Política de Privacidad


Valencia Club de Fútbol, S.A.D.


1. INFORMACIÓN GENERAL

La presente Política de Privacidad y Protección de Datos tiene por objeto explicar cómo tratamos tus datos personales y garantizar tus derechos, en cumplimiento del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018 (LOPDGDD), así como de las directrices de la Autoridad de Control (AEPD).

 

2. RESPONSABLE DEL TRATAMIENTO

Valencia Club de Fútbol, S.A.D. (VCF) – CIF A46050217

Domicilio: Plaza del Valencia Club de Fútbol nº 2, 46010, Valencia (España)

Email general privacidad: lopd@valenciacf.es

Tel.: 963 37 26 26

Delegado de Protección de Datos (DPO): Email: dpo@valenciacf.es | Tel.: 963 37 26 26

 

3- ÁMBITO DE APLICACIÓN

Esta Política de Privacidad es general y corporativa. Resulta aplicable a los tratamientos de datos personales realizados por VCF en el marco de sus actividades y relaciones con abonados/socios, aficionados, clientes, usuarios de web y aplicaciones, accionistas y sus representantes, proveedores, candidatos, participantes en eventos y promociones, y, en general, cualquier interesado que interactúe con VCF por canales presenciales y/o digitales.

 


4- TRATAMIENTOS Y FINALIDADES

VCF trata datos personales, por medios manuales y/o automatizados, para las siguientes actividades de tratamiento. Para cada una se indican finalidad, base jurídica (art. 6 RGPD), plazo de conservación y, cuando proceda, destinatarios/encargados y transferencias:

  • a) Gestión de abonados/socios

Finalidad: alta y mantenimiento de la condición de abonado/socio, incluyendo renovaciones, asignación de localidades, emisión y control de títulos de acceso (físicos o digitales), gestión de pagos, domiciliaciones, facturación y devoluciones, atención de incidencias y posventa, y comunicaciones estrictamente relacionadas con el servicio (avisos operativos y de seguridad en el estadio). Base jurídica: ejecución del contrato (art. 6.1.b RGPD) y, cuando proceda, cumplimiento de obligaciones legales en materia mercantil y fiscal (art. 6.1.c RGPD). Conservación: durante la vigencia de la relación contractual; posteriormente, los datos quedarán bloqueados durante los plazos de prescripción aplicables.


  • b) Sorteos y promociones. 

Finalidad: gestionar la inscripción, verificación de requisitos y evitar duplicidades; realizar los sorteos/concursos, asignar y entregar premios, comunicar a las personas ganadoras y suplentes, atender consultas y reclamaciones, cumplir obligaciones fiscales y de transparencia previstas en las bases, y aplicar controles antifraude. Cuando las bases lo prevean, podrá realizarse una divulgación limitada de la identidad de las personas ganadoras (con datos mínimos y durante el tiempo estrictamente necesario). Base jurídica: Ejecución de contrato/medidas precontractuales (art. 6.1.b RGPD) derivadas de la aceptación de las bases. Cumplimiento de obligaciones legales (art. 6.1.c RGPD) en materia, entre otras, fiscal y de transparencia vinculada a la promoción. Interés legítimo (art. 6.1.f RGPD) para garantizar la integridad del proceso (prevención del fraude y seguridad) y para la divulgación mínima de los resultados cuando sea necesario y proporcionado; VCF dispone de ponderación y el interesado puede oponerse cuando proceda. Consentimiento (art. 6.1.a RGPD) para usos no necesarios.

Conservación: durante la vigencia de la promoción, la entrega y gestión del premio y el tiempo necesario para atender eventuales reclamaciones. Concluida la promoción, los datos quedarán bloqueados por los plazos de prescripción y plazos tributarios aplicables; transcurridos, se suprimirán o anonimizarán. La publicación de ganadores, cuando proceda, se mantendrá el mínimo tiempo imprescindible y con datos reducidos.


  • c) Comunicaciones comerciales por medios electrónicos y gestión de suscripciones

Finalidad: envío de comunicaciones comerciales y boletines de VCF por email, SMS, notificaciones push o medios equivalentes; gestión de altas/bajas, preferencias de contenidos y frecuencia, y prueba del consentimiento. Podremos realizar personalización básica en función de intereses declarados y de la interacción con las comunicaciones (aperturas/clics), sin adoptar decisiones automatizadas con efectos jurídicos. Base jurídica: Consentimiento (art. 6.1.a RGPD y art. 21 LSSI). Las casillas no están premarcadas y puedes retirar tu consentimiento en cualquier momento sin afectar a otros servicios. “Soft opt-in” para clientes (LSSI): podremos enviar comunicaciones sobre productos o servicios propios y similares a los ya contratados, cuando obtuvimos tus datos en el contexto de una venta previa y te ofrecemos oponerte en cada comunicación de forma sencilla y gratuita.

