Protección de datos

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

FEEL THE TICKET – FEELTHETICKETS S.A.S.
Versión 1.1 | 16/01/2026

1. Presentación

 

FEELTHETICKETS S.A.S. (en adelante, «FEEL THE TICKET» o la «Empresa») adopta la presente Política de Protección de Datos Personales para informar, de manera clara y transparente, cómo se recolectan, usan, conservan, comparten y protegen los datos personales en el marco de sus actividades. Esta política se emite en cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP), su Reglamento y normativa vinculante; y se alinea a buenas prácticas internacionales de gestión de seguridad de la información y privacidad conforme a ISO/IEC 27001 e ISO/IEC 27701.

2. Identificación del responsable del tratamiento

 

  • Razón social: FEELTHETICKETS S.A.S.
  • Nombre comercial: FEEL THE TICKET
  • RUC: 1792904234001
  • Domicilio tributario: Av. Francisco Salazar E10-59 y José Tamayo, Edif. Atlantic Business Center, Of. 506, Piso 5, Quito – Pichincha – Ecuador
  • Representante legal: Sebastián Egas Ponce
  • Medios de contacto: Email: [email protected] | Tel.: 022986864 |

3. Delegado de Protección de Datos Personales (DPD)

 

El DPD supervisa el cumplimiento interno, asesora sobre evaluaciones de impacto, atiende solicitudes de titulares y actúa como punto de contacto con la Autoridad de Protección de Datos Personales. Como empresa no estamos obligados al registro de un DPD pero como una buena práctica hemos designado a Juan Felipe Rivas Bock y puede ser contactado al correo [email protected].

4. Alcance

 

Aplica a todo tratamiento de datos personales realizado por la Empresa, en soporte físico o digital, incluyendo datos de clientes, asistentes, proveedores, contratistas, personal y cualquier tercero cuyos datos se traten en el contexto de las operaciones de la Empresa.

5. Marco normativo y estándares de referencia

 

Esta política se sustenta, entre otras, en las siguientes disposiciones:

  • Constitución de la República del Ecuador: derecho a la protección de datos personales y acción de hábeas data.
  • Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento.
  • Lineamientos, guías o resoluciones emitidas por la Autoridad de Protección de Datos Personales, en lo que resulten aplicables.
  • ISO/IEC 27001 (Sistema de Gestión de Seguridad de la Información – SGSI): enfoque basado en riesgos para proteger la confidencialidad, integridad y disponibilidad de la información.
  • ISO/IEC 27701 (Sistema de Gestión de Información de Privacidad – PIMS): extensión a ISO 27001 para gestión de privacidad y controles asociados al tratamiento de datos personales.

6. Definiciones

 

Para efectos de esta política, se aplican, entre otras, las siguientes definiciones:

  • Dato personal: información que identifica o hace identificable a una persona natural.
  • Titular: persona natural a quien pertenecen los datos personales.
  • Responsable del tratamiento: quien decide sobre la finalidad y medios del tratamiento.
  • Encargado del tratamiento: tercero que trata datos personales por cuenta del responsable.
  • Transferencia o comunicación: puesta a disposición de datos a un tercero.
  • Transferencia internacional: comunicación de datos a un país u organización internacional.
  • Consentimiento: manifestación libre, específica, informada e inequívoca del titular.
  • Incidente de seguridad / violación de seguridad: evento que compromete confidencialidad, integridad o disponibilidad de datos personales.

7. Principios del tratamiento y bases de legitimación

 

La Empresa tratará datos personales observando los principios de legalidad, lealtad y transparencia; finalidad; minimización; proporcionalidad; calidad/exactitud; seguridad y confidencialidad; y responsabilidad proactiva (accountability).

El tratamiento se realizará únicamente cuando exista una base de legitimación aplicable, incluyendo, según corresponda:

  • Ejecución de un contrato o medidas precontractuales (por ejemplo, compra de entradas y gestión de entrega).
  • Cumplimiento de obligaciones legales (tributarias, contables, prevención de fraude u otras aplicables).
  • Consentimiento del titular (por ejemplo, comunicaciones comerciales y marketing cuando aplique).
  • Interés legítimo del responsable (por ejemplo, seguridad, prevención de fraude, control de accesos y mejora del servicio), previa evaluación de ponderación.
  • Atención de requerimientos de autoridad competente o interés público, cuando corresponda.

