Política de Privacidad de la APP EVENT DONATIONS

Última actualización: 13 de mayo de 2026

1. Introducción

La presente Política de Privacidad (esta “Política”) explica cómo Lepta Payment Solutions Limited (“Lepta”, “nosotros”, “nos” o “nuestro”) recopila, utiliza, almacena y comparte datos personales en relación con la aplicación móvil Event Donations (la “App”). La App permite a voluntarios autorizados recolectar donaciones en nombre de entidades jurídicas designadas mediante tecnología Tap-to-Pay.

Esta Política se aplica a dos categorías de personas:

  • Voluntarios: personas autorizadas por una entidad jurídica para usar la App con el fin de recolectar donaciones; y
  • Donantes: personas que realizan donaciones a través de la App.

El procesamiento de pagos es proporcionado por Stripe, Inc. (“Stripe”). El tratamiento de sus datos personales por parte de Stripe se rige por la Política de Privacidad de Stripe, disponible en stripe.com/privacy. La entidad jurídica que recibe su donación también puede tener su propia política de privacidad, que se pondrá a su disposición en el momento de la donación.

2. ¿Quién es responsable de sus datos?

Dependiendo de la actividad, diferentes partes son responsables de sus datos personales:

  • La entidad jurídica (responsable del tratamiento): La organización que recibe la donación es la responsable del tratamiento para el flujo de la transacción de donación, incluida la recopilación y el tratamiento de datos personales de los donantes con el fin de recibir donaciones y emitir recibos fiscales. La entidad jurídica instruye a Lepta para que recopile y transmita estos datos en su nombre.
  • Lepta como encargada del tratamiento: Para el flujo principal de la transacción de donación—incluida la recopilación y transmisión de datos personales de donantes a través de la App, y la transferencia de registros de transacciones a los sistemas de la entidad jurídica—Lepta actúa como encargada del tratamiento en nombre de la entidad jurídica. Lepta trata estos datos únicamente según las instrucciones documentadas de la entidad jurídica.
  • Lepta como responsable del tratamiento: Lepta determina los fines y los medios del tratamiento para un conjunto limitado de actividades internas: la operación, la seguridad y el mantenimiento de la plataforma Lepta (incluidos los registros de servidor y la respuesta a incidentes), la administración de las cuentas de usuario administrador, la selección y gestión de los propios proveedores de servicios de Lepta, y el cumplimiento de las propias obligaciones legales de Lepta. Lepta no actúa como responsable del tratamiento para la monitorización del fraude, el control antilavado de dinero, ni el análisis de los datos de múltiples entidades jurídicas.
  • Stripe: Stripe trata los datos de tarjetas de pago y los datos personales de los donantes en su calidad de proveedor de servicios de pago independiente. Stripe no es un subencargado del tratamiento de Lepta. El papel y las obligaciones de Stripe se rigen por la Política de Privacidad de Stripe y sus acuerdos con Lepta. Stripe está autocertificada en el marco del Marco de Privacidad de Datos UE-EE.UU.
  • Google: Cuando la App utiliza la API Google Places para el autocompletado de direcciones, la App envía la consulta de dirección parcial del donante y los datos de ubicación del dispositivo al servidor de Lepta, que reenvía la solicitud a Google. Google actúa como subencargada del tratamiento de Lepta para este fin. Google, LLC está autocertificada en el marco del Marco de Privacidad de Datos UE-EE.UU. El tratamiento por parte de Google se rige por la Política de Privacidad de Google.

3. Qué datos personales recopilamos

3.1 Datos de los Voluntarios

Cuando inicia sesión en la App con un código de autorización, recopilamos:

  • Su nombre (nombre y apellidos)
  • Su dirección de correo electrónico

Estos datos se almacenan en almacenamiento seguro cifrado en su dispositivo y se eliminan cuando cierra sesión. También se transmiten a Stripe en relación con el procesamiento de pagos.

Si descarga la App pero no introduce un código de autorización, la App ni Lepta recopilan, almacenan ni transmiten ningún dato personal suyo.

3.2 Datos de los Donantes

Cuando un donante realiza una donación a través de la App, se pueden recopilar los siguientes datos, según la configuración de la sesión:

  • Dirección de correo electrónico (utilizada para la entrega de recibos de donación)
  • Nombre (nombre y apellidos)
  • Dirección postal (dirección, ciudad, estado/provincia, código postal, país)—recopilada únicamente en las jurisdicciones donde la ley lo exige para la emisión de un recibo fiscal

Estos datos del donante se transmiten directamente a los servidores de Stripe a través de la API de Stripe. No se escriben ni almacenan en la propia base de datos de Lepta ni en el portal de la App.

