Política de privacidad
Fecha de última actualización: 22/09/2025
Dominio principal: www.garmonyarns.com (carpetas lingüísticas /es, /en, /fr, /pt)
Esta Política de Privacidad describe de forma exhaustiva cómo Garmon Yarns trata los datos personales en su tienda online, canales de atención y sistemas de marketing, conforme al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la normativa e‑privacy aplicable en España. Incluye un mapa de tratamientos, bases jurídicas, plazos de conservación, transferencias internacionales y derechos. Cuando introduzcamos nuevas herramientas o cambiemos los fines, actualizaremos esta Política.
1) Responsable del tratamiento y ámbito
- Responsable: Elisabet García Ruiz (Profesional independiente)
- Nombre comercial: Garmon Yarns
- NIF/VAT: ES09025821T
- Domicilio: Paseo de la Alameda 21 (Local Garmon Yarns), 28804, Alcalá de Henares (Madrid), España
- Contacto privacidad/derechos: tienda[garroba]armonyarns.com
- Delegado/a de Protección de Datos (DPO): No designado/a (no obligado)
Ámbito de aplicación: esta Política cubre el sitio www.garmonyarns.com y sus carpetas lingüísticas (/es, /en, /fr, /pt), el proceso de compra (checkout), formularios (contacto, newsletter con doble opt‑in, avisos de disponibilidad), reseñas y programa de fidelización, así como la atención al cliente por email, teléfono, WhatsApp Business (1‑a‑1), chat online y la interacción en Instagram, Facebook, TikTok, Pinterest y YouTube. No operamos marketplaces en el momento de esta publicación.
2) Origen de datos y categorías
Fuentes: formularios web, checkout y posventa, canales de atención (email/teléfono/WhatsApp/chat), reseñas (Judge.me), navegación web (cookies/SDK gestionados por CMP), e interacciones en redes sociales.
Categorías:
- Identificación y contacto: nombre, apellidos, email, teléfono, direcciones (envío/facturación).
- Transaccionales: pedidos, importes, detalles de compra, cupones, devoluciones, incidencias.
- Pago: procesado por proveedores; no custodiamos datos de tarjeta.
- Preferencias/fidelización: suscripciones, puntos y canjes, niveles VIP, historial de recompensas.
- Navegación/analítica y publicidad: identificadores online, cookies, eventos de conversión, Consent Mode v2.
- Comunicaciones/soporte: mensajes, tickets, reclamaciones.
- UGC (reseñas): textos y valoraciones; no publicamos importes ni rankings con datos personales.
3) Finalidades, base jurídica, necesidad y conservación
El siguiente mapa de tratamientos detalla para cada finalidad: datos usados, base legal (art. 6 RGPD), si es obligatorio y su plazo de conservación (orientativo; ver también el Anexo B).
| Finalidad | Datos | Base jurídica | ¿Obligatorio? | Conservación |
|---|---|---|---|---|
|
Compra, envío, devoluciones y garantía |
Identificativos, contacto, transaccionales |
Ejecución de contrato |
Sí para contratar |
Relación + 6 años (mercantil) / 4 años (tributario) |
|
Atención al cliente (pre/posventa) |
Identificativos, contacto, mensajes |
Medidas precontractuales / Interés legítimo |
Necesario para atender |
Hasta 3 años |
|
Facturación/contabilidad/fiscal |
Identificativos, transaccionales |
Obligación legal |
Sí |
6 años (mercantil) / 4 años (tributario) |
|
Antifraude y seguridad |
Identificadores técnicos, eventos |
Interés legítimo |
Necesario para proteger |
Mientras sea necesario + plazos legales |
|
Newsletter y marketing por email/SMS/WhatsApp |
Identificativos, contacto, preferencias |
Consentimiento (doble opt‑in email) |
Opcional |
Hasta revocación o 3 años de inactividad |
|
Analítica web y medición |
Cookies/ID, eventos |
Consentimiento (CMP) |
Opcional |
Según vida útil de cookies/IDS (ver CMP) |
|
Publicidad/remarketing (Google Ads; futuro Meta/TikTok) |
Cookies/ID publicidad, eventos |
Consentimiento (CMP) |
Opcional |
Según vida útil; configurable en CMP |
|
Personalización, cross‑sell/upsell, carrito abandonado |
Identificadores y eventos |
Consentimiento cuando dependa de cookies; interés legítimo para recordatorios mínimos iniciados por el usuario |
Opcional |
12–24 meses (o según CMP) |
|
Fidelización y referidos (puntos/canjes/niveles) |
Identificativos, transaccionales, fidelización |
Ejecución de contrato (términos del programa) + consentimiento para marketing |
Necesario para participar |
Vigencia + plazos legales |
|
Reseñas/encuestas de satisfacción |
Identificativos básicos, pedido, texto reseña |
Interés legítimo (calidad/verificación) o consentimiento si se publican identificadores adicionales |
Opcional |
Mientras sean pertinentes (posible anonimización) |
|
Gestión de derechos RGPD |
Identificativos, metadatos de relación |
Obligación legal |
Sí |
Plazos de prescripción |
Consecuencias de no aportar datos obligatorios: no podremos tramitar tu pedido, gestionar devoluciones o responder solicitudes específicas.
