1. Reparto de roles RGPD
Primer Paso, bajo la titularidad de Josep Jordi Pons Forastero, es responsable del tratamiento respecto a los datos que trata para gestionar su propia web, cuentas de empresa, relación contractual con profesionales del ocio, facturación propia, soporte, seguridad, auditoría, comunicaciones comerciales propias y solicitudes recibidas.
Para ejercer derechos de protección de datos o realizar consultas de privacidad, puede utilizarse el email atencion.cliente@primerpaso.app.
Cuando una empresa usuaria utiliza Primer Paso para gestionar sus alumnos, clientes, asistentes, compradores, pases, QR, accesos, comunicaciones, descuentos o recompensas, esa empresa decide los fines y medios principales del tratamiento y actúa como responsable de sus propios clientes. En esos casos Primer Paso actúa, con carácter general, como encargado del tratamiento o proveedor tecnológico siguiendo instrucciones de la empresa usuaria.
Cada empresa usuaria debe facilitar a sus clientes su propia información de privacidad, atender sus derechos RGPD, contar con base jurídica suficiente para sus comunicaciones y cumplir sus obligaciones legales. Primer Paso no asume la responsabilidad legal de la empresa frente a sus usuarios finales por el mero uso de la plataforma.
2. Datos que podemos tratar
- Datos identificativos y de contacto: nombre, email, teléfono y datos de cuenta.
- Datos de negocio: nombre comercial, página pública, enlaces, ubicación, servicios y configuración.
- Datos de pases y accesos: pase comprado o asignado, estado, caducidad, QR, validaciones, accesos recientes e historial operativo.
- Datos de pago y facturación: plan contratado, estado de suscripción, identificadores de pago, facturas y datos fiscales necesarios. Primer Paso no almacena los datos completos de tarjeta cuando el pago se procesa por proveedores externos como Stripe.
- Datos técnicos y de seguridad: IP, dispositivo, navegador, logs, eventos de auditoría, errores y actividad necesaria para proteger la plataforma.
- Datos de soporte y contacto: mensajes enviados mediante formularios, emails o canales de atención.
- Datos de integraciones autorizadas: identificadores de cuentas conectadas, permisos OAuth, tokens técnicos cifrados o protegidos, métricas, eventos y registros de acciones cuando una empresa active conexiones con proveedores externos.
- Datos tratados por automatizaciones o IA: instrucciones, contexto mínimo necesario, propuestas, respuestas, revisiones, trazas y resultados cuando un módulo de automatización esté habilitado.
3. Finalidades y bases jurídicas
- Prestación del servicio: crear cuentas, páginas, pases, QR, accesos y paneles. Base jurídica: ejecución contractual o medidas precontractuales.
- Facturación y obligaciones legales: emitir facturas propias, conservar justificantes y cumplir obligaciones fiscales. Base jurídica: obligación legal.
- Seguridad, auditoría y prevención de abuso: proteger cuentas, detectar fraude, mantener logs y resolver incidencias. Base jurídica: interés legítimo y, cuando aplique, obligación legal.
- Comunicaciones comerciales propias: enviar información sobre Primer Paso si existe consentimiento o relación previa que lo permita. Base jurídica: consentimiento o interés legítimo conforme a la normativa aplicable.
- Tratamientos por cuenta de empresas usuarias: operar la plataforma para los clientes finales de cada empresa. Base jurídica: encargo de tratamiento bajo instrucciones de la empresa responsable.
- Automatizaciones autorizadas: preparar contenidos, clasificar solicitudes, analizar métricas, generar respuestas o ejecutar acciones configuradas por la empresa usuaria. Base jurídica: ejecución contractual, encargo de tratamiento o consentimiento cuando proceda.
4. Destinatarios y proveedores
Los datos podrán ser tratados por proveedores necesarios para prestar la plataforma: infraestructura cloud, base de datos, alojamiento, email transaccional, pasarelas de pago, herramientas de automatización, soporte, seguridad, analítica técnica y asesoría legal, fiscal o contable.
Cuando dichos proveedores actúen como subencargados, Primer Paso exigirá compromisos de confidencialidad, seguridad y tratamiento conforme al RGPD. Si existe transferencia internacional de datos, se aplicarán las garantías previstas por la normativa vigente.
