Legal
Política de privacidad
Última actualización: 23 abril 2026
En Stelua Distribución tratamos los datos personales y de empresa de las tiendas clientes con el máximo cuidado. Esta política describe qué datos recogemos, por qué, cómo los protegemos, con quién los compartimos y cómo puedes ejercer tus derechos. Se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la Ley 34/2002 (LSSI-CE).
1. Responsable del tratamiento
- Titular: [pendiente]
- Email de contacto: karolinabgct@gmail.com
- Datos fiscales completos (NIF, domicilio) disponibles en el Aviso legal.
2. Datos que tratamos y base jurídica
| Dato | Finalidad | Base jurídica (art. 6 RGPD) |
|---|---|---|
| Email, nombre de contacto, contraseña cifrada | Alta y gestión de la cuenta | Ejecución del contrato (art. 6.1.b) |
| Razón social, CIF/NIF, dirección, teléfono | Aprobación del cliente B2B y emisión de facturas | Ejecución del contrato (art. 6.1.b) y obligación legal (6.1.c) |
| Datos de pago (gestionados por Stripe) | Cobrar el pedido aprobado vía Payment Link | Ejecución del contrato (art. 6.1.b) |
| Histórico de pedidos y dirección de envío | Gestionar la operativa logística y la postventa | Ejecución del contrato (art. 6.1.b) |
| IP, registros de sesión, errores | Seguridad y diagnóstico técnico | Interés legítimo (art. 6.1.f) |
| Mensajes del formulario de contacto | Responder a tu consulta | Interés legítimo (art. 6.1.f) |
| Email de aprobados | Newsletter semanal con la nueva colección | Interés legítimo · relación contractual previa (6.1.f, art. 21.2 LSSI) |
| Datos fiscales de las facturas emitidas | Obligaciones contables y fiscales | Obligación legal (art. 6.1.c) |
No recogemos categorías especiales de datos (salud, ideología, orientación) y no tomamos decisiones automatizadas con efectos jurídicos sobre ti. La aprobación o rechazo de la cuenta es una decisión humana del titular.
3. Plazos de conservación
- Cuenta: mientras esté activa y hasta 6 meses después de la baja.
- Facturación y justificantes de pago: 6 años (art. 30 Código de Comercio) y 4 años a efectos fiscales (LGT 58/2003).
- Mensajes de contacto: 2 años desde la última interacción.
- Registros técnicos (logs): 90 días.
- Bajas de la newsletter: registramos la baja indefinidamente para no volver a contactarte.
4. Encargados del tratamiento
Para operar el servicio compartimos los datos mínimos necesarios con los siguientes proveedores, todos con acuerdo de tratamiento de datos (DPA) conforme al RGPD:
- Stripe Payments Europe Ltd. (Irlanda, con subencargados en EEUU) — emisión de facturas y cobro vía hosted Payment Link. Transferencia internacional amparada por cláusulas contractuales tipo (CCT) + EU-US Data Privacy Framework.
- Resend, Inc. (EEUU, región UE disponible) — envío de emails transaccionales (confirmaciones, facturas, actualizaciones de pedido) y newsletter semanal. CCT + EU-US DPF.
- Google Ireland Ltd. — Google Cloud Storage (región UE) — almacenamiento de las fotografías de producto. Ubicación de los datos dentro del Espacio Económico Europeo.
- Cloudflare, Inc. (EEUU, con red global) — protección anti-bot del formulario de contacto (Turnstile) y mitigación de ataques. CCT + EU-US DPF.
- Vercel Inc. (EEUU, región europea fra1) — hosting de la aplicación. CCT + EU-US DPF.
- Ubicloud — base de datos PostgreSQL gestionada en la Unión Europea.
5. Transferencias internacionales
Algunos de nuestros encargados están establecidos fuera del Espacio Económico Europeo (Estados Unidos). Estas transferencias se amparan en: (a) la decisión de adecuación EU-US Data Privacy Framework cuando el proveedor está certificado; (b) cláusulas contractuales tipo aprobadas por la Comisión Europea; y (c) medidas suplementarias como cifrado en tránsito (TLS 1.2+) y en reposo (AES-256).
6. Tus derechos
Puedes ejercer en cualquier momento los siguientes derechos:
- Acceso: saber qué datos tenemos sobre ti y tu empresa.
- Rectificación: pedir que corrijamos datos inexactos.
- Supresión («derecho al olvido»), con los límites de las obligaciones legales de conservación contable.
- Oposición al tratamiento basado en interés legítimo, incluida la newsletter.
- Limitación del tratamiento.
- Portabilidad de tus datos en formato estructurado (JSON).
- Revocación del consentimiento cuando el tratamiento se basa en éste, sin efectos retroactivos.
- No ser objeto de decisiones automatizadas (no aplicamos perfilado automatizado con efectos jurídicos).
Para ejercerlos escribe a karolinabgct@gmail.com desde el mismo email con el que te registraste. Responderemos en el plazo máximo de 30 días (prorrogable a 60 en casos complejos, con aviso previo).
Si consideras que el tratamiento de tus datos no es adecuado, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) a través de www.aepd.es.
7. Seguridad
Aplicamos medidas técnicas y organizativas adecuadas al riesgo: cifrado TLS en todo el tráfico, contraseñas almacenadas con hashing (scrypt), control de accesos por rol, principio de mínimo privilegio en las claves de proveedores, aprobación manual de cuentas para evitar abusos comerciales, y revisión periódica de dependencias de software por vulnerabilidades. En caso de brecha de seguridad que afecte tus datos, notificaremos a la AEPD en un plazo de 72 horas y a ti sin dilación indebida cuando exista riesgo elevado para tus derechos.
8. Comunicaciones comerciales
Las personas registradas y aprobadas reciben la newsletter semanal con la nueva colección. La base jurídica es el interés legítimo derivado de la relación contractual previa (art. 21.2 LSSI). Puedes oponerte en cualquier momento respondiendo a cualquier email o escribiéndonos al email de contacto.
9. Cambios en esta política
Actualizaremos este documento cuando cambien la ley, nuestros proveedores o las finalidades del tratamiento. Publicaremos la nueva versión con su fecha y, si los cambios afectan tus derechos de forma significativa, te avisaremos por email.