Política de Privacidad
Vigente desde el 16 de julio de 2026
Halo.LGBT ("Halo", "nosotros") es un directorio de eventos LGBTQ+ (fiestas, orgullos, espectáculos drag, encuentros comunitarios, festivales de cine queer, activismo y cultura) accesible en halolgbt.com. Actualmente, los eventos listados en la plataforma se limitan al territorio español, pero la creación de cuenta está abierta a cualquier persona, en cualquier país — no existe restricción geográfica alguna para registrarse. Si creas una cuenta desde fuera de España o de la UE, esta Política de Privacidad se te sigue aplicando, y, según el país en el que residas, es posible que también te apliquen otras normativas locales de protección de datos.
Esta Política de Privacidad explica qué datos personales recopilamos, para qué los usamos, con quién los compartimos y qué derechos tienes sobre ellos.
Nos tomamos especialmente en serio la protección de tus datos porque, para muchas personas usuarias, la información que manejamos —incluida la asistencia a eventos LGBTQ+— puede revelar orientación sexual o identidad de género, un dato especialmente protegido. En algunos países, esa información podría exponer a alguien a un riesgo real. Diseñamos esta política, y el producto, teniendo eso presente.
1. Responsable del tratamiento
Sara Moreno da Silva
Datos de contacto: contact@halolgbt.com
2. Datos que recopilamos
Recopilamos los siguientes datos, directamente de ti o generados por tu uso de Halo:
- Datos de cuenta: correo electrónico, nombre o apodo, foto de perfil (opcional).
- Pronombres: campo opcional que puedes indicar en tu perfil.
- Idioma preferido: para mostrarte la interfaz en tu idioma.
- Teléfono: opcional, solo si decides facilitarlo.
- Eventos guardados y asistencia ("tap-in"): qué eventos guardas, a cuáles confirmas asistencia y el historial correspondiente.
- Membresías de organización: si perteneces a una organización que publica eventos en Halo, y con qué rol (miembro, colaborador/a, administrador/a, propietario/a).
- Contenido que publicas: descripciones de eventos, fotos de carteles/eventos, y cualquier otro contenido que subas como organizador/a.
- Reportes que envías: si usas la función de "Reportar" sobre un evento o una organización, guardamos el motivo (ilegal, fraude, inseguro, otro), el texto que añadas y a qué evento u organización se refiere, vinculado a tu cuenta.
- Datos técnicos: dirección IP, tipo de dispositivo/navegador y datos de uso básicos, principalmente a través de la autenticación (Auth0) y del monitoreo de errores (GlitchTip).
Sobre tu email frente a otras personas usuarias: por diseño, no mostramos tu email completo a otras personas usuarias — cuando tu nombre no está disponible, mostramos solo la parte anterior a la arroba (por ejemplo, ana en vez de ana@example.com). Tu email completo únicamente se te muestra a ti, nunca a otras personas usuarias.