4) Perfilado y decisiones automatizadas
Realizamos segmentaciones operativas y comerciales para personalizar la experiencia (p. ej., actividad, categorías compradas, probabilidad de recompra, valor de vida y nivel VIP en fidelización).
Datos e insumos: historial de pedidos (frecuencia, ticket medio), interacción con nuestras comunicaciones y, si lo has aceptado en el CMP, señales de navegación/cookies; no tratamos categorías especiales. La segmentación se usa para priorizar contenidos y ofertas, y no conlleva decisiones exclusivamente automatizadas con efectos jurídicos o similares significativos, ni denegaciones de servicio. Puedes oponerte al marketing segmentado, retirar el consentimiento de cookies en el CMP y solicitar información sobre la lógica aplicada, su importancia y las consecuencias previstas. Si en el futuro aplicáramos decisiones automatizadas con efectos significativos, te informaremos previamente y podrás pedir intervención humana, expresar tu punto de vista e impugnar la decisión.
5) Destinatarios y encargados del tratamiento
Trabajamos con terceros que actúan como encargados (procesadores) bajo contrato RGPD (art. 28) o como responsables independientes cuando tratan datos para sus propios fines.
Procesadores principales (categorías y ejemplos):
- Plataforma eCommerce: Shopify.
- CMP (consentencias/cookies): Consentmo GDPR.
- Email marketing/CRM: Shopify Email.
- Reseñas/UGC: Judge.me.
- Logística/gestión de envíos: Packlink Pro (intermediación) y transportistas: Correos, Correos Express, SEUR, InPost (Mondial Relay) (la lista puede variar por zona).
- Alojamiento de correo y DNS: dondominio.com (cuentas @garmonyarns.com).
- Publicidad y medición: Google Analytics, Google Tag Manager, Google Ads; Meta Ads y TikTok Ads.
- Automatizaciones internas (cuando apliquen): apps Shopify para upsell/cross‑sell, back‑in‑stock y Loyalty.
- Asesoría/gestoría: Domo Gestión (recepción segura de información contable/ventas).
- Software de gestión/verifactu (previsto): Holded.
Responsables independientes/corresponsables:
- Pagos: Shopify Payments y los métodos compatibles. Gestionan la autorización/liquidación y aplican sus propias políticas (recomendamos consultarlas).
- Plataformas publicitarias: Google, y cuando se activen, Meta/TikTok (para medición/ads bajo tu consentimiento en CMP).
6) Transferencias internacionales
Algunos proveedores pueden acceder o alojar datos fuera del EEE (p. ej., EE. UU., Reino Unido o Canadá). En tales casos exigimos garantías adecuadas (arts. 44–49 RGPD), que pueden incluir Cláusulas Contractuales Tipo (SCC), Decisiones de adecuación (p. ej., EU‑US Data Privacy Framework para entidades certificadas) o instrumentos equivalentes (IDTA en RU), además de medidas técnicas/organizativas complementarias. Mantendremos actualizado el inventario de subencargados por categorías.
7) Plazos de conservación
Aplicamos minimización y limitación del plazo:
- Clientes/pedidos: relación contractual y, después, 6 años (documentación mercantil) y 4 años (tributario).
- Soporte/consultas: hasta 3 años según la naturaleza.