Conservación: mientras no retires el consentimiento o te opongas al tratamiento. Mantendremos el dato mínimo en listas de supresión para garantizar que no vuelvas a ser contactado por este canal. Las evidencias del consentimiento y de la oposición/baja se conservarán durante los plazos de prescripción aplicables.


  • d) Eventos y promociones:

Finalidad: planificación, inscripción y acreditación (entradas físicas/digitales), control de aforo y accesos, ubicación de localidades, atención de incidencias, comunicaciones operativas (cambios de horario, seguridad del recinto), logística y accesibilidad, y, cuando proceda, gestión de pagos/devoluciones y encuestas de satisfacción. Podrá realizarse captación y difusión limitada de imágenes del evento cuando esté informada en las bases o en la señalética del recinto y sea necesaria y proporcionada.  Base jurídica:  Ejecución de contrato / medidas precontractuales (art. 6.1.b RGPD) para gestionar tu inscripción, acceso y asistencia. Obligación legal (art. 6.1.c RGPD) en materia de seguridad del recinto, normativa aplicable y obligaciones fiscales vinculadas al evento. Interés legítimo (art. 6.1.f RGPD) para garantizar la integridad y seguridad del evento, la prevención del fraude y determinadas comunicaciones institucionales no comerciales (con ponderación y derecho de oposición). Consentimiento (art. 6.1.a RGPD) para usos promocionales de imagen/voz no necesarios o para comunicaciones comerciales.

Conservación: durante la organización y celebración del evento y el tiempo necesario para gestionar incidencias, reclamaciones y obligaciones legales. Finalizado, los datos quedarán bloqueados por los plazos de prescripción aplicables y, transcurridos, se suprimirán o anonimizarán. La divulgación de imágenes (cuando proceda) se mantendrá por el tiempo estrictamente necesario y conforme a la información proporcionada; si retiras el consentimiento, atenderemos la solicitud en la medida de lo posible sin afectar a contenidos ya publicados de forma inevitable o a obligaciones legales.


  • e) Accionistas y representantes

Finalidad: gestión integral de la relación societaria y del ejercicio de derechos de accionistas y, en su caso, de sus representantes: mantenimiento del libro registro y de listas de asistentes; convocatoria y celebración de Juntas (presenciales o telemáticas); verificación de identidad y legitimación, gestión de delegaciones y votos, acreditaciones de acceso, cómputo de quórum y escrutinio, elaboración de actas (y, si procede, grabación para soporte de la reunión), atención de consultas y reclamaciones, cumplimiento de obligaciones legales (societarias, fiscales y de transparencia) y prevención del fraude. Base jurídica: Cumplimiento de obligaciones legales (art. 6.1.c RGPD) derivadas de la normativa societaria aplicable (p. ej., convocatoria y documentación de Juntas, libro registro, actas, obligaciones fiscales). Ejecución de la relación jurídica societaria (art. 6.1.b RGPD) para tramitar derechos y prestaciones inherentes a la condición de accionista/representante. Interés legítimo (art. 6.1.f RGPD) para garantizar la seguridad e integridad de los procesos (control de accesos, integridad del voto, prevención de abusos), con ponderación y derecho de oposición cuando proceda.

Conservación: durante los plazos legales societarios y fiscales aplicables (incluida la conservación de actas y libros societarios) y por los plazos de prescripción de acciones o responsabilidades. Finalizados, los datos permanecerán bloqueados y se suprimirán o anonimizarán de forma segura.

Destinatarios (cuando proceda): notaría que levante acta, proveedores de plataformas de juntas/voto telemático y servicios de acreditación, entidades y organismos públicos competentes, y autoridades administrativas o judiciales en cumplimiento de la ley; todos ellos bajo contrato de encargo cuando actúen por cuenta de VCF.


  • f) Usuarios registrados (web, APP VCF y tienda online)

Finalidad: alta y gestión de la cuenta, autenticación y administración de credenciales, configuración de perfil y preferencias, prestación de servicios (p. ej., compras/reservas, gestión de entradas, carrito e histórico), tramitación de pagos a través de pasarelas seguras de terceros, atención al cliente y resolución de incidencias, y envío de comunicaciones estrictamente necesarias para el servicio (p. ej., confirmaciones, cambios operativos, avisos de seguridad o mantenimiento), incluidas notificaciones push que puedes desactivar en los ajustes del dispositivo. Asimismo, se realizan medidas de seguridad de la cuenta (detección de accesos anómalos, protección antifraude) y mejora operativa basada en métricas técnicas agregadas o seudonimizadas, sin adoptar decisiones automatizadas con efectos jurídicos. Base jurídica: Ejecución de contrato / medidas precontractuales (art. 6.1.b RGPD) para el alta, acceso y prestación de los servicios asociados a tu cuenta. Obligación legal (art. 6.1.c RGPD) para la facturación y conservación de documentación mercantil y fiscal de las transacciones. Interés legítimo (art. 6.1.f RGPD) para la seguridad, prevención del fraude y la mejora del servicio (con ponderación y derecho de oposición cuando proceda). Las comunicaciones comerciales no forman parte de esta finalidad y se rigen por la cláusula específica de marketing (consentimiento art. 6.1.a RGPD y art. 21 LSSI, o “soft opt-in” para clientes, en su caso).