3.3 Datos de la tarjeta de pago

Los datos de la tarjeta de pago (número de tarjeta, vencimiento, CVC) son gestionados íntegramente por el SDK de Stripe integrado en la App. Lepta no tiene acceso, no trata ni almacena datos de tarjetas de pago en ningún momento.

3.4 Datos de ubicación del dispositivo

Después de introducir un código de autorización e iniciar el proceso de incorporación Tap-to-Pay, la App solicita permiso para acceder a la ubicación precisa de su dispositivo. Esto es necesario para dos fines:

  • Requisito del SDK Stripe Terminal: Stripe requiere confirmación de la ubicación precisa del dispositivo para verificar que el Tap-to-Pay se está utilizando en un país aprobado. Este es un requisito previo obligatorio del SDK Stripe Terminal, sin el cual la App no puede inicializarse ni aceptar pagos.
  • Autocompletado de direcciones: La App utiliza la API Google Places para proporcionar resultados de autocompletado de direcciones de alta calidad cuando un donante está introduciendo su dirección postal. Los datos de ubicación del dispositivo se utilizan para mejorar la relevancia de estas sugerencias.

Lepta no almacena los datos de ubicación en el portal o la base de datos de la App.

3.5 Datos no recopilados

La App no recopila, utiliza ni transmite:

  • Identificadores publicitarios (IDFA o GAID)
  • Datos de fallos, datos de rendimiento o telemetría de diagnóstico (no se incluyen SDK de informes de fallos ni de monitorización del rendimiento en la App)
  • Datos de seguimiento entre aplicaciones o entre sitios
  • Datos biométricos (incluidos los datos de reconocimiento facial)

La App utiliza una biblioteca de registro solo local para diagnósticos de desarrollo. En las compilaciones de producción, solo se registran mensajes de nivel informativo, y estos registros permanecen en el dispositivo y nunca se transmiten a ningún servidor.

4. Cómo utilizamos sus datos personales

Finalidad Datos utilizados Base jurídica (RGPD) Conservación
Incorporación y autenticación de Voluntarios Nombre, correo electrónico, código de autorización del Voluntario Interés legítimo (Art. 6(1)(f))—necesario para operar el servicio de recolección de donaciones En el dispositivo: hasta el cierre de sesión.
En Stripe: según la Política de Retención de Stripe
Procesamiento de donaciones Nombre, correo electrónico del donante, datos de tarjeta de pago (a través del SDK de Stripe), importe de la donación Ejecución de contrato (Art. 6(1)(b))—necesario para procesar la transacción de donación Stripe: según la Política de Retención de Stripe.
Entidad jurídica: según sus obligaciones de mantenimiento de registros
Emisión de recibos fiscales Nombre, correo electrónico, dirección postal del donante Obligación legal (Art. 6(1)(c))—requerido por la legislación fiscal nacional en jurisdicciones específicas Entidad jurídica: según los requisitos de retención de registros fiscales aplicables
Verificación del país para Tap-to-Pay Ubicación precisa del dispositivo Interés legítimo (Art. 6(1)(c),(f))—necesario para cumplir con los requisitos del SDK Stripe Terminal y las reglas de las redes de pago; y para determinar si se está usando en un país aprobado No almacenado
Autocompletado de direcciones Ubicación del dispositivo Interés legítimo (Art. 6(1)(f))—mejora de la precisión de la introducción de direcciones para los donantes No almacenado
Operación del servidor Direcciones IP, cadenas user-agent, parámetros URL (registros de servidor estándar) Interés legítimo (Art. 6(1)(f))—seguridad e integridad del sistema Transitorios; 60 días
Contexto religioso Cuando la entidad jurídica es una asociación religiosa, los datos de donaciones pueden en contexto revelar las creencias religiosas o filosóficas del donante (Art. 9(1) RGPD) Art. 9(2)(d)—tratamiento realizado en el curso de actividades legítimas de una asociación religiosa, con las salvaguardas adecuadas. La entidad jurídica garantiza poder acogerse a esta condición. Según los períodos de retención anteriores

5. Consentimiento para recibos y cartas de agradecimiento

Cuando la App ofrece a los donantes la opción de recibir un recibo de donación o una carta de agradecimiento, esto se basa en el consentimiento libremente otorgado por el donante. El mecanismo de consentimiento funciona de la siguiente manera:

  • El opt-in se presenta como un interruptor o casilla de verificación separada y claramente etiquetada que está desactivada por defecto.
  • La propia donación no está condicionada a la adhesión al opt-in: un donante puede completar la donación sin consentir la recepción de un recibo o carta.
  • El donante es informado, en el momento de la adhesión al opt-in, de que sus datos de contacto (nombre, correo electrónico y, cuando corresponda, dirección postal) serán compartidos con la entidad jurídica que recibe la donación con el fin de emitir el recibo o la carta.
  • El consentimiento puede retirarse en cualquier momento contactando a Lepta o a la entidad jurídica (ver Sección 9 a continuación).

