Política de privacidad
Última actualización: 5 de noviembre de 2025
1. Quiénes somos (Responsable del tratamiento)
Esta tienda online (sucto.eu) trata datos personales conforme al RGPD. A efectos del RGPD, actuamos como Responsable del tratamiento (datos completos en la Sección 13 - Contacto e Identidad).
El contacto para privacidad es support@sucto.eu
2. Ámbito y base jurídica
Esta Política describe cómo recopilamos, usamos y divulgamos datos personales cuando visitas, compras o interactúas con nuestros Servicios. Tratamos datos conforme al RGPD y normativa ePrivacy.
2.1 Finalidades y bases legales (Art. 6 RGPD)
| Finalidad | Datos implicados | Base legal |
|---|---|---|
| Ejecutar tu compra y prestar el servicio (checkout, envíos, devoluciones, atención posventa) | Identificación, contacto, pedido, pago, entrega | Art. 6(1)(b) Ejecución de contrato |
| Facturación y obligaciones fiscales/contables | Datos de facturación (incl. NIF), pedido, pagos | Art. 6(1)(c) Obligación legal |
| Soporte y atención al cliente | Datos de contacto, historial de tickets | Art. 6(1)(b) Contrato / 6(1)(f) Interés legítimo |
| Mejora de UX y análisis estadístico (p. ej., Microsoft Clarity) | Eventos de navegación, dispositivo, IP (seudon.) | Art. 6(1)(a) Consentimiento |
| Publicidad y remarketing (p. ej., Meta Pixel) | Eventos de conversión, navegación seudon. | Art. 6(1)(a) Consentimiento |
| Seguimiento de entregas (Track123) | Datos de pedido y envío | Art. 6(1)(b) Contrato |
| Prevención del fraude y seguridad | Logs técnicos, IP, patrones de riesgo | Art. 6(1)(f) Interés legítimo |
| Reseñas de productos (Loox), si participan | Nombre, email, contenido de la reseña | Art. 6(1)(a) Consentimiento / 6(1)(f) Interés legítimo |
2.2 Plazos de conservación
| Categoría | Plazo | Fundamento/nota |
|---|---|---|
| Datos de pedidos/facturación | 7 años | Obligaciones fiscales/contables |
| Soporte (Gorgias) | Hasta 3 años | Prescripción de reclamaciones |
| Consentimiento cookies (Consentmo) | 12 meses | Accountability RGPD |
| Analítica UX (Clarity) y Marketing (Meta) | Hasta 13 meses | Según proveedor; sujeto a retirada |
| Reseñas (Loox) | Hasta 5 años | Legítimo interés reputación |
3. Cookies y tecnologías similares
Empleamos cookies esenciales y, con tu consentimiento, cookies de analítica y marketing. Las cookies no esenciales solo se activan después del consentimiento vía nuestro CMP (Consentmo). Puedes gestionar/retirar tu consentimiento en cualquier momento desde Preferencias de Privacidad (pie de página).
Consulta la Política de Cookies para categorías, finalidades y duraciones.
4. Origen de los datos
- Directamente de ti (cuenta, pedidos, soporte).
- Automáticamente (dispositivo, uso del sitio) — ver Cookies.
- Proveedores que actúan en nuestro nombre (p. ej., Shopify, Gorgias, Track123).
- Socios logísticos (p. ej., CJdropshipping) para ejecutar tu envío.
5. Destinatarios y subprocesadores
Compartimos datos con proveedores que actúan siguiendo nuestras instrucciones (Art. 28 RGPD). Principales subprocesadores:
| Proveedor | Función | Ubicación | Mecanismo |
|---|---|---|---|
| Shopify | Plataforma eCommerce/checkout | UE/CA/EE. UU. | DPA + SCC |
| Consentmo | Gestión de consentimientos | UE | DPA |
| Microsoft Clarity | Analítica UX | EE. UU. | SCC (consentimiento) |
| Meta (Facebook) | Publicidad/remarketing | IE/EE. UU. | SCC (consentimiento) |
| Gorgias | Atención al cliente | EE. UU. | SCC |
| Track123 | Seguimiento de envíos | UE/extra-UE (validar) | DPA/SCC |
| Moloni (Portugal) | Facturación | PT (UE) | DPA |
| Loox | Reseñas | EE. UU. | SCC (consentimiento) |
| CJdropshipping | Logística/dropshipping | China | SCC + evaluación de riesgo país; DPIA recomendada |
Podemos compartir datos con autoridades u otros terceros cuando lo requiera la ley o para defender nuestros derechos.
6. Transferencias internacionales
Cuando transferimos datos personales fuera del Espacio Económico Europeo (EEE) o del Reino Unido (por ejemplo, a EE. UU. o China), aplicamos Cláusulas Contractuales Tipo (SCC) y otras salvaguardas adecuadas reconocidas por la normativa europea (arts. 44–49 RGPD).
Estas medidas garantizan que el nivel de protección de tus datos se mantenga equivalente al exigido por el RGPD. Entre ellas se incluyen auditorías de proveedores, evaluación del marco legal del país receptor y cifrado de la información durante la transmisión y almacenamiento.
