Política de privacidad
Responsable del tratamiento
En cumplimiento del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), se informa al usuario de que el responsable del tratamiento de sus datos personales es:
| Titular | Manuel Sancho López |
| NIF | 53342067F |
| Nombre Comercial | Barbagan |
| Nombre de dominio | www.barbagan.com |
| Domicilio | Calle Llauradors 1, Piso 4 Puerta 32. 46119 Náquera (Valencia) |
| Correo electrónico | info@barbagan.com |
| Actividad económica | Venta online de puzzles, juegos educativos e ingenio. |
El responsable no está obligado a designar un Delegado de Protección de Datos conforme al artículo 37 del RGPD y al artículo 34 de la LOPDGDD. Para cualquier cuestión relacionada con el tratamiento de datos personales, el usuario puede dirigirse al correo electrónico indicado.
---
Principios aplicables al tratamiento
El tratamiento de los datos personales del usuario se ajusta a los principios de licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad, confidencialidad y responsabilidad proactiva, recogidos en el artículo 5 del RGPD.
---
Datos personales que se recogen
|
Canal de recogida |
Datos |
|
Formulario de pedido |
Nombre, apellidos, dirección de envío y facturación, correo electrónico, teléfono, datos de pago (procesados por Shopify Payments; el responsable no accede a los datos completos de la tarjeta), NIF (si solicita factura) |
|
Cuenta de cliente |
Nombre, apellidos, correo electrónico, contraseña (cifrada), dirección, teléfono, historial de pedidos |
|
Formulario de contacto |
Nombre, correo electrónico, asunto y contenido del mensaje |
|
Newsletter |
Correo electrónico y, en su caso, nombre |
|
WhatsApp Business |
Número de teléfono, nombre del perfil y contenido de la conversación |
|
Navegación (automatizado) |
Dirección IP, tipo de navegador, sistema operativo, páginas visitadas, tiempo de permanencia, origen del tráfico, identificadores de cookies, datos de interacción con el sitio web |
Los datos marcados como obligatorios en los formularios son necesarios para la prestación del servicio. La negativa a facilitarlos impedirá la ejecución del contrato o la atención de la solicitud. Los demás datos son facultativos.
---
Procedencia de los datos
De conformidad con los artículos 13 y 14 del RGPD:
Facilitados por el usuario: formularios de pedido, registro de cuenta, contacto, newsletter y conversaciones por WhatsApp Business.
Recogidos de forma automatizada: mediante cookies y tecnologías similares (Google Analytics 4, Microsoft Clarity, Meta Pixel). Más información en la Política de Cookies.
---
Finalidades, base jurídica y datos tratados
De conformidad con los artículos 6 y 7 del RGPD y el artículo 21 de la LSSI-CE:
|
Finalidad |
Base jurídica |
Datos tratados |
|
Gestión de pedidos y envíos |
Ejecución de contrato (art. 6.1.b RGPD) |
Nombre, apellidos, dirección, email, teléfono, datos de pago, NIF (si solicita factura) |
|
Cuenta de cliente |
Ejecución de contrato (art. 6.1.b RGPD) |
Nombre, apellidos, email, contraseña (cifrada), dirección, teléfono, historial de pedidos |
|
Formulario de contacto |
Consentimiento (art. 6.1.a RGPD) |
Nombre, email, asunto y contenido del mensaje |
|
Newsletter a no clientes |
Consentimiento (art. 6.1.a RGPD + art. 21.1 LSSI-CE) |
Email y, en su caso, nombre |
|
Comunicaciones a clientes existentes |
Interés legítimo (art. 6.1.f RGPD + art. 21.2 LSSI-CE) ¹ |
Email e historial de compras (categorías de productos adquiridos) |
|
Atención al cliente (WhatsApp) |
Ejecución de contrato (art. 6.1.b) si vinculada a pedido; consentimiento (art. 6.1.a) en los demás casos |
Teléfono, nombre de perfil, contenido de la conversación |
|
Obligaciones legales (facturación) |
Obligación legal (art. 6.1.c RGPD): Ley 58/2003, RD 1619/2012, Código de Comercio |
Nombre, apellidos, NIF, dirección, detalle de compra |
|
Prevención del fraude |
Interés legítimo (art. 6.1.f RGPD) ² |
Datos de la transacción, dirección IP, datos de navegación |
|
Análisis web (GA4, Clarity) |
Consentimiento (art. 6.1.a RGPD) ³ |
IP (anonimizada en GA4), datos de navegación, interacciones. Clarity además recoge mapas de calor y grabaciones de sesiones (campos de formularios enmascarados por defecto) |
|
Publicidad y remarketing (Meta Pixel) |
Consentimiento (art. 6.1.a RGPD) ³ |
Datos de navegación, páginas visitadas, productos visualizados, acciones de compra, identificadores de cookies |
Notas sobre el interés legítimo:
¹ Comunicaciones a clientes existentes: el art. 21.2 LSSI-CE permite enviar comunicaciones sobre productos similares a los adquiridos, siempre que se ofrezca la posibilidad de oponerse. La ponderación considera que (a) existe relación comercial previa, (b) las comunicaciones se limitan a productos similares, (c) el usuario puede oponerse en cualquier momento mediante el enlace de baja.
² Prevención del fraude: la ponderación considera que (a) es necesaria para la protección del comercio electrónico, (b) se limita al análisis de patrones de transacciones, (c) no implica tratamiento invasivo de datos adicionales, (d) beneficia también al usuario al proteger la seguridad de sus transacciones.
³ Las cookies analíticas y publicitarias no se activan hasta que el usuario presta su consentimiento a través del banner de cookies.
---
Decisiones automatizadas y elaboración de perfiles
De conformidad con el artículo 22 del RGPD, se informa al usuario de que el sitio web utiliza herramientas de analítica y publicidad (Google Analytics 4, Microsoft Clarity, Meta Pixel) que pueden generar segmentos de audiencia y patrones de navegación con fines estadísticos y publicitarios.
Ninguno de estos tratamientos implica decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o significativos sobre el usuario (art. 22.1 RGPD).
El usuario puede oponerse revocando su consentimiento en la configuración de cookies. Más información en la Política de Cookies
---
Destinatarios y encargados del tratamiento
De conformidad con el artículo 28 del RGPD, los datos personales del usuario se comunican a los siguientes encargados del tratamiento:
|
Encargado |
Función |
Datos tratados |
Ubicación |
Garantías |
Más información |
|
Shopify Inc. |
Plataforma e-commerce y pagos |
Todos los datos de la tienda, pedidos y pagos |
Canadá / EE.UU. |
DPF + SCCs + Decisión adecuación Canadá |
|
|
Google LLC |
Analítica web, comunicaciones y almacenamiento |
Datos de navegación, IP (anonimizada), emails y documentación del servicio |
EE.UU. / UE |
DPF + SCCs |
|
|
Meta Platforms Inc. |
Publicidad, remarketing, atención al cliente (WhatsApp) |
Datos de navegación, interacción publicitaria, teléfono, nombre de perfil, conversaciones WhatsApp |
EE.UU. |
DPF + SCCs |
|
|
Klaviyo Inc. |
Email marketing |
Email, nombre (si facilitado), historial de interacción (apertura, clics) |
EE.UU. |
DPF + SCCs |
|
|
Microsoft Corporation |
Analítica web (Clarity) |
Datos de navegación, mapas de calor, grabaciones de sesiones |
EE.UU. / UE |
DPF + SCCs |
|
|
Holded Technologies S.L. |
Facturación y contabilidad |
Nombre, apellidos, NIF, dirección, detalle de compra |
España |
Sin transferencia internacional |
|
|
S.E. Correos y Telégrafos, S.A. |
Envío de pedidos |
Nombre, apellidos, dirección, teléfono |
España |
Sin transferencia internacional |
Los datos no se cederán a terceros distintos de los indicados, salvo obligación legal.
---
Transferencias internacionales de datos
Shopify Inc., Google LLC, Meta Platforms Inc., Klaviyo Inc. y Microsoft Corporation están ubicados fuera del Espacio Económico Europeo (EEE).
Las transferencias a Estados Unidos se realizan al amparo de la decisión de adecuación de la Comisión Europea de 10 de julio de 2023 relativa al EU-US Data Privacy Framework (DPF), conforme al artículo 45 del RGPD.
Las transferencias a Canadá (Shopify Inc.) se amparan adicionalmente en la decisión de adecuación de la Comisión Europea (Decisión 2002/2/CE) para organizaciones sujetas a la PIPEDA.
Como garantía subsidiaria, todos los encargados mencionados tienen suscritas cláusulas contractuales tipo (SCCs) aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914, art. 46.2.c RGPD), que operan como salvaguarda adicional en caso de que la decisión de adecuación del DPF fuera suspendida, modificada o invalidada.
El responsable se compromete a monitorizar de forma continua el estado del DPF y a adoptar las medidas necesarias para garantizar transferencias con garantías adecuadas en todo momento.
Holded Technologies S.L. y S.E. Correos y Telégrafos, S.A. están ubicados en España y no implican transferencia internacional.
Para más información, el usuario puede dirigirse al correo electrónico del responsable.
---
Plazos de conservación
|
Categoría de datos |
Plazo |
|
Pedidos y cuenta de cliente |
Vigencia de la relación contractual + plazos legales: 4 años (art. 66, Ley 58/2003 — LGT), 6 años (art. 30, Código de Comercio), 5 años (art. 1964, Código Civil). Prevalece el más largo |
|
Facturación y contabilidad |
4 años desde la última declaración fiscal (art. 66, Ley 58/2003). 6 años desde el cierre del ejercicio (art. 30, Código de Comercio) |
|
Consentimiento (newsletter, cookies) |
Hasta revocación del consentimiento |
|
Contacto y WhatsApp |
Tiempo necesario para gestionar la consulta, máximo 2 años desde la última comunicación, salvo relación contractual |
|
Interés legítimo (soft opt-in, fraude) |
Hasta que el usuario ejerza su derecho de oposición |
Transcurridos los plazos, los datos serán suprimidos o anonimizados de forma irreversible.
---
Derechos del interesado
De conformidad con los artículos 15 a 22 del RGPD y los artículos 12 a 18 de la LOPDGDD, el usuario tiene derecho a:
|
Derecho |
Artículo |
|
Acceso a sus datos personales |
Art. 15 RGPD |
|
Rectificación de datos inexactos o incompletos |
Art. 16 RGPD |
|
Supresión de sus datos |
Art. 17 RGPD |
|
Limitación del tratamiento |
Art. 18 RGPD |
|
Portabilidad de sus datos |
Art. 20 RGPD |
|
Oposición al tratamiento, incluido marketing directo y perfilado |
Art. 21 RGPD |
|
No ser objeto de decisiones automatizadas |
Art. 22 RGPD |
|
Retirar el consentimiento en cualquier momento, sin afectar la licitud del tratamiento previo |
Art. 7.3 RGPD |
Cómo ejercer sus derechos: enviar una comunicación al correo electrónico del responsable, indicando el derecho que desea ejercer, acompañada de copia de DNI, NIE o documento equivalente.
Plazo de respuesta: máximo 1 mes, ampliable a 2 meses adicionales si la solicitud es compleja, comunicando la ampliación dentro del primer mes.
Coste: gratuito, salvo solicitudes manifiestamente infundadas o excesivas.
Reclamación ante la autoridad de control:
Si el usuario considera que el tratamiento vulnera la normativa vigente, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): https://www.aepd.es · C/ Jorge Juan, 6, 28001 Madrid · Teléfono: 900 293 183.
---
Datos de menores
Este sitio web no está dirigido a menores de 14 años (art. 7 LOPDGDD). Solo los mayores de 14 años pueden prestar consentimiento válido para el tratamiento de datos personales. Para menores de 14 años, será necesario el consentimiento del titular de la patria potestad o tutela.
Si se detecta que se han recogido datos de un menor de 14 años sin dicho consentimiento, se procederá a su supresión inmediata. Si el usuario tiene conocimiento de esta situación, se ruega lo comunique al correo electrónico de contacto.
---
Comunicaciones comerciales
De conformidad con el artículo 21 de la LSSI-CE:
No clientes: requiere consentimiento previo y expreso (art. 21.1).
Clientes existentes: el responsable podrá enviar comunicaciones sobre productos o servicios similares a los adquiridos, siempre que el cliente no se haya opuesto (art. 21.2). La posibilidad de oposición se ofrece en el momento de la recogida de datos y en cada comunicación.
Todas las comunicaciones incluirán la identificación del remitente como Barbagan, la identificación como comunicación comercial y un mecanismo sencillo y gratuito de baja.
El usuario puede revocar su consentimiento en cualquier momento mediante el enlace de baja de cada comunicación o dirigiéndose al correo electrónico del responsable.
---
Medidas de seguridad
De conformidad con el artículo 32 del RGPD, el responsable ha adoptado medidas técnicas y organizativas adecuadas al riesgo, incluyendo cifrado SSL/TLS, control de acceso limitado a personal autorizado, revisión periódica de las medidas y selección de encargados con garantías suficientes (art. 28 RGPD).
Las medidas de seguridad en Internet no son inexpugnables. No es posible garantizar la seguridad absoluta de los datos personales.
En caso de brecha de seguridad que entrañe alto riesgo para los derechos y libertades del usuario, se le comunicará sin dilación indebida conforme al artículo 34 del RGPD.
---
Redes sociales
El responsable dispone de perfiles en: Instagram, Facebook y Whatsapp Business.
El tratamiento de datos a través de dichos perfiles se rige por la presente Política de Privacidad en lo que respecta a las acciones del responsable. El tratamiento que realicen las propias plataformas se rige por sus respectivas políticas de privacidad.
Se recomienda al usuario consultar las políticas de privacidad de cada plataforma antes de facilitar sus datos personales.
---
Modificaciones
El responsable se reserva el derecho a modificar esta Política de Privacidad para adaptarla a novedades legislativas o de práctica empresarial.
Cuando las modificaciones sean sustanciales, se informará al usuario a través del correo electrónico asociado a su cuenta o mediante aviso destacado en el sitio web.
---
Textos legales relacionados
· Condiciones Generales de Contratación
---
Última revisión: marzo de 2026