Politica de Privacidad
Ultima actualizacion: abril 2026
1. Introduccion
Esta Politica de Privacidad describe como TradeLiq (operada por Daniel Benjamin Rey Lopez) ("nosotros", "nuestro") recopila, usa, almacena y protege informacion en relacion con la aplicacion TradeLiq para Shopify (la "App").
Al instalar o usar la App, usted reconoce que ha leido y comprendido esta Politica de Privacidad.
2. Datos que Recopilamos
2.1 Datos de Tienda y Merchant
- Dominio, nombre y configuracion de la tienda Shopify
- Informacion de la cuenta del merchant y detalles de usuarios staff
- Metadatos de instalacion de la App y estado de suscripcion/facturacion
2.2 Datos de Clientes y Empresas
- Nombres de empresas, direcciones, identificadores fiscales y datos de contacto
- Nombres y direcciones de email de clientes
- Limites de credito, plazos de pago y saldos de cuentas
2.3 Datos Transaccionales
- Presupuestos (lineas, precios, estado, fechas)
- Facturas (lineas, importes, numeros de cumplimiento, estado de pago)
- Pedidos y borradores de pedido creados a traves de la App
- Registros e historial de pagos
2.4 Informacion de Pago
- Referencias y tokens de metodos de pago de Stripe
- Identificadores de transacciones de pago
- NO almacenamos numeros de tarjeta en bruto; los datos de tarjeta son tokenizados y gestionados por Stripe
2.5 Datos Tecnicos y Operativos
- Logs de servidor (direcciones IP, metadatos de solicitudes, marcas de tiempo)
- Informes de errores y diagnosticos (via Sentry)
- Metadatos de entrega de webhooks
- Eventos de auditoria de seguridad
3. Cómo se Almacenan los Datos
- Base de datos: Los datos se almacenan en una base de datos PostgreSQL alojada en Neon (región EU — Frankfurt por defecto) con cifrado en reposo.
- Almacenamiento de archivos: Documentos PDF (facturas, extractos) se almacenan en almacenamiento de objetos cifrado (Cloudflare R2 o equivalente) con cifrado del lado del servidor.
- Cifrado: Los campos sensibles (ej. tokens de API, referencias de pago) se cifran con AES-256-GCM antes del almacenamiento.
- Transporte: Todos los datos en tránsito se cifran vía TLS 1.3 / HTTPS.
- Controles de acceso: Políticas de mínimo privilegio; los datos están aislados por merchant mediante row-level security en la base de datos.
4. Como Usamos los Datos
Procesamos datos para:
- Proporcionar la funcionalidad de la App (presupuestos, facturas, gestion de credito, portal, pagos)
- Autenticar usuarios y asegurar el acceso
- Sincronizar datos con Shopify via APIs y webhooks
- Procesar pagos a traves de Stripe
- Enviar emails transaccionales (recordatorios de factura, notificaciones de presupuesto, dunning)
- Monitorizar la salud del servicio y depurar incidencias
- Cumplir con obligaciones legales
5. Subencargados de Tratamiento y Transferencias Internacionales
Contratamos a los siguientes subencargados de tratamiento. Al usar la App, usted nos autoriza a compartir datos con ellos según se describe. No vendemos datos personales a terceros.
| Proveedor | Ubicación | Propósito | Datos Compartidos | Garantías |
|---|---|---|---|---|
| Shopify | Canadá / Irlanda (UE) | APIs de plataforma, OAuth, facturación, webhooks | Datos de tienda, pedidos, clientes, metadatos de facturación | Shopify es encargado del merchant; aplica su propio DPA. |
| Stripe Payments Europe Ltd. | Irlanda (UE) / EE. UU. | Procesamiento de pagos | Tokens de método de pago, importes de factura, email del Buyer | Stripe Ireland es responsable del tratamiento para UE; SCCs / EU-US Data Privacy Framework. |
| Cloudflare, Inc. | EE. UU. (con nodos edge en UE) | CDN, DNS, email routing para tradeliq.com, seguridad edge | Metadatos de petición HTTP, direcciones de email para forwarding | SCCs / EU-US Data Privacy Framework. |
| Neon, Inc. | UE (Frankfurt) por defecto; failover EE. UU. disponible | Hosting de base de datos PostgreSQL | Todos los datos de la aplicación (cifrados en reposo) | SCCs; región UE seleccionada por defecto para mantener los datos en el EEE. |
| Anthropic PBC (solo cuando el merchant activa AI Quote Assistant) | EE. UU. | Procesamiento de IA del texto RFQ aportado por el merchant para draftear presupuestos | Contenido de la solicitud de presupuesto (texto, nombres de productos, cantidades, precios) | SCCs / EU-US Data Privacy Framework. Anthropic no entrena sus modelos con datos de la API según sus términos. |
| Resend / Amazon SES | UE (Irlanda) o EE. UU. según configuración | Entrega de email transaccional | Email del destinatario, contenido del email | SCCs; región UE preferida cuando esté disponible. |
| Sentry (monitorización de errores; opcional) | EE. UU. (con región UE disponible) | Monitorización de errores y diagnósticos | Contexto de error, metadatos de solicitud (PII redactado cuando es posible) | SCCs / EU-US Data Privacy Framework. |
Transferencias internacionales: Cuando los datos se transfieren fuera del EEE, nos apoyamos en Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea y en la adhesión de cada proveedor al EU-US Data Privacy Framework cuando aplique. Una lista actualizada de subencargados se mantiene en esta Política de Privacidad y los cambios se comunican con al menos 30 días de antelación vía email a los administradores del merchant.