- Marketing: hasta revocación o 3 años de inactividad.
- Fidelización/referidos: vigencia del programa y plazos legales posteriores.
- Cookies/identificadores: según duraciones declaradas en el CMP.
- Reseñas/encuestas: mientras sean útiles; posible anonimización transcurrido un tiempo razonable.
Conservaremos los datos bloqueados durante los plazos de prescripción para atender posibles responsabilidades.
8) Derechos de las personas interesadas
Derechos (UE/EEE y RU): acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad y retirada del consentimiento en cualquier momento.
Cómo ejercerlos:
- Envía email a tienda[garroba]armonyarns.com, usa el formulario www.garmonyarns.com/pages/contacto o remite carta postal a la dirección indicada.
- Podemos solicitar verificación (confirmación por email/teléfono y/o datos asociados como nº de pedido).
- Representante autorizado: conforme a la normativa aplicable, puedes designar a un representante para presentar solicitudes en tu nombre. Antes de atenderla, podremos pedir prueba de autorización y, en su caso, verificación directa de tu identidad.
- Plazo de respuesta: 1 mes (prorrogable 2 meses en casos complejos, informándote).
- Si no quedas conforme, puedes reclamar ante la AEPD (www.aepd.es) u otra autoridad competente en tu país.
No discriminación por ejercer derechos: no adoptaremos prácticas que supongan trato desfavorable por el ejercicio de estos derechos.
Bajas de marketing: disponibles en cada email/SMS o solicitándola por los canales anteriores. En WhatsApp Business 1‑a‑1, podrás pedir en cualquier momento no recibir comunicaciones comerciales.
9) Datos de menores
Los Servicios no están dirigidos a menores. No recopilamos conscientemente datos de menores según la legislación aplicable. Si eres madre/padre/tutor y crees que un menor nos ha facilitado datos, contáctanos para eliminarlos. A la fecha, no tenemos conocimiento efectivo de venta o compartición (en el sentido de normativas que lo definen así) de datos de menores de 16 años.
10) Sitios web y enlaces de terceros
Los Servicios pueden enlazar a sitios/plataformas de terceros. No controlamos su seguridad o privacidad; te recomendamos revisar sus políticas antes de usarlos. Los contenidos que publiques en áreas públicas (incluidas redes sociales) pueden ser visibles por terceros sin limitación.
11) Seguridad
Si bien aplicamos medidas adecuadas, ninguna medida es inexpugnable. Evita remitirnos información sensible por canales no seguros. Conservamos los datos por el tiempo necesario para: mantener tu cuenta, prestarte servicios, cumplir obligaciones legales, resolver disputas y hacer cumplir nuestros términos, de acuerdo con los plazos expuestos en esta Política.
Aplicamos medidas técnicas y organizativas acordes al riesgo, entre ellas:
- Cifrado en tránsito (TLS) y configuración segura de plataformas cloud.
- Control de accesos con MFA o enlaces de un solo uso; principio de mínimo privilegio y segregación de roles.
- Gestión de copias proveída por los servicios cloud; pruebas periódicas razonables.
- Políticas internas de confidencialidad y formación básica del personal.
- Registro y gestión de incidentes; procedimientos de borrado/anonimización.
- Evaluación periódica de eficacia y revisión de subencargados.
Brechas de datos: notificaremos a la AEPD y, cuando proceda, a las personas afectadas en un máximo de 72 horas desde que tengamos conocimiento, conforme a los arts. 33 y 34 RGPD.
12) Cookies, SDK y Consent Mode v2
Usamos cookies y tecnologías similares para fines técnicos, de preferencias, analítica y publicidad. Gestionamos el consentimiento mediante Consentmo GDPR (CMP), que permite aceptar/rechazar por categorías, retirar el consentimiento y consultar/actualizar preferencias.
- Bloqueo previo: activado para etiquetas publicitarias/seguimiento hasta que expreses tu elección.
- Consent Mode v2: implementado para transmitir señales agregadas/consent state a Google cuando corresponda.
- Matriz de cookies y duraciones: disponible en el CMP y en la Política de Cookies (proveedores, finalidades, vida útil y tipología).
