RGPD
I. Alcance de aplicación
La presente política regula las actividades de tratamiento de datos personales vinculadas a usuarios ubicados en España, incluyendo:
La oferta y prestación de productos o servicios dentro del territorio español.
La realización de análisis técnicos necesarios relacionados con la utilización del sitio web por usuarios en España, tales como registros de acceso y navegación.
La gestión de información asociada a pedidos, creación de cuentas, suscripciones y atención al cliente.
El tratamiento de datos almacenados en sistemas organizados y estructurados, incluidos sistemas de pedidos y herramientas de gestión de clientes.
Quedan excluidas de esta política las actividades de tratamiento realizadas exclusivamente con fines personales o domésticos.
II. Categorías de datos recopilados
Durante la prestación de los servicios podrán tratarse las siguientes categorías de información personal:
Datos identificativos, incluidos nombre y datos de entrega cuando corresponda.
Datos de contacto, tales como dirección de correo electrónico, número de teléfono y domicilio.
Información relacionada con transacciones, incluyendo historial de pedidos, estado de pagos y datos de facturación.
Datos técnicos, como dirección IP, características del dispositivo, actividad de navegación y cookies.
Información derivada de comunicaciones con atención al cliente, solicitudes, reclamaciones o servicios posventa.
Datos obtenidos mediante autorización otorgada a través de terceros, como cuentas de Google o Apple, cuando proceda.
La recopilación de información se limita a aquella estrictamente necesaria para la prestación de los servicios correspondientes.
III. Base jurídica del tratamiento
De conformidad con el artículo 6 del Reglamento General de Protección de Datos (RGPD), el tratamiento podrá fundamentarse en:
El consentimiento otorgado por el usuario, por ejemplo para comunicaciones promocionales o suscripciones.
La ejecución de obligaciones contractuales relacionadas con pedidos, pagos y entregas.
El cumplimiento de requisitos legales, fiscales, contables o regulatorios.
Intereses legítimos vinculados a la protección del sitio web, mejora de servicios y prevención de riesgos.
La protección de intereses vitales del usuario en situaciones excepcionales o de emergencia.
IV. Finalidades del uso de los datos
La información tratada podrá utilizarse para:
Gestionar pedidos, envíos, cobros y pagos.
Prestar asistencia al cliente y servicios posteriores a la compra.
Mejorar la funcionalidad del sitio web y optimizar la experiencia de uso.
Remitir comunicaciones comerciales cuando exista autorización previa.
Cumplir obligaciones legales, fiscales y administrativas.
Realizar análisis destinados a la mejora de los servicios.
Los datos personales no serán destinados a finalidades no autorizadas.
V. Conservación de la información
Los períodos de conservación dependerán de la naturaleza de los datos:
La documentación financiera y los registros de pedidos se conservarán durante un mínimo de cinco años, cuando así lo exijan las disposiciones aplicables.
Los datos utilizados con fines de marketing serán eliminados una vez retirada la autorización correspondiente.
La información asociada a cuentas inactivas durante veinticuatro meses consecutivos podrá eliminarse o anonimizarse.
Antes de la supresión de los datos, el usuario podrá solicitar acceso o exportación de la información personal disponible.
VI. Derechos de los usuarios (Artículos 15–22 del RGPD)
Los usuarios podrán ejercer los siguientes derechos:
Obtener acceso a sus datos personales y recibir una copia de los mismos.
Solicitar la corrección de información incorrecta o incompleta.
Requerir la eliminación de datos conforme al derecho de supresión.
Solicitar limitaciones al tratamiento cuando resulte aplicable.
Ejercer el derecho a la portabilidad de los datos.
Oponerse a tratamientos basados en intereses legítimos.
No quedar sujetos exclusivamente a decisiones automatizadas.
Las solicitudes podrán remitirse mediante los canales de contacto disponibles y serán atendidas dentro de un plazo razonable.
VII. Protección de menores
Conforme a la normativa aplicable en España:
Los usuarios menores de 14 años deberán contar con autorización de sus representantes legales para utilizar los servicios.
La información relacionada con menores estará sujeta a medidas reforzadas de protección.
Cuando se detecte una recopilación no autorizada de datos de menores, dicha información será eliminada.
VIII. Medidas de seguridad
Con el fin de proteger la información personal, se aplican las siguientes medidas:
Protección de las comunicaciones mediante cifrado TLS (HTTPS).
Restricción de accesos mediante sistemas de control autorizados.
Utilización de cortafuegos y mecanismos de supervisión de seguridad.
Revisiones periódicas de seguridad y evaluaciones de vulnerabilidades.
Colaboración con proveedores que cumplan estándares reconocidos de seguridad, incluidos requisitos PCI-DSS.
Conservación de registros para actividades de control y supervisión de riesgos.
IX. Transferencias internacionales de datos
Cuando resulte necesario transferir información fuera del Espacio Económico Europeo (EEE), se aplicarán las garantías correspondientes, incluyendo:
Destinos que cuenten con un nivel de protección reconocido por la Unión Europea.
Utilización de Cláusulas Contractuales Tipo (SCC).
Implementación de medidas complementarias, tales como cifrado y controles de acceso.
X. Gestión de incidentes de seguridad
En caso de producirse una incidencia que pueda afectar a los derechos o intereses de los usuarios:
La notificación a las autoridades competentes se efectuará dentro del plazo legal aplicable, sin exceder 72 horas cuando corresponda.
Los usuarios afectados podrán ser informados cuando resulte necesario.
Se adoptarán medidas destinadas a contener y corregir los efectos del incidente.
La gestión y seguimiento serán realizados por personal responsable de seguridad y cumplimiento.
XI. Cumplimiento normativo y supervisión
Se mantienen mecanismos internos destinados a la gestión de la protección de datos.
Cuando proceda, podrá designarse un Delegado de Protección de Datos (DPO).
Los proveedores externos estarán sujetos a acuerdos de tratamiento de datos (DPA).
Se conservará la documentación pertinente para eventuales revisiones por parte de las autoridades competentes.
XII. Disposición final
Las actividades de tratamiento de datos se desarrollan conforme a los principios de licitud, transparencia y minimización de datos.
Toda operación relacionada con información personal se realiza considerando la protección de los derechos de los usuarios y el cumplimiento de la normativa aplicable, manteniéndose procesos continuos de revisión y mejora de las medidas de seguridad y protección de datos.