Conservación: mientras la cuenta esté activa y para gestionar los servicios asociados. El histórico transaccional y la documentación contable/fiscal se conservarán durante los plazos legales aplicables. Los registros de seguridad y soporte se mantendrán por periodos proporcionales y limitados al fin perseguido. Tras la baja de la cuenta o una inactividad prolongada conforme a la política interna (que será comunicada), los datos quedarán bloqueados durante los plazos de prescripción y, posteriormente, serán suprimidos o anonimizados de forma segura.


  • g) Bolsa de trabajo (selección de personal)

Finalidad: gestión integral de candidaturas y procesos de selección: recepción y análisis de CV y documentación asociada, gestión de entrevistas y, cuando proceda y se informe, pruebas de idoneidad; comunicaciones con la persona candidata; verificación de referencias facilitadas por la propia persona; y, en caso de incorporación, trámites iniciales para el alta y formalización de la relación laboral (pasando el expediente al tratamiento de Personal/Recursos Humanos).

Base jurídica: Medidas precontractuales a petición del interesado (art. 6.1.b RGPD) para valorar la candidatura y decidir sobre su posible contratación. Consentimiento (art. 6.1.a RGPD) para: (i) conservar tu CV en la bolsa de empleo con vistas a futuras vacantes y (ii) realizar pruebas no imprescindibles o recabar referencias adicionales distintas de las que tú nos hayas proporcionado. Interés legítimo (art. 6.1.f RGPD) para garantizar la integridad del proceso (prevención del fraude, seguridad de accesos) y defensa de reclamaciones, con ponderación y derecho de oposición cuando proceda. Obligación legal (art. 6.1.c RGPD) en los trámites de incorporación que exijan normativa laboral/fiscal (solo si finalmente eres contratado/a).

Conservación: Proceso en curso: durante la gestión de la selección y por el tiempo imprescindible para atender reclamaciones; después, bloqueo por los plazos de prescripción aplicables y supresión/anonimización. Bolsa de empleo (con consentimiento): 1 año desde tu última actualización o manifestación de interés; transcurrido el plazo, se suprimirá tu candidatura salvo renovación del consentimiento.

No solicitamos categorías especiales de datos (art. 9 RGPD). Si los aportas voluntariamente, solo se tratarán cuando resulte estrictamente necesario y lícito (p. ej., adaptaciones de accesibilidad), aplicando medidas reforzadas; en caso contrario, se suprimirán.

  • h) Gestión de proveedores

Finalidad: alta y homologación de proveedores, formalización y seguimiento de contratos/pedidos, gestión de interlocución, control de accesos a instalaciones cuando proceda, tramitación administrativa, contable y fiscal (facturación, pagos, devoluciones, justificantes), gestión de incidencias y garantías, y verificación de cumplimiento (p. ej., prevención del fraude y controles de riesgo). Base jurídica: Ejecución de contrato / medidas precontractuales (art. 6.1.b RGPD). Cumplimiento de obligaciones legales (art. 6.1.c RGPD) en materia mercantil, fiscal y contable. Interés legítimo (art. 6.1.f RGPD) para seguridad, prevención del fraude y auditoría interna, con ponderación y derecho de oposición cuando proceda.

Conservación: durante la vigencia de la relación y, después, bloqueo por los plazos legales de prescripción y custodia (p. ej., libros y documentación contable, 6 años; obligaciones tributarias, 4 años), tras lo cual se procederá a la supresión o anonimización segura.


  • i) Consultas web / formularios de contacto

Finalidad: atender y dar respuesta a tus solicitudes de información, presupuestos o soporte; canalizar la consulta al área responsable; realizar seguimiento y comunicaciones operativas relacionadas; y aplicar controles de seguridad del canal (antispam/abuso) y registro de evidencias de envío/recepción. Base jurídica: Medidas precontractuales a petición del interesado (art. 6.1.b RGPD) cuando la consulta esté vinculada a una posible contratación/servicio. Consentimiento (art. 6.1.a RGPD) para consultas generales no vinculadas a contratación. Interés legítimo (art. 6.1.f RGPD) para la seguridad del canal, prevención del fraude y mejora operativa, con ponderación y derecho de oposición cuando proceda.

Conservación: 12 meses desde la última interacción o el cierre de la solicitud. Si la consulta deriva en contratación, la información se integra en el expediente y se aplican los plazos de esa finalidad. Los registros técnicos se conservarán por periodos limitados y proporcionales y, posteriormente, se bloquearán hasta la prescripción y se suprimirán/anonimizarán.