- Publicidad/remarketing: solo si aceptas la categoría publicitaria en el CMP (p. ej., Google Ads; en el futuro Meta/TikTok Ads).
13) Comunicaciones comerciales y operativas
- Email (Shopify Email): envíos comerciales solo con consentimiento (doble opt‑in).
- SMS (Shopify): campañas y avisos con consentimiento.
- WhatsApp Business: atención 1‑a‑1; listas de difusión solo con consentimiento específico.
- Carritos abandonados y recordatorios operativos: con base en tu interacción y conforme a tus preferencias en CMP cuando impliquen identificadores publicitarios.
Puedes retirar tu consentimiento en cualquier momento y seguirás recibiendo comunicaciones estrictamente necesarias para la ejecución del contrato (confirmaciones de pedido, avisos de envío, etc.).
14) Relación con Shopify (plataforma y funciones)
Nuestra tienda está alojada en Shopify, que recopila y trata información personal para prestar y mejorar los servicios de la plataforma (alojamiento, checkout, pagos compatibles, seguridad, análisis agregados, funcionalidades de personalización/ads cuando consientas). Para determinados usos plataforma‑wide (p. ej., proteger, desarrollar y mejorar su ecosistema; funciones avanzadas que combinan señales de varias tiendas), Shopify actúa como responsable del tratamiento. En esos supuestos, Shopify determinará los fines y medios y atenderá los derechos relativos a dichos usos.
Para más información y ejercicio de derechos ante Shopify, consulta su Política de Privacidad del consumidor y su portal de privacidad: https://privacy.shopify.com/en.
Flujos y transferencias: Shopify y subencargados pueden operar desde países fuera del EEE/RU. Exigimos garantías (p. ej., Cláusulas Contractuales Tipo, marcos de adecuación como EU‑US DPF para entidades certificadas, o instrumentos equivalentes), además de medidas técnicas y organizativas complementarias.
Integraciones de marketing y medición: podemos habilitar publicidad personalizada y medición con terceros (p. ej., Google Ads inicialmente, y en el futuro Meta/TikTok) solo si prestas tu consentimiento en el CMP. Shopify puede facilitar estas integraciones; los terceros usarán los datos conforme a sus propias políticas. Puedes oponerte o retirar tu consentimiento desde el panel.
Servicios Mejorados (Shopify Network Intelligence): Shopify puede combinar señales de tu actividad en nuestra tienda, con señales de otros comercios del ecosistema Shopify y de Shopify para ofrecer Servicios Mejorados (p. ej., seguridad/antifraude y mejoras de la plataforma). En el EEE/Reino Unido/Suiza, cualquier publicidad o personalización basada en esa combinación de señales solo se activará si otorgas tu consentimiento en el CMP; podrás retirarlo en cualquier momento desde el CMP y/o a través del portal de privacidad de Shopify ( https://privacy.shopify.com/en).”
15) Programa de fidelización y referidos
La adhesión al programa de fidelización “Club Garmon” gestionado mediante Zing Loyalty (Shopify App) es voluntaria y se rige por los Términos del Programa.
Finalidades: administrar tu participación (alta/baja), acumular y canjear puntos (“hebras”), calcular y asignar niveles VIP y recompensas, aplicar incentivos/bonos (p. ej., bienvenida, cumpleaños si lo facilitas), gestionar referidos, prevenir fraude/abuso (p. ej., canjes sospechosos, devoluciones reiteradas) y atender soporte del programa.
Datos tratados: identificativos y de contacto; ID de cliente Shopify; ID del programa, saldo de puntos, histórico de acumulaciones/canjes y caducidades; nivel/tier y progresión; cupones o descuentos generados y su estado; eventos del programa (fecha/hora, canal, tienda/checkout); datos mínimos para referidos (códigos/enlaces y métricas agregadas); opcionalmente fecha de cumpleaños y preferencias que decidas aportar. No publicamos rankings ni importes gastados.
Base jurídica: (i) ejecución de contrato (art. 6.1.b RGPD) para operar el programa conforme a sus términos; (ii) interés legítimo (art. 6.1.f) para seguridad/antifraude, calidad y métricas internas no publicitarias; (iii) consentimiento (art. 6.1.a) para comunicaciones comerciales sobre el programa y para atributos opcionales (p. ej., cumpleaños) o píxeles/cookies publicitarios, que solo se activan si los aceptas en el CMP.