6. Dónde se almacenan sus datos y con quién se comparten

Lepta no mantiene su propia base de datos de datos personales de donantes. El flujo de datos es el siguiente:

  • En el dispositivo: El nombre y el correo electrónico del Voluntario se almacenan en almacenamiento seguro cifrado en el dispositivo y se eliminan al cerrar sesión.
  • Stripe: El nombre, correo electrónico, dirección postal (cuando se recopile) y los datos de pago del donante se conservan en los servidores de Stripe. Stripe es un proveedor de servicios de pago certificado PCI DSS Nivel 1. La retención de datos, las medidas de seguridad y las prácticas de privacidad de Stripe se rigen por la Política de Privacidad de Stripe (stripe.com/privacy). Stripe está autocertificada en el marco del Marco de Privacidad de Datos UE-EE.UU.
  • La entidad jurídica: Los datos de transacción necesarios para los registros financieros de la entidad jurídica se transfieren de Stripe al sistema informático de la entidad jurídica. Esto refleja el flujo de datos existente utilizado para donate.jw.org.
  • Watchtower Bible and Tract Society of New York, Inc. (“WTNY”): WTNY proporciona el entorno informático más amplio de Lepta en virtud de un Acuerdo de Servicio Informático, incluido el sistema de planificación de recursos empresariales HuB, Microsoft 365/SharePoint Online (la plataforma de Recursos para Clientes de Lepta), los servicios en la nube de Microsoft Azure, Microsoft Power BI, Microsoft Exchange (correo electrónico), servicios de copia de seguridad y alojamiento de dominio, todos desde los Estados Unidos. WTNY actúa como encargada del tratamiento y subencargada del tratamiento de Lepta y trata los datos personales únicamente según las instrucciones documentadas de Lepta. El subencargado del tratamiento posterior de WTNY para la capa Microsoft 365/SharePoint Online/Azure/Power BI/Exchange es Microsoft Ireland Operations Limited, que a su vez se apoya en Microsoft Corporation (EE.UU., certificada DPF) para la prestación del servicio. WTNY en sí misma no está certificada en el marco del Marco de Privacidad de Datos UE-EE.UU.; las salvaguardas adecuadas para la transferencia de Lepta a WTNY se describen en la Sección 7 a continuación. Los datos personales de donantes y voluntarios enviados a través de la App no son transmitidos por Lepta a WTNY: según el flujo de datos de la App, los datos de donantes y voluntarios se envían desde la App al Portal Lepta (alojado en Amazon Web Services, Inc. en los Estados Unidos) y desde allí a Stripe, que es el sistema de registro.
  • Amazon Web Services, Inc. (registros de servidor, Estados Unidos—subencargada del tratamiento): El backend de la App está alojado en Amazon Web Services, Inc. (“AWS”) en los Estados Unidos (región us-east-1). AWS está autocertificada en el marco del Marco de Privacidad de Datos UE-EE.UU. Los registros de solicitudes de servidor estándar pueden contener transitoriamente datos como direcciones IP, cadenas user-agent y parámetros URL. Estos registros se conservan durante 60 días y luego se eliminan.
  • Google (autocompletado de direcciones): Cuando un donante introduce una dirección postal, la App utiliza la API Google Places para proporcionar sugerencias de autocompletado. El tratamiento de estos datos por parte de Google se rige por la Política de Privacidad de Google. Google, LLC está autocertificada en el marco del Marco de Privacidad de Datos UE-EE.UU.

El portal de Lepta (panel de administración) no almacena PII de donantes en su propia base de datos. El panel de administración muestra datos de pago y donaciones a través de la interfaz Embedded Payments de Stripe, extrayendo datos directamente de Stripe en tiempo real.

Los únicos datos personales almacenados en la propia base de datos del portal consisten en cuentas de usuario administrador (nombre, correo electrónico, contraseña con hash) para los representantes de las entidades jurídicas que gestionan el sistema. Estos no son registros de donantes.

Una lista completa de los subencargados del tratamiento de Lepta está disponible en lepta.io/resources.

