GDPR - Instrucciones de uso

Índice

1) Marco legal (enlaces oficiales)

• RGPD – Reglamento (UE) 2016/679 (texto oficial, EUR-Lex): https://eur-lex.europa.eu/eli/reg/2016/679/oj
• Cláusulas Contractuales Tipo de la UE (CCT) – Decisión de Ejecución de la Comisión (UE) 2021/914 (EUR-Lex): https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
• Junta Europea de Protección de Datos (EDPB) – orientación: https://edpb.europa.eu/
• Autoridad de Supervisión Española (AEPD): https://www.aepd.es/

2) Identificación del responsable

3) Ámbito y roles

3.1 A quién se aplica este Aviso

• Visitantes del sitio web de Canvartin.
• Clientes que compran pósters, lienzos o productos de manualidades en papel.
• Personas que solicitan personalización (texto/imágenes personalizadas).
• Personas que contactan con el servicio de atención al cliente (preguntas sobre pedidos, devoluciones, quejas).
• Destinatarios de mensajes de servicio necesarios para ejecutar un contrato (confirmación de pedido, actualizaciones de envío).

3.2 Responsable frente a otros responsables

• Si compra a través de una plataforma de terceros (por ejemplo, marketplace), esa plataforma generalmente actúa como un responsable independiente para sus propios fines. El responsable recibe solo la información necesaria para cumplir con el pedido y proporcionar soporte.
• Los proveedores de pago y transportistas pueden actuar como responsables para ciertos tratamientos requeridos por ley y para operar sus servicios. Cuando actúan como encargados, el tratamiento está regulado por el artículo 28 del RGPD.

3.3 Sin tratamiento no relacionado

Los datos personales se procesan solo para los fines definidos descritos en este Aviso, alineados con el artículo 5(1)(b) del RGPD (limitación de la finalidad) y el artículo 5(1)(c) (minimización de datos).

4) Principios del RGPD aplicados

El tratamiento está organizado para cumplir con los principios del artículo 5(1) del RGPD:

• Licitud, equidad y transparencia (Artículo 5(1)(a)) – información clara y bases legales válidas.
• Limitación de la finalidad (Artículo 5(1)(b)) – sin usos incompatibles.
• Minimización de datos (Artículo 5(1)(c)) – solo los datos necesarios para pedidos, entrega, personalización y soporte.
• Precisión (Artículo 5(1)(d)) – pasos razonables para mantener los datos correctos.
• Limitación del almacenamiento (Artículo 5(1)(e)) – retención vinculada al propósito y obligaciones legales.
• Integridad y confidencialidad (Artículo 5(1)(f)) – medidas de seguridad bajo el Artículo 32.
• Responsabilidad (Artículo 5(2)) – pasos documentados de cumplimiento donde se requiera.

5) Categorías de datos personales

5.1 Datos de identificación y contacto

• Nombre y apellido.
• Dirección de correo electrónico.
• Número de teléfono (incluido WhatsApp si se usa para soporte).
• Dirección de entrega y dirección de facturación.
• País/región (para envío, IVA y contexto de soporte al cliente).

5.2 Datos de pedidos y transacciones

• Número de pedido, fecha del pedido, artículos comprados (pósters, lienzos, kits de manualidades), cantidad, precio, moneda.
• Método de envío, referencia de seguimiento (si está disponible), estado de entrega, excepciones de entrega.
• Detalles de factura/recibo (según sea necesario para cumplimiento contable y fiscal).
• Referencias y resultado de reembolsos/devoluciones.

5.3 Datos de comunicaciones y soporte

• Mensajes que envías (correo electrónico/WhatsApp), incluidos los archivos adjuntos que elijas proporcionar.
• Información necesaria para resolver solicitudes (por ejemplo, descripción de problemas de entrega, reclamaciones por daños, artículos perdidos).
• Registros de quejas y disputas, incluida la correspondencia y los pasos de resolución.

5.4 Contenido de personalización (datos personalizados)

• Texto personalizado (nombres, fechas, mensajes cortos) para ser impresos o incluidos en un diseño.
• Imágenes que subes o proporcionas para imprimir (por ejemplo, fotos, obras de arte), cuando corresponda.
• Opciones de diseño que seleccione (tamaño, disposición, opciones de color), cuando corresponda.

5.5 Datos no recopilados intencionalmente

El controlador no solicita ni requiere categorías especiales de datos personales según el Artículo 9 del RGPD. Si voluntariamente incluyes dichos datos en el contenido de personalización o mensajes, estos se procesarán solo en la medida estrictamente necesaria para cumplir con tu solicitud y responderte.

6) Procesamiento por línea de productos: Pósters / Lienzos / Manualidades en papel

6.1 Pósters (no personalizados)

Para pósters estándar, el procesamiento se limita a lo necesario para aceptar el pedido, producir/empacar el póster y enviarlo.

• Datos típicos utilizados: Datos de identidad y contacto; dirección de entrega; detalles del pedido; confirmación de pago; comunicaciones de servicio al cliente.
• Propósito típico: Cumplimiento del pedido, entrega, soporte postventa.
• Base legal principal: Ejecución del contrato (Artículo 6(1)(b) del RGPD).

6.2 Lienzos (no personalizados)

Para lienzos estándar, el procesamiento se limita a lo necesario para cumplir con el contrato de compra, enviar el producto y gestionar las solicitudes postventa.

• Datos típicos utilizados: Datos de identidad y contacto; dirección de entrega; detalles del pedido; confirmación de pago; comunicaciones de servicio al cliente.
• Propósito típico: Coordinación de producción (si corresponde), empaquetado, envío, manejo de devoluciones.
• Base legal principal: Ejecución del contrato (Artículo 6(1)(b) del RGPD).