Como regla general, la Empresa no requiere ni trata datos sensibles; si excepcionalmente fueran necesarios, se aplicarán las condiciones legales y medidas reforzadas previstas para categorías especiales de datos.

8. Categorías de datos personales y fuentes

 

La Empresa puede tratar, según el proceso, las siguientes categorías de datos:

  • Identificación y contacto: nombres, apellidos, cédula/pasaporte, email, teléfono, dirección (cuando aplique).
  • Transaccionales: evento, localidad, cantidad de boletos, códigos/IDs de compra, comprobantes y facturación.
  • Pago: datos necesarios para procesar pagos (normalmente gestionados por pasarelas/proveedores; la Empresa no almacena PAN[1] completo).
  • Entrega/reclamo de entradas físicas: datos del acta de entrega (C.I., nombre, firma) y trazabilidad de ticket.
  • Atención al cliente: comunicaciones, reclamos, devoluciones, historial de soporte.
  • Marketing (con consentimiento): preferencias, suscripción a comunicaciones.
  • Proveedores/contratistas: datos de identificación y contacto; cumplimiento contractual; registros de confidencialidad.

Fuentes de obtención: (i) el propio titular (formularios web, compras, comunicaciones); (ii) plataformas tecnológicas utilizadas para la gestión de eventos/boletos; (iii) aliados o proveedores cuando sea necesario para ejecutar el servicio; y (iv) autoridades competentes cuando exista requerimiento legal.

9. Tratamientos, finalidades y bases de legitimación

 

Proceso/Finalidad Datos tratados Base de legitimación
Venta de boletos (online/puntos autorizados) Identificación, contacto, datos de compra y pago, facturación Ejecución de contrato / obligación legal
Gestión de entrega y reclamo de entradas Acta de entrega: C.I., nombre, firma; datos de ticket y evento Ejecución de contrato / interés legítimo (trazabilidad)
Atención de reclamos y servicio al cliente Comunicaciones, datos de compra, verificación de identidad Ejecución de contrato / obligación legal
Prevención de fraude y seguridad transaccional Metadatos de transacción, logs, verificación Interés legítimo / obligación legal
Cumplimiento tributario y contable Datos de facturación, registros de venta Obligación legal
Marketing de eventos y comunicaciones Email/teléfono, preferencias Consentimiento (revocable)

10. Encargados, proveedores y subencargados

 

La Empresa utiliza proveedores para soportar sus operaciones. Cuando dichos terceros traten datos personales por cuenta de la Empresa, actuarán como encargados del tratamiento y estarán sujetos a acuerdos que incluyan: confidencialidad, seguridad, limitación de finalidad, asistencia en derechos, gestión de incidentes y reglas de subencargo.

Plataforma tecnológica de ticketing/eventos: SquadUp (u otros proveedores equivalentes) podrá actuar como encargado respecto de la infraestructura de venta/gestión; su tratamiento se limita a la provisión del servicio y a las instrucciones del responsable, conforme a contrato.

Contratistas para entrega/reclamo y operación: cuando existan personas naturales contratadas por servicios, se aplican acuerdos de confidencialidad, control de accesos, uso de equipos provistos por la Empresa y supervisión de cumplimiento.

11. Transferencias y transferencias internacionales

 

La Empresa podrá comunicar datos personales a terceros (encargados) estrictamente necesarios para cumplir las finalidades informadas, bajo contratos que establezcan confidencialidad, seguridad, instrucciones documentadas, prohibición de usos propios no autorizados y condiciones de subencargo.

Cuando existan transferencias internacionales asociadas a infraestructura tecnológica (p. ej., servicios en la nube) o a relaciones comerciales con artistas, agentes o proveedores extranjeros, se aplicarán las salvaguardas previstas por la LOPDP, tales como: evaluación de nivel de protección, cláusulas contractuales, medidas técnicas complementarias, y, cuando aplique, consentimiento explícito del titular.

12. Conservación y eliminación

 

Los datos personales se conservarán únicamente por el tiempo necesario para cumplir las finalidades informadas y para atender obligaciones legales (por ejemplo, conservación contable/tributaria), así como para la gestión de reclamos, devoluciones o controversias. En particular, los formularios/actas de entrega de entradas físicas se conservarán el tiempo necesario para respaldar la trazabilidad del reclamo/entrega y la atención de disputas o cargos revertidos, y luego serán eliminados o anonimizados de forma segura. Vencidos los plazos, la Empresa aplicará eliminación segura (borrado lógico, destrucción física, o anonimización) y controles de minimización.

