Política GDPR

1. Ámbito de aplicación y responsable del tratamiento

Esta política se aplica al tratamiento de datos personales realizado cuando el usuario visita nuestro sitio web, crea una cuenta, realiza un pedido o un pago, contacta con atención al cliente, presenta una solicitud de cancelación, devolución o reembolso o utiliza otras funciones disponibles.

Galaracorner gestiona los datos personales recopilados a través del sitio web y determina las finalidades y los medios del tratamiento descrito en esta política.

La finalidad de este documento es explicar cómo tratamos los datos personales conforme a las normas de protección de datos de la Unión Europea y España. La navegación por el sitio web no implica la aceptación automática de tratamientos que requieran consentimiento.

2. Datos tratados y origen

Según la interacción del usuario con el sitio web, podemos tratar:

  • Nombre y datos de contacto escritos.
  • Dirección de facturación y dirección de entrega.
  • Dirección de correo electrónico.
  • Datos de acceso y configuración de la cuenta.
  • Información de pedidos, pagos, entregas, cancelaciones, devoluciones y reembolsos.
  • Comunicaciones mantenidas con atención al cliente.
  • Dirección IP, tipo de navegador, información del dispositivo, registros técnicos y actividad de uso.
  • Información generada mediante cookies y tecnologías similares.
  • Otros datos proporcionados voluntariamente que sean necesarios para atender una solicitud concreta.

Los datos completos de tarjetas bancarias o cuentas de pago suelen ser tratados directamente por los proveedores de servicios de pago. Nuestro sitio web no conserva normalmente el número completo de la tarjeta ni su código de seguridad.

No solicitamos deliberadamente datos relativos a la salud, creencias religiosas, opiniones políticas, información biométrica ni otras categorías especiales que no sean necesarias para prestar los servicios disponibles.

Los datos pueden obtenerse:

  • Cuando el usuario completa formularios o facilita información directamente.
  • Al crear una cuenta, realizar un pedido, efectuar un pago o solicitar atención posterior a la compra.
  • Cuando el usuario contacta con nosotros por correo electrónico.
  • Automáticamente mediante cookies, archivos de registro y tecnologías similares.
  • A través de prestadores de pago, logística o servicios técnicos, cuando la transmisión sea necesaria para completar el servicio correspondiente.

3. Finalidades y principios del tratamiento

Los datos personales se tratan únicamente para:

  • Crear y administrar cuentas de usuario.
  • Procesar pedidos, pagos y entregas.
  • Gestionar cancelaciones, devoluciones y reembolsos.
  • Responder consultas y prestar atención al cliente.
  • Verificar transacciones y prevenir el fraude.
  • Mantener la seguridad y el funcionamiento del sitio web.
  • Cumplir obligaciones fiscales, contables y documentales.
  • Analizar y mejorar las funciones y el rendimiento del sitio web.
  • Enviar comunicaciones comerciales cuando exista una base jurídica válida.
  • Gestionar las elecciones relacionadas con cookies y privacidad.

El tratamiento se realiza de forma lícita, leal y transparente. Recopilamos únicamente los datos necesarios para finalidades determinadas, procuramos mantenerlos exactos, permitimos su corrección, limitamos su conservación y aplicamos medidas de seguridad adecuadas. También mantenemos la información necesaria para demostrar el cumplimiento de estas obligaciones. Estos principios forman parte del marco establecido por el Reglamento General de Protección de Datos.

4. Base jurídica y consentimiento

El tratamiento puede basarse en:

  • La ejecución del contrato de compra, incluida la gestión del pedido, el pago, la entrega y las solicitudes posteriores.
  • La adopción de medidas solicitadas por el usuario antes de formalizar una compra.
  • El cumplimiento de obligaciones fiscales, contables, de protección de los consumidores, administrativas o judiciales.
  • El interés legítimo en proteger el sitio web, prevenir fraudes, resolver incidencias y mejorar los servicios, siempre que no prevalezcan los derechos del usuario.
  • El consentimiento para comunicaciones comerciales, cookies no necesarias u otros tratamientos opcionales.
  • La protección de intereses vitales del usuario o de otra persona cuando resulte necesario.

No todos los tratamientos se basan en el consentimiento. La base utilizada depende de la finalidad concreta y no permite utilizar los datos de forma ilimitada.

Cuando sea necesario el consentimiento, se solicitará mediante una elección libre, específica, informada, clara y demostrable. No utilizaremos casillas premarcadas, autorizaciones agrupadas para finalidades independientes ni la continuación de la navegación como forma de consentimiento.

El usuario puede rechazar o retirar el consentimiento en cualquier momento. La retirada no afecta al tratamiento realizado previamente sobre la base de una autorización válida. Rechazar las comunicaciones comerciales o las cookies no necesarias no impide utilizar las funciones básicas de compra.

