RGPD

Ⅰ. Alcance

Esta política se aplica a la gestión de datos personales vinculados a usuarios en España, incluyendo:

• Provisión de bienes o servicios a residentes españoles
• Análisis técnico de la actividad en línea de los usuarios (por ejemplo, visitas al sitio web)
• Administración de pedidos, registros de cuentas, suscripciones y consultas de soporte
• Información almacenada en sistemas estructurados (como sistemas de pedidos o gestión de clientes)

No se contempla la información procesada únicamente con fines personales o domésticos.

Ⅱ. Tipos de datos recopilados

Durante la prestación de servicios se pueden recolectar las siguientes categorías de información personal:

• Datos de identificación: nombre, dirección de entrega (si aplica)
• Datos de contacto: correo electrónico, teléfono, dirección
• Datos de transacciones: historial de pedidos, estado de pagos, información de facturación
• Información técnica: dirección IP, detalles del dispositivo, registros de navegación, datos de cookies
• Información de atención al cliente: historial de consultas, comunicaciones postventa, quejas
• Datos autorizados de terceros: información obtenida mediante cuentas de terceros (como Google o Apple) si se aplica

La recopilación se limita estrictamente a lo necesario para cumplir los fines del servicio.

Ⅲ. Base legal para el tratamiento

Conforme al artículo 6 del Reglamento General de Protección de Datos (RGPD) de la UE, el procesamiento se fundamenta en:

• Consentimiento del usuario: por ejemplo, para suscripciones o comunicaciones comerciales
• Ejecución de contrato: relacionado con pedidos, pagos y entregas
• Obligación legal: cumplimiento de impuestos, contabilidad y regulaciones
• Interés legítimo: seguridad del sitio web, optimización de servicios y gestión de riesgos
• Protección de intereses vitales: en situaciones urgentes para salvaguardar derechos del usuario

Ⅳ. Finalidades del uso de datos

Los datos recolectados se emplean para:

• Procesamiento de pedidos, gestión de pagos y envíos
• Atención al cliente y soporte postventa
• Mejoras en la funcionalidad y experiencia del sitio web
• Envío de comunicaciones comerciales previo consentimiento
• Cumplimiento de obligaciones legales y fiscales
• Análisis de datos para optimizar la calidad del servicio

No se destinan datos personales a fines no autorizados.

Ⅴ. Conservación de datos

Los plazos de retención varían según el tipo de información:

• Datos de pedidos y financieros: mínimo 5 años (conforme a la normativa)
• Datos de marketing: eliminados tras revocación del consentimiento
• Datos de cuentas: inactivos por 24 meses serán eliminados o anonimizados

Antes de la eliminación, los usuarios pueden solicitar acceso o exportación de sus datos personales.

Ⅵ. Derechos del usuario (artículos 15–22 RGPD)

Los usuarios pueden ejercer:

• Solicitar y obtener copia de sus datos personales
• Rectificar información inexacta o incompleta
• Solicitar la supresión de datos personales (“derecho al olvido”)
• Limitar el tratamiento de datos en circunstancias específicas
• Portabilidad de los datos
• Oponerse al tratamiento basado en intereses legítimos
• Rechazar decisiones basadas únicamente en procesamiento automatizado

Las solicitudes se presentan mediante los canales de contacto, con respuesta en plazo razonable.

Ⅶ. Protección de menores

Según la normativa española:

• Usuarios menores de 14 años requieren autorización de sus tutores
• Los datos de menores reciben protección reforzada
• Información recolectada sin autorización será eliminada de inmediato

Ⅷ. Medidas de seguridad

Para proteger los datos de los usuarios se implementan:

• Cifrado TLS (HTTPS) en la transmisión de datos
• Controles de acceso para limitar quién puede manejar la información
• Firewalls y sistemas de supervisión de seguridad
• Auditorías periódicas y pruebas de vulnerabilidad
• Colaboración con proveedores que cumplen estándares de seguridad (ej. PCI-DSS)
• Registro de logs para monitoreo de riesgos

Ⅸ. Transferencia internacional de datos

Si es necesario, los datos pueden enviarse fuera del Espacio Económico Europeo (EEE), asegurando:

• El país destino mantiene un nivel de protección reconocido por la UE
• Uso de cláusulas contractuales estándar de la UE (SCC)
• Medidas adicionales como cifrado y controles de acceso

Ⅹ. Gestión de incidentes de seguridad

En caso de eventos que puedan afectar derechos de los usuarios:

• Se notifica a la autoridad competente dentro del plazo legal (máx. 72 horas)
• Se informará a los usuarios afectados si procede
• Se toman acciones inmediatas para mitigar riesgos y remediar la situación
• Un equipo especializado se encarga del seguimiento

Ⅺ. Cumplimiento y supervisión

• Se mantiene un sistema interno de gestión de protección de datos
• Se designa un responsable de protección de datos (DPO) si es necesario
• Se firman acuerdos de procesamiento de datos con proveedores (DPA)
• Se conservan registros para inspección de autoridades

Ⅻ. Disposiciones finales

Todas las operaciones de tratamiento respetan los principios de legalidad, transparencia y minimización de datos. Las medidas adoptadas buscan proteger derechos de los usuarios y cumplir la normativa aplicable, mejorando continuamente la seguridad de la información.