Tema
RGPD y Visión General de la Protección de Datos
Esta guía explica cómo es el cumplimiento del RGPD al gestionar una tienda online con Capyshop. Cubre lo que la plataforma gestiona por ti, lo que sigue siendo tu responsabilidad como operador de la tienda y cómo manejar escenarios comunes de protección de datos.
Tu Rol: Responsable del Tratamiento
Como operador de la tienda, tú eres el responsable del tratamiento de datos. Esto significa que determinas los fines y los medios del tratamiento de los datos personales de tus clientes. Capyshop es tu encargado del tratamiento — proporciona la tecnología y la infraestructura, pero tú asumes la responsabilidad legal del cumplimiento del RGPD.
Lo Que Cubre Capyshop
La plataforma ofrece estas funcionalidades de RGPD integradas:
| Funcionalidad | Cómo funciona |
|---|---|
| Banner de consentimiento de cookies | Los visitantes ven un banner en la primera visita con opciones de Aceptar/Rechazar. Los scripts de analytics y de terceros solo se cargan tras el consentimiento explícito. |
| Bloqueo por consentimiento de analytics | Los scripts de terceros y las analíticas están completamente desactivados hasta que el visitante acepta las cookies. |
| Derecho de acceso | Los usuarios pueden descargar todos sus datos en formato JSON estructurado desde la página de su perfil. |
| Derecho de supresión | Los usuarios pueden eliminar su cuenta directamente desde su perfil. Los pedidos se anonimizan (se eliminan los datos personales), mientras que los registros financieros se conservan por obligaciones fiscales. |
| Derecho a la portabilidad de los datos | Exportación con un solo clic de todos los datos personales (perfil, direcciones, pedidos, registros de consentimiento, reseñas) en JSON legible por máquina. |
| Verificación de edad | Los usuarios deben proporcionar su fecha de nacimiento al registrarse. No se pueden crear cuentas de menores de 18 años. |
| Política de privacidad | Se genera automáticamente una política de privacidad completa con divulgación de los derechos del RGPD, información del encargado del tratamiento y datos de contacto. |
| Auditoría de consentimiento de los Términos del Servicio | La aceptación de los Términos del Servicio se registra con fecha/hora, dirección IP y número de versión. |
| Conservación de datos | Los datos de analytics se eliminan automáticamente tras un período configurable (predeterminado: 90 días). Las cuentas inactivas se marcan para su eliminación tras 3 años de inactividad. |
| Inactividad de cuenta | Los usuarios que no han accedido a la plataforma en un número configurable de años reciben un correo de aviso y su cuenta se programa para su eliminación. |
| Cabeceras de seguridad | Se aplican HSTS, CSP, X-Content-Type-Options y X-Frame-Options. |
| Limitación de tasa (rate limiting) | Los endpoints de autenticación y las operaciones de la API tienen limitación de tasa para prevenir abusos. |
Tus Responsabilidades
Registro de Auditoría del Consentimiento de Cookies
Cumple — Implementado: Las decisiones de consentimiento de cookies se registran en el servidor a través del modelo ConsentLog con el tipo "cookies". Cuando un usuario acepta o rechaza el banner de cookies, la decisión se registra junto con su dirección IP y la fecha/hora.
Acuerdos de Encargo del Tratamiento (DPA)
Debes tener DPAs vigentes con todos los encargados del tratamiento que utilices:
| Servicio | Finalidad | ¿DPA Disponible? |
|---|---|---|
| Stripe | Procesamiento de pagos | Sí (DPA de Stripe) |
| PostHog | Telemetría de la plataforma | Sí (DPA de PostHog) |
| Tu proveedor SMTP | Envío de correos electrónicos | Depende del proveedor |
| Google Analytics | Analytics de la tienda | A través de los términos de Google |
| Tu proveedor de alojamiento | Infraestructura | Depende del proveedor |
Cumplimiento de Marketing
Capyshop registra un indicador subscribeToNews, pero no tiene un sistema de email marketing integrado. Si conectas un servicio externo de email marketing, debes:
- Obtener consentimiento explícito (sin casillas premarcadas)
- Implementar doble confirmación (double opt-in) cuando sea necesario
- Proporcionar enlaces de cancelación de suscripción con un solo clic
- Mantener tu propio registro de auditoría de consentimiento
Notificación de Violación de Datos
Capyshop no detecta ni notifica automáticamente las violaciones de datos. Si ocurre una violación:
- Notifica a tu autoridad de control en un plazo de 72 horas (Art. 33)
- Notifica a los usuarios afectados sin demora indebida si existe un alto riesgo (Art. 34)
- Puedes exportar todos los datos de los usuarios desde el panel de administración para contactar a los usuarios afectados
Autoridades de Protección de Datos de la UE
Registros de Actividades de Tratamiento (RAT)
Debes mantener un registro escrito de tus actividades de tratamiento (Art. 30). Este documento debe enumerar qué datos recopilas, por qué, durante cuánto tiempo los conservas y quién los trata.
Cómo Gestionar las Solicitudes de los Interesados
Derecho de Acceso (Art. 15)
Los usuarios pueden ver sus datos en la página de su perfil y descargarlos mediante el botón Descargar Mis Datos. Los administradores también pueden exportar datos de usuarios desde el panel de administración.
Derecho de Supresión (Art. 17)
Los usuarios pueden eliminar su propia cuenta desde la página de su perfil (Zona de Peligro). Los administradores también pueden eliminar usuarios desde el panel de administración. El proceso de eliminación:
- Anonimiza los datos personales del pedido (nombre, correo electrónico, direcciones), conservando los registros financieros con fines fiscales
- Elimina datos de analytics, registros de consentimiento, reseñas, lista de deseos y sesiones
- La eliminación en cascada gestiona direcciones, cuentas y otros registros relacionados
Derecho a la Portabilidad de los Datos (Art. 20)
Los usuarios pueden descargar todos sus datos personales como un archivo JSON desde la página de su perfil. La exportación incluye perfil, direcciones, pedidos con artículos, registros de consentimiento y reseñas de productos.
Limpieza Automatizada de Cuentas Inactivas
Por defecto, las cuentas que han estado inactivas durante 3 años se marcan para su eliminación:
- Se envía un correo electrónico al usuario avisando de que su cuenta será eliminada en 7 días
- Si el usuario vuelve a iniciar sesión, el temporizador de inactividad se reinicia
- Tras 7 días sin actividad, la cuenta se elimina automáticamente
Configura el umbral con la variable de entorno INACTIVE_ACCOUNT_DELETION_YEARS.
Resumen de Encargados del Tratamiento
Al gestionar una tienda Capyshop, estos servicios pueden tratar datos personales:
| Encargado | Finalidad | Datos |
|---|---|---|
| Stripe | Procesamiento de pagos | Importes de pago, moneda, metadatos |
| PostHog | Telemetría de la plataforma (opcional) | Vistas de página, errores (sin datos personales de clientes) |
| Proveedor de correo (SMTP) | Correos transaccionales | Direcciones de correo, detalles del pedido, nombres |
| Google Analytics / Meta | Analytics de la tienda (opcional) | Vistas de página, eventos (bloqueados sin consentimiento) |
| Proveedor de alojamiento | Alojamiento de la aplicación + base de datos | Todos los datos personales (en reposo) |
Aviso Legal
Capyshop se proporciona "tal cual", sin garantías. Utilizas la plataforma bajo tu propio riesgo. Capyshop no se hace responsable de las violaciones de datos, la pérdida de datos o el incumplimiento del RGPD en tiendas autoalojadas.