RGPD
1. Ámbito de aplicación
Esta política regula el tratamiento de datos personales relacionados con usuarios residentes en España, incluyendo:
-
Provisión de productos o servicios a personas en territorio español.
-
Análisis técnico necesario de la actividad online de los usuarios (por ejemplo, visitas al sitio web).
-
Gestión de pedidos, creación de cuentas, suscripciones y servicios de atención al cliente.
-
Almacenamiento de información en sistemas estructurados, tales como sistemas de pedidos o gestión de clientes.
No se aplica a actividades de tratamiento de datos con fines exclusivamente personales o domésticos.
2. Tipos de datos recopilados
Durante la prestación de servicios se pueden obtener los siguientes tipos de información personal:
-
Identificación: nombre, información de envío si procede.
-
Contacto: correo electrónico, número de teléfono, dirección postal.
-
Transacciones: historial de pedidos, estado de pagos, información de facturación.
-
Datos técnicos: dirección IP, información del dispositivo, registros de navegación, datos de cookies.
-
Atención al cliente: consultas, comunicaciones postventa, incidencias o reclamaciones.
-
Datos de terceros autorizados: información obtenida a través de cuentas externas (como Google o Apple), cuando corresponda.
La recopilación se limita estrictamente a lo necesario para cumplir los fines del servicio.
3. Base legal del tratamiento
Conforme al artículo 6 del Reglamento General de Protección de Datos (GDPR), las operaciones de tratamiento se sustentan en:
-
Consentimiento del usuario: por ejemplo, para recibir notificaciones o comunicaciones comerciales.
-
Ejecución de un contrato: incluyendo procesamiento de pedidos, pagos y entregas.
-
Obligaciones legales: para cumplir requisitos fiscales, contables y regulatorios.
-
Intereses legítimos: seguridad del sitio web, optimización de servicios y control de riesgos.
-
Protección de intereses vitales: en situaciones de emergencia para resguardar derechos del usuario.
4. Finalidad del tratamiento
Los datos personales recabados se destinan a:
-
Procesamiento y entrega de pedidos, así como gestión de pagos.
-
Atención al cliente y soporte postventa.
-
Mejora de la experiencia de navegación y optimización de funcionalidades del sitio.
-
Envío de comunicaciones comerciales previo consentimiento del usuario.
-
Cumplimiento de obligaciones legales y fiscales.
-
Análisis de datos para perfeccionar la calidad de los servicios.
No se emplearán los datos para fines distintos a los autorizados.
5. Conservación de los datos
Los plazos de almacenamiento varían según el tipo de información:
-
Datos de pedidos y financieros: mínimo cinco años, conforme a exigencias legales.
-
Datos de marketing: eliminados tras revocación del consentimiento.
-
Datos de cuentas: inactivos por 24 meses consecutivos se borrarán o anonimizarán.
Antes de la eliminación, el usuario puede solicitar acceso o exportación de sus datos.
6. Derechos de los usuarios (art. 15–22 GDPR)
Los usuarios pueden ejercer los siguientes derechos:
-
Acceder y obtener copia de sus datos personales.
-
Rectificar información inexacta o incompleta.
-
Solicitar la eliminación de sus datos (“derecho al olvido”).
-
Restringir el tratamiento en determinados supuestos.
-
Portabilidad de datos.
-
Oponerse al tratamiento basado en intereses legítimos.
-
Rechazar decisiones basadas únicamente en procesamiento automatizado.
Las solicitudes deben dirigirse mediante los canales de contacto y se atenderán en un plazo razonable.
7. Protección de menores
De acuerdo con la legislación española:
-
Usuarios menores de 14 años requieren autorización de un representante legal para utilizar los servicios.
-
Se aplican medidas adicionales de seguridad sobre datos de menores.
-
La información recabada sin consentimiento será eliminada de forma inmediata.
8. Medidas de seguridad de los datos
Para resguardar la información de los usuarios se implementan:
-
Transmisión cifrada mediante TLS (HTTPS).
-
Controles de acceso estrictos, limitando la disponibilidad de los datos.
-
Firewalls y sistemas de monitorización de seguridad.
-
Auditorías periódicas y pruebas de vulnerabilidad.
-
Colaboración con proveedores que cumplan estándares de seguridad (como PCI-DSS).
-
Registro de logs para seguimiento de riesgos.
9. Transferencias internacionales
Cuando sea necesario, los datos podrán transferirse fuera del EEE bajo las condiciones siguientes:
-
El país de destino debe garantizar un nivel de protección adecuado.
-
Se emplearán cláusulas contractuales tipo de la UE (SCC).
-
Se adoptarán medidas adicionales como cifrado y control de accesos.
10. Gestión de incidentes de seguridad
En caso de incidentes que puedan afectar derechos de los usuarios:
-
Se informará a la autoridad competente dentro del plazo legal (máximo 72 horas).
-
Se notificará a los usuarios afectados cuando sea pertinente.
-
Se tomarán medidas inmediatas para mitigar riesgos y corregir fallos.
-
Un equipo especializado gestionará la respuesta y seguimiento.
11. Cumplimiento y supervisión
-
Se mantiene un sistema interno de gestión de protección de datos.
-
Se puede designar un responsable de protección de datos (DPO) si procede.
-
Se formalizan acuerdos de tratamiento de datos (DPA) con terceros proveedores.
-
Se conservan registros para auditorías regulatorias.
12. Disposiciones finales
Todas las operaciones de tratamiento se realizan bajo principios de legalidad, transparencia y minimización de datos, priorizando los derechos del usuario y el cumplimiento normativo, con medidas de protección en constante optimización.