Política de Privacidad
Protección de datos personales conforme al Reglamento General de Protección de Datos (RGPD — Reglamento (UE) 2016/679)
Última actualización: 20 de abril de 2026 — Versión 2.3
Índice
1. Responsable del tratamiento
Jalao OÜ se encuentra actualmente en curso de inmatriculación al Registro Mercantil de Estonia (Commercial Register — RIK). La inmatriculación está prevista para el 8 de mayo de 2026. Las coordenadas RIK completas (número RIK y dirección postal definitiva) serán publicadas en la presente página tan pronto como se reciba la confirmación oficial.
Responsable del tratamiento: Jalao OÜ (sociedad en curso de inmatriculación al Commercial Register Estonia — RIK), representada por su fundador.
Dirección legal: [Dirección Xolo, Tallinn, Estonia — a completar tras la inmatriculación RIK]
N° RIK: [a atribuir]
Email de contacto: contact@jalao.shop
Alojamiento (Hosting): Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Alemania
PSP (procesador de pagos): Mollie B.V. (Ámsterdam, Países Bajos — licencia DNB N° E0027, PSD2)
Delegado de Protección de Datos (DPO): Para ejercer sus derechos RGPD, contacte: contact@jalao.shop. Ningún DPO ha sido designado nominativamente en esta fase (no es obligatorio conforme al art. 37 RGPD — sociedad con menos de 250 empleados, sin tratamiento a gran escala de datos sensibles, sin monitorización sistemática a gran escala).
El responsable del tratamiento indicado arriba trata los datos personales recopilados a través de jalao.shop y jalao.app, conforme al RGPD (Reglamento (UE) 2016/679), para los flujos relativos a: cuentas de usuario, pedidos, mensajería, pagos en EUR (a través del PSP Mollie B.V.), verificación KYC, screening de sanciones y cookies analíticos. Mollie Payments B.V. actúa como responsable conjunto o independiente para los datos relativos al tratamiento del pago propiamente dicho, conforme a sus propias condiciones y a la normativa PSD2. Para las transacciones en criptoactivos (USDT/DAI, red TRON), Jalao no trata los datos financieros on-chain que son públicos por naturaleza; Jalao únicamente almacena la dirección pública de la wallet declarada por el usuario con fines de conciliación del pedido.
Para cualquier solicitud relativa a sus datos personales, puede contactarnos en contact@jalao.shop o a través de nuestro formulario de soporte.
2. Datos recopilados
Jalao recopila los siguientes datos personales en función del uso de la plataforma:
| Dato | Momento de recopilación | Obligatorio |
|---|---|---|
| Nombre y apellidos | Registro de cuenta | Sí |
| Correo electrónico | Registro de cuenta | Sí |
| Número de teléfono | Perfil / KYC | No |
| País de residencia | Registro de cuenta | Sí |
| Dirección de entrega | Pedido / Checkout | Sí (para envíos) |
| Documento de identidad | Verificación KYC | Sí (vendedores / gestores) |
| Selfie de verificación | Verificación KYC | Sí (vendedores / gestores) |
| Fecha de nacimiento | Verificación KYC | Sí (vendedores / gestores) |
| Número de documento (hasheado SHA-256) | Verificación KYC | Sí (vendedores / gestores) |
| Datos de pago alternativos | Configuración de pagos | Sí (según método de pago) |
| Historial de pedidos | Uso de la plataforma | Automático |
| Dirección IP | Cada visita | Automático |
| Datos de navegación (páginas, dispositivo, navegador) | Cada visita | Automático |
| Geolocalización (país, aproximada) | Cada visita | Automático |
| Screening de sanciones internacionales | KYC / Registro | Automático |
3. Bases legales del tratamiento (Art. 6 RGPD)
Cada tratamiento de datos personales se fundamenta en una base legal específica conforme al artículo 6 del RGPD:
| Tratamiento | Base legal |
|---|---|
| Gestión de la cuenta de usuario | Ejecución del contrato (Art. 6.1.b) |
| Procesamiento de pedidos y entregas | Ejecución del contrato (Art. 6.1.b) |
| Pagos y transacciones (escrow) | Ejecución del contrato (Art. 6.1.b) |
