GDPR

Este documento resume cómo se tratan los datos personales cuando una persona visita el sitio web, consulta productos, utiliza una cuenta, realiza un pedido, efectúa un pago o se comunica a través de los canales de atención disponibles.

El tratamiento se lleva a cabo conforme a GDPR, a la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, conocida como LOPDGDD, y a las demás disposiciones que resulten aplicables en España.

Solo se recopila la información vinculada a finalidades concretas del sitio web. En función del tipo de dato, del servicio utilizado y de los riesgos existentes, podrán aplicarse controles técnicos y organizativos destinados a limitar accesos indebidos, pérdidas o usos no autorizados.

1. A quién y a qué actividades se aplica

Esta información se dirige principalmente a usuarios y clientes que acceden al sitio web desde España o utilizan sus funciones para consultar productos y gestionar compras.

El tratamiento puede producirse en situaciones como las siguientes:

  • Al visitar páginas, utilizar el buscador, consultar categorías o interactuar con el contenido.

  • Durante el registro de una cuenta o la actualización de los datos asociados a ella.

  • Cuando se prepara, envía, paga, entrega, cancela o devuelve un pedido.

  • En comunicaciones relacionadas con consultas, reclamaciones, incidencias o solicitudes posventa.

  • Si el usuario autoriza determinadas herramientas de medición, personalización o publicidad mediante el sistema de consentimiento correspondiente.

Esta declaración no regula tratamientos efectuados por una persona física dentro de una actividad exclusivamente personal o doméstica, cuando dichos tratamientos queden fuera del ámbito de aplicación de GDPR.

2. Información que puede recopilarse

Los datos tratados dependen de las funciones utilizadas y de la información que el propio usuario decida facilitar. No todas las categorías indicadas a continuación se recopilan en cada visita o pedido.

Datos identificativos y de contacto

  • Pueden incluir el nombre, la dirección de facturación, el domicilio de entrega, el correo electrónico y el número de teléfono.

  • Estos datos permiten identificar al usuario, gestionar una compra, preparar una entrega o mantener una comunicación vinculada a una solicitud concreta.

Información sobre compras y transacciones

  • Durante la gestión de un pedido pueden tratarse:

    • Productos seleccionados, cantidades y variantes.

    • Estado del pedido, entrega, cancelación o devolución.

    • Confirmación, rechazo o situación del pago.

    • Historial de compras y comunicaciones relacionadas.

    • Referencias necesarias para gestionar un reembolso.

  • Los datos completos de la tarjeta y el código CVV son gestionados normalmente por el proveedor de pago habilitado y no se conservan directamente en el sitio web.

Datos técnicos y de navegación

  • Al acceder al sitio pueden generarse registros técnicos, como la dirección IP, el tipo de navegador, el dispositivo utilizado, la fecha de acceso, las páginas consultadas o determinados identificadores de Cookie.

  • Una parte de esta información resulta necesaria para cargar las páginas, proteger la sesión y detectar incidencias. Las tecnologías destinadas a análisis, personalización o publicidad se utilizarán cuando exista una base jurídica válida y, si procede, después de obtener el consentimiento correspondiente.

Comunicaciones y atención al usuario

  • Si se envía una consulta, pueden conservarse el contenido del mensaje, los documentos aportados, los datos de contacto y las actuaciones realizadas para gestionar el caso.

  • Cuando una solicitud se refiera a un pedido, también podrá vincularse a su número de referencia para facilitar la revisión.

Información procedente de terceros

  • Cuando el sitio permita utilizar un servicio externo de identificación o acceso, podrán recibirse los datos mínimos autorizados por el usuario y necesarios para habilitar esa función.

  • El tercero correspondiente puede aplicar además sus propias condiciones y políticas de tratamiento.

3. Bases jurídicas utilizadas

Cada actividad de tratamiento debe apoyarse en una base jurídica adecuada. La base aplicable dependerá de la finalidad y del contexto en el que se hayan obtenido los datos.

Ejecución de un contrato o medidas precontractuales

  • Esta base puede utilizarse para:

    • Tramitar una compra solicitada por el usuario.

    • Gestionar el cobro y coordinar la entrega.

    • Mantener una cuenta cuando sea necesaria para prestar la función elegida.

    • Atender cancelaciones, devoluciones o incidencias vinculadas al pedido.

