Las empresas de eventos, como organizadores profesionales de congresos, deben cumplir con la normativa vigente en materia de protección de datos personales. En España, esta normativa está principalmente regulada por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Las políticas de privacidad de estas empresas deben incluir, entre otros aspectos, los siguientes:

Finalidad del Tratamiento: Deben especificar claramente las finalidades para las cuales se recogen y tratan los datos personales. Por ejemplo, la gestión de inscripciones, la organización de eventos, el envío de comunicaciones relacionadas con el evento, etc. .

Base Jurídica del Tratamiento: Deben indicar la base jurídica que legitima el tratamiento de los datos personales, que puede ser el consentimiento del interesado, la ejecución de un contrato, el cumplimiento de una obligación legal, el interés público o el interés legítimo del responsable del tratamiento. .

Derechos de los Interesados: Deben informar a los interesados sobre sus derechos en relación con sus datos personales, incluyendo el derecho de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de los datos. También deben proporcionar información sobre cómo pueden ejercer estos derechos. .

Medidas de Seguridad: Deben describir las medidas técnicas y organizativas implementadas para garantizar la seguridad de los datos personales y protegerlos contra el acceso no autorizado, la alteración, la pérdida o la destrucción. .

Transferencias Internacionales de Datos: Si los datos personales se transfieren fuera del Espacio Económico Europeo, deben informar sobre las garantías adecuadas que se han implementado para proteger los datos en dichas transferencias. .

Periodo de Conservación de los Datos: Deben especificar el periodo durante el cual se conservarán los datos personales o los criterios utilizados para determinar dicho periodo. .

Contacto del Delegado de Protección de Datos: Si la empresa cuenta con un Delegado de Protección de Datos (DPO), deben proporcionar sus datos de contacto. .
Además, las empresas deben asegurarse de que sus políticas de privacidad sean fácilmente accesibles para los interesados, por ejemplo, publicándolas en su sitio web y proporcionando un enlace a la política de privacidad en todas las comunicaciones electrónicas. .