En el caso de CJdropshipping (China), realizaremos una Evaluación de Impacto sobre la Protección de Datos (DPIA) y aplicaremos el principio de minimización, compartiendo únicamente los datos necesarios para tramitar tus pedidos (por ejemplo, nombre, dirección de entrega y contacto). Evitaremos enviar información innecesaria, como datos sensibles o notas internas de cliente, en solicitudes RMA o devoluciones.
Puedes solicitar más información sobre las SCC u otras garantías implementadas escribiendo a support@sucto.eu.
7. Marketing, perfiles y decisiones automatizadas
Con tu consentimiento, podemos utilizar tus datos de navegación o identificadores seudonimizados (por ejemplo, a través de Meta o herramientas equivalentes) para mostrarte publicidad relevante y medir la eficacia de nuestras campañas de marketing.
Tienes derecho a oponerte al marketing directo en cualquier momento, así como a retirar tu consentimiento sin que ello afecte a la licitud del tratamiento previo.
- Para retirar el consentimiento, ajusta tus Preferencias de Privacidad (en el pie de página).
- Para oponerte a comunicaciones comerciales, utiliza el enlace “Cancelar suscripción” o contacta con support@sucto.eu.
No realizamos decisiones exclusivamente automatizadas que produzcan efectos jurídicos o consecuencias significativas para ti (artículo 22 del RGPD). Si en el futuro aplicamos sistemas de decisión automatizada, te informaremos previamente y podrás solicitar intervención humana, expresar tu punto de vista o impugnar la decisión.
8. Seguridad
Aplicamos medidas técnicas y organizativas adecuadas para proteger tus datos personales contra acceso no autorizado, pérdida, destrucción o alteración. Estas medidas incluyen:
- Cifrado de las comunicaciones (TLS 1.2 o superior) y de los datos almacenados.
- Controles de acceso basados en el principio de necesidad de conocer.
- Registro y monitorización de accesos, auditorías periódicas y gestión de vulnerabilidades.
- Políticas de minimización y retención limitada de la información.
- Evaluaciones de impacto (DPIA) para tratamientos que puedan implicar riesgos elevados.
Aunque adoptamos las mejores prácticas de seguridad del sector, ningún sistema es completamente infalible. Por ello, te recomendamos no enviar información confidencial a través de canales no cifrados.
9. Menores
Nuestros Servicios no están dirigidos a menores de edad. En España, el consentimiento digital se reconoce a partir de los 14 años (art. 7 LOPDGDD). No recopilamos conscientemente datos de menores de 14 años sin la autorización de sus padres o tutores legales.
Si crees que un menor nos ha facilitado información personal, por favor escríbenos a support@sucto.eu para solicitar su eliminación inmediata.
10. Derechos de las personas
Conforme al Reglamento (UE) 2016/679 (RGPD), tienes derecho a: acceder, rectificar, suprimir, limitar, oponerte al tratamiento, portar tus datos y retirar el consentimiento.
Cómo ejercerlos: a través de nuestro portal DSAR gestionado por Consentmo en /pages/gdpr o escribiendo a support@sucto.eu.
Responderemos en un plazo máximo de 30 días naturales desde la recepción de tu solicitud (prorrogable hasta 60 días en casos complejos). Si lo consideramos necesario, podremos solicitar verificación de identidad antes de proceder.
Si no estás conforme con la respuesta recibida, puedes presentar una reclamación ante tu autoridad local de protección de datos. En España, la autoridad competente es la Agencia Española de Protección de Datos (AEPD). También puedes dirigirte a la autoridad de nuestro establecimiento en Portugal, la Comissão Nacional de Proteção de Dados (CNPD).
11. Sitios de terceros
Nuestro sitio web puede contener enlaces a servicios o plataformas de terceros (por ejemplo, redes sociales, pasarelas de pago, herramientas de análisis o logística). Cada uno de ellos aplica su propia política de privacidad y condiciones de uso.
No somos responsables de las prácticas de privacidad o seguridad de dichos terceros. Te recomendamos revisar cuidadosamente sus políticas antes de facilitar cualquier información personal.
12. Cambios en esta Política
Podremos actualizar esta Política de Privacidad para reflejar cambios legales, técnicos o de funcionamiento. Publicaremos siempre la versión vigente con la fecha de “Última actualización”.
Cuando los cambios sean sustanciales, te informaremos mediante aviso visible en el sitio y, si procede, solicitaremos de nuevo tu consentimiento para el tratamiento de datos o uso de cookies.
13. Contacto e Identidad del Responsable del Tratamiento
Responsable del tratamiento: Holzvend, Unipessoal Lda. (nombre comercial: "Sucto")
NIPC/NIF: PT518351904
Domicilio: Rua da Igreja, 45, Arcos 3780-309 Anadia, Portugal
Contacto de privacidad:
- Email: support@sucto.eu
- Horario: Lunes a Viernes, 09:00–21:00 (hora de Lisboa)
Delegado de Protección de Datos: No aplicable (empresa con menos de 250 empleados)
Portal DSAR (Solicitudes de Derechos): [/pages/gdpr](/pages/gdpr) - gestionado por Consentmo
Reclamaciones ante autoridad local: