Política de Privacidad
Última actualización: 14 de mayo de 2026
En tucupet nos tomamos en serio la protección de tus datos personales. Esta política explica qué información recogemos, para qué la usamos, con quién la compartimos y qué derechos tienes, en cumplimiento del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).
1. Responsable del tratamiento
- CARIBBEAN ONLINE SERVICES S.L.
- CIF: B19922293
- Domicilio: Madrid, España (CP 28043)
- Email de contacto y delegado de protección de datos: privacidad@tucupet.com
2. Qué datos tratamos y con qué finalidad
Tratamos las siguientes categorías de datos según la finalidad. Cada finalidad tiene su base jurídica:
| Finalidad | Datos | Base jurídica | Plazo |
|---|---|---|---|
| Registro y gestión de cuenta | Nombre, apellidos, email, contraseña cifrada | Ejecución de contrato (art. 6.1.b RGPD) | Hasta cierre de cuenta + 6 meses |
| Procesamiento de órdenes y entrega | Datos de la orden, billing, dirección de entrega, teléfono | Ejecución de contrato (art. 6.1.b) | 6 años (obligación mercantil) |
| Facturación y obligaciones fiscales | Datos fiscales (NIF/NIE), dirección, líneas de factura | Obligación legal (art. 6.1.c) — Ley General Tributaria | 4–6 años |
| Cobros y conciliación bancaria | Referencias de pago, IBAN del banco origen, identificación del pagador | Obligación legal (PBC/FT, art. 6.1.c) y contrato (art. 6.1.b) | 10 años (prevención de blanqueo) |
| Verificación KYC mayorista | Carné del representante, licencia MIPYME/TCP, registro, comprobantes | Obligación legal y contrato (art. 6.1.b/c) | 10 años |
| Seguridad y prevención del fraude | IP, user-agent, intentos de inicio de sesión, tokens 2FA | Interés legítimo (art. 6.1.f) | 12 meses |
| Comunicaciones de servicio | Email, número de orden, eventos del flujo | Contrato (art. 6.1.b) | Mientras dure la relación + 6 meses |
| Comunicaciones comerciales (cuando aplique) | Email, preferencias | Consentimiento (art. 6.1.a) — revocable | Hasta retirar consentimiento |
3. Cómo recogemos los datos
- Directamente de ti: al registrarte, hacer una compra, subir documentos o contactarnos.
- Automáticamente: cookies técnicas, registros de acceso, métricas de seguridad.
- De terceros operativos: confirmaciones de pago de Tropipay/ms-pay; estados de envío de correo de Brevo.
4. Geolocalización
Cuando lo solicitas explícitamente, capturamos tu ubicación aproximada (latitud y longitud) únicamente en el navegador para ordenar los servicentros por cercanía y calcular distancias. Esta información se guarda en localStorage del propio dispositivo durante 30 minutos como caché y no se envía a nuestros servidores. Puedes revocar el permiso en cualquier momento desde los ajustes del navegador.
5. Destinatarios y encargados del tratamiento
Compartimos datos exclusivamente con los proveedores indispensables para prestar el servicio, todos vinculados por acuerdos de tratamiento de datos (DPA):
- Cloudflare Inc. — hosting de páginas, CDN, almacenamiento de documentos (R2), protección DDoS y captcha (Turnstile). Servidores en la UE y EE. UU.
- Fly.io — alojamiento de la API. Región principal: Dallas (EE. UU.).
- MongoDB Atlas — base de datos. Región configurada en la UE.
- Brevo (Sendinblue) — envío de correos transaccionales. Servidores en la UE.
- Tropipay / ms-pay (DFL/DOFLEINI) — pasarela de pago con tarjeta. Cumple PCI-DSS.
- OpenFreeMap — teselas del mapa público. Sólo recibe la región visualizada, no datos personales.
No compartimos ni vendemos tus datos con fines publicitarios.
6. Transferencias internacionales
Algunos proveedores (Cloudflare, Fly.io) almacenan datos en EE. UU. Estas transferencias se realizan bajo las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea o, cuando aplique, el marco UE–EE. UU. de privacidad de datos (Data Privacy Framework). Tienes derecho a solicitar copia de las garantías aplicables.
7. Tus derechos
Como interesado puedes ejercer en cualquier momento los siguientes derechos:
- Acceso: confirmar qué datos tuyos tratamos y obtener una copia.
- Rectificación: corregir datos inexactos.
- Supresión ("derecho al olvido"): eliminar datos que ya no son necesarios, salvo obligaciones legales pendientes.
- Limitación del tratamiento: en los supuestos del art. 18 RGPD.
- Portabilidad: recibir tus datos en formato estructurado (JSON).
- Oposición: a tratamientos basados en interés legítimo o marketing.
- Retirar el consentimiento: cuando sea la base del tratamiento, sin efectos retroactivos.
- No ser objeto de decisiones automatizadas con efectos jurídicos. No tomamos decisiones de este tipo.
Para ejercerlos escribe a privacidad@tucupet.com indicando el derecho, tu identificación y el contenido de la solicitud. Responderemos en un plazo máximo de un mes.
8. Reclamación ante la autoridad de control
Si consideras que el tratamiento no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos: www.aepd.es · C/ Jorge Juan, 6 · 28001 Madrid.
9. Seguridad
Aplicamos medidas técnicas y organizativas apropiadas:
- Contraseñas almacenadas con argon2id.
- Cookies de sesión
HttpOnly,SecureySameSite=Lax. - Doble factor de autenticación obligatorio para administradores y operadores; opcional pero recomendado para clientes.
- TOTP cifrado con AES-256-GCM.
- Acceso por roles a los datos en la herramienta de administración.
- Auditoría inmutable de movimientos de billetera.
- Documentos KYC almacenados con acceso restringido y URLs presignadas con caducidad corta.
10. Menores
Nuestro servicio no está dirigido a menores de 16 años. No solicitamos ni tratamos conscientemente datos de menores. Si tienes conocimiento de un registro de menor, notifícalo y procederemos a su supresión.
11. Cambios en esta política
Podemos actualizar esta política para reflejar cambios legales, operativos o de servicio. Publicaremos la nueva versión con su fecha de "Última actualización" y notificaremos por correo a los usuarios registrados cuando los cambios sean sustanciales.
12. Contacto
Cualquier consulta o solicitud relacionada con la privacidad: privacidad@tucupet.com.