6.3 Productos de manualidades en papel (kits y partes impresas)

Para productos de manualidades en papel, el procesamiento se limita a aceptar y cumplir con el pedido, envío y soporte. Los kits de manualidades pueden incluir componentes como partes de papel impresas y, dependiendo del kit, accesorios (por ejemplo, cuchilla de manualidades, pegamento blanco, regla de plástico, embalaje de plástico, bolígrafo). La presencia de accesorios no cambia las categorías de datos personales procesados; puede aumentar la necesidad de detalles precisos de entrega y un manejo cuidadoso postventa.

• Datos típicos utilizados: Datos de identidad y contacto; dirección de entrega; detalles del pedido; comunicaciones de soporte.
• Propósito típico: Cumplimiento del pedido, entrega, reemplazo de componentes faltantes, manejo de reclamaciones.
• Base legal principal: Cumplimiento del contrato (Artículo 6(1)(b) del RGPD).

7) Personalización (pedidos personalizados)

7.1 Qué significa “personalización”

La personalización se refiere al procesamiento que utiliza la información que proporcionas para crear un producto específicamente para ti. Ejemplos incluyen agregar nombres, fechas, mensajes cortos, solicitudes de colores personalizados o imprimir tu imagen en un póster/lona (cuando esté disponible).

7.2 Datos de personalización y responsabilidades

• Exactitud de las entradas personalizadas: Eres responsable de verificar la ortografía, las fechas y la exactitud de los detalles de personalización antes de confirmar el pedido. El controlador utiliza los datos exactamente como se proporcionan, a menos que se solicite una aclaración.
• Derechos de terceros: Si proporcionas imágenes o texto relacionados con terceros, confirmas que tienes el derecho de proporcionarlos para impresión/producción. El controlador procesa dicho contenido para cumplir con el contrato (Artículo 6(1)(b) del RGPD).
• Limitaciones de contenido: El controlador puede rechazar solicitudes de personalización que parezcan ilegales o que no puedan producirse dentro de límites razonables, basándose en intereses legítimos y cumplimiento legal (Artículo 6(1)(f) y/o Artículo 6(1)(c) del RGPD, dependiendo de la situación).

7.3 Bases legales para la personalización

• Cumplimiento del contrato (Artículo 6(1)(b) del RGPD) – Crear un producto personalizado que has solicitado.
• Intereses legítimos (Artículo 6(1)(f) del RGPD) – Control de calidad, prevención de mal uso (por ejemplo, solicitudes fraudulentas o abusivas) y mantener evidencia de la especificación personalizada acordada en caso de disputas.
• Obligación legal (Artículo 6(1)(c) del RGPD) – Retención de facturas/contabilidad cuando los detalles de personalización aparecen en un registro de pedido.

7.4 Minimización para contenido personalizado

La personalización está diseñada en torno al Artículo 5(1)(c) del RGPD: solo se procesa el contenido estrictamente necesario para producir el artículo personalizado. El contenido adicional incluido en los mensajes (detalles personales no relacionados) no es necesario y no debe compartirse.

7.5 Prueba de personalización y manejo de disputas

Para resolver disputas de “no como se pidió”, el controlador puede retener:

• tu archivo de texto/imagen personalizado confirmado,
• un registro de tu aprobación (cuando corresponda),
• comunicaciones de pedido confirmando la especificación personalizada,
• notas de producción estrictamente relacionadas con el cumplimiento del pedido.

Esto apoya el cumplimiento del contrato (Artículo 6(1)(b)) y los intereses legítimos en la prevención y resolución de disputas (Artículo 6(1)(f)).

8) Propósitos y bases legales (Artículo 6 del RGPD)

Propósito	Lo que esto incluye	Base legal principal (GDPR)	Referencias clave del GDPR
Creación y gestión de pedidos	Aceptar pedidos, confirmar detalles, preparar instrucciones de producción/empaque, actualizaciones de estado.	Art. 6(1)(b) Cumplimiento del contrato	GDPR (Art. 6; Art. 13(1)(c))
Entrega y logística	Validación de direcciones (cuando sea necesario), etiquetas de envío, entrega al transportista, notificaciones de entrega, manejo de entregas fallidas.	Art. 6(1)(b) Cumplimiento del contrato	RGPD Art. 6; Art. 5(1)(c)
Soporte al cliente y comunicaciones	Responder preguntas, proporcionar instrucciones y aclaraciones, manejar quejas, reemplazos, artículos perdidos.	Art. 6(1)(b) Cumplimiento del contrato Art. 6(1)(f) Intereses legítimos	RGPD Art. 6; Art. 13; Art. 21
Producción de personalización	Procesamiento de texto/imágenes personalizadas para crear el póster/lona/elemento de manualidades personalizado que solicitó.	Art. 6(1)(b) Cumplimiento del contrato	RGPD Art. 6; Art. 5(1)(b)-(c)
Contabilidad, facturación y cumplimiento	Facturas/recibos, contabilidad, retención obligatoria de registros, respuesta a solicitudes de autoridades legales.	Art. 6(1)(c) Obligación legal	RGPD Art. 6(1)(c); Art. 13(1)(c)
Devoluciones, reembolsos y disputas	Autorización de devolución, procesamiento de reembolsos, prevención de fraude en devoluciones, conservación de pruebas.	Art. 6(1)(b) Cumplimiento del contrato Art. 6(1)(c) Obligación legal (cuando sea aplicable) Art. 6(1)(f) Intereses legítimos	RGPD Art. 6; Art. 5(1)(e); Art. 21
Seguridad, prevención de fraude y prevención de mal uso	Protección de las comunicaciones y la integridad de los pedidos, detección de actividades sospechosas, prevención del mal uso de identidad y abuso de contracargos.	Art. 6(1)(f) Intereses legítimos	RGPD Art. 6(1)(f); Art. 32; Art. 5(1)(f)

8.1 Equilibrio de intereses legítimos (Artículo 6(1)(f) del RGPD, Artículo 21)

Cuando el tratamiento se base en intereses legítimos, el responsable evalúa:

• Prueba de propósito: el interés perseguido (por ejemplo, prevención de fraude, resolución de disputas, continuidad operativa).
• Prueba de necesidad: si el tratamiento es necesario y proporcionado para ese propósito.
• Prueba de equilibrio: impacto en los individuos, expectativas razonables y salvaguardias disponibles.