7. Transferencias internacionales de datos

Sus datos personales pueden ser transferidos y procesados en países fuera de su país de residencia, incluidos los Estados Unidos. Cuando dichas transferencias impliquen datos personales originarios del Espacio Económico Europeo (EEE), el Reino Unido o Suiza, existen salvaguardas adecuadas. Los detalles completos de los mecanismos de transferencia se establecen en el Adendo de Transferencias de Datos de Lepta, disponible en leptapay.com/legal/dta. A continuación se proporciona un resumen de las salvaguardas para cada transferencia.

  • Stripe (Estados Unidos—responsable independiente): Stripe está autocertificada en el marco del Marco de Privacidad de Datos UE-EE.UU. (DPF) y la Extensión del Reino Unido al DPF. La decisión de adecuación de la Comisión Europea (Decisión de Ejecución (UE) 2023/1795 de 10 de julio de 2023) se aplica a las transferencias de datos personales a Stripe. Lepta monitorea el estado de certificación DPF de Stripe.
  • WTNY (Estados Unidos—subencargada del tratamiento): WTNY no está certificada en el marco del Marco de Privacidad de Datos. Las transferencias de datos personales de Lepta a WTNY están protegidas por las Cláusulas Contractuales Tipo de la UE (Módulo 2: De responsable a encargado, cuando Lepta actúa como responsable; Módulo 3: De encargado a encargado, cuando Lepta actúa como encargada) aprobadas por la Comisión Europea e incorporadas al Acuerdo de Servicio Informático entre Lepta y WTNY. Las Cláusulas Contractuales Tipo van acompañadas de Adendos de Salvaguardas Adicionales que proporcionan medidas suplementarias, incluido el cifrado de datos personales en tránsito y en reposo, compromisos contractuales de redirigir solicitudes, resistir y cuestionar las solicitudes de acceso gubernamental en virtud de la ley de vigilancia de EE.UU., notificar a Lepta sobre cualquier demanda legal vinculante de datos personales (sujeta a las restricciones legales aplicables) y divulgar solo la cantidad mínima de datos personales necesaria para satisfacer cualquier orden inevitable. El subencargado del tratamiento posterior de WTNY para los servicios Microsoft 365/SharePoint Online/Azure/Power BI/Exchange es Microsoft Ireland Operations Limited (Irlanda), contratada en virtud del Acuerdo de Cliente de Microsoft; Microsoft Ireland Operations Limited a su vez se apoya en Microsoft Corporation (Estados Unidos, autocertificada en el marco del Marco de Privacidad de Datos UE-EE.UU.), que proporciona el servicio subyacente desde los centros de datos de Microsoft en los Estados Unidos.
  • Google (Estados Unidos—subencargada del tratamiento): Google, LLC está autocertificada en el marco del Marco de Privacidad de Datos UE-EE.UU. La decisión de adecuación se aplica a las transferencias a Google como subencargada del tratamiento certificada DPF para la API Google Places.
  • AWS (Estados Unidos—subencargada del tratamiento): El backend de Lepta está alojado en AWS en los Estados Unidos (región us-east-1). AWS está autocertificada en el marco del Marco de Privacidad de Datos UE-EE.UU. La decisión de adecuación se aplica a las transferencias a AWS como subencargada del tratamiento certificada DPF.
  • Transferencias a la instancia HuB de la entidad jurídica: Los datos de transacciones se transfieren de Stripe a la instancia del sistema HuB de la entidad jurídica. El mecanismo de transferencia para este tramo depende de la ubicación de cada entidad jurídica y está cubierto por los propios acuerdos de procesamiento de datos de la entidad jurídica.

Lepta está establecida en Irlanda (EEE) y no es en sí misma elegible para la certificación en el Marco de Privacidad de Datos, que está disponible únicamente para organizaciones con sede en EE.UU. Lepta se basa en las CCT de la UE y las medidas suplementarias (para destinatarios de EE.UU. no certificados en el DPF) y en la decisión de adecuación del DPF (para destinatarios de EE.UU. certificados en el DPF) como mecanismos legítimos para las Transferencias Restringidas.

