RGPD
1. Alcance de aplicación
La presente política regula las actividades de tratamiento de datos personales vinculadas a usuarios situados en España, incluyendo, entre otras, las siguientes circunstancias:
-
Prestación de productos o servicios a personas ubicadas en territorio español.
-
Realización de análisis técnicos necesarios relacionados con la utilización del sitio web por usuarios en España.
-
Gestión de pedidos, creación de cuentas, suscripciones y atención al cliente.
-
Conservación de información en sistemas organizados y estructurados, tales como plataformas de gestión de pedidos o bases de datos de clientes.
Quedan excluidas de esta política las actividades de tratamiento efectuadas exclusivamente para fines personales o domésticos.
2. Categorías de información recopilada
Durante la prestación de los servicios, podrá recopilarse información perteneciente a las siguientes categorías:
Datos de identificación
-
Nombre
-
Información de entrega, cuando corresponda
Datos de contacto
-
Dirección de correo electrónico
-
Número de teléfono
-
Dirección postal
Datos comerciales y transaccionales
-
Historial de pedidos
-
Estado de los pagos
-
Información de facturación
Datos técnicos
-
Dirección IP
-
Información del dispositivo utilizado
-
Registros de navegación
-
Información obtenida mediante cookies
Datos relacionados con la atención al cliente
-
Consultas realizadas
-
Comunicaciones posteriores a la compra
-
Reclamaciones o incidencias
Datos procedentes de terceros autorizados
-
Información facilitada mediante sistemas de autenticación externos, como Google o Apple, cuando dicha funcionalidad resulte aplicable
La recopilación de información se limita a los datos razonablemente necesarios para la prestación de los servicios correspondientes.
3. Fundamentos jurídicos del tratamiento
De conformidad con el artículo 6 del Reglamento General de Protección de Datos (GDPR), el tratamiento de datos personales podrá sustentarse en una o varias de las siguientes bases legales:
-
Consentimiento otorgado por el usuario, incluido el envío de comunicaciones promocionales o suscripciones.
-
Necesidad contractual para la gestión de pedidos, pagos y entregas.
-
Cumplimiento de obligaciones legales en materia fiscal, contable o regulatoria.
-
Interés legítimo relacionado con la protección del sitio web, la mejora de los servicios y la prevención de riesgos.
-
Protección de intereses esenciales del usuario en situaciones de carácter urgente.
4. Finalidades del tratamiento
La información recopilada podrá utilizarse para los siguientes fines:
-
Administrar pedidos, pagos y procesos de entrega.
-
Gestionar solicitudes de asistencia y servicios posteriores a la venta.
-
Mejorar la funcionalidad del sitio web y la experiencia de uso.
-
Remitir información promocional cuando exista autorización previa.
-
Cumplir obligaciones legales, fiscales o regulatorias aplicables.
-
Realizar análisis destinados a optimizar la calidad de los servicios.
Los datos personales no serán utilizados para finalidades incompatibles con aquellas autorizadas o legalmente permitidas.
5. Conservación de la información
Los períodos de conservación podrán variar según la naturaleza de los datos tratados.
-
Los registros de pedidos y documentación financiera se conservarán durante un mínimo de cinco años cuando así lo exijan las disposiciones legales aplicables.
-
La información utilizada con fines de marketing será eliminada tras la retirada del consentimiento correspondiente.
-
Los datos asociados a cuentas sin actividad durante un período continuado de veinticuatro meses podrán ser eliminados o sometidos a procesos de anonimización.
Antes de la supresión definitiva de los datos, el usuario podrá solicitar el acceso o la exportación de la información personal que le concierna.
6. Derechos de los interesados
En virtud de los artículos 15 a 22 del GDPR, los usuarios podrán ejercer los siguientes derechos:
-
Acceder a sus datos personales.
-
Obtener una copia de la información tratada.
-
Solicitar la rectificación de datos incorrectos o incompletos.
-
Pedir la supresión de la información cuando proceda.
-
Solicitar limitaciones al tratamiento en los supuestos previstos por la normativa.
-
Ejercer el derecho a la portabilidad de los datos.
-
Oponerse a determinados tratamientos basados en interés legítimo.
-
No quedar sujeto exclusivamente a decisiones automatizadas cuando la legislación aplicable así lo contemple.
Las solicitudes podrán presentarse a través de los canales de contacto habilitados y serán gestionadas dentro de un plazo razonable.
7. Protección de menores
De acuerdo con la normativa aplicable en España:
-
Los usuarios menores de catorce años deberán contar con la autorización de su representante legal para utilizar los servicios.
-
La información vinculada a menores estará sujeta a medidas de protección reforzadas.
-
Cuando se detecte la recopilación no autorizada de datos de menores, la información correspondiente podrá ser eliminada.
8. Medidas de seguridad
Con el objetivo de proteger la confidencialidad, integridad y disponibilidad de la información, se aplican diversas medidas técnicas y organizativas, incluyendo:
-
Cifrado de las comunicaciones mediante tecnología TLS (HTTPS).
-
Sistemas de control destinados a limitar el acceso a la información.
-
Utilización de cortafuegos y mecanismos de supervisión de seguridad.
-
Revisiones periódicas de seguridad y evaluaciones de vulnerabilidades.
-
Colaboración con proveedores que cumplan estándares reconocidos de seguridad, incluidos requisitos PCI-DSS.
-
Mantenimiento de registros de actividad para fines de supervisión y gestión de riesgos.
9. Transferencias internacionales de datos
Cuando resulte necesario transferir información fuera del Espacio Económico Europeo (EEE), dichas operaciones se llevarán a cabo bajo mecanismos que garanticen un nivel adecuado de protección, incluyendo:
-
Destinos reconocidos por la Unión Europea como adecuados en materia de protección de datos.
-
Aplicación de Cláusulas Contractuales Tipo (SCC).
-
Implementación de medidas complementarias, como cifrado y controles de acceso.
10. Gestión de incidentes de seguridad
En caso de producirse un incidente que pueda afectar a la protección de los datos personales:
-
La autoridad competente podrá ser informada dentro de los plazos establecidos por la legislación aplicable, con un límite máximo de setenta y dos horas cuando corresponda.
-
Los usuarios afectados podrán ser notificados cuando resulte necesario.
-
Se adoptarán medidas destinadas a contener los riesgos identificados y corregir las circunstancias que hayan originado el incidente.
-
La gestión y seguimiento del evento será asumida por personal responsable de estas funciones.
11. Cumplimiento normativo y supervisión
Para garantizar el cumplimiento de las obligaciones en materia de protección de datos:
-
Se mantiene una estructura interna de gestión y control de privacidad.
-
Podrá designarse un Delegado de Protección de Datos (DPO) cuando la normativa aplicable lo requiera.
-
Los proveedores externos podrán estar sujetos a acuerdos de tratamiento de datos (DPA).
-
Se conservará la documentación pertinente para posibles revisiones por parte de las autoridades competentes.
12. Disposiciones finales
Las actividades relacionadas con el tratamiento de datos personales se desarrollan conforme a los principios de licitud, transparencia y minimización de datos.
Toda operación de tratamiento se realiza teniendo en cuenta la protección de los derechos e intereses de los usuarios, así como el cumplimiento de la legislación aplicable, incorporando de manera continua medidas destinadas al fortalecimiento de la seguridad y la protección de la información.