Puede oponerse al tratamiento basado en intereses legítimos en cualquier momento (Artículo 21 del RGPD). Cuando la objeción sea válida, el tratamiento se detendrá a menos que razones imperiosas legítimas prevalezcan sobre sus intereses, derechos y libertades, o el tratamiento sea necesario para reclamaciones legales.

9) Destinatarios, encargados y divulgaciones

9.1 Categorías de destinatarios (Artículo 13(1)(e) del RGPD)

Los datos personales solo pueden compartirse en la medida necesaria con:

• Proveedores de servicios de pago (confirmación de pago, manejo de reembolsos, verificaciones de fraude).
• Transportistas y servicios de entrega (nombre, dirección, detalles de contacto necesarios para la entrega; estado del envío).
• Asesores profesionales (contabilidad, legal) cuando sea necesario para el cumplimiento y defensa legal.
• Autoridades públicas donde la divulgación sea requerida por ley (Artículo 6(1)(c) del RGPD).
• Proveedores de servicios que actúan como encargados bajo el Artículo 28 del RGPD, solo bajo instrucciones documentadas y salvaguardias apropiadas.

9.2 Encargados (Artículo 28 del RGPD)

Cuando un proveedor externo procesa datos personales en nombre del responsable, este último garantiza que:

• el tratamiento está regulado por un contrato que cumple con los requisitos del artículo 28(3) del RGPD,
• el proveedor implementa medidas de seguridad adecuadas (Artículo 32 del RGPD),
• los subencargados (si los hay) son controlados y autorizados de acuerdo con el Artículo 28(2)-(4) del RGPD,
• los datos se procesan solo para los fines documentados del responsable.

9.3 No venta de datos personales

El responsable no vende datos personales a terceros.

10) Transferencias internacionales (Capítulo V del RGPD)

10.1 Cuándo pueden ocurrir las transferencias

Las transferencias fuera del Espacio Económico Europeo (EEE) pueden ocurrir si un destinatario/proveedor de servicios procesa o almacena datos en un tercer país o permite acceso remoto desde un tercer país. Las transferencias también pueden ocurrir al comunicarse con usted si se encuentra fuera del EEE.

10.2 Mecanismos de transferencia (Artículos 44-49)

Las transferencias internacionales se realizan solo de acuerdo con el Capítulo V del RGPD (Artículos 44-49 del RGPD). Cuando sea aplicable, el responsable se basa en:

• Decisiones de adecuación (Artículo 45 del RGPD) cuando la Comisión Europea haya decidido que un país asegura un nivel adecuado de protección.
• Garantías adecuadas (Artículo 46 del RGPD), incluidas las Cláusulas Contractuales Tipo (SCCs) de la UE: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
• Derogaciones (Artículo 49 del RGPD) solo cuando sea aplicable e interpretado restrictivamente (por ejemplo, transferencia necesaria para la ejecución del contrato).

10.3 Salvaguardias adicionales

Cuando se utilicen SCCs, el responsable aplica salvaguardias adicionales cuando sea necesario, de conformidad con el Artículo 32 del RGPD y las orientaciones relevantes del EDPB: https://edpb.europa.eu/

11) Conservación (Artículo 5(1)(e) del RGPD)

11.1 Regla principal

Los datos personales se conservan solo durante el tiempo necesario para los fines establecidos y para cumplir con las obligaciones legales. Las decisiones sobre la conservación consideran:

• duración del contrato y período de soporte postventa,
• obligaciones legales (por ejemplo, contabilidad, impuestos),
• plazos de prescripción para reclamaciones y disputas,
• minimización de datos y proporcionalidad (Artículo 5(1)(c) y 5(1)(e) del RGPD).

11.2 Conservación por categoría (visión práctica)

Categoría	Enfoque de conservación	Alineación con el propósito
Pedidos, entrega e historial de soporte	Se mantienen durante el tiempo necesario para ejecutar el contrato y gestionar un soporte postventa razonable, luego se eliminan o anonimizan a menos que sean necesarios para cumplimiento o reclamaciones.	Art. 6(1)(b), Art. 6(1)(f), Art. 5(1)(e)
Facturas y registros contables	Se mantienen durante el período requerido por la ley contable/fiscal aplicable; el acceso está limitado a personas autorizadas.	Art. 6(1)(c), Art. 5(1)(e)
Archivos de personalización y aprobaciones	Conservados según sea necesario para producir el producto personalizado y manejar disputas/devoluciones; luego eliminados a menos que la retención prolongada sea necesaria para reclamaciones legales o contabilidad obligatoria.	Art. 6(1)(b), Art. 6(1)(f), Art. 5(1)(e)
Documentación de devoluciones/reembolsos	Conservada según sea necesario para completar la devolución/reembolso y gestionar riesgos de fraude y disputas; más tiempo si lo exige la ley o para defender reclamaciones legales.	Art. 6(1)(b), Art. 6(1)(c), Art. 6(1)(f)
Registros de supresión (no contactar)	Conservados para asegurar que se respeten las exclusiones de marketing.	Art. 6(1)(f), Art. 21

12) Derechos del interesado (Artículos 12-23 del RGPD)

12.1 Sus derechos

• Derecho de acceso (Artículo 15 del RGPD).
• Derecho a la rectificación (Artículo 16 del RGPD).
• Derecho al borrado (Artículo 17 del RGPD).
• Derecho a la limitación del tratamiento (Artículo 18 del RGPD).
• Derecho a la portabilidad de datos (Artículo 20 del RGPD), cuando sea aplicable.
• Derecho a oponerse (Artículo 21 del RGPD), incluido un derecho absoluto a oponerse al marketing directo.
• Derechos relacionados con la toma de decisiones automatizada (Artículo 22 del RGPD), cuando sea aplicable.
• Derecho a retirar el consentimiento (Artículo 7(3) del RGPD) cuando el tratamiento se base en el consentimiento.

