GDPR

Esta información explica cómo pueden tratarse los datos personales cuando se utiliza este sitio, se realiza un pedido, se crea una cuenta, se solicita asistencia o se interactúa con servicios digitales relacionados. El tratamiento se organiza conforme al GDPR y a la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, conocida como LOPDGDD.

El objetivo de esta página es ofrecer una explicación clara sobre las categorías de datos que pueden utilizarse, los motivos legales del tratamiento, los plazos de conservación orientativos y los derechos que pueden ejercerse en relación con la información personal.

1. Ámbito de aplicación

Esta información se aplica a los tratamientos vinculados con usuarios situados en España o con operaciones que puedan afectar a personas usuarias en dicho territorio. También cubre el uso de sistemas organizados para gestionar pedidos, cuentas, comunicaciones y solicitudes recibidas a través del sitio.

  • Se aplica cuando se ofrecen productos o servicios a usuarios en España, o cuando se analiza su comportamiento en línea conforme a la normativa aplicable.

  • Incluye datos relacionados con pedidos, cuentas de usuario, suscripciones, consultas, comunicaciones comerciales autorizadas y registros necesarios para la gestión del servicio.

  • Puede abarcar información conservada en sistemas estructurados, como registros de pedidos, herramientas de atención al cliente, bases de datos de suscripción o historiales de comunicación.

  • No se dirige a tratamientos realizados exclusivamente en un entorno personal o doméstico sin conexión con la actividad de este sitio.

2. Categorías de datos que pueden tratarse

Los datos tratados dependen de la forma en que se utilice el sitio. No todos los datos se recogen en todos los casos; algunos solo son necesarios para tramitar una compra, responder a una consulta o activar funciones concretas.

  • Datos de identificación, como nombre, apellidos, dirección de entrega o, cuando resulte necesario, datos de verificación.

  • Información de contacto, incluyendo correo electrónico, número de teléfono y dirección postal.

  • Datos asociados a la compra, como productos pedidos, importes, información de facturación, método de pago utilizado y estado del pedido.

  • Datos técnicos y de navegación, entre ellos dirección IP, identificadores de cookies, páginas visitadas, interacciones con el sitio y rutas de navegación.

  • Registros de atención al cliente, que pueden incluir consultas, incidencias, solicitudes posventa, reclamaciones o mensajes enviados por el usuario.

  • Datos procedentes de servicios autorizados por el usuario, por ejemplo, cuando se accede mediante cuentas de Google, Apple u otros proveedores habilitados.

3. Bases jurídicas del tratamiento

El tratamiento de datos personales se apoya en una de las bases legales previstas por el GDPR. La base aplicable puede variar según el tipo de dato, la finalidad y la relación concreta con el usuario.

  • Consentimiento del usuario, por ejemplo, para suscripciones, comunicaciones comerciales no necesarias o determinadas herramientas de medición.

  • Ejecución de un contrato, cuando los datos son necesarios para gestionar una compra, preparar un pedido, tramitar el pago o atender solicitudes relacionadas con una operación.

  • Cumplimiento de obligaciones legales, incluyendo requisitos fiscales, contables, de auditoría, prevención del fraude o conservación de documentación obligatoria.

  • Interés legítimo, especialmente para seguridad del sitio, prevención de usos indebidos, mejora técnica del servicio o gestión básica de incidencias.

  • Protección de intereses vitales, cuando resulte necesario actuar ante una situación urgente que pueda afectar a una persona física.

4. Finalidades del uso de datos

Los datos personales se utilizan únicamente en relación con finalidades vinculadas al funcionamiento del sitio, la gestión de pedidos, la atención al usuario y el cumplimiento de obligaciones aplicables. Cuando una finalidad requiere consentimiento, el tratamiento se limita a lo autorizado por el usuario.

  • Gestionar pedidos, pagos, facturación, envíos y comunicaciones necesarias sobre la compra.