5. Destinatarios de los datos

Podemos comunicar los datos estrictamente necesarios a:

  • Proveedores de servicios de pago.
  • Prestadores de servicios logísticos y de entrega.
  • Servicios de alojamiento web, soporte técnico y seguridad de la información.
  • Servicios de contabilidad, auditoría o asesoramiento profesional.
  • Autoridades judiciales, administrativas, reguladoras o públicas con facultad legal para solicitar información.

Solo se facilitarán los datos necesarios para cumplir la función correspondiente. Los prestadores que actúen por cuenta de la tienda deberán limitar su uso al servicio encargado, proteger la información y restringir el acceso al personal autorizado.

No vendemos los datos personales de los usuarios ni los comunicamos libremente a terceros ajenos al servicio o a una obligación legal.

6. Transferencias internacionales

La ubicación de nuestra dirección de contacto fuera del Espacio Económico Europeo no significa que todos los datos personales se transfieran a Japón o a otros países.

Cuando un servicio requiera que determinados datos sean tratados, consultados o almacenados fuera del Espacio Económico Europeo, utilizaremos un mecanismo permitido por el Reglamento General de Protección de Datos, como una decisión de adecuación de la Comisión Europea, cláusulas contractuales tipo, un acuerdo de protección de datos aplicable u otra garantía legal reconocida.

El usuario puede contactarnos por correo electrónico para solicitar información sobre el destino, el mecanismo empleado y las garantías aplicadas a una transferencia concreta. El RGPD exige que las transferencias internacionales mantengan un nivel adecuado de protección mediante los mecanismos previstos en el propio Reglamento.

7. Conservación de los datos

Aplicamos los siguientes plazos de conservación:

  • Los datos de una cuenta activa se conservan mientras la cuenta permanezca abierta.
  • Las cuentas sin accesos ni pedidos durante 3 años podrán eliminarse después de informar al usuario con 30 días de antelación.
  • Cuando el usuario solicite el cierre de su cuenta, los datos exclusivos de esta se eliminarán en un plazo máximo de 30 días.
  • Las copias de seguridad que contengan datos eliminados se suprimirán en un plazo máximo de 90 días.
  • Los pedidos, facturas, confirmaciones de pago, entregas, cancelaciones, devoluciones, reembolsos y registros contables se conservan durante 6 años desde la finalización de la operación.
  • Las consultas de atención al cliente no vinculadas a una reclamación o disputa se conservan durante 12 meses desde la última comunicación.
  • Las reclamaciones y disputas se conservan durante su tramitación y durante 5 años desde su cierre.
  • Los registros técnicos ordinarios de acceso y seguridad se conservan durante 12 meses desde su creación.
  • Los registros relacionados con fraudes o incidentes de seguridad confirmados se conservan durante 5 años desde el cierre de la investigación.
  • Las solicitudes de ejercicio de derechos y sus respuestas se conservan durante 3 años desde su resolución.
  • La prueba del consentimiento para comunicaciones comerciales y de su retirada se conserva durante 3 años desde la baja.
  • Los datos de carritos abandonados que no generen una compra se eliminan después de 30 días.

Cuando un dato pertenezca a varias categorías, se aplicará el plazo más largo indicado. Finalizado el plazo correspondiente, los datos se eliminarán, se anonimizarán o se bloquearán hasta completar su supresión técnica.

8. Derechos del usuario

El usuario puede ejercer los siguientes derechos:

  • Recibir información clara sobre el tratamiento de sus datos.
  • Acceder a sus datos personales.
  • Rectificar datos inexactos o completar datos incompletos.
  • Solicitar la supresión de los datos cuando proceda.
  • Solicitar la limitación del tratamiento.
  • Oponerse a tratamientos basados en interés legítimo o destinados a comunicaciones comerciales directas.
  • Recibir los datos facilitados en un formato estructurado y solicitar su transmisión cuando se cumplan las condiciones de portabilidad.
  • Retirar el consentimiento en cualquier momento.
  • No quedar sujeto, cuando resulte aplicable, a decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos o consecuencias significativas similares.
  • Presentar una reclamación ante la Agencia Española de Protección de Datos.

El Reglamento General de Protección de Datos reconoce los derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y oposición a decisiones automatizadas.

Estos derechos no son absolutos en todos los casos. La eliminación inmediata puede rechazarse o limitarse cuando determinados datos deban conservarse para cumplir obligaciones fiscales, contables, contractuales, de seguridad o para gestionar una reclamación o disputa.

9. Ejercicio de los derechos

El usuario debe presentar su solicitud preferentemente por correo electrónico e incluir:

  • Nombre.
  • Derecho que desea ejercer.
  • Información relacionada con la solicitud.
  • Datos mínimos necesarios para confirmar su identidad.
  • Medio por el que desea recibir la respuesta.

