Responsable del tratamiento
- Responsable: EMKA COFFEE GROUP S.L. (NIF B67734806)
- Domicilio: Calle Bahía de Palma, 9 — Át. A, 28042 Madrid
- Email: info@emkacoffee.com
- Teléfono: +34 658 371 547
Al tratarse de una PyME cuya actividad principal no implica tratamientos sistemáticos a gran escala ni categorías especiales de datos, no tenemos la obligación legal de designar un Delegado de Protección de Datos (art. 37 RGPD). Cualquier consulta sobre privacidad se canaliza directamente a través del email anterior.
Datos que recogemos y finalidad
Los datos que tratamos dependen de su interacción con la tienda:
| Datos | Finalidad | Base legal |
|---|---|---|
| Nombre, apellidos, email, teléfono, contraseña cifrada, dirección postal, fecha de nacimiento | Crear y gestionar su cuenta; autenticarle; procesar pedidos y suscripciones | Ejecución del contrato (art. 6.1.b RGPD) |
| Dirección IP de registro, de cada pedido y de cada cambio de preferencia de marketing | Trazabilidad, prevención de fraude y prueba del consentimiento | Interés legítimo (art. 6.1.f) / obligación legal |
| NIF/CIF si solicita factura con datos fiscales | Emitir factura conforme a la normativa AEAT/Verifactu | Obligación legal (art. 6.1.c) |
| Tarjeta tokenizada (alias, últimos 4 dígitos, marca, caducidad, token opaco de Redsys). Nunca el número completo ni el CVV. | Realizar cobros recurrentes de suscripción sin pedirle la tarjeta cada vez | Ejecución del contrato (art. 6.1.b) + consentimiento explícito en checkout |
| Aceptación de marketing + timestamp + IP | Enviar comunicaciones comerciales; acreditar consentimiento válido | Consentimiento (art. 6.1.a + art. 21 LSSI) |
| Snapshot del pedido (productos, precios, IVA, dirección de envío en el momento de la compra) | Integridad contable y de reclamaciones; facturación | Obligación legal + ejecución contrato |
Seguridad y no captura de datos sensibles de tarjeta
El cobro se realiza íntegramente en el entorno de Redsys (la pasarela de la banca española certificada PCI-DSS nivel 1). Cuando introduce una tarjeta, los datos sensibles (PAN completo, CVV y clave 3D Secure) viajan directamente desde su navegador a Redsys: Emka Coffee no los recibe, no los ve y no los almacena. Únicamente recibimos, si usted autoriza guardar su tarjeta para suscripciones:
- Alias de la tarjeta (por ejemplo, "Visa terminada en 4567").
- Últimos 4 dígitos y marca (Visa / Mastercard / Maestro / UnionPay).
- Mes y año de caducidad.
- Un token opaco (identificador Redsys) que sólo Redsys puede transformar en un cargo.
Todos los pagos se realizan mediante 3D Secure 2 / Strong Customer Authentication (SCA) conforme a la PSD2, reforzando la seguridad mediante doble factor (notificación bancaria, biometría o SMS).
Destinatarios y encargados del tratamiento
Compartimos sus datos exclusivamente con los encargados estrictamente necesarios para prestar el servicio, todos ellos vinculados por un contrato de encargo del tratamiento conforme al art. 28 RGPD:
| Encargado | Finalidad | Ubicación |
|---|---|---|
| SendCloud B.V. | Gestión logística y de etiquetas de envío | Países Bajos (UE) |
| Correos Express Paquetería Urgente S.A. | Entrega del paquete | España |
| Redsys Servicios de Procesamiento S.L. | Procesamiento del pago y tokenización | España |
| 1&1 IONOS España S.L.U. | Envío de emails transaccionales (SMTP/MailKit) e infraestructura de correo | España / UE |
| Hosting VPS en Madrid (Coolify) | Alojamiento de la web y base de datos | España |
| Verifacti (proveedor de facturación electrónica) | Firma, generación de hash y QR, y remisión de facturas a la AEAT en cumplimiento del sistema Verifactu (RD 1007/2023) | España / UE |
| Agencia Estatal de Administración Tributaria (AEAT) destinataria legal | Recepción de los registros de facturación conforme a obligaciones fiscales (no es encargado en el sentido del art. 28 RGPD, sino receptor por mandato legal) | España |
Garantizamos que bajo ninguna circunstancia cedemos, alquilamos ni vendemos sus datos a terceros con fines publicitarios o analíticos externos.
Plazos de conservación
- Cuenta de usuario: mientras no solicite su baja.
- Pedidos, facturas y documentos contables: 6 años desde la emisión (art. 30 Código de Comercio y art. 66 Ley General Tributaria).
- Tokens de tarjeta: hasta la cancelación de la suscripción o la caducidad de la tarjeta, lo que ocurra primero.
- Registros de consentimiento de marketing: hasta 1 año después de su retirada, como prueba del consentimiento otorgado.
- Logs técnicos y de seguridad: 12 meses.
Sus derechos
Puede ejercer en cualquier momento y de forma gratuita los siguientes derechos escribiendo a info@emkacoffee.com (adjuntando copia de documento identificativo para acreditar su identidad):
- Acceso — obtener copia de sus datos y conocer el tratamiento realizado.
- Rectificación — corregir datos inexactos o incompletos.
- Supresión ("derecho al olvido") — borrado salvo obligación legal de conservación.
- Oposición — oponerse al tratamiento basado en interés legítimo o marketing directo.
- Limitación — solicitar el bloqueo del tratamiento en los casos del art. 18 RGPD.
- Portabilidad — recibir sus datos en formato estructurado o transmitirlos a otro responsable.
- Retirar el consentimiento prestado, sin efectos retroactivos.
Responderemos en el plazo máximo de 1 mes. Si considera que sus derechos no han sido atendidos, puede presentar reclamación ante la Agencia Española de Protección de Datos (www.aepd.es, C/ Jorge Juan 6, 28001 Madrid).
Cambios en esta política
Podemos actualizar esta política para adaptarla a cambios legales o de servicio. Las versiones aceptadas por usted para registrarse o comprar quedan vinculadas a su pedido/suscripción (art. 1262 CC). Si realizamos cambios sustanciales, le informaremos por email y, cuando proceda, le pediremos su re-aceptación.