  • j) Redes sociales y contenidos

Finalidad: gestión de la presencia corporativa de VCF en redes sociales (publicación de contenidos, interacción mediante comentarios y mensajes directos, atención al usuario y community management), difusión de actividades y eventos, moderación de canales (cumplimiento de normas de convivencia), atención de incidencias y consultas recibidas por estos medios, y, cuando se informe, captación y difusión limitada de imágenes de eventos. Podremos realizar medición de audiencia y estadísticas agregadas de las cuentas (p. ej., alcance e interacción), sin adoptar decisiones automatizadas con efectos jurídicos. Base jurídica: Interés legítimo (art. 6.1.f RGPD) para comunicación institucional, atención al público, seguridad y moderación de los canales (con ponderación y derecho de oposición). Consentimiento (art. 6.1.a RGPD) para usos no necesarios, como la reutilización promocional de tu imagen/voz/UGC (contenidos generados por el usuario) más allá de lo esperable en la interacción ordinaria, o para comunicaciones comerciales por estos medios. Ejecución de contrato/medidas precontractuales (art. 6.1.b RGPD) cuando la interacción esté vinculada a un servicio solicitado. Obligación legal (art. 6.1.c RGPD) ante requerimientos de autoridades.

Conservación: los datos dentro de la plataforma se rigen por la política de la propia red social. VCF solo conserva exportaciones o evidencias (p. ej., de una reclamación) por el tiempo imprescindible para la finalidad indicada y, después, bloqueo por plazos de prescripción y supresión/anonimización. La publicación de imágenes (cuando proceda) se mantiene el mínimo necesario y podrá cesar tras tu retirada del consentimiento, sin perjuicio de contenidos ya integrados en soportes inevitables o de obligaciones legales.

En determinadas plataformas (p. ej., páginas de Facebook/Instagram), puede existir corresponsabilidad limitada con la plataforma para estadísticas de audiencia (Page Insights) en los términos que ésta define; encontrarás más información en la propia plataforma.

Puedes configurar la privacidad de tu cuenta, dejar de seguir/bloquear, retirar tu consentimiento y oponerte al tratamiento con fines promocionales en cualquier momento. Para ejercer derechos ante VCF, utiliza los canales indicados en esta Política.

Cuando recurramos a proveedores de gestión de redes sociales (encargados), lo haremos bajo contratos art. 28 RGPD, con medidas de seguridad y régimen de subencargados.

  • k) Viajes y desplazamientos vinculados a VCF

 

Finalidad: planificación, reserva y ejecución de desplazamientos vinculados a actividades de VCF (p. ej., transporte, alojamiento y entradas), incluida la emisión y gestión de billetes/tarjetas de embarque, actualizaciones operativas (cambios de horario, incidencias), logística y accesos, gestión de seguros/reembolsos, atención de incidencias y reclamaciones, y, cuando sea imprescindible, tramitación de visados o requisitos sanitarios y contacto de emergencia. Base jurídica: Ejecución de contrato / medidas precontractuales (art. 6.1.b RGPD) para organizar el viaje solicitado. Obligación legal (art. 6.1.c RGPD) cuando deban cumplirse normas de transporte, seguridad, fronteras o fiscales. Interés legítimo (art. 6.1.f RGPD) para garantizar la seguridad logística, la prevención del fraude y la coordinación operativa (ponderación disponible; derecho de oposición cuando proceda).

Destinatarios (cuando proceda): agencias de viajes, aerolíneas/ferrocarril/autobuses, hoteles, aseguradoras, proveedores de pago, operadores logísticos y autoridades competentes (p. ej., fronterizas o de seguridad). Algunos actuarán como responsables independientes y otros como encargados de VCF bajo contrato art. 28 RGPD.

Transferencias internacionales: si el destino o los proveedores están fuera del EEE, podrán producirse transferencias. Se aplicarán, según el caso, decisiones de adecuación, SCCs con medidas complementarias y/o la excepción del art. 49.1.b RGPD (transferencia necesaria para ejecutar el contrato de viaje a tu petición). Se informará de las garantías esenciales.

Conservación: durante la gestión del desplazamiento y el tiempo imprescindible para incidencias, reclamaciones y obligaciones legales. Después, bloqueo por los plazos de prescripción (p. ej., mercantil 6 años, tributario 4 años) y supresión/anonimización segura al expirar.

