Política de privacidad
Esta política describe cómo la aplicación Checkout Guard («la App») — una app de Shopify que valida las direcciones de envío y los límites de carrito en el checkout — trata los datos personales. Distingue dos situaciones radicalmente diferentes: los datos de la cuenta del comerciante (respecto de los cuales el editor es el responsable del tratamiento) y los datos del cliente evaluados en el checkout (respecto de los cuales el comerciante es el responsable del tratamiento y el editor, un mero encargado del tratamiento).
Roles: responsable y encargado del tratamiento
La App interviene en dos roles RGPD distintos:
- Datos de la cuenta del comerciante (el comerciante que instala la App y su personal): el editor Jonathan VARELA es responsable del tratamiento.
- Datos del cliente tratados en el checkout (dirección de envío, contenido del carrito): el comerciante es el responsable del tratamiento; el editor actúa como encargado del tratamiento (Art. 28), únicamente siguiendo las instrucciones del comerciante y en el marco de las condiciones de Shopify.
Datos tratados y finalidades
Datos de la cuenta del comerciante (editor como responsable)
| Datos | Finalidad | Base jurídica |
|---|---|---|
| Dominio de la tienda, token de acceso OAuth de Shopify | Autenticar la App ante la API de Shopify, operar el panel embebido | Contrato (Art. 6.1.b) |
| Identidad del personal del comerciante (id, nombre, correo, idioma) — solo para las sesiones «online» proporcionadas por Shopify | Identificar al usuario conectado al panel embebido | Contrato (Art. 6.1.b) |
| Configuraciones de reglas (dominio de la tienda, tipo de regla, mensaje, parámetros mín./máx. o patrón) | Prestar el servicio: aplicar las reglas de validación en el checkout | Contrato (Art. 6.1.b) |
| Registros técnicos y de seguridad (transitorios) | Seguridad, diagnóstico, continuidad del servicio | Interés legítimo (Art. 6.1.f) |
Las configuraciones de reglas no contienen ningún dato personal del cliente: son umbrales, patrones y mensajes definidos por el comerciante.
Datos del cliente en el checkout (comerciante como responsable, editor como encargado)
En el momento del checkout, la Validation Function de la App recibe, dentro de la infraestructura de Shopify, los elementos necesarios para aplicar las reglas del comerciante: la dirección de envío y el contenido del carrito. Estos datos se evalúan en memoria para producir un resultado (permitir / bloquear + mensaje). No se almacenan, registran ni transmiten a ningún tercero por parte de la App.
Sin conservación de datos del cliente
La App no conserva ningún dato personal del cliente. La evaluación en el checkout es transitoria y se realiza dentro de la infraestructura de Shopify. La App no persiste ningún perfil del cliente, historial de direcciones ni contenido del carrito.
Destinatarios y subencargados
La App no recurre a ninguna API o servicio de terceros distinto de Shopify. Los destinatarios de los datos son:
| Entidad | Rol | Datos afectados |
|---|---|---|
| Shopify (Shopify International Ltd. / Shopify Inc.) | Plataforma de alojamiento del comercio, ejecución de la Validation Function, gestión de la facturación de la App | Todos (el comerciante ya opera en Shopify) |
| HOSTINGER, UAB | Alojamiento de la App embebida y de su base de configuraciones | Datos de la cuenta del comerciante |
La facturación de la suscripción la gestiona Shopify (Shopify App Pricing). La App no recibe, almacena ni trata ningún dato de pago (número de tarjeta, datos bancarios).
Transferencias internacionales
Los datos de la cuenta del comerciante se alojan en HOSTINGER, UAB (ubicación: Švitrigailos str. 34, LT-03230 Vilnius, Lituania). Como plataforma, Shopify puede tratar datos fuera de la Unión Europea. Estas transferencias se rigen por las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea (Art. 46), integradas en las condiciones de tratamiento de datos de Shopify. Cuando un destinatario estadounidense está certificado conforme al Data Privacy Framework UE–EE. UU., también puede aplicarse ese mecanismo de adecuación. Puede obtenerse una copia de las garantías aplicables previa solicitud a la.forge.des.j@gmail.com (Art. 13.1(f)). Las condiciones de tratamiento de datos de Shopify se aplican como complemento de la presente política.
Plazos de conservación
| Dato | Plazo |
|---|---|
| Sesión OAuth (token de acceso) | Duración de la instalación; eliminada al desinstalar la App |
| Configuraciones de reglas | Duración de la instalación; eliminadas en shop/redact (a más tardar 48 h tras la desinstalación) |
| Registros técnicos y de seguridad | Transitorios — no archivados más allá de la rotación operativa |
| Datos del cliente en el checkout | No conservados (evaluación transitoria) |
Al desinstalar, la App elimina las sesiones de la tienda (webhook app/uninstalled). A más tardar 48 horas después de la desinstalación, Shopify activa el webhook shop/redact: la App purga entonces las configuraciones de reglas y cualquier sesión restante de la tienda.
Derechos de las personas
Respecto de los datos de la cuenta del comerciante, el comerciante y su personal disponen de los derechos de acceso (Art. 15), rectificación (Art. 16), supresión (Art. 17), limitación (Art. 18) y portabilidad (Art. 20). El derecho de oposición (Art. 21) se aplica a los tratamientos basados en el interés legítimo (los registros técnicos y de seguridad), no a los datos tratados sobre la base del contrato (Art. 6.1.b). Estos derechos se ejercen por correo a la.forge.des.j@gmail.com. El editor responde en el plazo de un mes (Art. 12.3).
Respecto de los datos del cliente, el comerciante es el responsable del tratamiento: los clientees ejercen sus derechos ante el comerciante. Como encargado, la App asiste al comerciante (Art. 28.3.e) — en la práctica, no conserva ningún dato del cliente que deba devolver o suprimir.
Cualquier persona puede presentar una reclamación ante su autoridad de control (Art. 77); en Francia, la CNIL (3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr).
Solicitudes de conformidad vía Shopify
La App responde a los webhooks de conformidad obligatorios de Shopify:
customers/data_requestycustomers/redact: como la App no conserva ningún dato personal del cliente, no hay nada que proporcionar ni suprimir;shop/redact: la App purga las configuraciones de reglas y sesiones de la tienda afectada.
Seguridad de los datos
El editor aplica medidas técnicas y organizativas proporcionadas: cifrado en tránsito (HTTPS/TLS), almacenamiento de tokens mediante el mecanismo de sesión de Shopify, control de acceso y minimización (la App solo solicita el ámbito de autorización write_validations estrictamente necesario y no almacena ningún dato del cliente).
Cookies y rastreadores
La App embebida solo utiliza las cookies y tokens estrictamente necesarios para la autenticación y el funcionamiento dentro del panel de Shopify (App Bridge, sesión). No emplea ninguna cookie de medición de audiencia ni de marketing y no recurre a ningún servicio de analítica de terceros.
Anexo CCPA/CPRA (residentes de California)
Este anexo complementa la política para los residentes de California y cubre los últimos 12 meses.
Roles. Respecto de los datos del cliente evaluados en el checkout, el editor actúa como service provider (§1798.140) por cuenta del comerciante (el business) — las solicitudes se ejercen ante el comerciante. Respecto de los datos de la cuenta del comerciante, el editor es él mismo el business: las solicitudes se ejercen directamente ante él en la.forge.des.j@gmail.com.
Categorías de datos personales tratados (§1798.140(v)):
| Categoría CCPA | Datos | Finalidad |
|---|---|---|
| Identifiers | Dominio de la tienda; para las sesiones «online», nombre y correo del personal del comerciante | Autenticar la App, operar el panel embebido |
| Internet activity | Registros técnicos de la App embebida | Seguridad, diagnóstico |
| Geolocation | Dirección de envío del cliente | Validación en el checkout — no conservada |
No se trata ninguna otra categoría (ni Commercial information, ni datos Biometric, Sensory, Professional, ni Inferences). Destinatarios: Shopify (plataforma) y HOSTINGER, UAB (alojamiento) — ningún otro tercero.
Derechos del consumidor de California: conocer (§1798.100), suprimir (§1798.105), corregir (§1798.106), exclusión de la venta/compartición (§1798.120). La App no vende ni comparte datos personales y no ha vendido ni compartido ninguno en los últimos 12 meses. El ejercicio de un derecho no conlleva ninguna discriminación (§1798.125).
Modificaciones
El editor puede modificar la presente política. La fecha de última actualización figura al inicio del documento. Toda modificación sustancial se comunica a los comerciantes instaladores.
Contacto
Para cualquier cuestión relativa a la protección de datos: la.forge.des.j@gmail.com — Jonathan VARELA, 62 Rue de Dampierre, 17400 Saint-Jean-d'Angély, Francia.