3. Finalidades y base jurídica del tratamiento
| Finalidad | Datos implicados | Base jurídica (RGPD) |
|---|---|---|
| Crear y gestionar tu cuenta, autenticarte | Email, nombre, contraseña/sesión (vía Auth0) | Art. 6.1.b) — ejecución de un contrato (los términos de uso de Halo) |
| Mostrarte eventos relevantes y permitirte guardarlos/confirmar asistencia | Eventos guardados, ciudad, idioma | Art. 6.1.b) — ejecución del contrato |
| Pronombres y asistencia a eventos LGBTQ+ ("tap-in") | Pronombres, eventos a los que confirmas asistencia | Art. 9.2.a) — consentimiento explícito. Consideramos que la asistencia a eventos LGBTQ+ puede revelar orientación sexual o identidad de género, aunque no lo declares expresamente, por lo que la tratamos con el mismo cuidado que un dato de categoría especial. Por eso no la basamos en interés legítimo, sino en tu consentimiento explícito y libremente revocable. |
| Gestionar organizaciones y roles de publicación de eventos | Membresías de organización, rol | Art. 6.1.b) — ejecución del contrato |
| Comunicarnos contigo sobre tu cuenta o eventos | Email, teléfono (si lo facilitas) | Art. 6.1.b) — ejecución del contrato |
| Responder a los reportes que envías sobre un evento u organización, y enviarte confirmación de recepción y del resultado | Email, motivo y detalle del reporte, elemento reportado | Art. 6.1.f) — interés legítimo (mantener una plataforma segura y responder a quien reporta contenido). Puedes desactivar los correos de confirmación/resultado desde tus preferencias de cuenta sin que ello afecte tu capacidad de enviar reportes; ver Sección 5 y Sección 7. |
| Seguridad, prevención de fraude y mantenimiento técnico | Datos técnicos, registros de error | Art. 6.1.f) — interés legítimo (mantener la plataforma segura y operativa) |
| Cumplir obligaciones legales (p. ej. responder a autoridades competentes) | Los datos estrictamente necesarios en cada caso | Art. 6.1.c) — obligación legal |
Cómo funciona el consentimiento para pronombres y asistencia a eventos: el paso de alta de cuenta es el único trámite obligatorio para cualquier persona nueva usuaria antes de acceder al resto de la aplicación, y en ese paso se muestra una casilla no premarcada ("Acepto que Halo trate mis pronombres, si los indico, y mi asistencia a eventos para prestar el servicio, tal como se describe en nuestra Política de Privacidad") que debe marcarse expresamente para continuar. Esta comprobación se aplica también en nuestros servidores, no solo en el formulario web, por lo que no es posible crear una cuenta saltándosela. La fecha y hora de tu consentimiento se guardan y no se sobrescriben en ediciones posteriores del perfil.
Una laguna conocida, aún no resuelta: las cuentas creadas antes del 15 de julio de 2026 no pasaron por esta casilla, por lo que no existe un consentimiento explícito registrado para esas cuentas concretas en relación con sus pronombres o su historial de asistencia a eventos ya guardado. Lo indicamos con claridad para que esta política no dé a entender una cobertura de consentimiento que hoy no existe para todas las cuentas — revisaremos este punto a medida que crezca nuestra base de personas usuarias.
4. Conservación de los datos
Conservamos tus datos solo mientras sean necesarios para las finalidades descritas, y como máximo durante los siguientes plazos:
- Datos de cuenta (perfil, pronombres, eventos guardados): mientras tu cuenta esté activa, y 30 días adicionales tras una solicitud de baja/eliminación, para permitir la recuperación de la cuenta en caso de error y el cumplimiento de obligaciones legales residuales.
- Registros técnicos y de monitoreo de errores (GlitchTip): 90 días, tras los cuales se eliminan automáticamente. Es el valor por defecto fijo del plan que usamos, que no es ajustable de forma autoservicio a nuestra escala actual.
- Contenido de eventos publicado por organizaciones: 90 días tras la eliminación de la organización o del evento, para dar margen a la gestión de disputas de moderación.
- Copias de seguridad de la base de datos: 6 horas. Nuestro proveedor de base de datos (Neon) usa una ventana de recuperación instantánea de 6 horas, lo que significa que un dato ya eliminado podría seguir siendo técnicamente recuperable por esta vía durante ese margen.
- Reportes que envías y el registro de moderación asociado: a diferencia de los datos de cuenta y de eventos/organizaciones, los reportes y los registros de moderación todavía no tienen un plazo de conservación definido ni una eliminación automática — permanecen hasta que los revisamos y depuramos manualmente. Si tu cuenta se elimina, tus reportes no se eliminan con ella, ya que quedan vinculados a tu cuenta (ya anonimizada en ese momento) y no a tu identidad. Es una laguna real que conocemos y que pretendemos cerrar fijando un plazo de conservación y automatizando su depuración.
Dada la naturaleza sensible de estos datos, priorizamos especialmente las solicitudes de eliminación de cuenta. En la práctica, el plazo de "30 días adicionales" anterior es la misma ventana descrita en la Sección 7: tu cuenta se bloquea de inmediato al solicitarlo, pero permanece recuperable durante 30 días, tras los cuales un proceso automático horario anonimiza y elimina los datos.