  • l) Gestión de usuarios (general)

Finalidad: atención y administración de la relación con personas usuarias no cubiertas por otras finalidades específicas: altas/bajas de registros no transaccionales, actualización de datos y preferencias no comerciales, soporte y resolución de incidencias/reclamaciones, comunicaciones operativas (no publicitarias), verificación de identidad cuando sea necesaria, seguridad de los canales y prevención del fraude, así como mejora de la calidad del servicio a partir de métricas agregadas o seudonimizadas. Base jurídica (según el caso): Ejecución de contrato / medidas precontractuales (art. 6.1.b RGPD) cuando la gestión esté vinculada a un servicio solicitado o prestado. Obligación legal (art. 6.1.c RGPD) para atender requerimientos u obligaciones normativas (p. ej., hojas de reclamaciones o normativa de consumo que resulte aplicable). Interés legítimo (art. 6.1.f RGPD) para garantizar la seguridad, la prevención del fraude y la mejora del servicio, con ponderación y derecho de oposición cuando proceda. Consentimiento (art. 6.1.a RGPD) para actuaciones opcionales no necesarias para la relación principal.

Conservación: durante el tiempo imprescindible para gestionar la relación y cerrar la incidencia/reclamación; posteriormente, los datos quedarán bloqueados por los plazos de prescripción aplicables y se suprimirán o anonimizarán. A efectos orientativos, los registros de soporte y trazas técnicas se mantendrán por periodos limitados y proporcionales; si la gestión deriva en contratación u otras finalidades, se aplicarán los plazos de conservación de esas finalidades.

  • m) Videovigilancia

 

Finalidad: garantizar la seguridad de personas, bienes e instalaciones, controlar accesos y prevenir, detectar e investigar incidentes o ilícitos en el recinto (incluidas zonas perimetrales y de acceso en días de evento), así como apoyar a las autoridades en la persecución de infracciones y el cumplimiento de normativa de seguridad en espectáculos deportivos. Las cámaras no se instalan en espacios donde pudiera vulnerarse la intimidad (vestuarios, aseos, enfermerías) y, por defecto, no captan sonido. Cuando se utilicen con fines de control laboral se informará conforme al art. 89 LOPDGDD y art. 20.3 ET. Base jurídica: Interés legítimo del responsable (art. 6.1.f RGPD), conforme al art. 22 LOPDGDD (seguridad de personas, bienes e instalaciones), con ponderación disponible y señalización informativa en los accesos. Obligación legal (art. 6.1.c RGPD), cuando deba facilitarse la información a Fuerzas y Cuerpos de Seguridad, órganos judiciales o cuando lo exija la normativa sectorial aplicable (p. ej., seguridad en espectáculos deportivos). Conservación: con carácter general, máximo 1 mes desde su captación (art. 22.3 LOPDGDD). Se conservarán por más tiempo cuando existan incidentes (p. ej., hechos delictivos, disciplinarios o reclamaciones), manteniéndolas bloqueadas hasta la resolución del procedimiento y la prescripción de responsabilidades, tras lo cual se suprimirán o anonimizarán.

Destinatarios/encargados: Empresa de seguridad y/o centro de control que preste el servicio, actuando como encargado del tratamiento (art. 28 RGPD) con acceso restringido y registro de actividades. Fuerzas y Cuerpos de Seguridad, autoridades administrativas o judiciales y, cuando proceda, autoridades deportivas competentes, a solicitud legítima o cuando exista base legal. No se ceden imágenes a terceros con fines comerciales.

Información y señalización: en los puntos videovigilados se exhiben carteles informativos con la identidad del responsable, la finalidad, la forma de ejercer derechos y una referencia a esta Política.

 

  • n) Captación de leads y solicitudes de información comercial.

 

Finalidad: atender solicitudes de información sobre productos y servicios y, si lo autorizas, enviarte comunicaciones comerciales relacionadas.

Base jurídica: medidas precontractuales a petición del interesado (art. 6.1.b RGPD) para gestionar la solicitud; consentimiento (art. 6.1.a RGPD y art. 21 LSSI) para comunicaciones comerciales electrónicas.

Destinatarios/encargados: proveedores de VCF que prestan servicios de CRM/marketing, desarrollo y hospedaje de formularios y landing pages, entre otros. Actúan como encargados del tratamiento (art. 28 RGPD), con régimen de subencargados y medidas de seguridad contractuales.

Transferencias: si se produjeran accesos de soporte desde países terceros, se aplicarán garantías conforme a los arts. 44–49 RGPD.

Conservación: gestión de la solicitud y hasta 12 meses desde la última interacción si no hay contratación; datos de marketing, hasta que retires el consentimiento o te opongas

 

  • o) Canal interno de información (whistleblowing)


 Finalidad: recepción, tramitación y resolución de comunicaciones sobre posibles infracciones, garantizando la confidencialidad del informante. Base jurídica: obligación legal (art. 6.1.c RGPD) conforme a la normativa aplicable sobre sistemas internos de información.

Conservación: durante el tiempo imprescindible para decidir sobre la admisión y tramitación, y los plazos legales de conservación/bloqueo para atender responsabilidades.  
 Destinatarios: órgano/área competente de VCF, DPO/compliance, y, cuando proceda, autoridades administrativas o judiciales competentes.