Cumplimiento de obligaciones legales

  • Determinados datos pueden tratarse o conservarse para atender requisitos fiscales, contables, administrativos, de consumo o de prevención de operaciones ilícitas.

  • Cuando exista una obligación de conservación, una solicitud de eliminación no implicará necesariamente la supresión inmediata de toda la información afectada.

Consentimiento del usuario

  • El consentimiento puede constituir la base jurídica para finalidades opcionales, entre ellas:

    • Envío de comunicaciones comerciales.

    • Activación de Cookies no necesarias.

    • Uso de ciertas herramientas de medición o publicidad.

    • Participación voluntaria en actividades específicas.

  • El consentimiento puede retirarse sin que ello afecte a la licitud del tratamiento realizado antes de su retirada.

Interés legítimo

  • Podrá valorarse esta base para actividades necesarias y proporcionadas relacionadas con la seguridad, la prevención de usos abusivos, la mejora técnica del sitio o la gestión ordinaria de comunicaciones.

  • Antes de recurrir al interés legítimo deben considerarse la finalidad perseguida, la necesidad del tratamiento y su posible impacto sobre los derechos y expectativas de los usuarios.

Protección de intereses vitales

  • Esta base solo resultaría aplicable en situaciones excepcionales en las que el tratamiento fuera necesario para proteger intereses esenciales de una persona y no existiera otra base más adecuada.

4. Finalidades del tratamiento

Los datos no deben utilizarse de forma incompatible con la razón por la que fueron recogidos. Según la relación mantenida con el usuario, podrán tratarse para los siguientes fines.

Gestión de compras

  • La información del pedido permite revisar los productos elegidos, coordinar el pago, preparar la entrega y facilitar actualizaciones relacionadas con su estado.

  • También puede ser necesaria para gestionar cancelaciones, devoluciones, garantías legales o reembolsos aplicables.

Atención de consultas e incidencias

  • Los datos facilitados mediante correo electrónico, teléfono o formulario se utilizan para comprender la solicitud, comprobar la información relacionada y mantener la comunicación necesaria durante su gestión.

Funcionamiento y seguridad del sitio

  • Algunos registros técnicos ayudan a mantener sesiones activas, corregir errores, controlar accesos y detectar comportamientos que puedan afectar al funcionamiento o la seguridad.

Comunicaciones comerciales

  • Las novedades, contenidos promocionales o información sobre productos solo se enviarán cuando exista una base jurídica que lo permita.

  • Cada comunicación comercial incluirá o estará asociada a un mecanismo para gestionar la baja cuando resulte aplicable.

Análisis y mejora

  • Los datos agregados o estadísticos pueden utilizarse para conocer qué secciones reciben más visitas, detectar problemas de navegación y revisar la organización del contenido.

  • Las herramientas que requieran consentimiento permanecerán sujetas a la elección realizada por el usuario.

Obligaciones legales y defensa de derechos

  • Cierta información puede utilizarse para atender requerimientos de autoridades, cumplir obligaciones tributarias o contables y formular, ejercer o defender reclamaciones.

5. Plazos de conservación

No se aplica un único periodo a todas las categorías de datos. La conservación se determina atendiendo a la finalidad, la relación con el usuario y los plazos legales que puedan resultar exigibles.

  • Los registros de pedidos y facturación podrán mantenerse durante los periodos requeridos por la normativa fiscal, contable y de consumo.

  • La información de una suscripción comercial se utilizará hasta que se retire el consentimiento, se solicite la baja o deje de existir una base válida para continuar el tratamiento.

  • Las comunicaciones de atención al usuario se conservarán durante el tiempo razonablemente necesario para gestionar la solicitud y atender posibles responsabilidades.

  • Los registros técnicos podrán eliminarse, agregarse o anonimizarse cuando ya no sean necesarios para seguridad, mantenimiento o análisis.

  • Si existe una reclamación, auditoría, investigación o procedimiento pendiente, los datos relacionados podrán quedar bloqueados o conservarse mientras resulte necesario para ese fin.

Una vez finalizado el periodo aplicable, la información podrá eliminarse, anonimizarse o quedar debidamente bloqueada durante el plazo de posibles responsabilidades legales.

6. Derechos de las personas usuarias

En los casos y con los límites previstos por GDPR, el usuario puede ejercer los derechos reconocidos en sus artículos 15 a 22.

Acceso

  • Permite solicitar confirmación sobre si se están tratando datos personales y obtener información sobre dicho tratamiento.

