🔒 Política de Privacidad y Tratamiento de Datos

Festivera SAS — NIT: [PENDIENTE DE REGISTRO]
Última actualización: mayo de 2026 | Conforme a la Ley 1581 de 2012 y Decreto 1377 de 2013

1. 🏢 Responsable del tratamiento

T&M Solutions S.A.S. (Festivera) es el responsable del tratamiento de los datos personales recopilados a través de la plataforma festivera.com y sus aplicaciones asociadas.

Email de privacidad: hola@festivera.com
WhatsApp: +57 333 245 9840
Canal de derechos ARCO: hola@festivera.com (respuesta en máximo 10 días hábiles)

      ✅ Festivera está comprometida con el cumplimiento de la Ley 1581 de 2012 (protección de datos personales), el Decreto 1377 de 2013 y las circulares de la Superintendencia de Industria y Comercio (SIC).
    

2. 📊 Datos que recopilamos

2.1 De los clientes (promotores / tenants)

Dato	Finalidad	Base legal
Nombre completo / Razón social	Identificación contractual y facturación	Ejecución de contrato
NIT / Cédula	Verificación de identidad, DIAN	Obligación legal
Email	Comunicaciones, acceso, notificaciones	Ejecución de contrato
Teléfono	OTP, soporte, alertas	Consentimiento + contrato
Dirección	Facturación electrónica DIAN	Obligación legal
Datos bancarios	Reembolsos y pagos (encriptados)	Ejecución de contrato
IP y dispositivo	Seguridad, detección de fraude	Interés legítimo

2.2 De los asistentes (usuarios finales de los eventos)

Dato	Finalidad	Base legal
UID pulsera / QR	Operación del sistema cashless	Ejecución de contrato
Saldo y transacciones	Control cashless, reembolsos	Ejecución de contrato
Email (si se registra)	Reembolso, recibo digital	Consentimiento
Número de cédula (reembolso)	Verificación identidad para transferencia	Consentimiento
Cuenta bancaria (reembolso)	Transferencia del reembolso	Consentimiento

⚠️ Festivera no recopila datos biométricos, datos de salud, datos de menores de edad, ni información de tarjetas de crédito/débito (estos son procesados directamente por las pasarelas de pago certificadas PCI-DSS).

3. 🎯 Finalidades del tratamiento

Festivera trata los datos para las siguientes finalidades:

Prestación del servicio: gestión de eventos, cashless, tickets, guardarropa, barras.
Autenticación y seguridad: verificación OTP, control de acceso, detección de fraude.
Facturación: emisión de facturas electrónicas DIAN y cobro de suscripciones.
Reembolsos: procesamiento de devoluciones de saldo cashless.
Soporte técnico: atención y resolución de incidencias.
Comunicaciones transaccionales: confirmaciones, alertas, notificaciones del sistema.
Mejora del servicio: análisis de uso agregado y anónimo.
Cumplimiento legal: reportes a autoridades cuando la ley lo exija.

No usamos los datos para publicidad de terceros ni los vendemos a nadie.

4. 🔐 Medidas de seguridad técnicas

Festivera implementa las siguientes medidas para proteger los datos:

Encriptación en tránsito: TLS 1.2/1.3 en todas las comunicaciones.
Encriptación en reposo: AES-256-CBC para credenciales sensibles (llaves de pasarelas, certificados DIAN, contraseñas de email).
Contraseñas: Bcrypt con factor de costo 12 — nunca se almacenan en texto plano.
JWT con expiración: tokens de acceso de 1 hora, refresh de 7 días.
Rate limiting: límites por IP en todos los endpoints sensibles.
Auditoría: registro inmutable de todas las acciones sensibles (log de auditoría).
Aislamiento de tenants: Row Level Security — cada cliente solo accede a sus propios datos.
Backups: copias diarias cifradas, retenidas 30 días.
Acceso mínimo: principio de menor privilegio en todos los roles del sistema.

