En cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, RGPD), y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), le informamos de cómo tratamos sus datos personales cuando utiliza el sitio web fotopadelpro.es.
Lea este documento con detenimiento antes de utilizar el servicio de búsqueda de fotografías. Si tiene alguna duda, puede contactarnos antes de continuar.
| Responsable | Adrián Prieto Brunel |
|---|---|
| NIF | 51484192A |
| Domicilio | Calle los Chopos 27, 28140 Fuente el Saz de Jarama (Madrid), España |
| Correo electrónico | subeelbrillo94@gmail.com |
| Sitio web | https://fotopadelpro.es |
La tabla siguiente describe todas las categorías de datos que FotoPadelPro trata, su origen y si se almacenan o solo se procesan en memoria:
| Categoría | Datos concretos | Origen | ¿Se almacena? | Cat. especial (art. 9) |
|---|---|---|---|---|
| Identificación del comprador | Dirección de correo electrónico | Proporcionado por el usuario al iniciar el pago | Sí, en base de datos del servidor (SQLite) | No |
| Datos de navegación | Dirección IP, fecha y hora de acceso, páginas visitadas | Generados automáticamente por el servidor web (nginx) | Sí, en registros del servidor (logs) | No |
| Datos de pedido | Número de pedido, fecha, importe, fotografías adquiridas, token de descarga | Generados por el sistema al completarse el pago | Sí, en SQLite (conservación 6 años) | No |
| Datos de pago | Número de tarjeta, titular, dirección de facturación | Introducidos directamente por el usuario en la plataforma de Stripe. Nunca llegan a los servidores de FotoPadelPro. | No (gestionados exclusivamente por Stripe) | No |
| Imagen facial (selfie) | Imagen del rostro capturada por la cámara del dispositivo del usuario en el momento de la búsqueda | Capturado por el usuario en el momento de usar el buscador biométrico | No. Se procesa únicamente en memoria RAM del servidor y se descarta al terminar la búsqueda. Nunca se escribe en disco. | Sí — dato biométrico, art. 9.1 RGPD |
| Vector facial derivado del selfie | Representación matemática del rostro del usuario (512 valores numéricos), generada por el modelo InsightFace buffalo_l | Calculado automáticamente por el servidor a partir del selfie | No. Solo existe en memoria durante la búsqueda. Se descarta al terminar el proceso. | Sí — dato biométrico, art. 9.1 RGPD |
| Vectores faciales de las fotografías del evento | Representaciones matemáticas de los rostros detectados en las fotografías subidas por el fotógrafo (512 valores numéricos por rostro) | Calculados automáticamente al subir las fotografías del evento | Sí, en base de datos vectorial (Qdrant) del servidor. Se conservan mientras la fotografía asociada esté en el catálogo. | Sí — datos biométricos, art. 9.1 RGPD |
Nota sobre los datos de pago: FotoPadelPro utiliza Stripe Checkout. Los datos de su tarjeta se introducen directamente en la plataforma de Stripe y nunca transitan ni se almacenan en los servidores de FotoPadelPro. Stripe actúa en este caso como responsable independiente del tratamiento de los datos de pago. Puede consultar la política de privacidad de Stripe en stripe.com/es/privacy.
El uso de reconocimiento facial implica el tratamiento de datos biométricos, que el artículo 9.1 del RGPD califica como categoría especial de datos con protección reforzada. A continuación explicamos con precisión cómo funciona este tratamiento.
Al usar el buscador biométrico, el usuario activa la cámara de su dispositivo y captura una imagen de su rostro. Esa imagen se envía cifrada (TLS) al servidor. El servidor ejecuta el modelo de inteligencia artificial InsightFace (modelo buffalo_l), que:
Una vez completada la búsqueda, tanto la imagen del selfie como el vector generado a partir de ella se descartan de la memoria del servidor. No se guardan en ningún fichero ni base de datos. No es técnicamente posible recuperarlos una vez finalizado el proceso.
Cuando el fotógrafo sube las fotografías de un evento, el servidor procesa automáticamente cada imagen para generar los vectores faciales de los rostros detectados. Estos vectores sí se almacenan en la base de datos vectorial Qdrant, ubicada en el servidor del propio responsable del tratamiento (VPS en Hostinger, Chipre, Unión Europea). Junto a cada vector se guarda únicamente el identificador de la fotografía, el club y la fecha del evento, sin ningún otro dato identificativo de la persona fotografiada.
