RGPD y Registro de Asistentes: Guía para Organizadores de Eventos

Cada vez que un asistente se registra para tu evento — ya sea comprando una entrada o confirmando asistencia gratuita — estás recogiendo datos personales. Nombre, email, teléfono, y en muchos casos información adicional como empresa, cargo, alergias alimentarias o DNI. El Reglamento General de Protección de Datos (RGPD), vigente desde mayo de 2018, y su transposición española, la Ley Orgánica 3/2018 (LOPDGDD), regulan estrictamente cómo recoges, almacenas, usas y eliminas estos datos.

Muchos organizadores de eventos desconocen que están sujetos al RGPD o asumen que "como es un evento pequeño, no aplica". Aplica siempre, independientemente del tamaño del evento o de si eres autónomo, SL, asociación o particular. Desde el momento en que recoges un nombre y un email, eres un "responsable del tratamiento" con obligaciones legales específicas.

El incumplimiento del RGPD puede acarrear sanciones de hasta 20 millones de euros o el 4% de la facturación anual global (lo que sea mayor). En España, la Agencia Española de Protección de Datos (AEPD) es especialmente activa y ha impuesto multas significativas a empresas del sector de ocio y eventos. En 2023, la AEPD sancionó a una empresa de ticketing con 150.000€ por enviar comunicaciones comerciales sin consentimiento adecuado.

El RGPD exige que todo tratamiento de datos personales tenga una base legal válida. Para eventos, las bases legales más relevantes son tres: la ejecución de un contrato, el interés legítimo y el consentimiento.

La ejecución del contrato de compraventa de entradas te permite recoger y tratar los datos necesarios para gestionar la entrada: nombre, email (para enviar el QR), teléfono (comunicaciones sobre el evento), y datos de pago. No necesitas consentimiento adicional para estos datos porque son necesarios para cumplir el contrato. Sin embargo, esta base legal solo cubre los datos estrictamente necesarios para la venta y gestión de la entrada.

Para usos más allá de la gestión del evento — como enviar newsletters sobre futuros eventos, compartir datos con patrocinadores, o realizar perfilado de asistentes — necesitas obtener consentimiento explícito. Este consentimiento debe ser libre (no puede ser condición para comprar la entrada), específico (para cada finalidad), informado (el usuario sabe exactamente para qué consiente) y verificable (debes poder demostrar que se dio el consentimiento).

El RGPD exige que informes a los asistentes de forma clara, concisa y accesible antes de recoger sus datos. Esta información debe estar visible en el formulario de registro o, como mínimo, enlazada de forma destacada. Debe incluir: identidad del responsable (tu nombre o el de tu empresa), finalidad del tratamiento (gestión del evento, envío de entradas), base legal (ejecución del contrato), destinatarios de los datos (si los compartes con alguien), plazo de conservación, y los derechos del interesado.

Los asistentes tienen derecho de acceso (saber qué datos tienes de ellos), rectificación (corregir datos erróneos), supresión (que elimines sus datos, el "derecho al olvido"), portabilidad (recibir sus datos en formato estructurado), limitación del tratamiento y oposición. Debes tener un mecanismo sencillo para que ejerzan estos derechos, como un email de contacto dedicado.

Si tu página de venta de entradas utiliza cookies (para analítica, remarketing, etc.), necesitas además un banner de cookies conforme al RGPD y a la LSSI española. Las cookies analíticas y de marketing requieren consentimiento previo. Las cookies estrictamente necesarias para el funcionamiento del proceso de compra están exentas.

Una de las infracciones más frecuentes en eventos es compartir la base de datos de asistentes con patrocinadores sin consentimiento adecuado. Muchos organizadores incluyen en su acuerdo de patrocinio la entrega de la lista de asistentes, pero olvidan obtener el consentimiento explícito de cada asistente para esa cesión de datos.

Si quieres compartir datos con patrocinadores, necesitas un checkbox separado en el formulario de registro que diga algo como: "Acepto que mis datos (nombre y email) sean compartidos con los patrocinadores del evento [listado de patrocinadores] para que me envíen información sobre sus productos y servicios". Este checkbox no puede estar premarcado y no puede ser obligatorio para completar la compra.

La alternativa más segura es no ceder datos directamente, sino ofrecer a los patrocinadores acceso a la audiencia a través de ti: tú envías un email a los asistentes en nombre del patrocinador, sin compartir la base de datos. Esto cumple con el RGPD y además te posiciona como intermediario de valor ante el patrocinador.

El RGPD no permite conservar datos personales indefinidamente. Debes definir un plazo de conservación razonable y proporcionado a la finalidad. Para datos de venta de entradas, las obligaciones fiscales (Ley General Tributaria) exigen conservar facturas y datos asociados durante 4 años. Para datos de marketing con consentimiento, un plazo habitual es 2 años desde el último contacto o hasta que el usuario revoque el consentimiento.

Cuando expire el plazo de retención, debes suprimir los datos o anonimizarlos. La anonimización es irreversible: una vez anonimizados, los datos dejan de ser datos personales y puedes conservarlos para estadísticas. La seudonimización (reemplazar el nombre por un código) no es suficiente, porque los datos siguen siendo identificables con la clave de correspondencia.

NeonPass está diseñado con el principio de privacidad por diseño (privacy by design) que exige el RGPD. Los datos de asistentes se almacenan de forma segura, el acceso está limitado al organizador del evento, y el sistema permite al organizador exportar y eliminar datos de forma sencilla. Además, como el pago se procesa a través de Stripe Connect, los datos sensibles de tarjeta nunca pasan por los servidores de NeonPass — se gestionan íntegramente en la infraestructura PCI DSS de Stripe.