12.2 Cómo se gestionan las solicitudes (Artículos 12-14)

• Comunicación transparente: la información se proporcionará de forma concisa, transparente e inteligible (Artículo 12(1) del RGPD).
• Plazos: las respuestas se proporcionarán sin demoras indebidas y dentro de un mes, ampliables por dos meses si es necesario (Artículo 12(3) del RGPD).
• Verificación de identidad: se puede solicitar información adicional cuando existan dudas razonables sobre la identidad (Artículo 12(6) del RGPD).
• Tarifas: las solicitudes se gestionan generalmente de forma gratuita; puede aplicarse una tarifa razonable para solicitudes manifiestamente infundadas o excesivas (Artículo 12(5) del RGPD).

12.3 Límites y excepciones

Los derechos no son absolutos. El responsable puede rechazar o limitar una solicitud donde lo permita el RGPD (por ejemplo, cuando la retención sea requerida por ley o necesaria para reclamaciones legales), y explicará los motivos según lo exige el Artículo 12(4) del RGPD.

13) Objeciones, retiradas y listas de supresión

13.1 Objeción al tratamiento (Artículo 21)

Cuando el tratamiento se base en intereses legítimos (Artículo 6(1)(f) del RGPD), usted puede oponerse en cualquier momento por motivos relacionados con su situación particular (Artículo 21(1) del RGPD). El responsable detendrá el tratamiento a menos que existan motivos legítimos imperiosos que prevalezcan sobre sus intereses, derechos y libertades, o el tratamiento sea necesario para reclamaciones legales.

13.2 Marketing directo (Artículo 21(2)-(3))

Si los datos personales se procesan para marketing directo, usted puede oponerse en cualquier momento. Después de una objeción, los datos ya no se procesarán para marketing directo (Artículo 21(2)-(3) del RGPD).

13.3 Retirada del consentimiento (Artículo 7(3))

Cuando el tratamiento se base en el consentimiento, éste puede ser retirado en cualquier momento. La retirada no afecta a la legalidad del tratamiento basado en el consentimiento antes de la retirada (RGPD Artículo 7(3)).

13.4 Listas de supresión

Para respetar las objeciones/exclusiones, el responsable puede mantener un registro mínimo (por ejemplo, dirección de correo electrónico) en una lista de supresión. Esto asegura que no seas contactado nuevamente para fines de marketing, alineándose con intereses legítimos y obligaciones de cumplimiento (RGPD Artículo 6(1)(f); Artículo 21).

14) Devoluciones, reembolsos y disputas

14.1 Solicitudes de devolución y datos requeridos

Cuando solicitas una devolución o reembolso, el responsable procesa la información necesaria para:

• identificar tu pedido (número de pedido, fecha de compra, detalles del artículo),
• confirmar la elegibilidad y condiciones (cuando corresponda),
• coordinar el envío de devolución o proporcionar instrucciones,
• inspeccionar los bienes devueltos (cuando corresponda),
• emitir un reembolso o reemplazo,
• registrar el resultado para la contabilidad y la continuidad del servicio al cliente.

14.2 Bases legales para el procesamiento relacionado con devoluciones

• Cumplimiento del contrato (RGPD Artículo 6(1)(b)) – gestionar devoluciones, reemplazos y reembolsos como parte de la relación de venta.
• Obligación legal (RGPD Artículo 6(1)(c)) – cuando la retención es necesaria por cumplimiento de contabilidad/impuestos o leyes de consumo.
• Intereses legítimos (RGPD Artículo 6(1)(f)) – prevención de fraude, resolución de disputas y mantenimiento de pruebas sobre la condición de los bienes y los pasos del manejo de la devolución.

14.3 Evidencia y documentación

Para disputas y problemas de calidad, el responsable puede solicitar y procesar:

• fotos de daños, impresión incorrecta o componentes faltantes,
• fotos del embalaje de entrega (cuando sea relevante),
• detalles de seguimiento del transportista,
• historial de comunicación necesario para resolver el problema.

Cualquier documentación está limitada a lo necesario (RGPD Artículo 5(1)(c)) y se conserva solo durante el tiempo necesario para el proceso de devolución/disputa y las obligaciones legales relacionadas (RGPD Artículo 5(1)(e)).

14.4 Productos personalizados y devoluciones

Los productos personalizados pueden requerir verificación adicional de la especificación personalizada acordada. El responsable puede conservar un registro de la entrada de personalización y los pasos de aprobación para evaluar si el artículo entregado coincide con el pedido confirmado. Esto apoya el cumplimiento del contrato y los intereses legítimos en el manejo justo de disputas (RGPD Artículo 6(1)(b) y Artículo 6(1)(f)).

15) Seguridad y confidencialidad (RGPD Artículo 32)

15.1 Objetivo de seguridad

El responsable implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (RGPD Artículo 32(1)), teniendo en cuenta el estado del arte, los costos de implementación y la naturaleza, alcance, contexto y propósitos del tratamiento, así como los riesgos de probabilidad y gravedad variables para las personas.

