RGPD

1. Alcance

Esta política regula el tratamiento de información personal relacionada con usuarios en España, incluyendo:

• Provisión de bienes o servicios a destinatarios dentro del territorio español.

• Análisis técnico de la interacción de usuarios con la plataforma (por ejemplo, visitas al sitio web).

• Gestión de pedidos, registros de cuentas, suscripciones y atención al cliente.

• Datos almacenados en sistemas estructurados, como plataformas de pedidos o CRM.

No se aplica a actividades de tratamiento de datos exclusivamente personales o domésticas.

2. Tipos de datos recabados

Durante la prestación de servicios pueden recopilarse las siguientes categorías de información personal:

• Datos de identificación: nombre y dirección de entrega, según corresponda.

• Datos de contacto: correo electrónico, teléfono, domicilio.

• Información de transacciones: historial de pedidos, estado de pagos, facturación.

• Datos técnicos: IP, información del dispositivo, historial de navegación, cookies.

• Datos de atención al cliente: registros de consultas, comunicaciones postventa, reclamaciones.

• Datos de terceros autorizados: información obtenida mediante cuentas de terceros como Google o Apple, cuando proceda.

La recopilación se limita estrictamente a la finalidad de los servicios.

3. Base jurídica del tratamiento

El tratamiento de datos se fundamenta en el artículo 6 del Reglamento General de Protección de Datos (GDPR), incluyendo:

• Consentimiento del usuario, por ejemplo, para recibir comunicaciones comerciales.

• Ejecución contractual, como procesamiento de pedidos y envíos.

• Cumplimiento de obligaciones legales, como requisitos fiscales y contables.

• Intereses legítimos, orientados a seguridad del sitio, optimización de servicios y control de riesgos.

• Protección de intereses vitales en situaciones de emergencia.

4. Finalidad del tratamiento

La información personal se utiliza para:

• Procesamiento de pedidos, gestión de envíos y pagos.

• Atención al cliente y soporte postventa.

• Mejorar la funcionalidad y experiencia de navegación en el sitio.

• Envío de comunicaciones de marketing, previo consentimiento del usuario.

• Cumplimiento de obligaciones legales y fiscales.

• Análisis de datos con el fin de optimizar servicios.

No se emplean datos personales con fines no autorizados.

5. Plazos de conservación

Los plazos de almacenamiento varían según el tipo de información:

• Datos de pedidos y financieros: al menos cinco años, conforme a la legislación vigente.

• Datos de marketing: eliminación tras revocación del consentimiento.

• Datos de cuentas: supresión o anonimización tras 24 meses de inactividad.

Antes de la eliminación, los usuarios pueden solicitar acceso o exportación de sus datos.

6. Derechos del usuario

Conforme a los artículos 15 a 22 del GDPR, los usuarios pueden:

• Solicitar acceso a sus datos y copias de los mismos.

• Corregir información inexacta o incompleta.

• Solicitar la supresión de datos personales (derecho al olvido).

• Limitar el tratamiento en determinadas circunstancias.

• Ejercer la portabilidad de datos.

• Oponerse a tratamientos basados en intereses legítimos.

• Rechazar decisiones automatizadas sin intervención humana.

Las solicitudes pueden enviarse mediante los canales de contacto disponibles, y serán atendidas dentro de plazos razonables.

7. Protección de menores

De acuerdo con la normativa española:

• Usuarios menores de 14 años requieren autorización de un tutor para acceder a los servicios.

• Se aplican medidas reforzadas para la protección de datos de menores.

• Cualquier recopilación no autorizada será eliminada de inmediato.

8. Seguridad de los datos

Se aplican medidas técnicas y organizativas para garantizar la seguridad:

• Cifrado TLS (HTTPS) para transmisión de información.

• Control de acceso restringido a personal autorizado.

• Firewalls y sistemas de monitorización continua.

• Auditorías y pruebas periódicas de vulnerabilidades.

• Colaboración con proveedores que cumplen estándares de seguridad, como PCI-DSS.

• Registro de eventos y seguimiento de riesgos.

9. Transferencia internacional de datos

Si se requiere transferir datos fuera del EEE:

• El destino debe garantizar un nivel de protección reconocido por la UE.

• Se emplean cláusulas contractuales estándar de la UE (SCC).

• Se implementan medidas de seguridad adicionales, como cifrado y controles de acceso.

10. Gestión de incidentes de seguridad

En caso de incidente que pueda afectar derechos de usuarios:

• Se notificará a las autoridades competentes dentro de los plazos legales (máximo 72 horas).

• Los usuarios afectados serán informados si procede.

• Se tomarán medidas inmediatas para contener y remediar riesgos.

• Un equipo especializado supervisará la resolución y seguimiento del evento.

11. Cumplimiento y supervisión

Se implementan mecanismos internos de gestión de protección de datos:

• En su caso, se designa un responsable de protección de datos (DPO).

• Se formalizan acuerdos de tratamiento de datos (DPA) con proveedores.

• Se conservan registros de las operaciones de tratamiento para auditoría y supervisión regulatoria.

12. Disposiciones finales

El tratamiento de información personal se realiza bajo principios de legalidad, transparencia y minimización.

Toda operación de procesamiento se centra en proteger los derechos del usuario y cumplir con la normativa vigente, manteniendo mejoras continuas en seguridad de datos.