Esta Política de Privacidad explica cómo SISTEMAS DIGITALES Y DE DATOS SL ("nosotros", "nos", "nuestro") recopila, utiliza, divulga y protege los datos personales cuando visitas nuestros sitios web, utilizas nuestros productos de software como servicio o interactúas de cualquier otra manera con nosotros. Esta Política tiene como objetivo cumplir con el RGPD de la UE/EEE, la LOPDGDD de España y, cuando corresponda, el RGPD del Reino Unido.
1. Quiénes somos (Responsable del tratamiento)
- Entidad legal: SISTEMAS DIGITALES Y DE DATOS SL (Sociedad Limitada)
- Domicilio social: Calle Madreselva, 144, 24400 Ponferrada (León), España
- NIF: B22771505
- Correo electrónico: [email protected]
- Teléfono: +34 678 00 48 86
Para las actividades descritas en la Sección 5.1, actuamos como Responsable del tratamiento. Para las actividades de la Sección 5.2, actuamos como Encargado del tratamiento en nombre de nuestros Clientes (usuarios comerciales de nuestro Servicio).
2. Ámbito de aplicación
Esta Política se aplica a:
- Nuestros sitios web y paneles de control (los "Sitios");
- Nuestras aplicaciones en la nube y API (los "Servicios"); y
- Comunicaciones con nosotros por correo electrónico, canales de soporte y redes sociales.
No se aplica a sitios web, servicios o integraciones de terceros que conectes a los Servicios (por ejemplo, Shopify, Mirakl, Amazon Marketplace). Estos se rigen por sus propias condiciones de privacidad.
3. Datos personales que recopilamos
3.1 Datos que nos proporcionas directamente
- Cuenta y perfil: nombre, apellidos, cargo, nombre de la empresa, identificador de la empresa (IVA/VIES), dirección de correo electrónico, número de teléfono, contraseña (cifrada), preferencias.
- Facturación e impuestos: dirección de facturación, tokens del método de pago (a través de nuestro proveedor de pagos), detalles de la transacción, identificadores de facturas, números de impuestos/IVA.
- Soporte: contenido de las solicitudes, adjuntos, grabaciones de llamadas/chat si das tu consentimiento.
- Marketing: suscripciones a boletines, inscripciones a eventos, respuestas a encuestas.
3.2 Datos que procesamos a través de integraciones (bajo tus instrucciones)
Si conectas tiendas/marketplaces (por ejemplo, Shopify, Mirakl, Amazon, eBay), podemos procesar:
- Datos de catálogo y producto: SKU, títulos, descripciones, imágenes, precios, niveles de stock.
- Pedidos y cumplimiento: ID de pedidos, artículos, cantidades, marcas de tiempo, método de envío, detalles de seguimiento, notas de la tienda.
- Datos del cliente final (tus compradores): nombres, direcciones de envío/facturación, correos electrónicos, números de teléfono, mensajes de pedido necesarios para cumplir con los pedidos.
Para estos datos, actuamos como Encargado del tratamiento para ti (el Cliente/Responsable). Consulta la Sección 5.2 y nuestro DPA.
3.3 Datos recopilados automáticamente
- Técnicos y de uso: dirección IP, identificadores del dispositivo, tipo/versión del navegador, sistema operativo, idioma, páginas de referencia/salida, uso de funciones, marcas de tiempo, registros de errores.
- Cookies y tecnologías similares: identificadores de sesión, tokens de autenticación, analítica. Consulta nuestra Política de Cookies.
3.4 Datos de terceros
- Información de identidad/negocio de fuentes públicas o comerciales (por ejemplo, validación de IVA VIES, verificaciones de sanciones/PEP cuando sea legalmente requerido).
- Leads o referencias de socios, con los avisos apropiados.
No recopilamos intencionalmente datos de categorías especiales ni datos sobre niños. Consulta la Sección 12.
