GDPR
El tratamiento de datos personales se realiza conforme al marco normativo aplicable en la Unión Europea. Este apartado se basa en GDPR y en la normativa española vigente (LOPDGDD), con el fin de describir cómo se recogen y utilizan los datos en el contexto de los servicios ofrecidos.
1. Ámbito de aplicación
Esta política cubre situaciones vinculadas a usuarios en España y al uso de los servicios disponibles en el sitio:
-
Prestación de productos o servicios dirigidos a usuarios ubicados en territorio español
-
Gestión de información relacionada con pedidos, cuentas o suscripciones
-
Operaciones dentro de sistemas estructurados, como bases de datos de clientes o registros de pedidos
Quedan fuera los tratamientos realizados en un entorno estrictamente personal o doméstico.
2. Tipología de datos
Dependiendo del uso del sitio o de los servicios, pueden tratarse distintas categorías de información:
-
Datos identificativos como nombre o dirección
-
Información de contacto, incluyendo correo electrónico o número de teléfono
-
Historial de pedidos, pagos o facturación
-
Datos técnicos como dirección IP, cookies o navegación
-
Registros de atención al cliente, por ejemplo consultas o incidencias
-
Información procedente de accesos mediante cuentas externas, como Google o Apple
3. Bases legales del tratamiento
El uso de datos personales se apoya en una o varias de las siguientes bases jurídicas:
-
Consentimiento del usuario en contextos específicos
-
Ejecución de un contrato, como la gestión de pedidos
-
Cumplimiento de obligaciones legales, incluidas las fiscales
-
Intereses legítimos relacionados con seguridad o mejora del servicio
-
Protección de intereses esenciales en situaciones excepcionales
4. Finalidad del uso de datos
Los datos recopilados pueden emplearse en diferentes contextos operativos:
-
Tramitación de pedidos, envíos y pagos
-
Atención al cliente y seguimiento posterior a la compra
-
Mejora de la experiencia de navegación y contenidos
-
Envío de comunicaciones comerciales, cuando exista consentimiento
-
Cumplimiento de requisitos legales o contables
-
Análisis interno orientado a optimizar los servicios ofrecidos
5. Plazos de conservación
El tiempo durante el cual se mantienen los datos depende de su naturaleza y finalidad:
-
Información contable o fiscal: conservación mínima de 5 años
-
Datos vinculados a marketing: eliminación tras la retirada del consentimiento
-
Cuentas inactivas: supresión o anonimización tras aproximadamente 24 meses
Antes de su eliminación, puede contemplarse la opción de exportar los datos en determinados casos.
6. Derechos del usuario
De acuerdo con GDPR (artículos 15 a 22), los usuarios pueden ejercer distintos derechos sobre sus datos:
-
Acceder a la información personal tratada
-
Solicitar correcciones en caso de datos inexactos
-
Pedir la eliminación cuando proceda
-
Limitar el tratamiento en determinadas circunstancias
-
Solicitar la portabilidad de los datos
-
Oponerse al tratamiento por motivos particulares
-
Evitar decisiones basadas únicamente en procesos automatizados
Las solicitudes pueden realizarse a través de los canales indicados en Contacto, y se gestionan según el caso concreto.
7. Datos de menores
En el contexto español, los usuarios menores de 14 años requieren autorización de sus representantes legales para utilizar los servicios. La información relacionada con menores puede estar sujeta a verificaciones adicionales conforme a la normativa aplicable.
8. Medidas de seguridad
Para reducir riesgos asociados al tratamiento de datos, se aplican diversas medidas técnicas y organizativas:
-
Uso de cifrado en la transmisión de datos (TLS)
-
Control de accesos y gestión de permisos internos
-
Sistemas de respaldo y protección de red
-
Evaluaciones periódicas de seguridad y detección de vulnerabilidades
-
Colaboración con proveedores que cumplen estándares reconocidos
-
Registro de actividades relevantes en sistemas
9. Transferencias internacionales
En determinadas circunstancias, los datos pueden transferirse fuera del Espacio Económico Europeo:
-
Cuando el país de destino cuenta con un nivel adecuado de protección
-
Mediante mecanismos como cláusulas contractuales tipo
-
Aplicando medidas adicionales, como cifrado o controles de acceso
10. Gestión de incidentes
En caso de incidentes que puedan afectar a la información personal:
-
Se puede notificar a las autoridades competentes si resulta aplicable
-
Se podrá informar a los usuarios afectados según el contexto
-
Se adoptan medidas técnicas y organizativas para mitigar el impacto
La coordinación de estas acciones se realiza a través de personal responsable designado.
11. Supervisión y cumplimiento
El seguimiento de las obligaciones en materia de protección de datos incluye:
-
Asignación de funciones internas para la supervisión continua
-
Posible designación de un responsable de protección de datos cuando proceda
-
Formalización de acuerdos de tratamiento con terceros (DPA)
-
Conservación de registros para fines de auditoría o control regulatorio
12. Reclamaciones
Si existen dudas o desacuerdos respecto al tratamiento de datos, pueden plantearse a través de los canales disponibles. También es posible dirigirse a la autoridad competente en España, como la AEPD.
13. Observaciones finales
Las actividades de tratamiento se ajustan a la normativa aplicable y pueden revisarse de forma periódica en función de cambios legales o técnicos, con el objetivo de mantener la coherencia con los requisitos de protección de datos y seguridad de la información.