15.2 Enfoque basado en riesgos (qué riesgos se consideran)

Las medidas de seguridad se seleccionan para reducir riesgos tales como:

• acceso no autorizado a los detalles del pedido (nombres, direcciones),
• toma de control de cuenta (si las cuentas existen),
• divulgación no autorizada de contenido de personalización (texto/imágenes personalizadas),
• solicitudes fraudulentas de reembolso y devolución utilizando la identidad u orden de otra persona,
• intentos de phishing e ingeniería social dirigidos a los canales de soporte al cliente,
• pérdida accidental o eliminación de registros necesarios para el cumplimiento del pedido,
• pérdida de confidencialidad durante las comunicaciones con los proveedores de servicios,
• procesamiento ilegal más allá de los propósitos establecidos.

15.3 Medidas organizativas

• Gobernanza de acceso: el acceso a los datos personales está restringido a lo necesario para el cumplimiento del pedido y el soporte (principio de necesidad de conocer), apoyando el artículo 5(1)(f) y el artículo 32(1)(b) del RGPD.
• Separación de roles: cuando se delegan tareas, los permisos están separados para reducir la exposición de los datos personales.
• Confidencialidad: las personas con acceso a los datos personales están sujetas a obligaciones de confidencialidad apropiadas al contexto (artículo 28(3)(b) del RGPD para los encargados del tratamiento; principios generales de confidencialidad bajo el artículo 5(1)(f)).
• Procedimientos de manejo de datos: pasos documentados para recibir, usar y eliminar datos personales, incluidos archivos de personalización y evidencia de devolución.
• Capacitación y sensibilización: medidas para reducir errores y mejorar el reconocimiento de solicitudes de phishing y fraudulentas.
• Gestión de proveedores: selección y revisión de proveedores de servicios, con obligaciones contractuales donde los proveedores actúan como encargados del tratamiento (artículo 28 del RGPD) y evaluación de salvaguardias de transferencia (capítulo V del RGPD).
• Gestión de incidentes: procedimientos para identificar, evaluar y responder a incidentes sospechosos de datos personales, alineados con los artículos 33-34 del RGPD.
• Seguridad física: medidas razonables para proteger documentos de pedidos impresos y registros físicos (si los hay) y para evitar la visualización no autorizada de etiquetas de envío y detalles del cliente durante el embalaje.

15.4 Medidas técnicas (controles de seguridad descritos a nivel funcional)

Los controles de seguridad se implementan para respaldar la confidencialidad, integridad y disponibilidad (artículo 32(1) del RGPD). Los controles se describen a nivel funcional para mantener la precisión a medida que evolucionan los sistemas y evitar declaraciones engañosas.

• Comunicaciones seguras: medidas para proteger los datos personales durante la transmisión y reducir el riesgo de interceptación.
• Autenticación y autorización: mecanismos para prevenir el acceso no autorizado a funciones administrativas y registros de pedidos.
• Control de cambios: controles para reducir la posibilidad de errores de configuración accidentales que podrían exponer datos del cliente.
• Copias de seguridad y recuperación: medidas que respaldan la restauración de la disponibilidad y el acceso a los datos personales en un tiempo razonable después de un incidente (artículo 32(1)(c) del RGPD).
• Controles de integridad: medidas para reducir el riesgo de alteración no autorizada de los datos del pedido (direcciones, texto de personalización).
• Exposición mínima: limitación de la cantidad de datos personales mostrados en contextos operativos (por ejemplo, limitar la visibilidad completa de la dirección cuando no sea necesaria).

15.5 Protección del contenido de personalización

Dado que el contenido de personalización puede incluir nombres, mensajes e imágenes, se aplica un cuidado adicional:

• Limitación de propósito: los archivos de personalización solo se utilizan para producir el artículo que solicitó y para resolver disputas relacionadas (artículo 5(1)(b) del RGPD).
• Acceso controlado: el acceso está limitado a las personas involucradas en el cumplimiento del pedido personalizado.
• Compartición controlada: los archivos de personalización no se comparten con partes no relacionadas; el intercambio solo ocurre cuando es necesario para cumplir con la producción/envío.
• Disciplina de retención: eliminación o anonimización después de cumplir con el propósito, sujeto a obligaciones legales y defensa de reclamaciones (Artículo 5(1)(e) del RGPD).

15.6 Límite de seguridad de pago

El procesamiento de pagos normalmente lo realizan los proveedores de servicios de pago. El responsable del tratamiento solo procesa lo necesario para confirmar el estado del pago, asociar transacciones con pedidos y gestionar reembolsos y disputas. Esto apoya la minimización de datos (Artículo 5(1)(c) del RGPD) y reduce la exposición de detalles de pago sensibles.

15.7 Pruebas de seguridad y revisión (adecuación continua)

De acuerdo con el Artículo 32(1)(d) del RGPD, el responsable aplica procesos para:

• revisión periódica de las medidas de seguridad,
• verificación de que las restricciones de acceso siguen siendo apropiadas,
• evaluación de si las prácticas de retención y eliminación se aplican efectivamente,
• verificación de que los acuerdos con los encargados del tratamiento siguen siendo conformes al Artículo 28 del RGPD.

15.8 Confidencialidad en los canales de soporte al cliente

Las comunicaciones de soporte pueden contener detalles del pedido y direcciones. Para reducir riesgos:

• el responsable puede solicitar una verificación mínima (por ejemplo, número de pedido y correo electrónico) antes de discutir detalles específicos del pedido,
• el responsable evita solicitar datos innecesarios (por ejemplo, números completos de tarjetas de pago),
• los archivos adjuntos solo se solicitan cuando son necesarios (por ejemplo, fotos de daños para una reclamación),
• los datos compartidos a través de servicios de mensajería se manejan con cuidado y solo se conservan cuando sea necesario.