Rectificación

  • Puede pedirse la corrección de datos inexactos y la incorporación de información necesaria cuando los datos estén incompletos.

Supresión

  • El usuario puede solicitar la eliminación de sus datos cuando concurra alguno de los motivos legalmente previstos.

  • Este derecho puede quedar limitado cuando la conservación sea necesaria para cumplir una obligación legal o gestionar reclamaciones.

Limitación del tratamiento

  • En determinados supuestos, puede solicitarse que los datos se conserven sin utilizarlos para otras operaciones mientras se revisa una circunstancia concreta.

Portabilidad

  • Cuando el tratamiento se base en el consentimiento o en un contrato y se realice por medios automatizados, el usuario puede solicitar determinados datos en un formato estructurado, de uso común y lectura mecánica.

  • Cuando sea técnicamente posible, también podrá pedir su transmisión a otro responsable.

Oposición

  • El usuario puede oponerse a tratamientos basados en el interés legítimo atendiendo a su situación particular.

  • La oposición a la mercadotecnia directa podrá ejercerse en cualquier momento.

Retirada del consentimiento

  • Cuando el tratamiento dependa del consentimiento, este puede retirarse mediante los canales habilitados.

  • La retirada no invalida el tratamiento efectuado legítimamente con anterioridad.

Decisiones automatizadas

  • Cuando resulte aplicable, el usuario podrá solicitar no quedar sujeto a una decisión basada únicamente en un tratamiento automatizado que produzca efectos jurídicos o le afecte significativamente de manera similar, salvo las excepciones previstas por GDPR.

7. Cómo presentar una solicitud

Las solicitudes relativas a datos personales pueden enviarse a mail@cozycornera.com o presentarse mediante los canales indicados en la Página de contacto.

Para localizar la información correcta y evitar accesos por parte de terceros, puede solicitarse:

  • La identificación del derecho que se desea ejercer.

  • Información suficiente para localizar la cuenta, el pedido o la comunicación afectada.

  • Una acreditación razonable de identidad cuando existan dudas justificadas.

  • En caso de representación, documentación que permita comprobarla.

El plazo de respuesta y cualquier posible ampliación se determinarán conforme a GDPR, considerando la complejidad y el número de solicitudes recibidas.

8. Datos de menores de edad

Los servicios de compra no están planteados para que menores de edad formalicen operaciones sin la intervención de una persona con capacidad legal suficiente.

En España, cuando el tratamiento se base en el consentimiento:

  • Una persona de 14 años o más puede prestar su consentimiento para el tratamiento de sus datos, salvo que otra norma exija la asistencia de sus progenitores o tutores para el acto correspondiente.

  • Para menores de 14 años, el consentimiento debe proceder de quien ejerza la patria potestad o tutela.

  • Cuando existan dudas razonables sobre la edad o la validez del consentimiento, podrán solicitarse comprobaciones adicionales.

  • Si se detectan datos de un menor tratados sin una base válida, podrá limitarse su uso o procederse a su eliminación según las circunstancias y las obligaciones aplicables.

La protección del interés superior del menor será un criterio relevante al valorar cualquier actuación relacionada con sus datos.

9. Medidas de seguridad

Las medidas se seleccionan atendiendo al tipo de información, la finalidad del tratamiento, el estado de la técnica y los riesgos razonablemente identificados.

Entre las prácticas que pueden aplicarse se encuentran:

  • Uso de TLS para proteger la transmisión de datos entre el dispositivo y el sitio web.

  • Restricción de accesos según funciones y necesidades operativas.

  • Copias de respaldo y mecanismos básicos de continuidad.

  • Registro de determinadas actividades técnicas para investigar errores o accesos anómalos.

  • Revisión de vulnerabilidades y actualización de sistemas cuando resulte necesario.

  • Evaluación de proveedores que intervienen en el tratamiento de información.

Ningún sistema permite eliminar por completo todos los riesgos. Por ese motivo, las medidas pueden revisarse y adaptarse cuando cambien la tecnología, el tratamiento o las amenazas identificadas.

10. Proveedores y destinatarios

Para prestar determinadas funciones puede ser necesario permitir el acceso a datos a proveedores de alojamiento, pagos, logística, mantenimiento, comunicación, atención al usuario o análisis.

El acceso se limita, cuando resulte aplicable, a la información necesaria para prestar el servicio contratado.