Medidas: restricciones de acceso, confidencialidad e, incluso, canales anónimos, según normativa aplicable.



5- BASE LEGITIMADORA.

Tratamos tus datos conforme a las bases del art. 6 RGPD, aplicadas caso por caso y siempre con criterio de minimización y necesidad:

Ejecución de un contrato o medidas precontractuales (art. 6.1.b): cuando sea necesario para prestarte un servicio, gestionar tu alta/solicitud o atender peticiones previas a la contratación.

Consentimiento (art. 6.1.a): para finalidades opcionales. Es libre, informado y revocable en cualquier momento sin efectos sobre la relación principal, salvo que esa finalidad sea imprescindible para el servicio.

Obligación legal (art. 6.1.c): cuando una norma nos exija tratar o conservar datos (p. ej., obligaciones fiscales o societarias).

Interés legítimo (art. 6.1.f): para intereses legítimos ponderados (seguridad, mejora de servicios, prevención del fraude, comunicaciones institucionales no comerciales), garantizando que no prevalecen tus derechos. Puedes oponerte en cualquier momento.

Para comunicaciones comerciales por medios electrónicos se requiere, con carácter general, tu consentimiento (art. 21 LSSI). Únicamente en el caso de clientes podrá aplicarse el “soft opt-in” previsto por la LSSI (ofertas sobre productos o servicios propios y similares a los contratados, con opción de oposición sencilla y gratuita en cada envío).



6- CONSERVACIÓN DE DATOS

Conservamos los datos solo el tiempo necesario para cada finalidad. Una vez cumplida, los datos quedan bloqueados —sin uso— durante los plazos de prescripción aplicables para atender posibles responsabilidades y reclamaciones, y finalizado dicho plazo se suprimirán o anonimizarán de forma irreversible (bloqueo conforme al art. 32 LOPDGDD).

Mantendremos evidencias del consentimiento y, en su caso, listas de supresión con los datos mínimos imprescindibles para evitar envíos futuros.

Los plazos concretos por tratamiento constan en el apartado anterior. En particular, 12 meses desde la última interacción verificable (p. ej., respuesta, envío de formulario, apertura/clic en comunicaciones) si no hay contratación. Marketing: hasta que retires el consentimiento u opongas el tratamiento, manteniendo el dato mínimo en la lista de supresión. Si existiera un procedimiento administrativo/judicial o una reclamación, el bloqueo podrá extenderse hasta la resolución firme y la expiración de responsabilidades.



7- COMUNICACIÓN DE DATOS

Solo comunicamos tus datos cuando existe una base jurídica adecuada y es necesario para las finalidades indicadas. En ningún caso se realizan cesiones con fines comerciales a terceros sin tu consentimiento. Las comunicaciones pueden incluir:

Grupo VCF: Tiendas Oficiales VCF, S.L.U. (CIF B98205966), cuando sea imprescindible para finalidades legítimas y compatibles (p. ej., soporte administrativo, atención y logística vinculadas a servicios del club).

Patrocinadores y colaboradores: únicamente con tu consentimiento previo, específico e informado, cuando proceda. Puedes consultar el listado actualizado en www.valenciacf.com/partners y revocar tu consentimiento en cualquier momento.

Encargados del tratamiento (proveedores): VCF puede recurrir a terceros para prestar servicios como alojamiento y cloud, CRM/marketing y envío de comunicaciones, analítica y medición, soporte IT, atención al cliente, desarrollo y mantenimiento de sitios y aplicaciones. Todos actúan conforme a contratos de encargo (art. 28 RGPD), con medidas de seguridad, confidencialidad, y régimen de subencargados. El listado actualizado de encargados/subencargados y las garantías aplicables en su caso está disponible a solicitud del interesado a través del DPO

Autoridades y organismos públicos competentes (incluidas Fuerzas y Cuerpos de Seguridad, Juzgados y Tribunales): cuando exista obligación legal o requerimiento.



8- TRANSFERENCIAS INTERNACIONALES.

Sí, en determinados supuestos. Aunque VCF procura que el alojamiento y el tratamiento principal de los datos se realicen en la UE/EEE (EMEA), algunos proveedores o subencargados pueden efectuar accesos de soporte o ciertos tratamientos desde países terceros (p. ej., EE. UU.). Residencia en la UE ≠ ausencia de transferencias: el acceso remoto de soporte también constituye una transferencia.

Cuando ocurre, aplicamos garantías adecuadas conforme a los arts. 44–49 RGPD, entre otras:

Decisiones de adecuación de la Comisión Europea (p. ej., EU-U.S. Data Privacy Framework – DPF) cuando la entidad receptora figure certificada.

Cláusulas Contractuales Tipo (Decisión de Ejecución (UE) 2021/914), acompañadas de medidas complementarias técnicas, organizativas y contractuales (p. ej., cifrado robusto, limitación de accesos, registro de actividades, Seudonimización), tras realizar una evaluación de impacto de la transferencia (TIA) documentada.

