GDPR

Este apartado describe cómo se recopilan y gestionan los datos personales durante el uso del sitio, conforme al GDPR y a la normativa española vigente, incluida la LOPDGDD. Su finalidad es ofrecer una visión general del tratamiento de la información en distintos contextos de uso.

1. Alcance de aplicación

Las disposiciones aquí recogidas se aplican a situaciones relacionadas con España, en particular cuando:

• se ofrecen productos o servicios dirigidos a usuarios ubicados en territorio español, o se analizan sus interacciones en línea

• la gestión incluye pedidos, cuentas de usuario o suscripciones

• se utilizan sistemas estructurados, como bases de datos de clientes o registros de pedidos

No se contempla el tratamiento de datos realizado en el ámbito exclusivamente personal o doméstico.

2. Categorías de datos

Según el contexto de uso, pueden intervenir distintos tipos de información:

• datos identificativos, como nombre o dirección

• información de contacto, por ejemplo correo electrónico o número de teléfono

• detalles de transacciones, incluyendo pedidos y pagos

• datos técnicos, como dirección IP, cookies o navegación dentro del sitio

• historial de comunicaciones con atención al cliente

• información procedente de accesos autorizados mediante cuentas externas, como Google o Apple

3. Bases jurídicas del tratamiento

El tratamiento de datos se apoya en una o varias de las siguientes bases legales:

• consentimiento del usuario, especialmente en comunicaciones voluntarias

• ejecución de un contrato, por ejemplo para la gestión de pedidos

• cumplimiento de obligaciones legales, incluidas las fiscales

• interés legítimo vinculado a la seguridad o mejora del servicio

• protección de intereses esenciales en situaciones específicas

4. Finalidades del uso de datos

La información recopilada puede emplearse en diferentes ámbitos operativos:

• tramitación de pedidos, entrega y gestión de pagos

• atención al cliente y seguimiento posterior a la compra

• análisis de uso del sitio para ajustes funcionales

• envío de comunicaciones comerciales cuando exista consentimiento previo

• cumplimiento de requisitos legales y contables

• evaluación interna orientada a mejoras del servicio

5. Periodos de conservación

Los datos se mantienen durante el tiempo necesario según su finalidad:

• información fiscal o contable, generalmente al menos 5 años

• datos utilizados con fines comerciales, eliminados tras la retirada del consentimiento

• cuentas sin actividad, que pueden eliminarse o anonimizarse tras aproximadamente 24 meses

Antes de su supresión, puede contemplarse la posibilidad de facilitar una copia de los datos cuando proceda.

6. Derechos del usuario

De acuerdo con los artículos 15 a 22 del GDPR, se pueden ejercer determinados derechos sobre los datos personales:

• acceso a la información almacenada

• solicitud de rectificación en caso de errores

• eliminación en circunstancias previstas

• limitación del tratamiento en ciertos supuestos

• portabilidad de los datos

• oposición por motivos personales

• exclusión de decisiones basadas únicamente en procesos automatizados

Las solicitudes pueden enviarse a través de Contacto, y su gestión dependerá del contexto específico.

7. Datos de menores

En España, los menores de 14 años requieren autorización de sus representantes legales para el uso de servicios que impliquen tratamiento de datos. Cuando se detecta información relacionada con menores, pueden aplicarse verificaciones adicionales según lo previsto en la normativa.

8. Medidas de seguridad

Se adoptan medidas técnicas y organizativas orientadas a reducir riesgos asociados al tratamiento de datos:

• uso de cifrado en la transmisión mediante protocolos como TLS

• control de accesos y gestión de permisos internos

• sistemas de respaldo y protección frente a accesos no autorizados

• revisiones periódicas en materia de seguridad y detección de vulnerabilidades

• utilización de proveedores que cumplen estándares reconocidos

• registro de actividades relevantes para seguimiento interno

9. Transferencias internacionales

En determinadas circunstancias, los datos pueden transferirse fuera del Espacio Económico Europeo cuando:

• el país de destino dispone de un nivel adecuado de protección reconocido

• se aplican mecanismos como cláusulas contractuales tipo

• se implementan medidas adicionales, por ejemplo cifrado o restricciones de acceso

10. Gestión de incidentes

En caso de producirse situaciones que afecten a la seguridad de los datos:

• se puede realizar la notificación a las autoridades competentes cuando sea requerido

• se valorará la comunicación a los usuarios afectados según la naturaleza del incidente

• se adoptan acciones técnicas y organizativas para limitar sus efectos

11. Supervisión y cumplimiento

La gestión del cumplimiento incluye distintas prácticas internas:

• asignación de funciones para la supervisión del tratamiento de datos

• designación de un responsable de protección de datos cuando resulte necesario

• acuerdos con terceros mediante instrumentos como DPA

• conservación de registros para posibles revisiones regulatorias

12. Reclamaciones

Si existen dudas o discrepancias sobre el tratamiento de datos, pueden comunicarse a través de los canales disponibles. También es posible acudir a la autoridad competente en España, como la Agencia Española de Protección de Datos (AEPD).

13. Observaciones finales

El tratamiento de datos se desarrolla dentro del marco legal aplicable y puede ajustarse en función de cambios normativos o necesidades operativas, con el objetivo de mantener una gestión coherente con los requisitos de protección de datos.