6. Retención de Datos
| Categoría de Datos | Periodo de Retención |
|---|---|
| Datos de merchant activo | Se conservan mientras la App esté instalada y la suscripción esté activa. |
| Datos post-desinstalación (recuperables) | Hasta 30 días tras desinstalación — los datos permanecen accesibles para reactivación y soporte. |
| Datos post-desinstalación (soft-deleted) | 31-60 días — los datos se marcan como soft-deleted en la base de datos primaria; solo permanecen en backups cifrados. |
| Caducidad de backups | 61-90 días — los backups expiran y los datos se eliminan de todos los sistemas. |
| Logs operativos / servidor | Hasta 12 meses para fines de seguridad y prevención de abuso. |
| Metadatos de facturación / contables (ley fiscal española) | 4 años desde la emisión, según exige la Agencia Tributaria (Hacienda). Uso exclusivo para cumplimiento legal. |
| Registros de pago | Según lo exija la regulación financiera aplicable (típicamente 5-7 años en UE). |
Derecho de supresión RGPD (Artículo 17): Usted o cualquier interesado puede solicitar la supresión inmediata en cualquier momento enviando un email a [email protected]. Atenderemos las solicitudes verificadas en un plazo máximo de 30 días, salvo aquellos registros que estemos legalmente obligados a conservar (metadatos de facturación / contables bajo la ley fiscal española). Los registros exentos de supresión están aislados y no se utilizan para ningún fin distinto del cumplimiento legal.
Si la ley o un contrato exigen una retención mayor, esa obligación prevalece sobre los periodos anteriores.
7. Derechos del Usuario
Cuando sea aplicable bajo GDPR, CCPA u otras regulaciones de privacidad, las personas pueden solicitar:
- Acceso — Obtener una copia de los datos personales que tenemos
- Rectificacion — Solicitar la correccion de datos inexactos
- Supresion — Solicitar la eliminacion de datos personales
- Portabilidad — Recibir datos en un formato estructurado y legible por maquina
- Limitacion — Solicitar la limitacion del tratamiento
- Oposicion — Oponerse a ciertos tipos de tratamiento
Para ejercer estos derechos, contacte: [email protected]
Responderemos a las solicitudes verificadas dentro de los plazos requeridos por la ley aplicable (ej. 30 dias bajo GDPR).
8. Cumplimiento GDPR
- Responsable del tratamiento: El merchant (propietario de la tienda Shopify) es el responsable del tratamiento de los datos de sus clientes
- Encargado del tratamiento: Actuamos como encargado del tratamiento en nombre del merchant
- Bases legales: Ejecucion de contrato, intereses legitimos (seguridad, fiabilidad del servicio), obligaciones legales y consentimiento cuando sea necesario
- Transferencias internacionales: Cuando los datos se transfieren fuera del EEE, nos apoyamos en garantias adecuadas (ej. Clausulas Contractuales Tipo, certificaciones del proveedor)
- DPA: Un Acuerdo de Procesamiento de Datos esta disponible bajo solicitud en [email protected]
9. Cookies y Seguimiento
La App usa cookies y mecanismos de sesión estrictamente necesarios para la autenticación y continuidad de sesión dentro del admin embebido de Shopify y la gestión de sesiones del portal del cliente. Estas cookies están exentas de consentimiento previo según la LSSI-CE en España.
No usamos rastreadores de publicidad de terceros ni rastreadores de analítica no esenciales dentro de la App ni del sitio público en tradeliq.com.
9.1 Uso de Inteligencia Artificial (cuando esté activado)
Si el merchant activa la funcionalidad opcional AI Quote Assistant (disponible en planes Growth y Enterprise):
- El texto de las solicitudes de presupuesto (asuntos de email, cuerpo, descripciones de productos, cantidades y precios) enviado por el Buyer o por el merchant se transmite a Anthropic PBC (EE. UU.) vía API con el único propósito de generar un borrador de presupuesto.
- Anthropic no entrena sus modelos con datos de la API según sus términos comerciales.
- La transferencia se rige por las Cláusulas Contractuales Tipo y por la adhesión de Anthropic al EU-US Data Privacy Framework.
- El merchant puede desactivar esta funcionalidad en cualquier momento desde los ajustes de la App; al desactivarla cesan inmediatamente las transferencias futuras a Anthropic.
- Las superficies de UI que muestran contenido generado por IA incluyen un aviso claro de que el contenido es generado por IA y debe revisarse antes de su envío (cumplimiento de la obligación de transparencia del Reglamento de IA de la UE, artículo 52).
10. Seguridad
Implementamos medidas tecnicas y organizativas razonables incluyendo:
- Verificacion de firma HMAC para solicitudes App Proxy y webhooks
- Validacion de entrada y consultas parametrizadas
- Auditorias regulares de seguridad de dependencias
- Logging estructurado y monitorizacion
- Gestion y rotacion de secretos
11. Cambios en esta Politica
Podemos actualizar esta Politica de Privacidad periodicamente. Los cambios materiales se comunicaran a traves de la App o segun lo requiera la ley aplicable.
12. Contacto
- Consultas de privacidad: [email protected]
- Soporte: [email protected]
- Empresa: TradeLiq (operada por Daniel Benjamin Rey Lopez)
- Direccion: Madrid, España (la dirección registral completa se publicará una vez constituida la sociedad; mientras tanto, contacto por email)