Recopilación mínima, protección fuerte.

Qué datos recopilamos

Solo recopilamos las categorías de datos que genuinamente necesitamos:

• <strong>Datos del pedido:</strong> nombre de envío, dirección, correo electrónico de contacto, teléfono (solo si lo requiere el transportista), contenido del pedido, importe total y cualquier preferencia de aduanas/declaración que proporcione.
• <strong>Datos de pago:</strong> una referencia de transacción del orquestador de pagos (nunca vemos sus claves de monedero, números de tarjeta ni datos bancarios; los gestiona el procesador).
• <strong>Datos de comunicación:</strong> cualquier mensaje que nos envíe a través del formulario de contacto, correo electrónico o notas del pedido, y nuestras respuestas.
• <strong>Datos técnicos:</strong> registros mínimos de acceso al servidor (dirección IP, agente de usuario, URL de página, marca de tiempo) conservados únicamente con fines de seguridad y detección de abuso.

<strong>No</strong> recopilamos: perfiles de publicidad de comportamiento, identificadores de seguimiento entre sitios, datos biométricos ni ningún dato sensible de categoría especial bajo el Artículo 9 del RGPD.

Cómo usamos sus datos

Usamos sus datos personales solo para los fines para los que fueron recopilados:

• Para procesar y completar su pedido, incluido el despacho, la declaración aduanera y el seguimiento
• Para comunicarnos con usted sobre el estado de su pedido o cualquier problema que surja
• Para responder las preguntas de soporte que envíe a través del formulario de contacto
• Para cumplir con obligaciones legales y fiscales (retención de facturas, registros aduaneros)
• Para detectar y prevenir fraude, abuso o acceso no autorizado

No utilizamos sus datos para enviar correos electrónicos de marketing a menos que haya dado su consentimiento explícito. No creamos su perfil para publicidad de comportamiento. No ejecutamos ninguna prueba A/B vinculada a usuarios identificables.

Cookies y análisis

El sitio usa un mínimo estricto de cookies:

• <strong>Cookies estrictamente necesarias:</strong> cookies de sesión para el estado del carrito, protección CSRF e inicio de sesión (donde corresponda). Son técnicamente necesarias para el funcionamiento del sitio y no pueden desactivarse.
• <strong>Sin cookies de análisis ni de seguimiento por defecto.</strong> No utilizamos Google Analytics, Facebook Pixel ni ningún rastreador de comportamiento de terceros.

Si alguna vez introducimos análisis opcionales, será un agregador autoalojado amigable con la privacidad (p. ej., Plausible, del lado del servidor) sin identificadores entre sitios, y un banner solicitará su consentimiento antes de que se establezca cualquier cookie no esencial.

Cómo compartimos los datos

Solo compartimos sus datos con terceros que los necesiten para entregar su pedido. Estos se limitan a:

• <strong>Transportistas (UPS, DHL):</strong> nombre de envío, dirección, teléfono (si lo solicita el transportista), peso del paquete y descripción aduanera. Necesario para imprimir la etiqueta y despachar en aduana.
• <strong>Orquestador de pagos:</strong> importe de la transacción y referencia del pedido. El orquestador procesa el pago y devuelve una confirmación; no custodiamos instrumentos de pago.
• <strong>Laboratorio contratista independiente:</strong> no comparte datos de clientes; trabaja exclusivamente con IDs de lote anonimizados de nuestra cadena de síntesis.

No compartimos sus datos con vendedores de marketing, intermediarios de datos, redes publicitarias ni empresas de análisis. Compartimos con las fuerzas del orden solo cuando así lo exige una orden legal válida y jurisdiccionalmente vinculante.

Retención de datos

Solo conservamos los datos personales durante el tiempo necesario para los fines para los que fueron recopilados, más cualquier período de retención legalmente requerido:

• <strong>Registros de pedidos:</strong> 7 años (cumplimiento fiscal y aduanero).
• <strong>Correspondencia de soporte al cliente:</strong> 24 meses desde el último contacto, luego eliminada.
• <strong>Registros de acceso al servidor:</strong> 90 días, luego eliminados automáticamente.
• <strong>Referencias del procesador de pagos:</strong> conservadas durante el mismo tiempo que el registro del pedido (nunca se almacenan datos de pago reales).

