datos de CRM entre dos ediciones de un mismo evento, o incluso los retos específicos de los eventos híbridos, en los que los participantes en línea y presenciales no están sujetos a los mismos tratamientos. Todos estos son temas que seguiremos analizando.