16) Violaciones de datos personales (Artículos 33-34 del RGPD)

Si ocurre una violación de datos personales, el responsable evalúa la probabilidad y gravedad de los riesgos para las personas. Cuando sea requerido:

• Notificación a la autoridad de control: sin demora indebida y, cuando sea factible, dentro de las 72 horas posteriores a haber tomado conocimiento de la violación (Artículo 33 del RGPD).
• Comunicación a las personas afectadas: sin demora indebida si la violación es probable que resulte en un alto riesgo para los derechos y libertades, a menos que se aplique una excepción (Artículo 34 del RGPD).

17) Datos de niños

El responsable no recopila conscientemente datos personales de niños. Si cree que un niño ha proporcionado datos personales, puede contactar al responsable para solicitar la eliminación cuando corresponda, sujeto a obligaciones legales de retención.

18) Cambios en este Aviso

Este Aviso puede actualizarse para reflejar cambios en el procesamiento o requisitos legales. La versión más reciente se publicará en el sitio web con una fecha de “Última actualización” renovada. El procesamiento sigue estando regido por los requisitos de transparencia y equidad del RGPD (Artículos 12-14 del RGPD).

19) Contacto y quejas

Anexo: Artículos del RGPD referenciados (enlaces oficiales)

25) Cookies y tecnologías similares (identificadores en línea) – transparencia y opciones

25.1 Cuando se aplica esta sección

Esta sección se aplica cuando interactúas con el sitio web y cualquier servicio incrustado que almacene o acceda a información en tu dispositivo (por ejemplo, a través de cookies, almacenamiento local, píxeles u otras tecnologías similares). Cuando dichas tecnologías involucren datos personales, el procesamiento también está sujeto al RGPD (Reglamento (UE) 2016/679).

25.2 Normas legales de referencia

• RGPD (Reglamento (UE) 2016/679): EUR-Lex (RGPD)
• Directiva ePrivacy (Directiva 2002/58/CE, en su versión modificada) – regla de almacenamiento/acceso en dispositivos (cookies): EUR-Lex (ePrivacy)

25.3 Categorías de datos relacionados con cookies que pueden ser procesados

• identificadores de cookies y señales de preferencias (estado de consentimiento, selección de idioma),
• ubicación aproximada derivada de la dirección IP,
• características del dispositivo y del navegador (agente de usuario, parámetros de pantalla),
• datos básicos de interacción (páginas visitadas, marcas de tiempo),
• parámetros de referencia y campaña (por ejemplo, etiquetas UTM) cuando estén presentes.

25.4 Propósitos y bases legales

Categoría de cookie/tecnología	Propósito	Base legal (Artículo 6 del RGPD)	Expectativa de consentimiento
Estrictamente necesario	Habilitar funciones principales del sitio que solicitas explícitamente (navegación, continuidad de compra, funciones de seguridad).	Art. 6(1)(b) Contrato (cuando sea necesario para proporcionar el servicio solicitado) y/o Art. 6(1)(f) Intereses legítimos (operación segura y estable del sitio web).	Normalmente no están sujetos a aceptación previa según la normativa ePrivacy si son estrictamente necesarios, pero aún así se divulgan de forma transparente.
Preferencias	Recordar elecciones (por ejemplo, idioma) para mejorar la usabilidad.	Art. 6(1)(f) Intereses legítimos y/o Art. 6(1)(a) Consentimiento cuando lo requieran las normas nacionales aplicables.	Puede requerir consentimiento dependiendo de la implementación y las normas nacionales.
Analítica	Comprender el uso agregado del sitio web para mejorar el contenido y la navegación.	Art. 6(1)(a) Consentimiento cuando los análisis no sean estrictamente necesarios.	Aceptar previamente cuando sea requerido; configurable para reducir la identificabilidad cuando sea aplicable.
Marketing	Medir la efectividad publicitaria y mostrar anuncios relevantes en sitios web/aplicaciones.	Art. 6(1)(a) Consentimiento.	Aceptar previamente.

25.5 Controles de preferencias de cookies y revocación

• Cuando se utilice un banner de cookies/herramienta de consentimiento, puedes aceptar, rechazar o personalizar las cookies no esenciales. Puedes cambiar tus preferencias más tarde a través de la misma herramienta (si está disponible).
• También puedes eliminar las cookies a través de la configuración de tu navegador. Eliminar cookies puede eliminar las preferencias guardadas y puede afectar la funcionalidad.
• Cuando el tratamiento se base en el consentimiento, puedes retirar el consentimiento en cualquier momento (Artículo 7(3) del RGPD): RGPD (Art. 7).

25.6 Registro de cookies

Cuando sea necesario para demostrar cumplimiento, el controlador puede almacenar un registro de tu elección de consentimiento de cookies (hora, alcance y señal de preferencia) para cumplir con los requisitos de responsabilidad (artículo 5(2) del RGPD) y las condiciones de consentimiento (artículo 7(1) del RGPD).

---

26) Marketing, mensajes de servicio y gestión de preferencias de contacto

26.1 Comunicaciones transaccionales / de servicio

El controlador envía mensajes que son necesarios para ejecutar el contrato o gestionar tu solicitud (por ejemplo: confirmación de pedido, actualizaciones de entrega, aclaraciones sobre detalles de personalización, instrucciones de devolución). Estas comunicaciones no se envían con fines publicitarios.

• Base legal: cumplimiento del contrato (artículo 6(1)(b) del RGPD).
• Referencia al RGPD: RGPD Art. 6

26.2 Marketing directo (cuando se ofrezca)

Cuando se ofrezca marketing (por ejemplo boletines, promociones, anuncios de nuevos productos), el controlador procesa tus datos de contacto y preferencias para entregar dichas comunicaciones.

