Política de Privacidad
Protección de datos personales conforme al Reglamento General de Protección de Datos (RGPD — Reglamento (UE) 2016/679)
Última actualización: 1 de abril de 2026 — Versión 2.0
Índice
1. Responsable del tratamiento
Responsable: Jalao OÜ (Estonia)
Representante legal: Charlie Makaia, Fundador y Director
Sede social: Tallinn, Harju maakond, Estonia
Email de contacto / DPO: contact@jalao.app
Jalao OÜ es el responsable del tratamiento de los datos personales recopilados a través de jalao.shop y jalao.app, conforme al RGPD.
Para cualquier solicitud relativa a sus datos personales, puede contactarnos en contact@jalao.app o a través de nuestro formulario de soporte.
2. Datos recopilados
Jalao recopila los siguientes datos personales en función del uso de la plataforma:
| Dato | Momento de recopilación | Obligatorio |
|---|---|---|
| Nombre y apellidos | Registro de cuenta | Sí |
| Correo electrónico | Registro de cuenta | Sí |
| Número de teléfono | Perfil / KYC | No |
| País de residencia | Registro de cuenta | Sí |
| Dirección de entrega | Pedido / Checkout | Sí (para envíos) |
| Documento de identidad | Verificación KYC | Sí (vendedores / gestores) |
| Selfie de verificación | Verificación KYC | Sí (vendedores / gestores) |
| Fecha de nacimiento | Verificación KYC | Sí (vendedores / gestores) |
| Número de documento (hasheado SHA-256) | Verificación KYC | Sí (vendedores / gestores) |
| Dirección de wallet TRON | Configuración de pagos | Sí (para transacciones crypto) |
| Historial de pedidos | Uso de la plataforma | Automático |
| Dirección IP | Cada visita | Automático |
| Datos de navegación (páginas, dispositivo, navegador) | Cada visita | Automático |
| Geolocalización (país, aproximada) | Cada visita | Automático |
| Screening de sanciones internacionales | KYC / Registro | Automático |
3. Bases legales del tratamiento (Art. 6 RGPD)
Cada tratamiento de datos personales se fundamenta en una base legal específica conforme al artículo 6 del RGPD:
| Tratamiento | Base legal |
|---|---|
| Gestión de la cuenta de usuario | Ejecución del contrato (Art. 6.1.b) |
| Procesamiento de pedidos y entregas | Ejecución del contrato (Art. 6.1.b) |
| Pagos y transacciones (escrow, wallet) | Ejecución del contrato (Art. 6.1.b) |
| Verificación KYC / AML | Obligación legal (Art. 6.1.c) |
| Screening de sanciones internacionales | Obligación legal (Art. 6.1.c) |
| Bloqueo de acceso desde EE.UU. | Obligación legal (Art. 6.1.c) |
| Cookies analíticos (Google Analytics) | Consentimiento (Art. 6.1.a) |
| Emails de marketing | Consentimiento (Art. 6.1.a) |
| Prevención del fraude | Interés legítimo (Art. 6.1.f) |
| Logs de compliance y auditoría | Obligación legal (Art. 6.1.c) |
4. Duración de conservación
Conforme al principio de limitación del plazo de conservación (Art. 5.1.e RGPD), los datos se conservan por los periodos siguientes:
| Categoría de datos | Duración de conservación | Base legal |
|---|---|---|
| Datos de cuenta (perfil, email, nombre) | Duración de la cuenta + 3 años | Ejecución del contrato (Art. 6.1.b) + Interés legítimo (Art. 6.1.f) |
| Transacciones y datos financieros | 10 años | Obligación fiscal (Art. 6.1.c — legislación fiscal aplicable) |
| Logs de compliance (IP, timezone, wallet, checkbox) | 5 años mínimo | Obligación legal en materia de sanciones (Art. 6.1.c) |
| Datos KYC vendedores / gestores | 5 años tras fin de la relación | Obligación KYC/AML (Art. 6.1.c — Directiva (UE) 2015/849) |
| Datos de livraison (dirección de entrega) | 3 años tras la entrega | Interés legítimo — gestión de disputas (Art. 6.1.f) |
| Mensajes del chat | 2 años tras el último mensaje | Ejecución del contrato — gestión de disputas (Art. 6.1.b) |
| Cookies Google Analytics 4 | 13 meses máximo | Consentimiento (Art. 6.1.a — Directiva ePrivacy) |
| Logs de seguridad (accesos, actividad sospechosa) | 12 meses | Interés legítimo — seguridad (Art. 6.1.f) |
| Reports DSA (señalamientos de contenido) | 5 años tras la resolución | Obligación legal — DSA Art. 16 (Reglamento (UE) 2022/2065) |
| Push tokens (notificaciones) | Duración de la cuenta | Consentimiento (Art. 6.1.a) |
Transcurridos estos periodos, los datos se eliminan o anonimizan de forma irreversible conforme al artículo 17 del RGPD.