Automatización y perfilado: el cómputo de puntos, asignación de niveles y elegibilidad de recompensas se realiza de forma automatizada, sin efectos jurídicos o similares significativos (art. 22 RGPD). Puedes oponerte al perfilado con fines de marketing y solicitar revisión humana de incidencias (p. ej., denegación de un canje).
Antifraude y reversos: podremos retener temporalmente puntos o revertir acumulaciones/canjes si hay devoluciones/cancelaciones o indicios razonables de abuso (p. ej., creación múltiple de cuentas). Documentaremos la incidencia y podrás alegar lo que estimes oportuno.
Destinatarios/encargados: Zing Loyalty actúa como encargado del tratamiento; puede integrarse con Shopify (checkout/descuentos) y, en su caso, con nuestro proveedor de email/SMS para comunicaciones del programa. No cederemos tus datos a terceros para fines propios.
Transferencias internacionales: Zing Loyalty y/o sus subencargados pueden operar fuera del EEE/RU. Exigimos garantías (p. ej., SCC, EU‑US DPF cuando proceda) y medidas técnicas/organizativas adecuadas.
Conservación: mientras pertenezcas al programa; tras la baja, conservaremos el histórico operativo y las evidencias de canjes que afecten a contabilidad/fiscalidad por los plazos legales (6/4 años en España). Los demás datos del programa se suprimirán o anonimizarán en un plazo de hasta 3 años desde la baja, salvo incidencias abiertas.
Baja y efectos: puedes darte de baja en cualquier momento. La baja implica la pérdida de puntos no canjeados y de beneficios asociados al nivel. Podrás seguir comprando normalmente sin el programa. Puedes optar por no recibir marketing y seguir en el programa (solo comunicaciones operativas).
Cookies/seguimiento: cualquier etiqueta o cookie utilizada para personalización o medición del programa se rige por tu elección en el CMP y se bloquea previamente hasta tu consentimiento.
16) Reseñas y UGC
Tratamos las reseñas verificadas para acreditar la compra, mejorar la calidad del servicio y orientar a otros clientes.
Datos tratados: nombre o alias, correo (no visible), número o referencia de pedido para la verificación, contenido y valoración de la reseña, fecha y metadatos técnicos mínimos; de forma opcional, imágenes y/o vídeos que decidas aportar.
Publicación y visibilidad: la reseña (y, en su caso, tu nombre/alias) puede mostrarse en la ficha del producto y ser indexada por buscadores. No publicamos importes ni rankings económicos de clientes.
Base jurídica: (i) interés legítimo (art. 6.1.f RGPD) para solicitar reseñas post‑compra, verificar su autenticidad, moderar contenidos ilícitos u ofensivos y detectar fraude; (ii) consentimiento (art. 6.1.a) cuando la reseña incluya imagen, voz u otros identificadores que puedan hacerte reconocible, o para cualquier reutilización promocional distinta de su publicación en la propia ficha del producto.
Moderación y límites: podremos no publicar, editar (para suprimir datos personales de terceros) o retirar reseñas que contengan lenguaje ofensivo, publicidad de terceros, información engañosa, datos personales de terceros o contenidos que infrinjan derechos (p. ej., propiedad intelectual o imagen). Podremos pedirte prueba de experiencia de compra para mantener la reseña como “verificada”.
Proveedor y transferencias: usamos Judge.me como encargado del tratamiento para la gestión y verificación de reseñas. Este proveedor puede realizar transferencias internacionales; exigimos garantías adecuadas (p. ej., SCC/marcos de adecuación) y medidas técnicas/organizativas complementarias.
Conservación y derechos específicos: conservaremos la reseña mientras sea pertinente (normalmente, mientras el producto se ofrezca en la tienda) y posteriormente podremos anonimizarla o seudonimizarla. Puedes editar, retirar o solicitar la anonimización de tu reseña a través de nuestros canales de contacto indicados en esta Política. La retirada de una reseña no afecta a la licitud del tratamiento previo.