• Base legal: consentimiento (artículo 6(1)(a) y artículo 7 del RGPD) cuando sea requerido.
• Derecho a objetar: cuando el marketing directo se realice basándose en intereses legítimos conforme a la ley aplicable, puedes objetar en cualquier momento (artículos 21(2)-(3) del RGPD).

26.3 Gestión de preferencias, cancelación de suscripción y prueba de cumplimiento

• El controlador mantiene registros de aceptación/rechazo para demostrar que las comunicaciones se enviaron legalmente (artículo 5(2) y artículo 7(1) del RGPD).
• Después de que te desuscribas u objete, el controlador puede mantener datos limitados en una lista de supresión para asegurarse de que no seas contactado nuevamente para marketing (intereses legítimos: artículo 6(1)(f) del RGPD; derecho a objetar: artículo 21 del RGPD).

---

27) Reseñas, testimonios y contenido enviado por los usuarios (cuando corresponda)

27.1 ¿Qué datos pueden ser procesados

• nombre para mostrar / apodo,
• texto de la reseña, calificación y fecha de envío,
• señales de verificación de referencia del pedido (donde se usen para prevenir reseñas falsas),
• fotos que envíes con una reseña (si las hay).

27.2 Propósitos y bases legales

• Propósito: publicar comentarios de clientes y mejorar la calidad del producto y la información al cliente.
• Base legal: Art. 6(1)(f) intereses legítimos (información transparente al cliente y mejora de la calidad), o Art. 6(1)(a) consentimiento cuando lo requiera el contexto (por ejemplo, publicar fotos identificables).
• Derecho a objetar: cuando se apliquen intereses legítimos, puedes objetar según el artículo 21(1) del RGPD.

27.3 Minimización para imágenes

Si subes imágenes que contienen datos personales (rostros, nombres, direcciones visibles en el fondo), el responsable del tratamiento procesará solo lo necesario para el propósito de la reseña y puede solicitar su reemplazo o edición donde sea apropiado, en consonancia con la minimización de datos (artículo 5(1)(c) del RGPD).

---

28) Páginas de redes sociales y mensajería (controladores independientes)

28.1 Procesamiento del controlador

Si contactas al controlador a través de mensajes o comentarios en redes sociales, el controlador procesará el contenido que proporciones para responder a tu consulta y gestionar el servicio al cliente.

• Base legal: cumplimiento del contrato (artículo 6(1)(b) del RGPD) y/o intereses legítimos (artículo 6(1)(f) del RGPD).

28.2 Procesamiento de la plataforma

Las plataformas de redes sociales suelen procesar datos personales para sus propios fines como controladores independientes. Su procesamiento está regido por sus propios avisos de privacidad. El responsable no controla las actividades de procesamiento de la plataforma.

---

29) Etiquetas de envío, riesgo de entrega incorrecta y verificación de direcciones

29.1 Datos de las etiquetas de envío

Para entregar productos físicos (carteles, lienzos, manualidades en papel), el responsable procesa y comparte con los transportistas la información mínima necesaria para la entrega, como el nombre del destinatario, la dirección de entrega y los datos de contacto cuando sea necesario.

• Base legal: cumplimiento del contrato (artículo 6(1)(b) del RGPD); principio de minimización (artículo 5(1)(c) del RGPD).

29.2 Precisión de la dirección y excepciones de entrega

Cuando una entrega falla (dirección incorrecta, detalles incompletos, ubicación no entregable), el responsable puede:

• contactarte para confirmar o corregir los detalles de entrega,
• utilizar la información de excepción proporcionada por el transportista para resolver el problema,
• retener pruebas del estado de entrega para gestionar disputas y atención al cliente.

• Base legal: cumplimiento del contrato (artículo 6(1)(b) del RGPD); intereses legítimos para la prevención de disputas (artículo 6(1)(f) del RGPD).

29.3 Informes de destinatario incorrecto / entrega errónea

Si informas sobre una entrega errónea, el responsable procesa la información necesaria para investigar (referencia del pedido, seguimiento del transportista, prueba de entrega). El procesamiento se limita a lo necesario para resolver el incidente de entrega (artículo 5(1)(c) del RGPD) y solo se conserva durante el tiempo necesario (artículo 5(1)(e) del RGPD).

---

30) Registros físicos y visibilidad relacionada con el embalaje

30.1 Documentos en papel utilizados para la ejecución

Si se utilizan documentos de pedido en papel durante el embalaje (por ejemplo, una nota de preparación/embalaje), estos contienen solo la información necesaria para cumplir con el pedido. Dichos documentos se manejan para reducir la visibilidad de los datos personales a personas no autorizadas.

• Referencia al RGPD: integridad y confidencialidad (artículo 5(1)(f) del RGPD); seguridad (artículo 32 del RGPD).

30.2 Eliminación

Cuando ya no se necesiten los documentos en papel, se eliminan de una manera que pretende evitar el acceso no autorizado a los datos personales, de conformidad con el artículo 32 del RGPD y la limitación de almacenamiento (artículo 5(1)(e) del RGPD).

---

31) Registros de actividades de procesamiento y documentación de responsabilidad (Artículo 30; Artículo 5(2))

31.1 Responsabilidad

El responsable aplica el principio de responsabilidad (artículo 5(2) del RGPD) y mantiene la documentación de cumplimiento donde sea requerido.

31.2 Registros de actividades de procesamiento (artículo 30 del RGPD)

Cuando corresponda, el responsable mantiene registros de las actividades de procesamiento, que pueden incluir:

• propósitos del procesamiento,
• categorías de sujetos de datos y datos personales,
• categorías de destinatarios,
• transferencias internacionales y salvaguardias (cuando corresponda),
• enfoque de retención,
• medidas generales de seguridad (artículo 30(1) del RGPD).