Puede solicitar la eliminación de cualquier dato no sujeto a retención legal en cualquier momento (véase la sección 07).

Transferencias internacionales de datos

IGF1 Shop opera desde la UE. Cuando su pedido se envía internacionalmente, el transportista (UPS, DHL) puede transferir la dirección de envío a través de fronteras para entregar el paquete: esto es inevitable e intrínseco al envío internacional.

Nuestro orquestador de pagos y los proveedores de infraestructura pueden operar en o transferir datos a través de jurisdicciones fuera de la UE/EEE. Cuando esto ocurre, nos basamos en decisiones de adecuación, Cláusulas Contractuales Estándar (SCC) o salvaguardias equivalentes bajo el Capítulo V del RGPD.

Para compradores institucionales en jurisdicciones con requisitos estrictos de localización de datos, escríbanos: podemos documentar la ruta de datos para su pedido específico previa solicitud.

Sus derechos

Bajo el RGPD, RGPD del RU, CCPA y marcos equivalentes, tiene derecho a:

• <strong>Acceder</strong> a los datos personales que conservamos sobre usted, en formato portátil
• <strong>Rectificar</strong> datos inexactos
• <strong>Borrar</strong> sus datos (sujeto a las obligaciones de retención legal descritas en la sección 05)
• <strong>Restringir</strong> el tratamiento de sus datos en determinadas circunstancias
• <strong>Oponerse</strong> al tratamiento basado en intereses legítimos
• <strong>Retirar el consentimiento</strong> para cualquier tratamiento basado en consentimiento
• <strong>Presentar una reclamación</strong> ante su autoridad nacional de protección de datos

Para ejercer cualquiera de estos derechos, escríbanos a través del formulario de contacto con el asunto «Solicitud de privacidad». Respondemos en 30 días, más rápido en solicitudes sencillas.

Seguridad

Protegemos sus datos con medidas técnicas y organizativas adecuadas:

• <strong>Cifrado TLS</strong> en todo el tráfico del sitio (solo HTTPS, HSTS aplicado)
• <strong>Copias de seguridad de base de datos cifradas</strong> con acceso restringido
• <strong>Principio de mínimo privilegio</strong> para el acceso del personal y la infraestructura
• <strong>Autenticación multifactor</strong> en todas las interfaces administrativas
• <strong>Endurecimiento del servidor</strong> con monitoreo y detección de intrusiones
• <strong>Nunca se almacenan datos de pago</strong> en nuestra infraestructura

Ningún sistema es perfectamente seguro. Si alguna vez sufrimos una brecha de datos personales que le afecte, le notificaremos a usted y a la autoridad supervisora correspondiente dentro de las 72 horas de tener conocimiento, como requiere el Artículo 33-34 del RGPD.

Privacidad de menores

El sitio, el catálogo y los productos no están dirigidos a menores. No recopilamos a sabiendas datos personales de personas menores de 18 años (o la mayoría de edad local, la que sea mayor). Si tomamos conocimiento de que se han enviado datos personales de un menor, los eliminaremos de inmediato.

Si es padre/madre o tutor y detecta que su hijo ha enviado datos personales a nosotros, escríbanos a través del formulario de contacto y los eliminaremos.

Cambios en esta política y contacto

Podemos actualizar esta política de vez en cuando. La versión actualizada se publicará en esta página con una fecha de vigencia revisada en la parte superior. Los cambios materiales se resumirán en el pie de página de confirmación de pedido de los pedidos posteriores durante al menos 30 días, y donde la ley lo exija solicitaremos su consentimiento renovado.

Para cualquier pregunta relacionada con la privacidad, queja o solicitud de derechos, escríbanos a través del formulario de contacto con el asunto «Solicitud de privacidad». También tiene derecho a presentar una reclamación ante la autoridad de protección de datos de su país de residencia.