RGPD
Ⅰ. Ámbito de aplicación
Esta política de privacidad se aplica a las operaciones de tratamiento de datos personales relacionadas con usuarios en España, incluyendo:
-
Suministro de bienes o servicios a personas ubicadas en territorio español
-
Análisis técnico necesario del comportamiento en línea de usuarios (como visitas al sitio web)
-
Gestión de información vinculada a pedidos, cuentas registradas, suscripciones y atención al cliente
-
Datos almacenados en sistemas estructurados, tales como plataformas de pedidos o sistemas de gestión de clientes
Quedan excluidos los tratamientos de datos realizados exclusivamente con fines personales o domésticos.
Ⅱ. Tipos de datos recopilados
Durante la prestación del servicio pueden recopilarse las siguientes categorías de información:
-
Datos de identidad: nombre, dirección de envío cuando corresponda
-
Datos de contacto: correo electrónico, número de teléfono, dirección postal
-
Información transaccional: historial de pedidos, estado de pagos, facturación
-
Datos técnicos: dirección IP, información del dispositivo, actividad de navegación, cookies
-
Datos de atención al cliente: registros de consultas, comunicaciones de soporte, reclamaciones
-
Datos procedentes de terceros: información obtenida mediante autorización de cuentas externas (por ejemplo Google o Apple), cuando proceda
La recopilación se limita a lo estrictamente necesario para la finalidad del servicio.
Ⅲ. Base jurídica del tratamiento
De conformidad con el artículo 6 del Reglamento (UE) 2016/679 (RGPD), el tratamiento de datos se fundamenta en:
-
Consentimiento del usuario: por ejemplo, para suscripciones o comunicaciones comerciales
-
Ejecución de un contrato: gestión de pedidos, pagos y entregas
-
Obligación legal: cumplimiento de requisitos fiscales, contables o regulatorios
-
Interés legítimo: seguridad del sistema, optimización del servicio y prevención de riesgos
-
Protección de intereses vitales: situaciones de emergencia que requieran salvaguardar derechos del usuario
Ⅳ. Finalidades del uso de datos
Los datos recopilados se utilizan para:
-
Procesamiento de pedidos, envío de productos y gestión de pagos
-
Atención al cliente y soporte postventa
-
Mejora del funcionamiento y experiencia del sitio web
-
Envío de comunicaciones comerciales cuando exista consentimiento
-
Cumplimiento de obligaciones legales y fiscales
-
Análisis de datos con fines de mejora de calidad del servicio
No se emplean datos personales para finalidades no autorizadas.
Ⅴ. Periodo de conservación
Los plazos de almacenamiento dependen del tipo de información:
-
Datos de pedidos y financieros: conservación mínima de 5 años según exigencias legales
-
Datos de marketing: eliminación tras la retirada del consentimiento
-
Datos de cuenta: eliminación o anonimización tras 24 meses de inactividad continuada
Antes de su eliminación, el usuario puede solicitar acceso o exportación de sus datos personales.
Ⅵ. Derechos del usuario (artículos 15–22 RGPD)
Los usuarios pueden ejercer los siguientes derechos:
-
Acceso a sus datos personales y obtención de copia
-
Rectificación de datos inexactos o incompletos
-
Solicitud de supresión de datos personales (derecho al olvido)
-
Limitación del tratamiento en determinados supuestos
-
Portabilidad de datos
-
Oposición al tratamiento basado en interés legítimo
-
Rechazo de decisiones basadas únicamente en procesos automatizados
Las solicitudes pueden enviarse a través de los canales de contacto, siendo atendidas dentro de un plazo razonable.
Ⅶ. Protección de menores
Según la normativa aplicable en España:
-
Los menores de 14 años requieren autorización de un tutor legal para utilizar los servicios
-
Los datos de menores están sujetos a medidas de protección reforzadas
-
En caso de detección de recopilación no autorizada, la información será eliminada
Ⅷ. Medidas de seguridad de los datos
Se aplican mecanismos de protección que incluyen:
-
Cifrado TLS (HTTPS) para la transmisión de datos
-
Control de accesos restringido a personal autorizado
-
Sistemas de firewall y monitorización de seguridad
-
Auditorías periódicas y evaluaciones de vulnerabilidad
-
Colaboración con proveedores que cumplen estándares como PCI-DSS
-
Registros de actividad para control de incidentes
Ⅸ. Transferencias internacionales de datos
Cuando sea necesario, los datos pueden transferirse fuera del Espacio Económico Europeo bajo las siguientes condiciones:
-
Existencia de nivel adecuado de protección reconocido por la Unión Europea
-
Aplicación de cláusulas contractuales tipo (SCC) aprobadas por la UE
-
Implementación de medidas adicionales como cifrado o control de acceso
Ⅹ. Gestión de incidentes de seguridad
En caso de incidentes que afecten a la seguridad de los datos:
-
Notificación a la autoridad competente dentro del plazo legal establecido (hasta 72 horas) cuando proceda
-
Comunicación a los usuarios afectados cuando sea necesario
-
Adopción inmediata de medidas de contención y corrección
-
Gestión y seguimiento por equipos responsables de seguridad
Ⅺ. Cumplimiento y supervisión
-
Existencia de mecanismos internos de gestión de protección de datos
-
Designación de responsable de protección de datos (DPO) cuando sea necesario
-
Formalización de acuerdos de tratamiento de datos con terceros (DPA)
-
Conservación de registros para fines de auditoría regulatoria
Ⅻ. Disposición final
El tratamiento de datos personales se rige por principios de legalidad, transparencia y minimización de datos.
Todas las operaciones se realizan dentro del marco normativo aplicable, orientadas al cumplimiento regulatorio y a la protección de los derechos de los usuarios.