Los proveedores que actúen como encargados del tratamiento estarán sujetos a las instrucciones correspondientes y a acuerdos de tratamiento de datos u otros instrumentos jurídicos aplicables.

También podrán comunicarse datos:

  • A autoridades públicas cuando exista una obligación legal o un requerimiento válido.

  • A entidades financieras y proveedores de pago para gestionar la transacción.

  • A operadores logísticos cuando sean necesarios para la entrega.

  • A asesores o profesionales cuando resulte necesario para atender obligaciones o defender derechos.

11. Transferencias internacionales

Algunos proveedores pueden estar establecidos o utilizar infraestructuras situadas fuera del Espacio Económico Europeo.

Cuando una operación implique una transferencia internacional, se utilizará el mecanismo que corresponda a las circunstancias, como:

  • Una decisión de adecuación adoptada por la Comisión Europea.

  • Cláusulas contractuales tipo aprobadas por la Comisión Europea.

  • Normas corporativas vinculantes u otras garantías admitidas por GDPR.

  • Una excepción legal aplicable para situaciones específicas, cuando no resulte adecuado recurrir a los mecanismos anteriores.

Además de la base jurídica correspondiente, podrán considerarse medidas complementarias de seguridad, como cifrado, restricciones de acceso o minimización de la información transferida.

La existencia de una transferencia concreta, su destinatario y las garantías aplicadas se describirán con mayor detalle en la Política de Privacidad o en la información facilitada para el servicio correspondiente.

12. Gestión de incidentes de seguridad

Cuando se detecte un incidente relacionado con datos personales, se evaluarán su naturaleza, alcance y posibles consecuencias.

Según el nivel de riesgo y las obligaciones aplicables, las actuaciones pueden incluir:

  • Contención técnica del incidente y protección de los sistemas afectados.

  • Análisis de las causas y de las categorías de datos implicadas.

  • Documentación de las decisiones adoptadas.

  • Notificación a la autoridad de control competente cuando sea legalmente exigible.

  • Comunicación a las personas afectadas si existe un alto riesgo para sus derechos y libertades.

  • Implantación de medidas correctoras destinadas a reducir la posibilidad de repetición.

La forma de actuación dependerá de la información disponible y de la valoración realizada en cada caso.

13. Organización y control del cumplimiento

La gestión de la protección de datos puede incluir medidas documentales y de supervisión adaptadas a las actividades realizadas.

Entre ellas pueden encontrarse:

  • Asignación de responsabilidades internas relacionadas con privacidad y seguridad.

  • Mantenimiento de registros de tratamiento cuando sean exigibles.

  • Celebración de acuerdos con proveedores que traten datos por cuenta del responsable.

  • Revisión de procesos cuando se incorporen nuevas tecnologías o finalidades.

  • Realización de evaluaciones de impacto si un tratamiento puede generar un alto riesgo.

  • Designación de un delegado de protección de datos cuando se cumplan los requisitos legales que hagan obligatoria dicha figura.

Estas medidas pueden ajustarse cuando cambien los servicios, los proveedores o la normativa aplicable.

14. Reclamaciones ante la autoridad de control

Las dudas o solicitudes sobre el tratamiento de datos pueden dirigirse inicialmente a mail@cozycornera.com o presentarse mediante la Página de contacto.

Cuando el usuario considere que el tratamiento de sus datos no se ajusta a GDPR o a la legislación española, puede presentar una reclamación ante la Agencia Española de Protección de Datos, AEPD.

El ejercicio de este derecho no impide utilizar otros recursos administrativos o judiciales que puedan corresponder.

15. Cookies y tecnologías similares

Las Cookies y herramientas semejantes pueden utilizarse para funciones esenciales, seguridad, preferencias, medición o publicidad.

La activación de las categorías no necesarias dependerá de la base jurídica aplicable y de las opciones seleccionadas mediante el panel de consentimiento.

La información sobre categorías, finalidades, duración, proveedores y modificación de preferencias se encuentra en la Política de Cookies.

16. Información complementaria y actualizaciones

Este documento podrá revisarse cuando cambien las funciones del sitio, los proveedores utilizados, las actividades de tratamiento o las normas aplicables.

Cuando una modificación afecte de forma relevante al tratamiento, podrá mostrarse información adicional a través del sitio web o del canal adecuado según las circunstancias.

La identificación del responsable del tratamiento, sus datos de contacto, los destinatarios concretos y demás información ampliada pueden consultarse en la Política de Privacidad.