Normas corporativas vinculantes (BCR) del proveedor, cuando existan y estén aprobadas por la autoridad competente.

En ausencia de garantías adecuadas, las transferencias solo se realizarán de forma excepcional al amparo de las excepciones del art. 49 RGPD (p. ej., consentimiento explícito del interesado, ejecución de un contrato a petición del interesado, importantes razones de interés público), informándote previamente cuando proceda.

Puedes solicitar al DPO información adicional y, en su caso, una copia de las garantías esenciales, pudiendo omitirse las partes que contengan información comercial confidencial.

Proveedores que pueden implicar transferencias según el servicio contratado (lista no exhaustiva): Microsoft, Google, Meta (Facebook/Instagram), X (Twitter), Salesforce (SFMC), entre otros. La base y las medidas aplicables pueden variar en función del servicio y del estado de certificación/contratación vigente. El listado actualizado de (sub)encargados, los países implicados y las garantías aplicables están disponibles a solicitud del interesado a través del DPO.



9- ORIGEN DE LOS DATOS

Recabamos datos personales procedentes de las siguientes fuentes legítimas:

Directamente de ti: a través de formularios (web/app), correo electrónico, teléfono o interacciones presenciales.

De tu representante legal, cuando actúe debidamente acreditado.

Procesos de selección: de bolsas de empleo y plataformas profesionales en las que publiques tu perfil, así como de empresas de selección que actúen por cuenta de VCF, siempre dentro de la base jurídica aplicable y respetando los límites del RGPD.

Uso de servicios digitales de VCF (cuando proceda): información técnica o de interacción necesaria para prestar el servicio, conforme a nuestra Política de Cookies.

Cuando los datos no se obtengan directamente del interesado, VCF facilitará la información del art. 14 RGPD dentro de los plazos legalmente establecidos. Si un usuario facilita datos de terceros, declara contar con legitimación suficiente e informar previamente a esas personas de esta Política.



10- CATEGORIAS DE DATOS

Con carácter general y en función de la finalidad, podemos tratar las siguientes categorías: Identificativos y de contacto: nombre, apellidos, DNI/NIE/pasaporte (cuando proceda), dirección postal, email, teléfono.

Características personales y circunstancias sociales: fecha de nacimiento/edad, nacionalidad, idioma, relación con VCF (abonado/socio/aficionado/accionista).

Datos académicos y profesionales / empleo: CV, experiencia, formación, cargo y empresa (en contextos B2B o selección).

Datos de cuenta y uso de servicios digitales: credenciales (alias/ID), registros de actividad necesarios para la prestación del servicio, preferencias de usuario, identificadores en línea y datos técnicos de conexión (p. ej., dirección IP, dispositivo o navegador) conforme a la Política de Cookies.

Información comercial y de marketing: intereses declarados (p. ej., hospitality), estado de consentimientos y preferencias (altas/bajas).

Transacciones y facturación: historial de compras/reservas, importes y conceptos; datos de pago necesarios para tramitar operaciones (en su caso, a través de pasarelas de pago de terceros).

Datos de eventos e imagen: asistencia a actos/partidos, asientos/localidades; imágenes o grabaciones captadas en eventos, conforme a la información específica.

Datos de localización: únicamente cuando sea imprescindible para la prestación (p. ej., logística de desplazamientos) o cuando el usuario lo habilite en apps.

Datos económicos/financieros: solo cuando sea necesario (p. ej., devoluciones o comprobantes).

Datos de salud estrictamente necesarios y justificados (p. ej., accesibilidad, alergias o seguridad en eventos), aplicando medidas reforzadas.



11- DECISONES AUTOMATIZADAS Y ELABORACIÓN DE PERFILES

Segmentación limitada: utilizamos segmentaciones básicas (p. ej., interés declarado en hospitality, relación con VCF, interacción con nuestras comunicaciones) para personalizar contenidos y frecuencia. Sin decisiones automatizadas con efectos jurídicos o similares: no adoptamos decisiones basadas exclusivamente en tratamientos automatizados —incluida la elaboración de perfiles— que produzcan efectos jurídicos o te afecten de modo significativo de forma similar (art. 22 RGPD). Transparencia si cambiara el modelo: si en el futuro aplicásemos decisiones automatizadas de alto impacto, te informaríamos previamente sobre la lógica utilizada, la importancia y consecuencias previstas, la base jurídica (incluida, en su caso, la obtención de consentimiento explícito) y las garantías para tus derechos, ofreciendo siempre intervención humana, la posibilidad de expresar tu punto de vista y de impugnar la decisión. Derechos frente al perfilado con fines de marketing: puedes oponerte en cualquier momento al marketing directo, incluida la elaboración de perfiles ligada a dicho marketing (art. 21.2 RGPD), así como retirar tu consentimiento cuando sea la base aplicable.