17) Atención al cliente y formularios
Tratamos los datos que nos facilitas a través de los formularios de contacto/soporte, así como por email, teléfono, WhatsApp Business (1‑a‑1) y chat online, con estas finalidades: (i) responder consultas y gestionar incidencias, devoluciones o garantías; (ii) identificar el pedido o producto referenciado; (iii) realizar seguimiento de la conversación y mejorar la calidad del servicio; y (iv) prevenir abusos/spam y mantener la seguridad del canal.
Datos tratados: identificativos y de contacto; contenido del mensaje; referencias de pedido/producto; metadatos técnicos mínimos (fecha/hora, identificador de sesión y IP abreviada); y, en su caso, adjuntos que remitas (evita incluir categorías especiales de datos).
Base jurídica: medidas precontractuales (consultas de producto/alta), ejecución de contrato (soporte sobre pedidos, garantías, devoluciones), obligación legal (consumo/garantías) y interés legítimo (calidad, trazabilidad, seguridad y anti‑spam).
Carácter obligatorio/optativo: los campos marcados como obligatorios son imprescindibles para atender tu petición; los opcionales ayudan a priorizar y resolver más rápido. Si no aportas los obligatorios, no podremos gestionar tu solicitud.
Conservación: hasta 3 años desde la última interacción. Si el caso se vincula a una venta, podrán aplicarse además los plazos mercantiles/tributarios indicados en esta Política. Evidencias de seguridad/anti‑spam podrán conservarse por el tiempo estrictamente necesario para investigar incidentes.
Destinatarios/encargados: nuestros sistemas de correo (proveedor dondominio.com), la plataforma Shopify cuando el formulario esté integrado y las herramientas internas de atención; no cedemos tus datos a terceros para fines propios.
Seguridad del canal: cifrado en tránsito (TLS), controles de acceso, honeypot/captcha y filtros anti‑spam. Si nos contactas por redes sociales, el tratamiento también se rige por la política de privacidad de dicha plataforma.
18) Pagos y financiación
Procesamos pagos a través de Shopify Payments (y métodos compatibles que se muestran en el checkout, como tarjetas y wallets). En relación con la autorización, liquidación y controles de riesgo, Shopify Payments actúa como responsable del tratamiento independiente. Garmon Yarns no almacena datos completos de tarjeta; recibimos únicamente identificadores de transacción, estado (autorizado/denegado, reembolsado/contracargo), método utilizado y, en su caso, datos enmascarados (p. ej., últimos 4 dígitos y marca).
Finalidades y bases jurídicas
- Cobro de pedidos, emisión de reembolsos y gestión de cancelaciones → Ejecución de contrato (art. 6.1.b RGPD).
- Cumplimiento de obligaciones contables y fiscales → Obligación legal (art. 6.1.c).
- Prevención del fraude, gestión de contracargos y seguridad del pago → Interés legítimo (art. 6.1.f), con salvaguardas proporcionadas.
Tratamientos realizados por el proveedor de pagos
- Evaluación automatizada de riesgo y controles antifraude.
- Autenticación reforzada del cliente (SCA/PSD2), p. ej., 3‑D Secure 2 cuando proceda.
- Decisiones automatizadas para autorizar o denegar operaciones, que pueden producir efectos económicos (p. ej., denegación de cargo). Para estos tratamientos, los derechos deberán ejercerse directamente ante Shopify Payments conforme a su aviso de privacidad.
Contracargos y disputas
En caso de contracargo, podremos compartir con la entidad adquirente/proveedor de pagos la información estrictamente necesaria (p. ej., justificantes de entrega, comunicaciones con el cliente, datos del pedido) para defender la transacción.
Transferencias internacionales y conservación
El proveedor puede tratar datos fuera del EEE/RU bajo garantías reconocidas (p. ej., SCC, EU‑US DPF cuando proceda). Nosotros conservamos la evidencia del pago vinculada al pedido conforme a los plazos mercantiles y tributarios indicados en esta Política; el proveedor conserva sus datos según su propia política.
Ejercicio de derechos
Para los tratamientos en los que Shopify Payments sea responsable, puedes consultar y ejercer derechos en su portal de privacidad. Para la parte que realizamos nosotros (p. ej., conciliación contable y reembolsos), puedes escribirnos a tienda[garroba]armonyarns.com.