| Verificación KYC (prevención de fraude + exigencias contractuales del PSP Mollie B.V.) | Interés legítimo (Art. 6.1.f) — Jalao no es actualmente un sujeto obligado AML/CFT (no es VASP ni CASP conforme a MiCA, no es entidad financiera). El KYC se realiza por interés legítimo de prevención del fraude y de cumplimiento de las obligaciones contractuales impuestas por el PSP Mollie B.V. Tras la eventual calificación como entidad sujeta a AML, esta base legal pasará a ser «Obligación legal» (Art. 6.1.c — Directiva (UE) 2015/849). |
| Screening de sanciones internacionales | Obligación legal (Art. 6.1.c) |
| Bloqueo de acceso desde EE.UU. | Obligación legal (Art. 6.1.c) |
| Cookies analíticos (Google Analytics) | Consentimiento (Art. 6.1.a) |
| Emails de marketing | Consentimiento (Art. 6.1.a) |
| Prevención del fraude | Interés legítimo (Art. 6.1.f) |
| Logs de compliance y auditoría | Obligación legal (Art. 6.1.c) |
4. Duración de conservación
Conforme al principio de limitación del plazo de conservación (Art. 5.1.e RGPD), los datos se conservan por los periodos siguientes:
| Categoría de datos | Duración de conservación | Base legal |
|---|---|---|
| Datos de cuenta (perfil, email, nombre) | Duración de la cuenta + 3 años | Ejecución del contrato (Art. 6.1.b) + Interés legítimo (Art. 6.1.f) |
| Transacciones y datos financieros | 10 años | Obligación fiscal (Art. 6.1.c — legislación fiscal aplicable) |
| Logs de compliance (IP, timezone, datos de pago, checkbox) | 5 años mínimo | Obligación legal en materia de sanciones (Art. 6.1.c) |
| Datos KYC vendedores / gestores | 5 años tras fin de la relación | Interés legítimo (Art. 6.1.f) — política antifraude interna + exigencias contractuales del PSP Mollie B.V. El plazo de 5 años está alineado con los estándares aplicables en la UE a las plataformas de pago y con las recomendaciones sectoriales (Directiva (UE) 2015/849 a título de referencia). |
| Datos de livraison (dirección de entrega) | 3 años tras la entrega | Interés legítimo — gestión de disputas (Art. 6.1.f) |
| Mensajes del chat | 2 años tras el último mensaje | Ejecución del contrato — gestión de disputas (Art. 6.1.b) |
| Cookies Google Analytics 4 | 13 meses máximo | Consentimiento (Art. 6.1.a — Directiva ePrivacy) |
| Logs de seguridad (accesos, actividad sospechosa) | 12 meses | Interés legítimo — seguridad (Art. 6.1.f) |
| Reports DSA (señalamientos de contenido) | 5 años tras la resolución | Obligación legal — DSA Art. 16 (Reglamento (UE) 2022/2065) |
| Push tokens (notificaciones) | Duración de la cuenta | Consentimiento (Art. 6.1.a) |
Transcurridos estos periodos, los datos se eliminan o anonimizan de forma irreversible conforme al artículo 17 del RGPD.
5. Destinatarios de los datos
Los datos personales pueden ser compartidos con los siguientes destinatarios, exclusivamente para las finalidades indicadas:
| Destinatario | Datos compartidos | Finalidad |
|---|---|---|
| Supabase (PostgreSQL cloud — región eu-central-1, Fráncfort, Alemania, UE) | Datos de cuenta, transacciones, mensajes | Base de datos auto-alojada (self-hosted) en Hetzner Cloud, Fráncfort, Alemania (UE). Jalao gestiona directamente la instancia Supabase. Supabase Inc. no tiene acceso a los datos. Sin transferencia fuera del EEE. |
| Mollie | Email, nombre, datos de pago | Procesamiento de pagos (usuarios UE) |
| Google Analytics 4 | IP anonimizada, navegación, dispositivo | Análisis de uso de la plataforma |
| Google Tag Manager | Eventos de navegación | Gestión de etiquetas y eventos analíticos |
| Proveedores de pago adicionales | Datos de pago, transacciones | Métodos de pago alternativos (según zona) |
| OpenSanctions | Nombre, país, fecha de nacimiento | Screening de sanciones internacionales |
| Brevo (Sendinblue SAS, Francia, UE) | Email, nombre | Envío de correos transaccionales |
| CJ Dropshipping | Dirección de entrega, detalles del pedido | Cumplimiento de pedidos (dropshipping) |
6. Transferencias internacionales
Conforme a los artículos 44 a 49 del RGPD, Jalao detalla a continuación cada subencargado del tratamiento, el país de destino de los datos, la naturaleza de los datos transferidos y el mecanismo legal que ampara dicha transferencia:
| Subencargado | País | Datos transferidos | Mecanismo legal |
|---|---|---|---|
| Supabase (PostgreSQL — región eu-central-1, Fráncfort, Alemania, UE) | Alemania (UE) | Datos de cuenta, transacciones, mensajes | Sin transferencia fuera del EEE. Jalao gestiona directamente la instancia Supabase. Supabase Inc. no tiene acceso a los datos. |
| Hetzner Cloud | Alemania (UE) | Hosting, logs de servidor, datos aplicativos | Sin transferencia fuera del EEE |
| Mollie BV | Países Bajos (UE) | Email, nombre, datos de pago EUR | Sin transferencia fuera del EEE |
| Brevo (Sendinblue SAS) | Francia (UE) | Email, nombre del destinatario | Sin transferencia fuera del EEE |
| Google (Analytics / GTM) | Estados Unidos | IP anonimizada, navegación, dispositivo | Consentimiento (Art. 49.1.a) + DPA + SCCs |
| CJ Dropshipping | China | Dirección de entrega, detalles del pedido | Necesidad contractual (Art. 49.1.b RGPD) |
| Proveedores de pago alternativos | Según proveedor | Datos de pago, identificadores de transacción | Consentimiento explícito (Art. 49.1.a) |
Nota sobre CJ Dropshipping (China): No existe decisión de adecuación de la Comisión Europea para China conforme al artículo 45 del RGPD. La transferencia se fundamenta exclusivamente en el artículo 49.1.b (transferencia necesaria para la ejecución de un contrato celebrado en interés del interesado). Los datos transferidos se limitan estrictamente a los datos de livraison (dirección de entrega, nombre del destinatario, detalles del pedido). Ningún dato de cuenta, dato financiero ni dato de identificación es compartido con CJ Dropshipping.
Nota sobre Google Analytics 4 (Estados Unidos): Google Analytics 4 (y Google Tag Manager) transfiere datos anonimizados (IP truncada, identificador de navegación, páginas vistas, dispositivo) a Google LLC en los Estados Unidos. Esta transferencia está amparada por las Cláusulas Contractuales Tipo de la UE (SCCs) firmadas con Google y por el Data Processing Addendum (DPA) de Google (art. 46 RGPD), así como por el EU–U.S. Data Privacy Framework (decisión de adecuación de la Comisión Europea del 10 de julio de 2023 — art. 45 RGPD). El usuario puede rechazar esta transferencia en cualquier momento a través del banner de cookies (Google Consent Mode v2 — «denied» por defecto hasta consentimiento explícito). Ningún dato se transfiere si el usuario no acepta las cookies analíticas.
Medidas técnicas complementarias aplicables a todas las transferencias: cifrado en tránsito (TLS 1.3), control de acceso basado en roles, minimización de los datos transferidos y evaluaciones periódicas del nivel de protección ofrecido por cada subencargado.
7. Derechos del usuario (Art. 15-22 RGPD)
Conforme al RGPD, todo usuario dispone de los siguientes derechos sobre sus datos personales:
- Derecho de acceso (Art. 15): Obtener confirmación de si sus datos son tratados y acceder a ellos.
- Derecho de rectificación (Art. 16): Corregir datos inexactos o incompletos.
- Derecho de supresión (Art. 17): Solicitar la eliminación de sus datos cuando ya no sean necesarios o se retire el consentimiento.
Limitaciones al derecho de supresión: Conforme al artículo 17.3 del RGPD, el derecho de supresión no se aplica cuando el tratamiento es necesario para el cumplimiento de una obligación legal. En particular, Jalao está obligada a conservar:
- Los datos de verificación KYC durante 5 años tras el fin de la relación comercial, al amparo del interés legítimo (Art. 6.1.f RGPD) — política antifraude + exigencias contractuales del PSP Mollie B.V.
- Los registros de screening de sanciones internacionales durante 5 años mínimo (obligación legal de respeto de las sanciones UE — Art. 6.1.c).
- Los datos fiscales y de facturación durante 10 años (legislación fiscal aplicable — Art. 6.1.c).
- Los registros de compliance durante 5 años (interés legítimo — prevención del fraude y auditoría interna).
En caso de solicitud de supresión, Jalao eliminará todos los datos no sujetos a una obligación legal de conservación e informará al usuario de los datos que deben ser conservados y del motivo legal correspondiente.
- Derecho a la limitación (Art. 18): Restringir el tratamiento de sus datos en determinadas circunstancias.
- Derecho a la portabilidad (Art. 20): Recibir sus datos en un formato estructurado y legible por máquina (JSON o CSV) y transmitirlos a otro responsable.
- Derecho de oposición (Art. 21): Oponerse al tratamiento basado en el interés legítimo o el interés público.
- Derecho a retirar el consentimiento: Retirar en cualquier momento el consentimiento otorgado, sin que ello afecte a la licitud del tratamiento anterior.
Cómo ejercer sus derechos
Email: contact@jalao.shop
Asunto: "Ejercicio de Derechos — [Nombre del derecho]"
Plazo de respuesta: 30 días naturales (Art. 12.3 RGPD).
Reclamación ante la autoridad de control
El usuario tiene derecho a presentar una reclamación ante:
- La autoridad de protección de datos competente de su país de residencia en la Unión Europea.
El usuario también puede reclamar ante la autoridad de protección de datos de su país de residencia dentro de la UE/EEE.
9. Seguridad
Conforme al artículo 32 del RGPD, Jalao implementa las siguientes medidas técnicas y organizativas para proteger los datos personales:
- HTTPS / TLS: Todas las comunicaciones están cifradas en tránsito mediante TLS.
- Row Level Security (RLS) en Supabase: Políticas de acceso granulares a nivel de fila en la base de datos, garantizando que cada usuario solo accede a sus propios datos.
- Hash SHA-256 de documentos: Los números de documento de identidad se almacenan hasheados, nunca en texto plano.
- Acceso limitado a administradores: Principio de mínimo privilegio para el acceso a datos personales.
- Screening automatizado de sanciones: Verificación automática contra listas de sanciones internacionales (OpenSanctions).
- Monitoreo en tiempo real: Supervisión continua de accesos y actividades sospechosas.
9b. Decisiones automatizadas y screening de sanciones
Jalao realiza verificaciones automatizadas de los datos de los usuarios (nombre completo, datos de identificación) contra las listas de sanciones internacionales (listas de sanciones de la UE, listas internacionales aplicables). Este tratamiento se basa en la obligación legal (Art. 6.1.c del RGPD) y puede resultar en el bloqueo de una transacción o la suspensión de una cuenta.
Los resultados de estas verificaciones se conservan en nuestros registros de cumplimiento (compliance_logs) durante un mínimo de 5 años, conforme a las obligaciones legales en materia de prevención del blanqueo y sanciones internacionales.
Conforme al artículo 22 del RGPD, usted tiene derecho a solicitar una revisión humana de cualquier decisión automatizada que le afecte significativamente. Para ello, puede contactar contact@jalao.shop con el asunto "Revisión humana — [su nombre]". Jalao se compromete a realizar la revisión y comunicar el resultado en un plazo máximo de 15 días hábiles.
10. Menores
La plataforma Jalao no está dirigida a menores de 18 años. Jalao no recopila conscientemente datos personales de menores.
Si se detecta que un usuario es menor de 18 años, se procederá a la suspensión inmediata de la cuenta y a la eliminación de todos los datos asociados.
Los padres o tutores legales pueden contactar a contact@jalao.shop para solicitar la supresión de los datos de un menor.
11. Modificaciones
Jalao se reserva el derecho de modificar la presente Política de Privacidad en cualquier momento. Las modificaciones entrarán en vigor desde su publicación en la plataforma.
En caso de modificación sustancial, Jalao notificará a los usuarios por correo electrónico a la dirección asociada a su cuenta.
Se recomienda consultar periódicamente esta página. La fecha de última actualización se indica en la parte superior del documento.
Versión 2.3 — última actualización 2026-04-20 — Jalao opera en modo no custodial estricto en Fase 1: el escrow EUR es operado por Mollie B.V. (PSP DNB/PSD2 #E0027) y los pagos crypto se liquidan peer-to-peer on-chain. Jalao no custodia fondos de los usuarios. Jalao OÜ (Estonia) se encuentra en curso de inmatriculación al Commercial Register Estonia (RIK), con finalización prevista el 8 de mayo de 2026. Durante esta fase de «sociedad en formación», el responsable del tratamiento es Jalao OÜ en formación, que asumirá definitivamente la responsabilidad del tratamiento una vez inmatriculada.