Referencia del RGPD: Artículo 30 del RGPD

---

32) Evaluaciones de Impacto en la Protección de Datos y consulta previa (Artículos 35-36)

32.1 EIPD (Artículo 35 del RGPD)

Si el responsable introduce un tratamiento que probablemente resulte en un alto riesgo para los derechos y libertades de las personas físicas, llevará a cabo una Evaluación de Impacto en la Protección de Datos (EIPD) según lo exige el Artículo 35 del RGPD.

• Referencia del RGPD: Artículo 35 del RGPD

32.2 Consulta previa (Artículo 36 del RGPD)

Cuando una EIPD indique que el tratamiento daría lugar a un alto riesgo en ausencia de medidas adoptadas por el responsable para mitigar el riesgo, el responsable consultará a la autoridad supervisora competente antes del tratamiento, según lo exige el Artículo 36 del RGPD. Artículo 36 del RGPD

---

33) Casos operativos especiales: reemplazos, artículos perdidos y envíos parciales

33.1 Reemplazos y artículos perdidos

Si informas sobre artículos perdidos o incorrectos (incluidos componentes de kits de manualidades), el responsable procesará la información mínima necesaria para:

• identificar el pedido original y el problema reportado,
• confirmar la acción correctiva apropiada,
• enviar un componente o producto de reemplazo donde corresponda,
• conservar evidencia de la resolución para la continuidad del soporte postventa.

• Base legal: cumplimiento del contrato (Artículo 6(1)(b) del RGPD); intereses legítimos para el manejo consistente de disputas (Artículo 6(1)(f) del RGPD).

33.2 Envíos parciales

Cuando un pedido se cumple en más de un envío (por ejemplo, debido a la disponibilidad), el responsable procesa identificadores de envío y referencias de transportistas para gestionar la entrega y las comunicaciones con el cliente. El procesamiento permanece limitado a lo necesario para completar el cumplimiento.

---

34) Precisión de la base legal, compatibilidad y usos secundarios

34.1 Sin uso secundario incompatible

Si el responsable considera procesar datos personales para un propósito distinto al que fueron recopilados, evaluará la compatibilidad de acuerdo con el Artículo 6(4) del RGPD y proporcionará información según lo exigen los Artículos 13-14 del RGPD.

• Referencia del RGPD: Artículo 6(4) del RGPD

34.2 Obligación legal vs. contrato vs. intereses legítimos

Cuando varias bases legales puedan parecer relevantes, el responsable seleccionará la base más adecuada para el propósito específico del tratamiento y aplicará salvaguardias para garantizar equidad y proporcionalidad (Artículo 5(1)(a) del RGPD).

---

35) Datos sobre terceros proporcionados por los clientes (direcciones de destinatarios, pedidos de regalo, imágenes compartidas)

35.1 Cuando proporcionas los datos de otra persona

Si proporcionas el nombre/dirección de otra persona para la entrega (por ejemplo, un pedido de regalo) o envías una imagen que contiene datos personales de terceros, eres responsable de asegurarte de tener una base legal para compartir esa información con el responsable para el propósito indicado.

35.2 Cómo procesa el responsable dichos datos

• Propósito: entregar el pedido, producir el artículo personalizado, proporcionar soporte.
• Base legal: cumplimiento del contrato (Artículo 6(1)(b) del RGPD) y minimización (Artículo 5(1)(c) del RGPD).
• Retención: alineado con el orden y la lógica de retención de manejo de disputas ya descrita (Artículo 5(1)(e) del RGPD).

---

36) Reglas operativas para solicitudes de derechos (aclaraciones, cumplimiento parcial y entrega segura)

36.1 Alcance de la divulgación para solicitudes de acceso

En respuesta a una solicitud de acceso (Artículo 15 del RGPD), el responsable proporciona:

• confirmación de si se están procesando datos personales,
• una copia de los datos personales en proceso de tratamiento,
• la información requerida por el Artículo 15(1) del RGPD, sujeta a los derechos y libertades de otros.

Referencia al RGPD: Artículo 15 del RGPD

36.2 Derechos de otras personas

Si cumplir con una solicitud afectara negativamente los derechos y libertades de otros, el responsable puede redactar o limitar la divulgación según lo permitido por el RGPD, mientras proporciona una respuesta significativa (Artículo 15(4) del RGPD).

36.3 Entrega segura de respuestas

El responsable puede seleccionar un canal de respuesta que reduzca el riesgo de divulgación no autorizada (Artículo 5(1)(f); Artículo 32 del RGPD), y puede solicitar verificación de identidad cuando existan dudas razonables (Artículo 12(6) del RGPD).

---

37) Continuidad del negocio y cambios organizativos

37.1 Reorganización, transferencia o reestructuración

Si la estructura empresarial del responsable cambia (por ejemplo, una reorganización que afecte las operaciones de cumplimiento), los datos personales solo pueden transferirse en la medida necesaria y de acuerdo con los principios del RGPD.

37.2 Bases legales y salvaguardias

• Base legal: intereses legítimos en la continuidad del servicio y la administración (Artículo 6(1)(f) del RGPD), y/u obligación legal (Artículo 6(1)(c) del RGPD) cuando sea aplicable.
• Salvaguardias: minimización, restricción de acceso, confidencialidad y actualizaciones de transparencia según sea necesario (Artículos 5 y 12-14 del RGPD).

---

38) Representante de la UE (Artículo 27)

El Artículo 27 del RGPD se aplica a ciertos responsables no establecidos en la Unión. El responsable está establecido en España. Referencia al RGPD: Artículo 27 del RGPD

---

Anexo (expandido): Artículos adicionales del RGPD referenciados en esta continuación