5. Destinatarios y encargados del tratamiento
No vendemos tus datos personales. Compartimos datos únicamente con los siguientes proveedores, que actúan como encargados del tratamiento bajo nuestras instrucciones, en la medida necesaria para prestar el servicio:
- Auth0 (Okta) — gestiona la autenticación e inicio de sesión. Recibe tu email y credenciales de sesión, procesados en Estados Unidos. La transferencia se ampara en la autocertificación activa de Okta, Inc. en el Marco de Privacidad de Datos UE-EE. UU. (próxima renovación 23 de septiembre de 2026), respaldada además por Cláusulas Contractuales Tipo.
- Neon (base de datos Postgres) — almacena los datos de la plataforma (cuentas, eventos, organizaciones). Alojada en la Unión Europea (Fráncfort, Alemania).
- Cloudflare R2 — almacenamiento de imágenes que subes tú o las organizaciones (carteles de eventos, fotos de perfil). Alojado en la Unión Europea (Europa Occidental).
- GlitchTip (monitoreo de errores) — recibe información técnica sobre fallos de la aplicación para ayudarnos a corregirlos. Por diseño, nuestro sistema envía únicamente los nombres de los campos de un formulario cuando ocurre un error, nunca sus valores, precisamente para evitar enviar datos personales a esta herramienta. GlitchTip está operado por Burke Software and Consulting LLC (Nueva York, EE. UU.) y aloja los datos en Estados Unidos. Su acuerdo de tratamiento de datos utiliza las Cláusulas Contractuales Tipo del EEE (Módulo 2) más el UK Addendum como mecanismo de transferencia internacional — sin embargo, nuestra propia firma/aceptación de la Cover Page de ese acuerdo sigue pendiente, por lo que ese mecanismo todavía no rige formalmente nuestra relación con GlitchTip. Estamos trabajando para completar ese trámite.
- Google Maps — se usa para mostrar mapas de ubicación de eventos. La transferencia a Google LLC (EE. UU.) se ampara en su autocertificación activa en el Marco de Privacidad de Datos UE-EE. UU. (próxima renovación 13 de septiembre de 2026).
- Google Tag Manager / Google Analytics 4 — nuestro contenedor dispara exactamente una etiqueta, nativa de GA4, sin ningún píxel publicitario. Solo se carga tras aceptar las cookies opcionales desde nuestro banner de cookies (ver nuestra Política de Cookies). Hemos desactivado Google Signals, la personalización de anuncios y la recogida granular de datos de ubicación en nuestra configuración de Google Analytics, y hemos acortado la conservación de datos a nivel de usuario a 2 meses.
- Resend — proveedor de envío de email transaccional (Plus Five Five, Inc., San Francisco, EE. UU.), usado exclusivamente para dos correos ligados a la función de reportes: la confirmación de que hemos recibido tu reporte y el aviso de que se ha resuelto. No se usa para email de marketing. Puedes desactivarlo en cualquier momento desde tus preferencias de cuenta. Resend cuenta con autocertificación activa en el Marco de Privacidad de Datos UE-EE. UU. y en su extensión para el Reino Unido, además de Cláusulas Contractuales Tipo y un UK Addendum como mecanismos adicionales.
Podemos además compartir datos si la ley nos obliga a ello (por ejemplo, ante un requerimiento judicial válido), o para proteger los derechos, la seguridad o la propiedad de Halo o de nuestras personas usuarias.
6. Transferencias internacionales de datos
Varios de nuestros proveedores procesan datos fuera del Espacio Económico Europeo (EEE), en Estados Unidos. Cuando esto ocurre, nos apoyamos en uno de los mecanismos reconocidos por el RGPD (Capítulo V): la adhesión del proveedor al Marco de Privacidad de Datos UE-EE. UU., Cláusulas Contractuales Tipo, o ambos:
- Auth0/Okta y Google (Maps, y Analytics vía Google Tag Manager) cuentan cada uno con autocertificación activa y verificada de forma independiente en el Marco de Privacidad de Datos.