  • Responder consultas, solicitudes posventa, incidencias técnicas o reclamaciones recibidas por los canales de contacto.

  • Mantener la seguridad del sitio, detectar errores, prevenir accesos no autorizados y proteger los sistemas frente a usos indebidos.

  • Mejorar la experiencia de navegación, revisar el rendimiento del sitio y ajustar contenidos o funcionalidades de forma proporcionada.

  • Enviar comunicaciones comerciales solo cuando exista una base legal válida, como el consentimiento previo o una situación permitida por la normativa aplicable.

  • Atender obligaciones legales, fiscales, contables, administrativas o requerimientos de autoridades competentes.

5. Conservación de los datos

Los datos se conservan durante el tiempo necesario para cumplir la finalidad para la que fueron recogidos y, cuando corresponda, durante los plazos exigidos por la ley. Después de esos periodos, la información puede eliminarse, bloquearse o anonimizarse según proceda.

  • Los datos financieros, fiscales y contables pueden conservarse durante al menos 5 años, o durante el periodo legal que resulte aplicable.

  • La información utilizada para comunicaciones comerciales se elimina o deja de utilizarse para esa finalidad cuando el usuario retira su consentimiento o solicita la baja.

  • Las cuentas sin actividad pueden revisarse tras un periodo aproximado de 24 meses, con posibilidad de eliminación o anonimización cuando no exista una razón válida para conservarlas.

  • Antes de la eliminación, cuando sea técnicamente posible y proceda, el usuario puede solicitar una copia o exportación de sus datos.

  • Algunos registros pueden mantenerse durante más tiempo si son necesarios para resolver incidencias, acreditar operaciones o atender obligaciones legales.

6. Derechos del usuario

El usuario puede ejercer los derechos reconocidos en los artículos 15 a 22 del GDPR. La solicitud puede requerir información adicional para verificar la identidad del solicitante y evitar accesos no autorizados a datos personales.

  • Derecho de acceso, para conocer si se tratan datos personales y obtener información sobre dicho tratamiento.

  • Derecho de rectificación, cuando los datos sean inexactos, incompletos o necesiten actualización.

  • Derecho de supresión, en los casos en que proceda solicitar la eliminación de datos personales.

  • Derecho a la limitación del tratamiento, cuando se den las circunstancias previstas por la normativa.

  • Derecho a la portabilidad, para recibir determinados datos en un formato estructurado y de uso común cuando sea aplicable.

  • Derecho de oposición, especialmente cuando el tratamiento se base en interés legítimo o se utilice para comunicaciones comerciales.

  • Derecho a no ser objeto de decisiones basadas únicamente en tratamientos automatizados, incluida la elaboración de perfiles, cuando produzcan efectos jurídicos o similares de relevancia.

Las solicitudes pueden enviarse a través de la sección de Contacto o del canal indicado en la Política de privacidad. El plazo de respuesta dependerá del contenido de la solicitud, su complejidad y los requisitos de verificación aplicables.

7. Datos de menores

En España, los menores de 14 años necesitan autorización de sus representantes legales para prestar consentimiento válido en relación con servicios de la sociedad de la información. Cuando se detecte que una solicitud o registro puede estar vinculado a una persona menor de esa edad, podrán aplicarse comprobaciones adicionales.

  • No se solicita de forma intencionada información innecesaria de menores.

  • Si un representante legal considera que se han facilitado datos de un menor sin autorización adecuada, puede comunicarlo mediante Contacto.

  • Cuando proceda, la información podrá ser revisada, restringida o eliminada conforme a la normativa aplicable.

8. Medidas de seguridad

Se aplican medidas técnicas y organizativas orientadas a reducir riesgos de pérdida, uso indebido, acceso no autorizado, alteración o divulgación de datos personales. La seguridad se gestiona en función del tipo de información, el nivel de riesgo y los sistemas utilizados.

  • Transmisión de datos mediante conexiones cifradas TLS.

  • Controles de acceso y permisos limitados según funciones autorizadas.