4. Finalidades y bases legales (RGPD Art. 6)
| Finalidad | Ejemplos | Base legal |
|---|---|---|
| Proporcionar, mantener y asegurar los Servicios | creación de cuentas, autenticación, control de acceso, tiempo de actividad, respuesta a incidentes | Contrato (Art. 6(1)(b)); Interés legítimo (seguridad, prevención del fraude) |
| Procesar pedidos, sincronizar datos entre integraciones | sincronización de productos, importación/exportación de pedidos, actualizaciones de stock, entrega de facturas | Contrato (Art. 6(1)(b)); Interés legítimo (eficiencia del servicio) |
| Facturación, pagos y cumplimiento fiscal | facturación, cálculos de IVA, reembolsos, registros contables | Contrato; Obligación legal (fiscal, contable) |
| Atención al cliente y comunicaciones | solución de problemas, actualizaciones de productos, avisos de cambios | Contrato; Interés legítimo |
| Mejora del servicio y analítica | métricas de rendimiento, uso de funciones, pruebas A/B (no esenciales con consentimiento) | Interés legítimo; Consentimiento cuando sea necesario |
| Marketing (B2B) | boletines, webinarios, anuncios de productos | Consentimiento o Interés legítimo (soft opt-in) con exclusión voluntaria |
| Cumplimiento y aplicación de la ley | KYC/AML si corresponde, control de sanciones, reclamaciones legales | Obligación legal; Interés legítimo |
5. Nuestros roles
5.1 Actividades como Responsable
Actuamos como Responsable de los datos personales que proporcionas para registrarte, pagar y utilizar los Servicios (Secciones 3.1 y 3.3) y para nuestras operaciones de marketing y sitio web.
5.2 Actividades como Encargado (Acuerdo de Procesamiento de Datos)
Cuando conectas los Servicios a tus sistemas de comercio electrónico y marketplaces y procesamos tus datos de cliente final y pedidos (Sección 3.2), actuamos como tuEncargado del tratamiento. Estos términos de procesamiento se rigen por nuestroAcuerdo de Procesamiento de Datos (DPA), que incorpora las Cláusulas Contractuales Tipo de la UE cuando corresponde.
- Solicitud a [email protected]
- Eres responsable de proporcionar avisos de privacidad adecuados a tus compradores y obtener los consentimientos requeridos por ley.
6. Conservación
- Datos de la cuenta: durante la vida de la cuenta, luego eliminados o anonimizados en un plazo de 90 días.
- Registros (Logs): 30–365 días, dependiendo de las necesidades de seguridad y operativas.
- Facturas y registros contables: se conservan durante al menos 6 años según el Código de Comercio español y las leyes fiscales aplicables.
- Registros de soporte: 2 años después de la resolución, a menos que sea necesario un período más largo para reclamaciones legales.
7. Transferencias internacionales
Procesamos principalmente datos en la UE/EEE. Cuando los datos personales se transfieren fuera del EEE/Reino Unido, nos basamos en decisiones de adecuación, las Cláusulas Contractuales Tipo de la UE (2021/914, Módulos 2 y/o 3)y, cuando corresponda, el IDTA/Addendum del Reino Unido, junto con medidas complementarias informadas por evaluaciones de impacto de transferencia (por ejemplo, cifrado, controles de acceso, diligencia debida del proveedor).
8. Seguridad
- Cifrado en tránsito y en reposo
- Control de acceso basado en roles y MFA para cuentas privilegiadas
- Segmentación de red y principios de mínimo privilegio
- Ciclo de vida de desarrollo seguro y gestión de vulnerabilidades
- Monitoreo continuo, registro y estrategias de respaldo
- Diligencia debida de proveedores y obligaciones de confidencialidad
Si actuamos como Responsable y tenemos conocimiento de una violación de datos personales que probablemente resulte en un riesgo para los derechos y libertades de las personas, notificaremos a la AEPD en un plazo de72 horas cuando sea necesario y a las personas afectadas cuando sea legalmente requerido. Cuando actuamos como Encargado, notificaremos al Cliente sin demora indebida después de tener conocimiento de una violación de datos personales y ayudaremos al Cliente con sus obligaciones.
9. Tus derechos (UE/EEE y Reino Unido)
- Acceder a tus datos personales y obtener una copia
- Rectificar datos inexactos o incompletos
- Suprimir datos (derecho al olvido)
- Limitar el tratamiento en determinadas circunstancias
- Oponerte al tratamiento basado en intereses legítimos o marketing directo
- Portabilidad de datos (recibir datos en un formato estructurado y de uso común)
- Retirar el consentimiento en cualquier momento cuando el tratamiento se base en el consentimiento
- Presentar una reclamación ante una autoridad de control. En España: Agencia Española de Protección de Datos (AEPD).
Respondemos a las solicitudes en el plazo de un mes desde su recepción (prorrogable pordos meses para solicitudes complejas). Podemos solicitar información para verificar la identidad. Las solicitudes son gratuitas, excepto cuando sean manifiestamente infundadas o excesivas. Para ejercer tus derechos, contáctanos en [email protected].