Entre los proveedores previstos o posibles figuran, según el módulo activo: Supabase para base de datos, autenticación y almacenamiento; Cloudflare para alojamiento, seguridad, Workers y R2; Stripe o GoCardless para pagos; Resend o servicios equivalentes para email transaccional; Inngest para procesos y eventos; OpenAI u otros proveedores de IA si se activan funciones inteligentes; y herramientas de soporte, monitorización, asesoría o cumplimiento.
La lista concreta de subencargados aplicable a cada cliente deberá mantenerse actualizada en contrato, anexo o documentación equivalente cuando Primer Paso actúe como encargado del tratamiento.
5. IA, agentes y decisiones automatizadas
Primer Paso no debe entenderse como una cuenta compartida de ChatGPT u otro servicio personal. Cuando se activen funciones de IA, Primer Paso utilizará proveedores técnicos desde su backend, con claves protegidas, controles de acceso y separación por empresa.
Los agentes o automatizaciones deberán trabajar con el contexto mínimo necesario, sin acceder a secretos ni datos de otras empresas, y con registros de las acciones relevantes. Las acciones externas, financieras, destructivas, legales, sanitarias, nutricionales o de alto impacto deberán requerir revisión humana o configuración expresa.
Salvo información específica en un módulo concreto, Primer Paso no tomará decisiones con efectos jurídicos o significativamente similares sobre personas basándose exclusivamente en tratamientos automatizados sin intervención humana adecuada.
6. Redes sociales, mensajería y comunicaciones
Si una empresa conecta redes sociales, canales de mensajería, email u otros servicios, la conexión deberá realizarse mediante mecanismos autorizados por el proveedor, como OAuth o APIs oficiales cuando estén disponibles. Primer Paso no debe pedir contraseñas de redes sociales ni simular accesos humanos mediante scraping o automatización no autorizada.
La empresa usuaria seguirá siendo responsable de contar con base legal para comunicaciones comerciales, respetar bajas u oposiciones, cumplir ventanas de atención de canales como WhatsApp, Instagram o Messenger, y no realizar envíos masivos no solicitados.
7. Conservación
Conservaremos los datos durante el tiempo necesario para prestar el servicio, mantener la relación contractual, atender responsabilidades legales, cumplir obligaciones fiscales y resolver incidencias. Los logs de seguridad y auditoría se conservarán durante plazos proporcionados al riesgo y a las obligaciones aplicables.
Cuando una empresa elimine datos de sus clientes dentro de la plataforma, Primer Paso podrá conservar copias limitadas si existe obligación legal, necesidad de seguridad, copias de respaldo temporales o bloqueo de datos para atender responsabilidades.
8. Derechos
Las personas pueden solicitar acceso, rectificación, supresión, oposición, limitación, portabilidad y retirada del consentimiento mediante el formulario de contacto disponible en la web. Si la solicitud afecta a datos gestionados por una empresa usuaria sobre sus propios clientes, Primer Paso podrá derivar o coordinar la solicitud con dicha empresa como responsable del tratamiento.
También puede presentarse una reclamación ante la Agencia Española de Protección de Datos en www.aepd.es.
9. Menores
Primer Paso no está dirigido a menores de 14 años como usuarios autónomos. Si una empresa usuaria gestiona actividades donde participan menores, dicha empresa será responsable de recabar las autorizaciones y consentimientos necesarios de padres, madres, tutores o representantes legales cuando proceda.
10. Medidas de seguridad
Primer Paso aplica medidas técnicas y organizativas orientadas a proteger la confidencialidad, integridad, disponibilidad y trazabilidad de los datos, incluyendo control de acceso, aislamiento por negocio, registros de auditoría, cifrado cuando proceda, copias de seguridad y revisión de permisos. Estas medidas se revisarán conforme evolucione la plataforma.
Marco normativo consultado
- Ley 34/2002, de servicios de la sociedad de la información y comercio electrónico
- Reglamento (UE) 2016/679, Reglamento General de Protección de Datos
- Ley Orgánica 3/2018, de protección de datos personales y garantía de derechos digitales
- Guía sobre el uso de cookies de la AEPD
- FAQ AEPD sobre responsable y encargado del tratamiento
- Real Decreto 1007/2023 sobre sistemas informáticos de facturación
- Agencia Tributaria: sistemas informáticos de facturación VERI*FACTU
- Real Decreto 254/2025, modificación del Reglamento de sistemas informáticos de facturación
- Reglamento (UE) 2024/1689 de inteligencia artificial
- AEPD: derechos de las personas y protección de datos