  • Copias de seguridad y mecanismos de protección de red cuando resulten necesarios para la continuidad del servicio.

  • Revisión periódica de riesgos, vulnerabilidades y configuraciones técnicas relevantes.

  • Uso de proveedores que aplican medidas de seguridad y estándares adecuados para los servicios prestados.

  • Registro de operaciones técnicas necesarias para seguridad, diagnóstico y prevención de accesos indebidos.

9. Transferencias internacionales de datos

En determinados casos, algunos datos pueden ser tratados o accesibles desde países situados fuera del Espacio Económico Europeo. Estas transferencias se realizan únicamente cuando existe una base válida conforme al GDPR y se aplican mecanismos adecuados.

  • Puede recurrirse a países con decisión de adecuación reconocida por la Comisión Europea.

  • Cuando no exista una decisión de adecuación, podrán utilizarse cláusulas contractuales tipo u otros instrumentos previstos por la normativa.

  • En función del servicio, pueden aplicarse medidas adicionales, como cifrado, control de accesos, limitación de permisos o revisión de proveedores.

  • La información sobre proveedores externos puede detallarse en la Política de privacidad o en la Política de cookies, según el tipo de tratamiento.

10. Gestión de incidentes de seguridad

Si se identifica un incidente que pueda afectar a datos personales, se valorará su naturaleza, alcance y posible impacto. Las acciones dependerán del riesgo detectado y de las obligaciones previstas por el GDPR.

  • Cuando sea obligatorio, se notificará a la autoridad de control competente dentro de los plazos aplicables.

  • Si el riesgo para los usuarios lo requiere, las personas afectadas podrán recibir información sobre el incidente y las medidas recomendadas.

  • Se adoptarán medidas técnicas y organizativas para contener, analizar y corregir la situación detectada.

  • El seguimiento del incidente será coordinado por personal responsable de seguridad, privacidad o gestión técnica del sitio.

11. Gestión interna de cumplimiento

La protección de datos se integra en la gestión ordinaria del sitio mediante revisión de procesos, documentación y controles aplicables. Los tratamientos pueden actualizarse cuando cambien los servicios, los proveedores, los requisitos legales o las herramientas utilizadas.

  • Una persona o equipo designado puede encargarse de supervisar aspectos de privacidad y protección de datos.

  • Cuando resulte exigible, se podrá nombrar un Delegado de Protección de Datos o DPO.

  • Los proveedores que traten datos personales por cuenta del sitio deberán contar con acuerdos de tratamiento de datos, conocidos como DPA, cuando proceda.

  • Se conservarán registros internos necesarios para documentar tratamientos, bases legales, medidas de seguridad y relaciones con proveedores.

12. Consultas, reclamaciones y AEPD

El usuario puede plantear dudas, solicitudes o reclamaciones relacionadas con el tratamiento de sus datos personales mediante los canales indicados en este sitio. Es recomendable incluir información suficiente para identificar la solicitud, sin aportar datos innecesarios.

  • Las consultas sobre privacidad pueden enviarse a través de Contacto.

  • Para revisar información adicional sobre tratamiento de datos, puede consultarse la Política de privacidad.

  • Si el usuario considera que el tratamiento de sus datos no se ajusta a la normativa aplicable, puede acudir a la Agencia Española de Protección de Datos (AEPD).

  • La AEPD dispone de canales oficiales para presentar reclamaciones relacionadas con el tratamiento de datos personales y el ejercicio de derechos.

13. Actualizaciones de esta información

Esta página puede revisarse para reflejar cambios normativos, ajustes técnicos, nuevas funcionalidades del sitio o modificaciones en los tratamientos de datos. La versión publicada en cada momento será la referencia informativa disponible para los usuarios.

El tratamiento de datos personales se evalúa de forma periódica teniendo en cuenta el marco legal aplicable, las finalidades reales del sitio y las medidas razonables de seguridad y transparencia.