10. Compartir y divulgaciones
Compartimos datos personales solo cuando es necesario:
- Proveedores de servicios / Subencargados: alojamiento en la nube, bases de datos, pagos, correo electrónico, analítica, atención al cliente y herramientas de seguridad bajo términos de procesamiento de datos.
- Integraciones de terceros (bajo tu instrucción): por ejemplo, Shopify, Mirakl, Amazon, eBay. Transmitimos los datos que solicites hacia o desde esas plataformas.
- Transacciones corporativas: en una fusión, adquisición o venta de activos, sujeto a salvaguardas.
- Legal: cuando sea requerido por ley o para proteger derechos, propiedad o seguridad.
10.1 Subencargados
| Proveedor | Finalidad | Entidad y Región | Mecanismo de transferencia |
|---|---|---|---|
| Google Cloud | Alojamiento, almacenamiento, registros | Google Cloud EMEA Ltd., regiones de la UE | Procesamiento intra-UE; CCT si es transfronterizo |
| Supabase | Base de datos Postgres, Auth | Supabase B.V., regiones UE/EE. UU. según config | Alojamiento UE preferido; CCT si es transfronterizo |
| Stripe | Pagos y facturación | Stripe Payments Europe, Ltd. (IE), Stripe, Inc. (EE. UU.) | Intra-EEE + CCT |
| Google Workspace | Correo electrónico y documentos | Google Ireland Ltd., UE | Procesamiento intra-UE; CCT si es transfronterizo |
| OpenAI (si las funciones de IA están habilitadas) | Funciones asistidas por IA | OpenAI, L.L.C. (EE. UU.) y afiliados | CCT + medidas complementarias |
Mantenemos una lista actualizada de subencargados en /legal/subprocessors. Avisaremos con al menos 15 días de antelación antes de añadir o reemplazar un subencargado. Los clientes pueden oponerse por motivos razonables de protección de datos; si no se resuelve, puedes rescindir los Servicios afectados y recibir un reembolso prorrateado por el plazo no utilizado.
11. Cookies y seguimiento
Utilizamos cookies esenciales para la autenticación y el funcionamiento del Servicio. Las cookies no esenciales (por ejemplo, analítica, marketing) se utilizan solo con tu consentimiento previo de acuerdo con las normas de privacidad electrónica y la guía de la AEPD. Puedes gestionar las preferencias en cualquier momento a través de nuestro banner de cookies o configuración.
12. Privacidad de los niños
Nuestros Servicios están destinados a usuarios comerciales y no están dirigidos a menores. No procesamos a sabiendas datos personales de niños menores de la edad aplicable en su país (para España, 14). Si crees que un menor ha proporcionado datos personales, contáctanos y los eliminaremos.
13. Toma de decisiones automatizada
No participamos en la toma de decisiones automatizada que produzca efectos legales o similarmente significativos sin intervención humana. Cuando utilizamos funciones de IA, ayudan a los usuarios basándose en entradas y configuraciones que controlas. Configuramos a nuestros proveedores de IA para no utilizar Datos del Cliente para entrenarmodelos generalizados. Puedes deshabilitar las funciones de IA en cualquier momento.
14. Enlaces e integraciones de terceros
Los Servicios pueden contener enlaces o permitir conexiones con terceros. No somos responsables de sus prácticas de privacidad. Revisa sus políticas antes de compartir datos.
15. Cambios en esta Política
Podemos actualizar esta Política para reflejar cambios legales, técnicos o comerciales. Publicaremos la versión actualizada con una "Fecha de entrada en vigor" revisada y, cuando corresponda, te notificaremos por correo electrónico o aviso en el producto. Los cambios materiales se resaltarán.
16. Contáctanos
- Correo electrónico: [email protected]
- Correo postal: SISTEMAS DIGITALES Y DE DATOS SL, Calle Madreselva, 144, 24400 Ponferrada (León), España
- Autoridad de control (España): Agencia Española de Protección de Datos (AEPD)
17. Adendas regionales
17.1 Reino Unido
Las referencias al RGPD incluyen el RGPD del Reino Unido y la Ley de Protección de Datos de 2018. Puedes presentar quejas ante la ICO. Las CCT se reemplazan o complementan por el IDTA/Addendum del Reino Unido según corresponda.
17.2 California (CPRA)
No "vendemos" ni "compartimos" información personal según lo definido por la CPRA. Los residentes de California pueden solicitar acceso, eliminación, corrección y limitar el uso de información personal confidencial (si se recopila). Envía solicitudes a [email protected].