RGPD

1. Ámbito de Aplicación
Esta política regula el tratamiento de datos personales de usuarios en España, incluyendo:

• La provisión de bienes o servicios dentro del territorio español.
• La recopilación de información técnica relacionada con la interacción en línea de los usuarios, como visitas al sitio web.
• La gestión de pedidos, registros de cuenta, suscripciones y atención al cliente.
• La información almacenada en sistemas estructurados, por ejemplo sistemas de pedidos o CRM.

No se aplica a operaciones de datos realizadas exclusivamente para fines personales o domésticos.

2. Tipos de Datos Recogidos
   Durante la prestación de servicios se pueden recopilar categorías de información personal como:

• Datos de identidad: nombre y datos de entrega si procede.
• Información de contacto: correo electrónico, teléfono, dirección física.
• Datos de transacciones: historial de pedidos, estado de pagos, facturación.
• Información técnica: dirección IP, detalles del dispositivo, registros de navegación, cookies.
• Datos de atención al cliente: historial de consultas, comunicaciones postventa, reclamaciones.
• Datos autorizados por terceros: información obtenida mediante cuentas de terceros (por ejemplo Google o Apple), si aplica.

La recopilación se limita a lo estrictamente necesario para la prestación del servicio.

3. Base Legal del Tratamiento
   De acuerdo con el Artículo 6 del RGPD, el tratamiento se fundamenta en:

• Consentimiento del usuario: por ejemplo, al suscribirse a notificaciones o recibir información comercial.
• Ejecución de contrato: necesario para gestionar pedidos, pagos y entregas.
• Obligación legal: cumplimiento de requisitos fiscales, contables y regulatorios.
• Interés legítimo: seguridad del sitio web, optimización de servicios y control de riesgos.
• Protección de intereses vitales: en situaciones de emergencia que afecten derechos del usuario.

4. Finalidades del Tratamiento
   Los datos recabados se destinan a:

• Procesamiento de pedidos, envíos y gestión de pagos.
• Atención al cliente y soporte postventa.
• Mejora de la experiencia de usuario y optimización de funcionalidades del sitio.
• Envío de información comercial previa autorización.
• Cumplimiento de obligaciones legales y fiscales.
• Análisis de datos para mejorar la calidad del servicio.

No se utilizarán datos personales para fines distintos a los autorizados.

5. Plazos de Conservación

• Datos de pedidos y financieros: conservación mínima de 5 años conforme a la legislación vigente.
• Datos de marketing: eliminados tras la revocación del consentimiento.
• Datos de cuenta: inactividad de 24 meses con eliminación o anonimización.

Antes de la eliminación, los usuarios pueden solicitar acceso o exportación de sus datos personales.

6. Derechos del Usuario (Artículos 15–22 del RGPD)
   Los usuarios pueden ejercer:

• Acceso y obtención de copias de sus datos.
• Rectificación de información inexacta o incompleta.
• Supresión de datos (derecho al olvido).
• Limitación del tratamiento en circunstancias específicas.
• Portabilidad de datos.
• Oposición al tratamiento basado en interés legítimo.
• Rechazo a decisiones exclusivamente automatizadas.

Las solicitudes deben enviarse mediante los canales de contacto disponibles y serán atendidas en un plazo razonable.

7. Protección de Menores

• Usuarios menores de 14 años deben contar con autorización de tutores para utilizar los servicios.
• Se aplican medidas reforzadas sobre la información de menores.
• Datos recogidos sin autorización serán eliminados inmediatamente.

8. Medidas de Seguridad
   Se implementan medidas técnicas y organizativas como:

• Cifrado TLS (HTTPS) en la transmisión de información.
• Control de acceso restringido según roles.
• Sistemas de firewall y monitorización de seguridad.
• Auditorías periódicas y pruebas de vulnerabilidad.
• Colaboración con proveedores que cumplan estándares de seguridad, como PCI-DSS.
• Registro de logs para supervisión y análisis de riesgos.

9. Transferencias Internacionales
   Cuando sea necesario, los datos pueden transferirse fuera del EEE, asegurando que:

• El país receptor ofrece nivel de protección de datos reconocido por la UE.
• Se aplican cláusulas contractuales estándar de la UE (SCC).
• Se incorporan medidas adicionales como cifrado y controles de acceso.

10. Gestión de Incidentes de Seguridad

• Los incidentes que afecten los derechos de los usuarios se reportan a la autoridad competente en un máximo de 72 horas.
• Los usuarios afectados se notificarán cuando sea pertinente.
• Se adoptan medidas inmediatas para mitigar riesgos y remediar la situación.
• Un equipo especializado supervisa la resolución y seguimiento.

11. Cumplimiento y Supervisión

• Existencia de un sistema interno de gestión de protección de datos.
• Designación de DPO si corresponde.
• Acuerdos de tratamiento de datos (DPA) con terceros.
• Conservación de registros para auditorías regulatorias.

12. Disposición Final
    El tratamiento de datos se realiza conforme a los principios de legalidad, transparencia y minimización. Todas las acciones de manejo de información persiguen la protección de los derechos del usuario y el cumplimiento normativo, con mejora continua de las medidas de seguridad.