Política de Privacidad y Protección de Datos
Sistema Integral de Gestión de Emergencias en Eventos Públicos (SIGEP)
Última actualización: 16/06/2026
1. Responsable del tratamiento
Nombre/Razón social: [NOMBRE DE LA ORGANIZACIÓN]
NIF/CIF: [NIF/CIF]
Domicilio: [DIRECCIÓN POSTAL]
Correo de contacto RGPD: [EMAIL RGPD]
Delegado de Protección de Datos (DPD): [NOMBRE DPD o «No designado» si procede]
2. Finalidad del tratamiento
SIGEP trata datos personales exclusivamente para la gestión de emergencias sanitarias,
policiales y de protección civil durante la celebración de eventos públicos. Las finalidades
concretas son:
- Registro, seguimiento y resolución de incidencias ocurridas en el evento.
- Coordinación entre equipos de emergencias (médico, policial, protección civil, bomberos).
- Generación de informes estadísticos y operativos del evento.
- Cumplimiento de obligaciones legales aplicables.
- Auditoría de acciones realizadas por el personal operador sobre el sistema.
3. Categorías de datos tratados
| Categoría |
Datos concretos |
Base legal (RGPD) |
| Identificativos |
Nombre, apellidos, DNI/NIE (cifrado), teléfono (cifrado) |
Art. 6.1.d — intereses vitales
Art. 9.2.c — protección vital (datos de salud) |
| Demográficos |
Edad, sexo, localidad |
Art. 6.1.d — intereses vitales |
| Localización |
Coordenadas GPS (latitud/longitud) en el momento de la incidencia |
Art. 6.1.d — intereses vitales |
| Datos de salud |
Tipo de asistencia, gravedad, descripción clínica |
Art. 9.2.c — asistencia sanitaria de urgencia |
| Operadores (personal) |
Nombre de usuario, dirección IP, acciones registradas (AuditLog) |
Art. 6.1.c — obligación legal; Art. 6.1.b — contrato laboral |
4. Plazos de conservación
-
Datos de personas afectadas: se conservan durante el número de días configurado
en cada evento (campo «Días de retención»; por defecto 30 días tras la finalización del evento).
Transcurrido ese plazo, los datos identificativos se anonomizan automáticamente de forma irreversible
mediante proceso nocturno automatizado.
-
AuditLog: las entradas de registro de actividad se conservan 90 días. Pasado ese
plazo se eliminan automáticamente.
-
Datos estadísticos anonimizados: sin límite temporal, al no permitir identificar
a ninguna persona física.
5. Medidas de seguridad aplicadas
- DNI y teléfono almacenados cifrados (AES-128-CBC + HMAC-SHA256, clave Fernet).
- Acceso a la aplicación protegido mediante autenticación y control de roles.
- Todas las acciones sobre datos quedan registradas en el AuditLog con marca temporal e IP.
- Rate limiting en el formulario de login (bloqueo por IP y por usuario).
- HTTPS obligatorio en producción con HSTS habilitado.
- Protección CSRF en todos los formularios.
- Sesiones con expiración automática (8 horas).
- Exportación de informes restringida a roles Administrador y Supervisor.
6. Destinatarios y cesiones
Los datos no se ceden a terceros salvo obligación legal (cuerpos de seguridad,
autoridades sanitarias) o cuando sea estrictamente necesario para la atención
de la emergencia (traslado a hospital, coordinación con servicios de emergencia externos).
El personal de la organización con acceso al sistema está sujeto al deber de
confidencialidad y ha recibido formación en protección de datos.
7. Derechos de los interesados
Los interesados pueden ejercer los siguientes derechos enviando solicitud al correo
indicado en el apartado 1, adjuntando copia de documento de identidad:
- Acceso (Art. 15 RGPD): conocer qué datos se tratan y con qué finalidad.
- Rectificación (Art. 16 RGPD): corregir datos inexactos.
-
Supresión / «derecho al olvido» (Art. 17 RGPD): solicitar la eliminación
de los datos identificativos. La solicitud puede tramitarse directamente desde el
detalle de la incidencia por el Administrador del sistema (botón «Anonimizar datos personales»).
La anonimización es irreversible.
- Limitación del tratamiento (Art. 18 RGPD): solicitar la suspensión temporal del tratamiento.
- Portabilidad (Art. 20 RGPD): recibir los datos en formato estructurado.
- Oposición (Art. 21 RGPD): oponerse al tratamiento en determinadas circunstancias.
-
Reclamación ante la AEPD: si considera que el tratamiento vulnera sus derechos,
puede presentar reclamación ante la Agencia Española de Protección de Datos
(www.aepd.es).
8. Transferencias internacionales
No se realizan transferencias de datos personales a países fuera del Espacio Económico Europeo.
Todos los datos se almacenan en servidores ubicados en territorio de la UE/EEE o con garantías
equivalentes conforme al Art. 46 RGPD.
9. Decisiones automatizadas y elaboración de perfiles
SIGEP no adopta decisiones individuales automatizadas ni elabora perfiles de las personas
afectadas. Los datos estadísticos agregados (por tipo de asistencia, gravedad o sexo)
se utilizan exclusivamente para la gestión operativa del evento.
10. Actualizaciones de esta política
Esta política puede modificarse para adaptarse a cambios normativos o funcionales del sistema.
La versión vigente estará siempre disponible en esta página. Los cambios relevantes se
comunicarán al personal operador mediante los canales habituales de la organización.