La información de verificación se utilizará únicamente para confirmar la identidad del solicitante y localizar los datos afectados. No solicitaremos información excesiva ni ajena a la petición.

Responderemos en el plazo de un mes desde la recepción. Cuando la complejidad o el número de solicitudes lo requiera, este plazo podrá ampliarse hasta dos meses adicionales. En ese caso, informaremos al usuario de la ampliación y de sus motivos dentro del primer mes. Las solicitudes pueden limitarse o rechazarse cuando exista una razón legal, que será explicada al usuario. El plazo general de respuesta y la posibilidad de ampliación están establecidos en el RGPD y son reconocidos por la AEPD.

El usuario puede modificar determinados datos mediante las funciones de su cuenta, cuando estén disponibles, o solicitar su corrección, eliminación o limitación por correo electrónico.

Cuando una obligación exija conservar determinados registros, mantendremos únicamente la información necesaria y limitaremos su uso a la finalidad que justifique la conservación.

10. Comunicaciones comerciales y cookies

Solo enviaremos comunicaciones comerciales cuando exista consentimiento u otra base jurídica válida. Cada comunicación incluirá un medio sencillo para cancelar la suscripción.

Después de retirar la autorización, el usuario dejará de recibir contenido comercial, pero podrá seguir recibiendo avisos necesarios relacionados con pedidos, pagos, entregas, seguridad o atención al cliente.

Los datos generados mediante cookies y tecnologías similares se tratan conforme a esta política y a la Información sobre cookies del sitio web.

Las cookies no necesarias solo se activan después de una elección expresa. El usuario puede rechazarlas o retirar posteriormente su autorización sin perder el acceso a las funciones básicas de compra.

11. Seguridad y gestión de incidentes

Aplicamos medidas técnicas y organizativas proporcionadas a los datos tratados y a los riesgos existentes, entre ellas:

  • Gestión de accesos y limitación de permisos.
  • Controles de seguridad de cuentas y sistemas.
  • Protección de la transmisión de datos.
  • Registro de actividad y detección de anomalías.
  • Restricción de los permisos concedidos a los prestadores de servicios.
  • Revisión y actualización de las medidas de seguridad.

Ningún sistema permite eliminar todos los riesgos. Si se produce un incidente que pueda afectar a los datos personales, adoptaremos medidas para limitar sus efectos, investigar su causa y cumplir las obligaciones de notificación correspondientes.

Cuando el incidente pueda generar un riesgo elevado para los derechos y libertades de los usuarios, se proporcionará a las personas afectadas la información exigida por el Reglamento General de Protección de Datos.

12. Menores y decisiones automatizadas

Nuestro sitio web está dirigido principalmente a personas con capacidad para realizar compras de forma independiente. No solicitamos deliberadamente datos personales de menores.

Si detectamos que se han recopilado datos de un menor sin una autorización válida, adoptaremos medidas para eliminarlos o limitar su tratamiento, salvo que deban conservarse para proteger sus derechos.

Las comprobaciones automáticas ordinarias relacionadas con la seguridad, la validación de pedidos o el funcionamiento del sitio web no constituyen por sí mismas decisiones con efectos jurídicos o consecuencias similares significativas.

No adoptaremos decisiones basadas únicamente en tratamientos automatizados que produzcan esos efectos sin informar previamente al usuario, identificar una base jurídica válida y aplicar las garantías necesarias.

13. Normativa y reclamaciones

Esta política se basa en:

  • Reglamento (UE) 2016/679, Reglamento General de Protección de Datos.
  • Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales.

La Ley Orgánica 3/2018 complementa en España la aplicación del Reglamento General de Protección de Datos.

El usuario puede presentar una reclamación ante la Agencia Española de Protección de Datos. Cuando la reclamación esté relacionada con el ejercicio de un derecho, deberá haberse dirigido previamente al responsable del tratamiento y esperar el plazo correspondiente para recibir respuesta.

14. Actualización de la política

Esta política puede actualizarse cuando cambien las funciones del sitio web, las actividades de tratamiento o los requisitos legales.

La versión actualizada se publicará en la página correspondiente. Cuando un cambio afecte a un tratamiento basado en el consentimiento, se solicitará una nueva autorización antes de iniciarlo cuando sea necesario.

15. Información de contacto

Correo electrónico: supportdesk@galaracorner.com

Teléfono: +81 (808) 300 83 35

Dirección: RYOKE 3-5-3, URAWA-KU, SAITAMA-SHI, SAITAMA 330-0072, JAPÓN

Horario de atención: De lunes a viernes, de 08:30 a 16:00

Zona de entrega: Todo el territorio español.