13.  Derechos de los titulares y procedimiento para su ejercicio

 

Los titulares pueden ejercer, entre otros, los derechos de acceso, rectificación y actualización, eliminación, oposición y portabilidad, conforme a la LOPDP.

Para ejercer derechos, el titular deberá remitir una solicitud que incluya: (i) nombres y apellidos; (ii) número de identificación; (iii) derecho que desea ejercer; (iv) descripción clara de la solicitud; (v) medio para recibir respuesta; y (vi) documentación de respaldo, de ser aplicable.

Canales habilitados:

La Empresa podrá requerir verificación de identidad para proteger al titular contra accesos no autorizados. Las solicitudes serán atendidas dentro de los plazos legales, salvo que una norma permita prórroga debidamente justificada.

Para conocer el procedimiento completo revise aquí.

Para descargar el formulario, y presentarlo vía email aquí.

Para responder al formulario vía digital aquí.

14. Medidas de seguridad (SGSI/PIMS)

La Empresa implementa medidas administrativas, técnicas y físicas basadas en riesgos, alineadas con ISO/IEC 27001 e ISO/IEC 27701, para proteger la confidencialidad, integridad y disponibilidad de los datos personales y de la información relacionada.

Medidas organizativas:

  • Políticas internas de seguridad y privacidad; roles y responsabilidades definidos.
  • Acuerdos de confidencialidad y cláusulas de protección de datos con personal, contratistas y proveedores.
  • Gestión de accesos por principio de mínimo privilegio y segregación de funciones.
  • Capacitación periódica y concientización en privacidad, phishing y manejo seguro de información.
  • Gestión de incidentes y continuidad: procedimientos, registros y lecciones aprendidas.

Medidas técnicas:

  • Autenticación y control de accesos a sistemas; registro (logs) y monitoreo.
  • Cifrado de comunicaciones (p. ej., HTTPS/TLS) y, cuando aplique, cifrado en reposo.
  • Copias de seguridad y pruebas de restauración; protección antimalware.
  • Gestión de vulnerabilidades, actualizaciones y hardening de equipos.
  • Controles para prevenir exfiltración: restricciones de descarga, DLP donde aplique.

Medidas físicas:

  • Control de acceso a áreas donde se almacenan documentos o equipos con información.
  • Custodia segura de documentos en físico; destrucción segura cuando corresponda.
  • Inventario de activos y protección de dispositivos asignados para operación.

15. Gestión de incidentes y violaciones de seguridad

 

La Empresa cuenta con un procedimiento para identificar, contener, investigar y remediar incidentes de seguridad que puedan comprometer datos personales.

Cuando corresponda, se evaluará el riesgo para los titulares y se realizará la notificación a la Autoridad de Protección de Datos Personales y/o a los titulares afectados, conforme a la normativa aplicable, sin dilación indebida.

16. Cookies y tecnologías similares

 

En los sitios web y plataformas digitales asociadas, se pueden utilizar cookies y tecnologías similares para: (i) habilitar funcionalidades esenciales; (ii) mejorar la experiencia del usuario; (iii) medir audiencias; y (iv) prevenir fraude. Cuando corresponda, se solicitará consentimiento para cookies no esenciales. El usuario puede gestionar cookies desde la configuración de su navegador.

Términos y condiciones / información complementaria: https://www.feelthetickets.com/terminos-y-condiciones/

17. Actualizaciones de la política

La Empresa podrá actualizar esta política para reflejar cambios normativos, operativos o tecnológicos. La versión vigente estará disponible en los canales oficiales y se informará a los titulares cuando el cambio sea sustancial.

18. Aprobación y vigencia

La presente política fue aprobada por Sebastián Egas Ponce en su calidad de Representante Legal/Gerencia General, y entra en vigencia a partir del 16/01/2026.

CONTROL DE VERSIONES

Versión Fecha Descripción de cambios Aprobación
1.0 16/01/2026 Emisión inicial/actualización integral: alineación LOPDP, Reglamento, ISO/IEC 27001 e ISO/IEC 27701. Gerencia General – Sebastián Egas Ponce