19) Logística y posventa
Para gestionar entregas, devoluciones, cambios y posventa, comunicamos a Packlink Pro (plataforma de intermediación) y a los transportistas seleccionados (p. ej., Correos, Correos Express, SEUR, InPost/Mondial Relay) los datos estrictamente necesarios: nombre y apellidos, dirección completa y/o punto de recogida, email y/o teléfono para avisos de seguimiento, número/ID de pedido, referencias del envío (bultos, peso/volumen aproximado), número de seguimiento, instrucciones de entrega y, en envíos internacionales, datos aduaneros imprescindibles.
Packlink Pro actúa como encargado del tratamiento (generación de etiquetas y documentos, enrutado y trazabilidad); los transportistas actúan, con carácter general, como responsables independientes en la prestación del servicio de transporte y para el cumplimiento de sus propias obligaciones (trazabilidad, prueba de entrega, incidencias, reclamaciones y normativas sectoriales). Estos proveedores utilizarán tus datos de contacto exclusivamente para la logística (p. ej., avisos de entrega/recogida) y no para fines promocionales.
Base jurídica: ejecución de contrato (entrega del pedido/gestión de devoluciones), obligación legal (consumo, seguridad del producto, fiscal/aduanera cuando proceda) e interés legítimo (seguridad y trazabilidad de los envíos, prevención del fraude).
Conservación y transferencias: conservamos la documentación de envío y la prueba de entrega durante los plazos legales aplicables. En envíos fuera del EEE/RU, la comunicación de datos a operadores postales/aduanas del país de destino puede implicar transferencias internacionales; en tales casos, exigimos garantías adecuadas (p. ej., SCC o decisiones de adecuación) y medidas técnicas/organizativas complementarias.
20) Asesoría y obligaciones fiscales
Comunicamos datos a Domo Gestión (gestoría) para la contabilidad y el cumplimiento de obligaciones fiscales y mercantiles.
Rol: Domo Gestión actúa como encargado del tratamiento (art. 28 RGPD) y solo trata la información siguiendo nuestras instrucciones; podrá ser responsable independiente respecto de sus propias obligaciones profesionales y de archivo.
Datos comunicados (mínimos necesarios): identificación y contacto (nuestro y, cuando proceda, del cliente que figura en el documento de venta), nº de pedido y factura, fechas, líneas e importes, NIF/IVA, direcciones, medio de pago (token/estado; nunca datos completos de tarjeta), descuentos/impuestos aplicados y documentación justificativa de devoluciones/garantías.
Canales y seguridad: el intercambio se realiza por canales cifrados y repositorios controlados (p. ej., ficheros en portal seguro o SFTP, acceso restringido y registros de acceso); evitamos el envío por correo electrónico abierto de ficheros sensibles.
Base jurídica: obligación legal (fiscal/contable y normativa mercantil) e interés legítimo (control interno y auditoría). Conservación: mantenemos la documentación 6 años (mercantil) y 4 años (tributario); Domo Gestión conservará la información el tiempo indispensable para prestar el servicio y cumplir sus obligaciones profesionales.
Ejercicio de derechos: las solicitudes RGPD relativas a estos tratamientos deben dirigirse a Garmon Yarns; trasladaremos a la gestoría aquellas que correspondan a su papel de encargado.
21) Ejercicio de derechos — detalle operativo
- Canales de solicitud: envíanos un email a tienda[arroba]garmonyarns.com, usa el formulario https://www.garmonyarns.com/pages/contacto o remite carta postal a Paseo de la Alameda 21 (Local Garmon Yarns), 28804, Alcalá de Henares (Madrid), España.
- Contenido mínimo de la solicitud: indica el derecho que deseas ejercer (acceso, rectificación, supresión, oposición, limitación, portabilidad o retirada del consentimiento), el ámbito/periodo afectado y, cuando proceda, datos que nos ayuden a localizar la información (p. ej., email usado en tus compras, nº de pedido, canal de alta). Si actúas en nombre de otra persona, pasa al punto 4.
- Verificación de identidad: daremos prioridad a solicitudes recibidas desde el email asociado a tu cuenta/pedidos. Si no fuera posible o hubiera dudas razonables, podremos solicitar prueba adicional (p. ej., confirmación telefónica o documento oficial). Si envías documento, tapa datos no necesarios (recomendado: ocultar foto, MRZ y número de soporte; deja visibles nombre, documento y fecha de validez).