Estos vectores se eliminan automáticamente cuando se elimina la fotografía asociada, y en todo caso al cabo de los plazos indicados en el apartado 6 de esta política.
El tratamiento de datos biométricos mediante sistemas de inteligencia artificial está sujeto a la obligación de realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD), conforme al artículo 35 del RGPD y a las listas publicadas por la Agencia Española de Protección de Datos (AEPD). Esta evaluación ha sido realizada de forma previa al inicio del tratamiento de datos biométricos en producción y está a disposición de la AEPD si esta la solicita.
Tratamos sus datos únicamente para las finalidades que se detallan a continuación, cada una amparada en una base jurídica específica del RGPD:
| Finalidad | Datos implicados | Base jurídica | Artículo RGPD |
|---|---|---|---|
| Búsqueda biométrica de fotografías del evento | Selfie, vector facial del selfie, vectores de las fotos del evento | Consentimiento explícito del interesado, obtenido mediante casilla de verificación activa y separada antes de activar la cámara | Art. 6.1.a y art. 9.2.a RGPD |
| Gestión de la compra y entrega de fotografías | Email, datos del pedido, token de descarga | Ejecución del contrato de compraventa | Art. 6.1.b RGPD |
| Conservación de registros contables y fiscales | Email, importe, fecha, fotografías adquiridas | Obligación legal (conservación 6 años por art. 30 Código de Comercio y art. 66 LGT) | Art. 6.1.c RGPD |
| Seguridad del servicio y prevención de abusos | Dirección IP, logs de acceso | Interés legítimo del responsable en garantizar la seguridad del servicio | Art. 6.1.f RGPD |
| Envío de comunicaciones comerciales (ofertas, novedades) | Consentimiento separado y expreso del interesado, no vinculado a la compra | Art. 6.1.a RGPD |
Importante: el consentimiento para el tratamiento biométrico (primera fila) es independiente del resto de condiciones del servicio. Puede usted utilizar el servicio de búsqueda mediante filtros (club, fecha, hora, pista) sin necesidad de proporcionar datos biométricos. El tratamiento biométrico no es una condición obligatoria para acceder al catálogo de fotografías.
Nota sobre el interés legítimo: el interés legítimo del art. 6.1.f RGPD se aplica únicamente al registro de logs técnicos (dirección IP, hora de acceso) con fines de seguridad. En ningún caso se invoca el interés legítimo como base para el tratamiento de datos biométricos, que requiere exclusivamente el consentimiento explícito del art. 9.2.a RGPD.
FotoPadelPro cuenta con los siguientes encargados del tratamiento, es decir, empresas que tratan datos personales en nombre del responsable siguiendo sus instrucciones y bajo contrato:
| Proveedor | Servicio | País de establecimiento | Garantías de transferencia |
|---|---|---|---|
| Hostinger International Ltd. | Alojamiento del servidor (VPS) | Chipre (Unión Europea) | Dentro del Espacio Económico Europeo. No se requieren garantías adicionales. |
| Cloudflare, Inc. | Almacenamiento de fotografías (Cloudflare R2) | EE.UU. (con infraestructura en la UE) | Cláusulas Contractuales Tipo (CCT) aprobadas por la Decisión de la Comisión Europea 2021/914; autocertificación bajo el EU-U.S. Data Privacy Framework (Decisión de adecuación de 10 de julio de 2023). DPA firmado con Cloudflare. |
| Stripe Payments Europe Ltd. | Pasarela de pago | Irlanda (Unión Europea) | Dentro del Espacio Económico Europeo. Los datos de tarjeta no llegan a los servidores de FotoPadelPro. |
FotoPadelPro no cede datos personales a terceros con fines comerciales ni publicitarios. Los datos solo se comparten con los encargados del tratamiento listados arriba y, cuando exista obligación legal, con las autoridades públicas competentes (Agencia Tributaria, Juzgados u otras).
Las fotografías (archivos de imagen) se almacenan en Cloudflare R2. Los vectores biométricos de las fotografías del evento se almacenan en la base de datos Qdrant, ubicada en el servidor del responsable (Hostinger, Chipre, UE). Los vectores biométricos no se transfieren a Cloudflare.
