RGPD

Ⅰ. Alcance

Esta política regula el tratamiento de datos personales relacionados con usuarios en España, incluyendo:

• Provisión de productos o servicios a personas dentro del territorio español
• Análisis técnico necesario de la actividad en línea de los usuarios (por ejemplo, visitas al sitio web)
• Gestión de pedidos, registro de cuentas, suscripciones y atención al cliente
• Datos almacenados en sistemas estructurados (p.ej., sistemas de pedidos o gestión de clientes)

Quedan excluidos los tratamientos realizados exclusivamente con fines domésticos o personales.

Ⅱ. Tipos de datos recopilados

Durante la prestación de servicios, se pueden obtener las siguientes categorías de información personal:

• Datos de identificación: nombre, información de envío (si aplica)
• Datos de contacto: correo electrónico, número de teléfono, dirección
• Información de transacciones: historial de pedidos, estado de pagos, datos de facturación
• Datos técnicos: dirección IP, detalles del dispositivo, registros de navegación, cookies
• Información de atención al cliente: comunicaciones, solicitudes de posventa, reclamaciones
• Datos autorizados por terceros: información obtenida a través de cuentas externas (p.ej., Google o Apple), cuando corresponda

Se recaba únicamente la información estrictamente necesaria para cumplir los fines del servicio.

Ⅲ. Fundamento legal para el tratamiento

De acuerdo con el artículo 6 del Reglamento General de Protección de Datos (RGPD), el tratamiento se basa en:

• Consentimiento del usuario: suscripciones o recepción de información comercial
• Ejecución contractual: gestión de pedidos, pagos y entregas
• Obligaciones legales: cumplimiento fiscal, contable y normativo
• Intereses legítimos: seguridad del sitio, optimización de servicios y control de riesgos
• Protección de intereses vitales: situaciones de emergencia para salvaguardar derechos del usuario

Ⅳ. Finalidades del uso de datos

La información recabada se destina a:

• Gestión de pedidos, pagos y envíos
• Soporte al cliente y servicios de posventa
• Mejora de la experiencia en la web y optimización de funciones
• Envío de información promocional únicamente con consentimiento
• Cumplimiento de obligaciones legales y fiscales
• Análisis de datos con fines de mejora del servicio

No se emplean datos personales para fines no autorizados.

Ⅴ. Plazos de conservación

Los datos se mantienen según su tipo:

• Pedidos y datos financieros: mínimo 5 años conforme a la normativa vigente
• Información de marketing: eliminada tras revocación del consentimiento
• Datos de cuenta: inactivos por 24 meses serán eliminados o anonimizados

Antes de la eliminación, los usuarios pueden solicitar la obtención o exportación de sus datos.

Ⅵ. Derechos de los usuarios (artículos 15–22 RGPD)

Los usuarios pueden ejercer:

• Acceso y copia de datos personales
• Rectificación de datos inexactos o incompletos
• Solicitud de supresión de datos (“derecho al olvido”)
• Limitación del tratamiento en determinados casos
• Portabilidad de datos
• Oposición al tratamiento basado en intereses legítimos
• Rechazo a decisiones basadas únicamente en procesos automatizados

Las solicitudes se envían mediante los canales de contacto y se atenderán en plazos razonables.

Ⅶ. Protección de menores

Según la legislación española:

• Usuarios menores de 14 años requieren autorización de los tutores para utilizar los servicios
• Los datos de menores se protegen con medidas adicionales
• Cualquier recopilación no autorizada será eliminada de inmediato

Ⅷ. Medidas de seguridad

Se adoptan las siguientes acciones para resguardar la información:

• Cifrado TLS (HTTPS) para transmisión de datos
• Control de acceso restringido
• Implementación de cortafuegos y sistemas de vigilancia
• Auditorías periódicas y detección de vulnerabilidades
• Colaboración con proveedores con estándares de seguridad reconocidos (p.ej., PCI-DSS)
• Registro de eventos para monitoreo de riesgos

Ⅸ. Transferencias internacionales

Si es necesario, los datos pueden enviarse fuera del EEE bajo las siguientes condiciones:

• El destino garantiza un nivel de protección de datos reconocido por la UE
• Uso de cláusulas contractuales estándar (SCC)
• Implementación de medidas adicionales de seguridad (como cifrado o control de acceso)

Ⅹ. Gestión de incidentes de seguridad

En caso de incidentes que puedan afectar derechos de los usuarios:

• Se notificará a la autoridad competente dentro de los plazos legales (máximo 72 horas)
• Se informará a los usuarios afectados si es pertinente
• Se adoptarán medidas inmediatas para mitigar riesgos y realizar correcciones
• Un equipo especializado se encarga del seguimiento y resolución

Ⅺ. Cumplimiento y supervisión

• Se establece un sistema interno de gestión de protección de datos
• Designación de un responsable de protección de datos (DPO) cuando sea necesario
• Contratos de tratamiento de datos (DPA) con terceros proveedores
• Conservación de registros para inspección por autoridades

Ⅻ. Consideraciones finales

El tratamiento de datos sigue principios de legalidad, transparencia y minimización.
Toda actividad se realiza para proteger derechos de los usuarios y cumplir con la normativa aplicable, implementando mejoras continuas en la protección de información.