8. Retención de datos

Lepta conserva los datos personales solo durante el tiempo necesario para los fines descritos en esta Política de Privacidad:

Categoría de datos Lugar de almacenamiento Período de retención
Nombre y correo electrónico del Voluntario Dispositivo (cifrado) Hasta el cierre de sesión
Nombre y correo electrónico del Voluntario Stripe Según la Política de Retención de Stripe
Nombre, correo electrónico, dirección del donante Stripe Según la Política de Retención de Stripe (conservados mientras los servicios continúen, más cualquier período requerido por la ley aplicable)
Datos de transacción del donante Entidad jurídica (HuB) Según las obligaciones de mantenimiento de registros financieros de la entidad jurídica en virtud de la ley aplicable
Datos de tarjeta de pago Stripe (exclusivamente) Según la política de retención de Stripe y los requisitos PCI DSS
Ubicación del dispositivo No almacenado No aplicable—se usa solo en tiempo real
Registros de servidor (IP, user-agent) AWS 60 días
Datos del entorno informático de Lepta (HuB ERP, Microsoft 365/SharePoint Client Resources, archivo/impresión/correo electrónico/copia de seguridad) WTNY (encargada/subencargada) Según las instrucciones de retención de Lepta y la Sección 9.3 de los Términos y Condiciones de HuB, que prevé la devolución de los Datos del Cliente en un formato estructurado, de uso común y legible por máquina, y asistencia posterior a la terminación por un mínimo de 90 días.

9. Sus derechos

Dependiendo de su ubicación, puede tener los siguientes derechos en relación con sus datos personales:

  • Derecho de acceso: Tiene derecho a solicitar una copia de los datos personales que tenemos sobre usted.
  • Derecho de rectificación: Tiene derecho a solicitar la corrección de datos personales inexactos o incompletos.
  • Derecho de supresión: Tiene derecho a solicitar la eliminación de sus datos personales, sujeto a cualquier obligación legal que requiera su conservación.
  • Derecho de limitación del tratamiento: Tiene derecho a solicitar que limitemos el tratamiento de sus datos personales en determinadas circunstancias.
  • Derecho a la portabilidad de los datos: Cuando el tratamiento se base en su consentimiento o en la ejecución de un contrato, tiene derecho a recibir sus datos personales en un formato estructurado, de uso común y legible por máquina.
  • Derecho de oposición: Cuando el tratamiento se base en intereses legítimos, tiene derecho a oponerse a dicho tratamiento. Cesaremos el tratamiento a menos que podamos demostrar motivos legítimos imperiosos.
  • Derecho a retirar el consentimiento: Cuando el tratamiento se base en el consentimiento (como el opt-in para recibos), puede retirar su consentimiento en cualquier momento. La retirada no afecta a la licitud del tratamiento realizado antes de la retirada.

Dado que los datos personales de los donantes son tratados y almacenados por Stripe y, cuando corresponda, por la entidad jurídica que recibió la donación, las solicitudes para ejercer derechos como acceso, rectificación, supresión o portabilidad de los datos de donantes puede que deban coordinarse con Stripe y/o la entidad jurídica pertinente. Le ayudaremos a facilitar dichas solicitudes.

Para los datos de los Voluntarios almacenados localmente en su dispositivo, puede eliminar estos datos en cualquier momento cerrando sesión en la App.

10. Datos de menores

La App no está dirigida a menores de 16 años. No recopilamos conscientemente datos personales de menores de 16 años sin autorización parental, según lo exige el Artículo 8 del Reglamento General de Protección de Datos. Las donaciones realizadas por menores (personas menores de 18 años o de la edad de la mayoría en su jurisdicción) pueden ser reembolsadas a solicitud de un padre o tutor, contactando a la entidad jurídica que recibió la donación. Un padre o tutor puede ejercer los derechos del interesado en nombre de un menor contactando a Lepta utilizando los datos de la Sección 12. Si cree que un menor ha proporcionado datos personales a través de la App sin la autorización adecuada, comuníquese con nosotros y tomaremos medidas para eliminar dichos datos.

11. Cambios en esta Política de Privacidad

Podemos actualizar esta Política de Privacidad periódicamente. Si realizamos cambios sustanciales, se lo notificaremos a través de la App o por otros medios apropiados antes de que los cambios entren en vigor. La fecha de “Última actualización” en la parte superior de esta política indica cuándo fue revisada por última vez.

12. Contáctenos

Si tiene preguntas sobre esta Política de Privacidad, desea ejercer sus derechos como interesado o tiene una reclamación, comuníquese con:

Lepta Payment Solutions Limited
Watch Tower House, Blackditch, Newcastle, Co. Wicklow, A63 RF61 Irlanda
[email protected]
Delegado de Protección de Datos / Contacto de Privacidad: Daniel Melinder

La autoridad de control principal de Lepta es la Comisión de Protección de Datos de Irlanda.

También tiene derecho a presentar una reclamación ante una autoridad de control en el Estado miembro de la UE de su residencia habitual, lugar de trabajo o lugar de la presunta infracción.

Picture of an arrow icon pointing up