Respecto a Cloudflare, se ha firmado el Acuerdo de Tratamiento de Datos (DPA) de Cloudflare, que incorpora las CCT de la Decisión 2021/914. Se ha evaluado el impacto de la transferencia (Transfer Impact Assessment) y se aplican medidas suplementarias: cifrado de los archivos en tránsito (TLS) y en reposo.
| Dato | Plazo de conservación | Justificación |
|---|---|---|
| Selfie del usuario y su vector facial | No se conservan. Se descartan al terminar la búsqueda. | Principio de minimización (art. 5.1.c RGPD) y de limitación del plazo (art. 5.1.e RGPD). No existe ninguna finalidad que justifique su persistencia. |
| Vectores faciales de las fotografías del evento | Hasta la eliminación de la fotografía asociada, y en todo caso no más de 12 meses desde la fecha del evento. | Finalidad de permitir la búsqueda (art. 5.1.b y 5.1.e RGPD). Expirado este plazo, la probabilidad de que el usuario busque esas fotos es mínima y la conservación del vector carece de justificación. |
| Fotografías del catálogo (archivos en R2) | Hasta 12 meses desde la fecha del evento, salvo que se eliminen antes. | Decisión comercial del responsable, alineada con el plazo de los vectores. Las fotos ya compradas permanecen disponibles para descarga 48 horas tras el pago. |
| Correo electrónico del comprador y datos del pedido | 6 años desde la fecha de la transacción. | Obligación legal: art. 30 del Código de Comercio y art. 66 de la Ley General Tributaria. |
| Dirección IP y logs de acceso al servidor | 3 meses, salvo que sea necesario conservarlos más tiempo por razones de seguridad o requerimiento judicial. | Principio de minimización (art. 5.1.c y 5.1.e RGPD). La Instrucción 1/2021 de la AEPD sobre logs recomienda no superar los 3 meses en el tratamiento ordinario. |
Transcurridos los plazos indicados, los datos se suprimirán o, cuando sea aplicable, se bloquearán hasta que prescriban las acciones legales relacionadas (art. 32 LOPDGDD).
Como interesado, puede ejercer en cualquier momento los siguientes derechos reconocidos por el RGPD:
Para ejercer cualquiera de los derechos anteriores, envíe un correo electrónico a subeelbrillo94@gmail.com indicando:
Responderemos en el plazo máximo de un mes desde la recepción de la solicitud. Este plazo puede prorrogarse a dos meses adicionales en casos complejos, previa comunicación al interesado (art. 12.3 RGPD).
Si considera que sus derechos no han sido debidamente atendidos, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), autoridad de control competente en España, a través de su sede electrónica: www.aepd.es.
El servicio está dirigido a personas mayores de 14 años, conforme al artículo 7 de la LOPDGDD. Los menores de 14 años no pueden utilizar el servicio sin el consentimiento expreso de sus padres o tutores legales.
El responsable se reserva el derecho a elevar este umbral a 18 años y a solicitar verificación de identidad antes del lanzamiento comercial del servicio. En cualquier caso, si se detecta que un menor de 14 años ha utilizado el servicio sin el consentimiento de sus representantes legales, se procederá a la supresión inmediata de sus datos.
FotoPadelPro ha implementado las siguientes medidas técnicas y organizativas para proteger los datos personales, prestando especial atención a los datos biométricos de categoría especial:
No obstante, ningún sistema de transmisión o almacenamiento de datos puede garantizar la seguridad absoluta. El responsable se compromete a notificar cualquier brecha de seguridad a la AEPD en el plazo máximo de 72 horas desde que tenga conocimiento de ella (art. 33 RGPD), y a los interesados afectados cuando la brecha pueda entrañar un alto riesgo para sus derechos (art. 34 RGPD).
FotoPadelPro utiliza un sistema de inteligencia artificial (InsightFace, modelo buffalo_l) para el reconocimiento de rostros en fotografías. Este sistema puede estar sujeto al Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, relativo a la inteligencia artificial (AI Act), cuyas obligaciones para sistemas de alto riesgo son aplicables desde el 2 de agosto de 2026.
El responsable está evaluando la clasificación del sistema bajo el AI Act y adoptará las medidas de cumplimiento requeridas antes de la fecha de aplicación, incluyendo la documentación técnica, la supervisión humana del sistema y, en su caso, el registro en la base de datos de sistemas de IA de la Unión Europea.
El responsable puede modificar esta política de privacidad para adaptarla a cambios legislativos, resoluciones de la AEPD o modificaciones del servicio. Los cambios relevantes se comunicarán mediante un aviso visible en el Sitio con al menos 30 días de antelación a su entrada en vigor. La versión vigente es siempre la publicada en fotopadelpro.es/privacidad.
Última actualización: 14 de mayo de 2026
Este texto es un borrador profesional y debe ser revisado por un asesor legal especializado en protección de datos antes de publicarse en producción.