12- EJERCICIO DE DERECHOS

Puedes ejercer los siguientes derechos en materia de protección de datos:

Acceso: conocer qué datos tratamos y obtener copia.

Rectificación: corregir datos inexactos o incompletos.

Supresión (“olvido”): pedir la eliminación de tus datos cuando proceda.

Oposición: oponerte al tratamiento en determinados supuestos; en particular, al marketing directo y al perfilado asociado.

Limitación: solicitar la restricción temporal del tratamiento en los casos previstos por el RGPD.

Portabilidad: recibir tus datos en un formato estructurado y, cuando sea técnicamente posible, que los transmitamos a otro responsable.

Retirada del consentimiento: revocarlo en cualquier momento para las finalidades basadas en él, sin efectos retroactivos.

A no ser objeto de decisiones automatizadas (incluido el perfilado): y, en su caso, a obtener intervención humana, a expresar tu punto de vista y a impugnar la decisión.

Cómo ejercerlos:


 Escríbenos a lopd@valenciacf.es o dpo@valenciacf.es, o por correo postal al domicilio indicado del VCF. Para proteger tu información, podremos solicitarte acreditar tu identidad; si actúas en nombre de otra persona, deberás aportar representación suficiente.

El ejercicio de derechos es gratuito (salvo solicitudes manifiestamente infundadas o excesivas). Respondemos en el plazo de un mes desde su recepción; puede ampliarse dos meses adicionales en caso de solicitudes complejas, informándote del motivo y del plazo.

Reclamaciones ante la autoridad de control:

Si consideras que no hemos atendido correctamente tus derechos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): C/ Jorge Juan, 6 – 28001 Madrid | www.aepd.es | Tel.: 912 66 35 17.



13- CARÁCTER OBLIGATORIO O FACULTATIVO DE LOS DATOS

Los campos marcados con asterisco (*) son obligatorios para tramitar tu solicitud o prestar el servicio solicitado; si no los facilitas, no podremos atenderla. El resto de campos son opcionales y su omisión no condiciona la prestación del servicio, salvo que se indique lo contrario.

El interesado declara que los datos proporcionados son veraces, exactos y actualizados, y se compromete a comunicar cualquier cambio. Si facilitas datos de terceros, garantizas contar con legitimación suficiente para ello y haberles informado de esta Política.

VCF podrá inadmitir o limitar solicitudes manifiestamente infundadas o excesivas y, en su caso, requerir la información mínima necesaria para verificar la identidad y proteger la seguridad de los datos.



14- MEDIDAS DE SEGURIDAD

VCF aplica un enfoque basado en riesgos y de privacidad desde el diseño y por defecto (arts. 25 y 32 RGPD) para proteger los datos personales durante todo su ciclo de vida. En particular, implementa medidas técnicas y organizativas actualizadas y verificables,

Gestión de incidentes: VCF dispone de un procedimiento de respuesta a incidentes y de notificación de brechas de seguridad conforme a los arts. 33 y 34 RGPD, con evaluación de impacto y comunicación, cuando proceda, a la AEPD y a los interesados.

Cadena de suministro y proveedores antes de utilizar proveedores que traten datos por cuenta de VCF, se realiza diligencia debida y se formalizan contratos de encargo (art. 28 RGPD)



15- MENORES

Como regla general, VCF no dirige sus servicios a menores de 14 años. En consecuencia, no recabamos deliberadamente datos de menores de esa edad.

Consentimiento y edad mínima: cuando una actividad pueda implicar tratamiento basado en consentimiento, los mayores de 14 años podrán otorgarlo por sí mismos; para menores de 14 años será necesario el consentimiento de sus padres o tutores legales, que VCF procurará verificar por medios razonables y proporcionales.

Salvaguardas específicas: si una iniciativa está potencialmente dirigida a menores, VCF adaptará la información a un lenguaje claro, habilitará canales de ejercicio de derechos para sus representantes y aplicará medidas reforzadas de privacidad por defecto.

Detección y supresión: si llegáramos a conocer que hemos obtenido datos de un menor de 14 años sin la autorización exigible, procederemos a su supresión inmediata y a la adopción de medidas para evitar su reiteración.

Imagen y eventos: en actividades que puedan implicar la captación de imágenes de menores, se solicitará el consentimiento correspondiente y se respetará en todo momento la normativa aplicable de protección del menor y de derecho a la propia imagen.

Marketing y perfiles: VCF no realiza publicidad conductual dirigida específicamente a menores ni elabora perfiles de menores con fines de marketing.



16- ACTUALIZACIONES DE LA POLÍTICA

 

VCF podrá modificar esta Política para mantenerla alineada con cambios normativos, criterios de la AEPD/CEPD o ajustes operativos. La versión vigente estará siempre disponible en el sitio web. En cambios sustanciales se comunicará de forma visible y, si procede, se recabará nuevamente el consentimiento.