5. 🤝 Transferencia de datos a terceros

Festivera puede compartir datos únicamente con:

Tercero	Datos compartidos	Finalidad
Wompi / Bold / PayU	Referencia de pago, monto	Procesamiento de pagos
Twilio / AWS SNS	Número de teléfono	Envío de OTP SMS
SendGrid	Email, nombre	Envío de emails transaccionales
DIAN (Colombia)	NIT, datos de factura	Obligación legal tributaria
Hostinger / AWS	Datos alojados	Infraestructura de hosting
Autoridades legales	Lo requerido	Cumplimiento de orden judicial

Todos los proveedores están sujetos a acuerdos de procesamiento de datos (DPA) y cuentan con certificaciones de seguridad vigentes.

No transferimos datos a países sin nivel adecuado de protección sin las salvaguardas apropiadas (cláusulas contractuales tipo).

6. ⏱️ Retención de datos

Tipo de dato	Período de retención	Fundamento
Cuenta activa del cliente	Mientras dure el contrato + 30 días	Contrato
Transacciones cashless	5 años desde la transacción	Obligación contable (Ley 222/1995)
Facturas electrónicas DIAN	10 años	Obligación tributaria (Art. 632 ET)
Log de auditoría	5 años (nunca se eliminan antes)	Seguridad e investigación
OTP expirados	24 horas	Seguridad
Datos de reembolso	5 años	Obligación contable
Emails de marketing	Hasta solicitud de baja	Consentimiento

7. 👤 Derechos ARCO del titular

De conformidad con la Ley 1581 de 2012, usted tiene los siguientes derechos:

🔍 Acceso

Conocer qué datos suyos tenemos y para qué los usamos.

✏️ Rectificación

Corregir datos inexactos o incompletos.

❌ Cancelación

Solicitar la eliminación de sus datos cuando no sean necesarios.

🚫 Oposición

Oponerse al tratamiento de sus datos para finalidades específicas.

📤 Portabilidad

Recibir sus datos en formato estructurado y legible por máquina.

⏸️ Revocación

Retirar el consentimiento otorgado en cualquier momento.

Para ejercer sus derechos, envíe un email a privacidad@festivera.com con su nombre, NIT/cédula y la solicitud concreta. Respondemos en máximo 10 días hábiles.

Si considera que su solicitud no fue atendida adecuadamente, puede acudir a la Superintendencia de Industria y Comercio (SIC) en sic.gov.co.

8. 🍪 Cookies y tecnologías de seguimiento

La plataforma usa las siguientes cookies:

Cookie	Tipo	Duración	Finalidad
festivera_session	Esencial	Sesión	Autenticación
festivera_csrf	Esencial	Sesión	Protección CSRF
festivera_lang	Funcional	1 año	Preferencia de idioma
_ga, _gid	Analítica	2 años / 24h	Google Analytics 4 (solo con consentimiento)
_fbp	Marketing	90 días	Meta Pixel (solo con consentimiento)

Las cookies de analítica y marketing solo se activan si usted acepta en el banner de cookies. Puede cambiar su preferencia en cualquier momento desde Configuración → Privacidad → Cookies.

9. 📢 Notificación de brechas de seguridad

En caso de detectar una brecha de seguridad que afecte datos personales, Festivera:

Notificará a los afectados en máximo 72 horas desde la detección.
Reportará el incidente a la SIC según lo exige la normativa.
Implementará medidas correctivas de forma inmediata.
Publicará un informe de transparencia en su página web.

10. 🔄 Cambios a esta política

Festivera puede modificar esta política para adaptarla a cambios legales o en sus servicios. Los cambios se notificarán por email con 30 días de anticipación. Si continúa usando la plataforma después de la fecha de vigencia, se entenderá que acepta los cambios.

La versión vigente siempre estará disponible en festivera.com/legal/privacidad.