- Representante autorizado: aceptamos solicitudes de representantes si aportan acreditación válida (poder/autorización firmada) e identificación del titular. Podemos verificar directamente con la persona interesada antes de actuar.
- Plazos y forma de respuesta: responderemos en 1 mes desde la recepción; podrá prorrogarse hasta 2 meses si la solicitud es compleja o múltiple (te lo comunicaremos en el primer mes). La respuesta será gratuita y por medios electrónicos salvo que pidas otro formato o resulte imposible.
- Limitaciones y denegaciones: podremos limitar/denegar cuando la solicitud sea manifiestamente infundada o excesiva, cuando no podamos identificar al solicitante con diligencia razonable, o cuando el cumplimiento vulnere derechos de terceros o obligaciones legales (p. ej., conservación mercantil/tributaria, seguridad, prevención del fraude). En estos casos explicaremos el motivo y tus opciones de recurso.
- Coste: el ejercicio es gratuito; en solicitudes infundadas o excesivas podremos cobrar un canon razonable basado en costes administrativos o negar actuar (art. 12.5 RGPD).
- Reclamaciones y no discriminación: si no estás conforme, puedes reclamar ante la AEPD (https://www.aepd.es) u otra autoridad competente. No te discriminaremos por ejercer tus derechos.
22) Cambios en la Política
Publicaremos las actualizaciones en esta página, indicando la fecha de entrada en vigor, y conservaremos un historial de versiones disponible bajo solicitud. Si los cambios son materiales (p. ej., nuevas finalidades, nuevas bases jurídicas o nuevos destinatarios), te los comunicaremos con antelación razonable por email o aviso destacado en la web y, cuando sea legalmente necesario, recabaremos tu consentimiento de nuevo.
23) Contacto
- Email: tienda[garroba]armonyarns.com
- Formulario de contacto: www.garmonyarns.com/pages/contacto
- Dirección postal: Paseo de la Alameda 21 (Local Garmon Yarns), 28804, Alcalá de Henares (Madrid), España
Anexo A — Test de interés legítimo (resumen)
Tratamientos: atención al cliente pre/posventa; encuestas de satisfacción y reseñas verificadas; seguridad/antifraude mínimo necesario; personalización básica intrusiva mínima iniciada por el usuario.
Necesidad: operaciones esenciales para la calidad del servicio y seguridad.
Equilibrio: impacto bajo/medio mitigado por opciones de oposición, opt‑out y control de preferencias en CMP.
Conclusión: el interés legítimo prevalece, manteniendo salvaguardas y transparencia.
Anexo B — Tabla de conservación
|
Ámbito |
Plazo |
|
Cliente/pedidos |
Relación + 6 años (mercantil) / 4 años (tributario) |
|
Soporte/consultas |
Hasta 3 años |
|
Marketing |
Hasta revocación o 3 años de inactividad |
|
Fidelización |
Vigencia + plazos legales |
|
Reseñas |
Mientras sean pertinentes; posible anonimización |
|
Cookies/IDs |
Según CMP y Política de Cookies |
Anexo C — Categorías de proveedores (encargados)
- Plataforma eCommerce: Shopify.
- Consentimiento/cookies: Consentmo GDPR.
- Email marketing: Shopify Email.
- Reseñas: Judge.me.
- Logística/envíos: Packlink Pro + transportistas (Correos, Correos Express, SEUR, InPost/Mondial Relay; la lista puede variar).
- Upsell/cross‑sell/back‑in‑stock: Essentials Upsell; Doran Back In Stock.
- Correo corporativo/DNS: dondominio.com.
- Asesoría/contabilidad: Domo Gestión.
- Gestión/verifactu: Holded.
Anexo D — Cookies/SDK (vista de categorías)
- Técnicas: imprescindibles para navegación, seguridad y carrito.
- Preferencias: idioma, región, UI.
- Analítica/medición: GA4/Consent Mode v2 (agregación/señales).
- Publicidad/remarketing: Google Ads (inicialmente); futuras etiquetas Meta/TikTok condicionadas al consentimiento.
Para detalles de cada cookie/SDK (nombre, proveedor, finalidad, vencimiento), consulta el panel CMP y la Política de Cookies.