Skip to content

RGPD y Visión General de la Protección de Datos

Esta guía explica cómo es el cumplimiento del RGPD al gestionar una tienda online con Capyshop. Cubre lo que la plataforma gestiona por ti, lo que sigue siendo tu responsabilidad como operador de la tienda y cómo manejar escenarios comunes de protección de datos.

Tu Rol: Responsable del Tratamiento

Como operador de la tienda, tú eres el responsable del tratamiento de datos. Esto significa que determinas los fines y los medios del tratamiento de los datos personales de tus clientes. Capyshop es tu encargado del tratamiento — proporciona la tecnología y la infraestructura, pero tú asumes la responsabilidad legal del cumplimiento del RGPD.

Lo Que Cubre Capyshop

La plataforma ofrece estas funcionalidades de RGPD integradas:

FuncionalidadCómo funciona
Banner de consentimiento de cookiesLos visitantes ven un banner en la primera visita con opciones de Aceptar/Rechazar. Los scripts de analytics y de terceros solo se cargan tras el consentimiento explícito.
Bloqueo por consentimiento de analyticsLos scripts de terceros y las analíticas están completamente desactivados hasta que el visitante acepta las cookies.
Derecho de accesoLos usuarios pueden descargar todos sus datos en formato JSON estructurado desde la página de su perfil.
Derecho de supresiónLos usuarios pueden eliminar su cuenta directamente desde su perfil. Los pedidos se anonimizan (se eliminan los datos personales), mientras que los registros financieros se conservan por obligaciones fiscales.
Derecho a la portabilidad de los datosExportación con un solo clic de todos los datos personales (perfil, direcciones, pedidos, registros de consentimiento, reseñas) en JSON legible por máquina.
Verificación de edadLos usuarios deben proporcionar su fecha de nacimiento al registrarse. No se pueden crear cuentas de menores de 18 años.
Política de privacidadSe genera automáticamente una política de privacidad completa con divulgación de los derechos del RGPD, información del encargado del tratamiento y datos de contacto.
Auditoría de consentimiento de los Términos del ServicioLa aceptación de los Términos del Servicio se registra con fecha/hora, dirección IP y número de versión.
Conservación de datosLos datos de analytics se eliminan automáticamente tras un período configurable (predeterminado: 90 días). Las cuentas inactivas se marcan para su eliminación tras 3 años de inactividad.
Inactividad de cuentaLos usuarios que no han accedido a la plataforma en un número configurable de años reciben un correo de aviso y su cuenta se programa para su eliminación.
Cabeceras de seguridadSe aplican HSTS, CSP, X-Content-Type-Options y X-Frame-Options.
Limitación de tasa (rate limiting)Los endpoints de autenticación y las operaciones de la API tienen limitación de tasa para prevenir abusos.

Tus Responsabilidades

Registro de Auditoría del Consentimiento de Cookies

Cumple — Implementado: Las decisiones de consentimiento de cookies se registran en el servidor a través del modelo ConsentLog con el tipo "cookies". Cuando un usuario acepta o rechaza el banner de cookies, la decisión se registra junto con su dirección IP y la fecha/hora.

Acuerdos de Encargo del Tratamiento (DPA)

Debes tener DPAs vigentes con todos los encargados del tratamiento que utilices:

ServicioFinalidad¿DPA Disponible?
StripeProcesamiento de pagosSí (DPA de Stripe)
PostHogTelemetría de la plataformaSí (DPA de PostHog)
Tu proveedor SMTPEnvío de correos electrónicosDepende del proveedor
Google AnalyticsAnalytics de la tiendaA través de los términos de Google
Tu proveedor de alojamientoInfraestructuraDepende del proveedor

Cumplimiento de Marketing

Capyshop registra un indicador subscribeToNews, pero no tiene un sistema de email marketing integrado. Si conectas un servicio externo de email marketing, debes:

  • Obtener consentimiento explícito (sin casillas premarcadas)
  • Implementar doble confirmación (double opt-in) cuando sea necesario
  • Proporcionar enlaces de cancelación de suscripción con un solo clic
  • Mantener tu propio registro de auditoría de consentimiento

Notificación de Violación de Datos

Capyshop no detecta ni notifica automáticamente las violaciones de datos. Si ocurre una violación:

  1. Notifica a tu autoridad de control en un plazo de 72 horas (Art. 33)
  2. Notifica a los usuarios afectados sin demora indebida si existe un alto riesgo (Art. 34)
  3. Puedes exportar todos los datos de los usuarios desde el panel de administración para contactar a los usuarios afectados

Autoridades de Protección de Datos de la UE

Registros de Actividades de Tratamiento (RAT)

Debes mantener un registro escrito de tus actividades de tratamiento (Art. 30). Este documento debe enumerar qué datos recopilas, por qué, durante cuánto tiempo los conservas y quién los trata.

Cómo Gestionar las Solicitudes de los Interesados

Derecho de Acceso (Art. 15)

Los usuarios pueden ver sus datos en la página de su perfil y descargarlos mediante el botón Descargar Mis Datos. Los administradores también pueden exportar datos de usuarios desde el panel de administración.

Derecho de Supresión (Art. 17)

Los usuarios pueden eliminar su propia cuenta desde la página de su perfil (Zona de Peligro). Los administradores también pueden eliminar usuarios desde el panel de administración. El proceso de eliminación:

  • Anonimiza los datos personales del pedido (nombre, correo electrónico, direcciones), conservando los registros financieros con fines fiscales
  • Elimina datos de analytics, registros de consentimiento, reseñas, lista de deseos y sesiones
  • La eliminación en cascada gestiona direcciones, cuentas y otros registros relacionados

Derecho a la Portabilidad de los Datos (Art. 20)

Los usuarios pueden descargar todos sus datos personales como un archivo JSON desde la página de su perfil. La exportación incluye perfil, direcciones, pedidos con artículos, registros de consentimiento y reseñas de productos.

Limpieza Automatizada de Cuentas Inactivas

Por defecto, las cuentas que han estado inactivas durante 3 años se marcan para su eliminación:

  1. Se envía un correo electrónico al usuario avisando de que su cuenta será eliminada en 7 días
  2. Si el usuario vuelve a iniciar sesión, el temporizador de inactividad se reinicia
  3. Tras 7 días sin actividad, la cuenta se elimina automáticamente

Configura el umbral con la variable de entorno INACTIVE_ACCOUNT_DELETION_YEARS.

Resumen de Encargados del Tratamiento

Al gestionar una tienda Capyshop, estos servicios pueden tratar datos personales:

EncargadoFinalidadDatos
StripeProcesamiento de pagosImportes de pago, moneda, metadatos
PostHogTelemetría de la plataforma (opcional)Vistas de página, errores (sin datos personales de clientes)
Proveedor de correo (SMTP)Correos transaccionalesDirecciones de correo, detalles del pedido, nombres
Google Analytics / MetaAnalytics de la tienda (opcional)Vistas de página, eventos (bloqueados sin consentimiento)
Proveedor de alojamientoAlojamiento de la aplicación + base de datosTodos los datos personales (en reposo)

Aviso Legal

Capyshop se proporciona "tal cual", sin garantías. Utilizas la plataforma bajo tu propio riesgo. Capyshop no se hace responsable de las violaciones de datos, la pérdida de datos o el incumplimiento del RGPD en tiendas autoalojadas.

Recursos Útiles