- Resend cuenta con autocertificación activa en el Marco de Privacidad de Datos y su extensión para el Reino Unido, además de Cláusulas Contractuales Tipo.
- El acuerdo de tratamiento de datos de GlitchTip especifica las Cláusulas Contractuales Tipo del EEE (Módulo 2) y un UK Addendum como mecanismo, pero, como se indica en la Sección 5, nuestra aceptación formal de ese acuerdo sigue pendiente, por lo que esta transferencia todavía no está regida por un acuerdo plenamente ejecutado.
Dado que el registro de cuenta es global mientras que los eventos son, por ahora, solo de España, es posible que ya estemos tratando datos personales de personas registradas fuera de la UE. Según el país en el que residas, es posible que te apliquen, además del RGPD, otras normativas de protección de datos.
7. Tus derechos
Como persona interesada, tienes derecho a:
- Acceso: saber qué datos tuyos tratamos.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión ("derecho al olvido"): solicitar la eliminación de tus datos cuando ya no sean necesarios o retires tu consentimiento.
- Portabilidad: recibir tus datos en un formato estructurado y de uso común, o solicitar que se transmitan directamente a otro responsable cuando sea técnicamente posible.
- Oposición: oponerte a un tratamiento basado en interés legítimo.
- Limitación del tratamiento: solicitar que restrinjamos el uso de tus datos en determinados supuestos.
- Retirar tu consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo, en particular respecto a tus pronombres y tu asistencia a eventos (Sección 3).
Para los derechos de acceso y supresión (arts. 15 y 17 RGPD), Halo ofrece un mecanismo de autoservicio dentro de la propia plataforma:
- Exportación de datos (art. 15): desde los ajustes de tu cuenta ("Tus datos"), puedes descargar de inmediato un archivo con tu perfil, eventos guardados, membresías de organización, organizaciones de tu propiedad y eventos que hayas creado.
- Eliminación de cuenta (art. 17), en dos fases: al solicitar la eliminación desde esos mismos ajustes, tu cuenta se bloquea de inmediato, pero permanece recuperable durante 30 días mediante una acción de cancelación en la misma pantalla. Si no cancelas, transcurrido ese plazo un proceso automático anonimiza tu perfil y elimina los datos asociados (eventos guardados, invitaciones de organización), además de intentar eliminar tu avatar y tu identidad de inicio de sesión. Si eres propietario/a única/o de alguna organización, deberás transferir su titularidad a otra persona antes de poder completar la solicitud de eliminación.
Para el resto de derechos de esta lista (rectificación, portabilidad, oposición, limitación), o para cualquier duda sobre los anteriores, escríbenos a contact@halolgbt.com.
Control sobre las notificaciones por email: desde tus preferencias de cuenta puedes desactivar las notificaciones por email, lo que incluye los dos correos relacionados con reportes descritos en la Sección 5 — desactivarlas no afecta a tu capacidad de seguir enviando reportes ni de usar el resto de la plataforma.
8. Reclamación ante la Agencia Española de Protección de Datos (AEPD)
Si consideras que no hemos tratado tus datos conforme a la normativa aplicable, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
- Web: https://www.aepd.es
- Dirección: C/ Jorge Juan, 6, 28001 Madrid, España
- Sede electrónica: a través del formulario disponible en su web
Esto es independiente de, y no sustituye a, tu derecho a acudir directamente a los tribunales.
9. Cambios en esta política
Podemos actualizar esta Política de Privacidad para reflejar cambios en el producto, en los proveedores que usamos o en la normativa aplicable. Si el cambio es sustancial, te lo notificaremos por email o mediante un aviso visible en la plataforma antes de que entre en vigor. La fecha de "Vigente desde" al inicio del documento indica la versión vigente.
10. Contacto
Para cualquier duda sobre esta Política de Privacidad o sobre el tratamiento de tus datos, escríbenos a: