GDPR

Stonron otorga la máxima importancia a la protección de sus datos personales y a sus derechos de privacidad. Este documento explica cómo cumplimos con el Reglamento General de Protección de Datos (GDPR) y cuáles son sus derechos en el marco legal español y de la Unión Europea. Nos comprometemos a tratar su información de manera transparente, segura y responsable.

1. Ámbito de aplicación

La presente Declaración de Cumplimiento del GDPR se aplica a todas las actividades de tratamiento de datos personales en las siguientes circunstancias:

• Tratamos datos personales de usuarios ubicados en España o en la Unión Europea, ya sea que sea usuario registrado, visitante o cliente potencial que haya realizado una única consulta.
• Ello incluye situaciones en las que le ofrecemos bienes o servicios a usuarios en España, o cuando monitorizamos su comportamiento online (por ejemplo, hábitos de navegación, rutas de clics), incluso si el tratamiento de datos tiene lugar fuera de la Unión Europea.
• Esta política se aplica a los datos personales almacenados en formato electrónico o en formato papel estructurado (como documentos en papel clasificados por nombre o número).
• Excepción: Quedan excluidos los tratamientos correspondientes a actividades exclusivamente personales o domésticas (por ejemplo, sus propios registros de compra que no nos haya facilitado).

2. Principios básicos

En el tratamiento de sus datos personales, cumplimos siempre con los principios fundamentales establecidos en el artículo 5 del GDPR:

• Legalidad, transparencia y equidad: Le informamos de manera clara y comprensible sobre cómo se recopilan, utilizan y almacenan sus datos, sin ocultar ni engañar.
• Limitación de la finalidad: Sus datos solo se utilizarán para los fines específicos que usted conoció al prestar su consentimiento (como gestión de pedidos, envíos, atención al cliente), y no para fines nuevos no relacionados.
• Minimización de datos y exactitud: Solo recopilamos la cantidad mínima de información necesaria para lograr la finalidad prevista, y adoptamos medidas razonables para garantizar que sus datos sean exactos, completos y estén actualizados. Le animamos a revisar periódicamente la información de su cuenta y a notificarnos cualquier cambio.
• Plazo de conservación limitado: Sus datos personales solo se conservarán durante el tiempo necesario para cumplir con la finalidad para la que fueron recopilados. Por ejemplo, los datos de los pedidos se conservarán al menos 5 años para cumplir con obligaciones fiscales, mientras que los registros de navegación se guardan un máximo de 13 meses.
• Integridad y confidencialidad: Mediante medidas técnicas (cifrado, control de accesos) y organizativas (formación al personal, jerarquía de permisos), evitamos el acceso no autorizado, el tratamiento ilícito, la pérdida accidental o la divulgación de sus datos.

3. Derechos del usuario

De acuerdo con el GDPR, usted dispone de los siguientes derechos sobre sus datos personales. Para ejercer cualquiera de ellos, póngase en contacto con nosotros a través del apartado 8 de este documento:

• Derecho de información: Tiene derecho a saber si tratamos sus datos personales, así como los fines, categorías, destinatarios y otros detalles del tratamiento.
• Derecho de acceso: Puede solicitar una copia de los datos personales que estamos tratando.
• Derecho de rectificación: Si sus datos personales son inexactos o incompletos, puede solicitar su corrección o cumplimentación inmediata.
• Derecho de supresión (“derecho al olvido”): En determinadas circunstancias (por ejemplo, cuando los datos ya no son necesarios, retira su consentimiento o el tratamiento es ilícito), puede solicitar la eliminación de sus datos personales.
• Derecho a la limitación del tratamiento: En ciertos supuestos (por ejemplo, si impugna la exactitud de los datos, o si se opone al tratamiento mientras verificamos si nuestros motivos legítimos prevalecen), puede solicitar que suspendamos el tratamiento de sus datos.
• Derecho de oposición: Por motivos relacionados con su situación particular, puede oponerse al tratamiento basado en el interés público o en un interés legítimo.
• Derecho a la portabilidad de los datos: Puede solicitar que los datos personales que nos haya proporcionado se le entreguen en un formato estructurado, de uso común y lectura mecánica (como CSV o XML), o que los transmitamos directamente a otro responsable.
• Derecho a retirar el consentimiento: Si tratamos sus datos basándonos en su consentimiento (por ejemplo, para marketing o cookies analíticas), puede retirarlo en cualquier momento. La retirada no afecta a la licitud del tratamiento anterior.

Aclaración especial: Según el GDPR, los usuarios menores de 15 años requieren la autorización o representación de sus padres o tutores legales para ejercer los derechos relacionados con servicios de la sociedad de la información. No recopilamos activamente datos de menores; si detectamos un registro sin consentimiento parental, eliminaremos la información correspondiente.

4. Obligaciones de los encargados del tratamiento

Podemos compartir datos personales necesarios con ciertos socios externos (por ejemplo, transportistas, proveedores de sistemas de atención al cliente, servicios de alojamiento, pasarelas de pago) para poder prestarle nuestros servicios. Todos estos terceros actúan como encargados del tratamiento y deben cumplir las siguientes obligaciones:

• Actuar según instrucciones por escrito: Solo pueden tratar los datos conforme al contrato o instrucciones que les hayamos proporcionado, sin utilizarlos para sus propios fines.
• Adoptar medidas de seguridad adecuadas: Deben implementar medidas técnicas y organizativas acordes a los estándares del sector (cifrado, cortafuegos, registros de acceso) para proteger sus datos.
• Ayudar a responder a las solicitudes de los usuarios: Cuando recibamos una solicitud de ejercicio de derechos (acceso, supresión, etc.), están obligados a colaborar con nosotros para responder con agilidad.
• Notificar las violaciones de datos: En caso de que se produzca una violación de datos personales, deben notificárnoslo en un plazo de 48 horas, para que nosotros podamos informar a la autoridad de control dentro de las 72 horas reglamentarias.
• Mantener registros de las actividades de tratamiento: Deben conservar un registro escrito de todas las actividades de tratamiento realizadas en nuestro nombre, y someterse a auditorías nuestras o de la autoridad de control.
• Designar un Delegado de Protección de Datos (DPO) si es necesario: Si, por su actividad principal, el tercero está obligado a designar un DPO según el artículo 37 del GDPR, debe hacerlo y notificarlo a la Agencia Española de Protección de Datos (AEPD).

Nota: La autoridad de control mencionada en esta sección es la AEPD, que es la competente en España (en lugar de la CNIL, que corresponde a Francia).

5. Transferencias de datos

Para poder prestarle nuestros servicios, es posible que sus datos personales sean transferidos a países o regiones situados fuera del Espacio Económico Europeo (EEE). En tales casos, garantizamos un nivel adecuado de protección de datos mediante, entre otras, las siguientes medidas:

• Decisiones de adecuación de la Comisión Europea: Transferimos datos a países que la Comisión Europea ha reconocido como de nivel de protección suficiente (por ejemplo, Reino Unido, Israel, Japón).
• Cláusulas contractuales tipo (SCC): Firmamos con el destinatario las cláusulas contractuales tipo aprobadas por la Comisión Europea, que le obligan legalmente a ofrecer un nivel de protección equivalente al GDPR.
• Medidas complementarias de protección: Además de las SCC, para las transferencias a países sin decisión de adecuación, podemos exigir al destinatario la implementación de cifrado de almacenamiento, controles de acceso estrictos, auditorías de seguridad periódicas.
• Excepciones: En raras ocasiones, podemos basarnos en una excepción del artículo 49 del GDPR (por ejemplo, si usted nos ha dado su consentimiento explícito, o si la transferencia es necesaria para ejecutar un contrato con usted).

6. Supervisión y sanciones

La Agencia Española de Protección de Datos (AEPD) es la autoridad supervisora independiente encargada de velar por el cumplimiento del GDPR en España. De acuerdo con los artículos 58 y 83 del GDPR, la AEPD tiene las siguientes facultades:

• Realizar inspecciones: Puede auditar nuestras instalaciones o las de nuestros encargados, requiriendo el acceso a registros y sistemas, tanto de forma presencial como remota.
• Suspender o prohibir tratamientos de datos: Si detecta que una actividad de tratamiento infringe el GDPR, puede ordenar su suspensión o cese.
• Imponer sanciones económicas: Dependiendo de la gravedad de la infracción, puede imponer multas de:
  • Infracciones leves: hasta 10 millones de euros o el 2% de la facturación global anual (el importe más alto).
  • Infracciones graves (como violación de los derechos de los interesados o transferencias no autorizadas): hasta 20 millones de euros o el 4% de la facturación global anual (el importe más alto).

Hemos establecido mecanismos internos de cumplimiento para minimizar los riesgos de infracción y nos comprometemos a cooperar con todas las investigaciones legítimas de la AEPD.

7. Declaración de cumplimiento

Para garantizar que cumplimos de forma continuada con los requisitos del GDPR, adoptamos las siguientes medidas concretas:

• Garantizar el control continuo del usuario sobre sus datos: Ofrecemos interfaces claras de gestión del consentimiento y canales para ejercer sus derechos, permitiéndole consultar, modificar o eliminar sus datos en cualquier momento.
• Proporcionar un tratamiento transparente y responsable: En nuestra Política de Privacidad, Política de Cookies y otras condiciones de servicio, explicamos en lenguaje sencillo todas las actividades de tratamiento, y hemos designado a una persona responsable del cumplimiento normativo.
• Reducir los riesgos de privacidad mediante medidas técnicas y organizativas: Realizamos evaluaciones de impacto (DPIA) para tratamientos de alto riesgo, aplicamos seudonimización, realizamos análisis periódicos de vulnerabilidades y proporcionamos formación obligatoria sobre el GDPR a todo el personal que accede a datos.

Si tiene alguna preocupación sobre cómo tratamos sus datos, tiene derecho a presentar una reclamación ante la AEPD (dirección: C/ Jorge Juan, 6, 28001 Madrid, España; sitio web: www.aepd.es). Le animamos a que se ponga en contacto con nosotros primero; haremos todo lo posible por resolver su problema en el plazo de 1 mes.

8. Contacto

Si tiene alguna pregunta sobre esta Declaración de Cumplimiento del GDPR o desea ejercer sus derechos de protección de datos, puede contactarnos a través de:

• Dirección postal: 8604 Brazke Ct,Clinton,MD,20735
• Correo electrónico: care@stonron.com
• Teléfono: +1(917) 865-9573
• Horario de atención: Montag bis Freitag, von 9:00 bis 18:00 Uhr (CET)

Confirmaremos la recepción de su solicitud en un plazo de 1 día hábil y proporcionaremos una respuesta sustantiva dentro del plazo legal de 1 mes.

9. Representante de la UE (artículo 27 del GDPR)

De conformidad con el artículo 27 del GDPR, cuando ofrecemos bienes o servicios a personas situadas en la Unión Europea sin tener un establecimiento en la UE, hemos designado un representante en la Unión Europea que actúa como punto de contacto entre nosotros y las autoridades de control de los Estados miembros, así como con los interesados.

Este representante en la UE se encarga de:

• Recibir las consultas de protección de datos procedentes de usted o de las autoridades de control.
• Asistirle en el ejercicio de sus derechos de acceso, rectificación o supresión.
• Comunicarse con la AEPD y otras autoridades de control en caso de violación de datos o auditorías.

Si desea ponerse en contacto directamente con nuestro representante en la UE, o necesita obtener sus datos de contacto específicos (incluidos dirección y correo electrónico), por favor, realice su solicitud a través del apartado 8 anterior. Una vez verificada su identidad, le proporcionaremos los datos del representante en un plazo de 5 días hábiles.