RGPD

Ⅰ. Alcance de aplicación

Esta política de privacidad regula el tratamiento de datos personales relacionado con usuarios en España, incluyendo:

• La provisión de bienes o servicios dentro del territorio español
• El análisis técnico de la actividad de los usuarios en línea, como visitas al sitio web
• La gestión de pedidos, registros de cuentas, suscripciones y servicios de atención al cliente
• Datos almacenados en sistemas estructurados, por ejemplo sistemas de pedidos o CRM

No se aplica a actividades de tratamiento de datos realizadas exclusivamente para fines personales o domésticos.

Ⅱ. Categorías de datos recopilados

Durante la prestación de servicios se pueden recoger los siguientes tipos de información personal:

• Datos de identificación: nombre, dirección de entrega cuando corresponda
• Información de contacto: correo electrónico, teléfono, dirección física
• Datos de transacciones: historial de pedidos, estado de pagos, información de facturación
• Información técnica: dirección IP, detalles del dispositivo, registros de navegación, cookies
• Datos de atención al cliente: consultas, comunicaciones posventa, quejas
• Datos proporcionados mediante terceros: información obtenida a través de cuentas externas (como Google o Apple) si procede

La recopilación se limita a lo estrictamente necesario para cumplir con los fines del servicio.

Ⅲ. Base legal para el tratamiento de datos

Conforme al artículo 6 del RGPD, las operaciones de tratamiento se sustentan en:

• Consentimiento del usuario: por ejemplo, para recibir comunicaciones comerciales o suscripciones
• Ejecución de contrato: para procesar pedidos, pagos y entregas
• Obligación legal: cumplimiento de requisitos fiscales, contables o regulatorios
• Interés legítimo: seguridad del sitio, mejora de servicios y control de riesgos
• Protección de intereses vitales: salvaguarda de derechos en situaciones de emergencia

Ⅳ. Finalidad del tratamiento

Los datos recopilados se destinan a:

• Procesamiento de pedidos, gestión de envíos y pagos
• Soporte al cliente y atención posventa
• Optimización de la experiencia y funcionalidades del sitio
• Envío de información comercial previo consentimiento
• Cumplimiento de obligaciones legales y fiscales
• Análisis de datos para mejorar la calidad del servicio

No se emplearán para fines distintos a los autorizados.

Ⅴ. Plazos de conservación de datos

Los datos se retendrán según el tipo:

• Información de pedidos y financiera: mínimo cinco años conforme a la normativa aplicable
• Datos de marketing: eliminados tras la revocación del consentimiento
• Información de cuentas: eliminada o anonimizada tras 24 meses de inactividad continua

Antes de eliminarse, el usuario puede solicitar acceso o exportación de sus datos.

Ⅵ. Derechos del usuario (artículos 15–22 RGPD)

Se reconoce a los usuarios la facultad de:

• Solicitar y obtener copias de sus datos personales
• Rectificar información inexacta o incompleta
• Solicitar la supresión de datos (derecho al olvido)
• Limitar el tratamiento en situaciones específicas
• Portabilidad de datos
• Oponerse al tratamiento basado en intereses legítimos
• Rechazar decisiones automatizadas sin intervención humana

Las solicitudes se canalizan mediante los datos de contacto y se responderán en plazo razonable.

Ⅶ. Protección de menores

De acuerdo con la legislación española:

• Menores de 14 años requieren autorización de sus tutores para acceder a los servicios
• Se aplican medidas reforzadas de protección sobre sus datos
• Información recolectada sin autorización será eliminada de inmediato

Ⅷ. Medidas de seguridad de los datos

Para garantizar la protección de la información personal se implementan:

• Cifrado TLS (HTTPS) durante la transmisión
• Control de accesos restringido a personal autorizado
• Uso de cortafuegos y sistemas de monitorización de seguridad
• Auditorías y pruebas periódicas de vulnerabilidad
• Cooperación con proveedores que cumplan estándares de seguridad (como PCI-DSS)
• Registro de eventos para supervisión de riesgos

Ⅸ. Transferencias internacionales

Cuando sea necesario, los datos pueden trasladarse fuera del EEE, asegurando que:

• El país receptor cumple con estándares de protección reconocidos por la UE
• Se aplican cláusulas contractuales estándar de la UE
• Se implementan medidas adicionales de seguridad, como cifrado y control de accesos

Ⅹ. Gestión de incidentes de seguridad

En caso de incidente que pueda afectar los derechos del usuario:

• Se notificará a la autoridad competente dentro del plazo legal (máximo 72 horas)
• Se informará a los usuarios afectados si procede
• Se adoptarán medidas inmediatas para mitigar y corregir el riesgo
• Un equipo especializado supervisará la gestión y seguimiento del incidente

Ⅺ. Cumplimiento y supervisión

• Se mantiene un sistema interno de gestión de protección de datos
• Se puede designar un responsable de protección de datos (DPO) cuando sea necesario
• Se formalizan acuerdos de tratamiento con terceros (DPA)
• Se conservan registros para inspecciones regulatorias

Ⅻ. Disposiciones finales

El tratamiento de datos se realiza conforme a los principios de legalidad, transparencia y minimización. Todas las operaciones buscan proteger los derechos de los usuarios y cumplir con la normativa aplicable, con medidas de seguridad en constante revisión.