5. Destinatarios de los datos
Los datos personales pueden ser compartidos con los siguientes destinatarios, exclusivamente para las finalidades indicadas:
| Destinatario | Datos compartidos | Finalidad |
|---|---|---|
| Supabase (PostgreSQL cloud — región eu-central-1, Fráncfort, Alemania, UE) | Datos de cuenta, transacciones, mensajes | Base de datos auto-alojada (self-hosted) en Hetzner Cloud, Fráncfort, Alemania (UE). Jalao gestiona directamente la instancia Supabase. Supabase Inc. no tiene acceso a los datos. Sin transferencia fuera del EEE. |
| Mollie | Email, nombre, datos de pago | Procesamiento de pagos (usuarios UE) |
| Google Analytics 4 | IP anonimizada, navegación, dispositivo | Análisis de uso de la plataforma |
| Google Tag Manager | Eventos de navegación | Gestión de etiquetas y eventos analíticos |
| TRON (blockchain) | Dirección de wallet, transacciones | Pagos en USDT / DAI |
| OpenSanctions | Nombre, país, fecha de nacimiento | Screening de sanciones internacionales |
| Resend | Email, nombre | Envío de correos transaccionales |
| CJ Dropshipping | Dirección de entrega, detalles del pedido | Cumplimiento de pedidos (dropshipping) |
6. Transferencias internacionales
Conforme a los artículos 44 a 49 del RGPD, Jalao detalla a continuación cada subencargado del tratamiento, el país de destino de los datos, la naturaleza de los datos transferidos y el mecanismo legal que ampara dicha transferencia:
| Subencargado | País | Datos transferidos | Mecanismo legal |
|---|---|---|---|
| Supabase (PostgreSQL — región eu-central-1, Fráncfort, Alemania, UE) | Alemania (UE) | Datos de cuenta, transacciones, mensajes | Sin transferencia fuera del EEE. Jalao gestiona directamente la instancia Supabase. Supabase Inc. no tiene acceso a los datos. |
| Hetzner Cloud | Alemania (UE) | Hosting, logs de servidor, datos aplicativos | Sin transferencia fuera del EEE |
| Mollie BV | Países Bajos (UE) | Email, nombre, datos de pago EUR | Sin transferencia fuera del EEE |
| Resend Inc. | Estados Unidos | Email, nombre del destinatario | Cláusulas Contractuales Tipo (SCCs — Decisión 2021/914) |
| Google (Analytics / GTM) | Estados Unidos | IP anonimizada, navegación, dispositivo | Consentimiento (Art. 49.1.a) + DPA + SCCs |
| CJ Dropshipping | China | Dirección de entrega, detalles del pedido | Necesidad contractual (Art. 49.1.b RGPD) |
| Red TRON (blockchain) | Descentralizado | Dirección de wallet, hashes de transacción | Consentimiento explícito al pago crypto (Art. 49.1.a) |
Nota sobre CJ Dropshipping (China): No existe decisión de adecuación de la Comisión Europea para China conforme al artículo 45 del RGPD. La transferencia se fundamenta exclusivamente en el artículo 49.1.b (transferencia necesaria para la ejecución de un contrato celebrado en interés del interesado). Los datos transferidos se limitan estrictamente a los datos de livraison (dirección de entrega, nombre del destinatario, detalles del pedido). Ningún dato de cuenta, dato financiero ni dato de identificación es compartido con CJ Dropshipping.
Medidas técnicas complementarias aplicables a todas las transferencias: cifrado en tránsito (TLS 1.3), control de acceso basado en roles, minimización de los datos transferidos y evaluaciones periódicas del nivel de protección ofrecido por cada subencargado.
7. Derechos del usuario (Art. 15-22 RGPD)
Conforme al RGPD, todo usuario dispone de los siguientes derechos sobre sus datos personales:
- Derecho de acceso (Art. 15): Obtener confirmación de si sus datos son tratados y acceder a ellos.
- Derecho de rectificación (Art. 16): Corregir datos inexactos o incompletos.
- Derecho de supresión (Art. 17): Solicitar la eliminación de sus datos cuando ya no sean necesarios o se retire el consentimiento.
Limitaciones al derecho de supresión: Conforme al artículo 17.3 del RGPD, el derecho de supresión no se aplica cuando el tratamiento es necesario para el cumplimiento de una obligación legal. En particular, Jalao está obligada a conservar:
- Los datos de verificación KYC/AML durante 5 años tras el fin de la relación comercial (Directiva (UE) 2015/849).
- Los registros de screening de sanciones internacionales durante 5 años mínimo.
- Los datos fiscales y de facturación durante 10 años (legislación fiscal aplicable).
- Los registros de compliance durante 5 años (prevención del blanqueo).
En caso de solicitud de supresión, Jalao eliminará todos los datos no sujetos a una obligación legal de conservación e informará al usuario de los datos que deben ser conservados y del motivo legal correspondiente.
- Derecho a la limitación (Art. 18): Restringir el tratamiento de sus datos en determinadas circunstancias.
- Derecho a la portabilidad (Art. 20): Recibir sus datos en un formato estructurado y legible por máquina (JSON o CSV) y transmitirlos a otro responsable.
- Derecho de oposición (Art. 21): Oponerse al tratamiento basado en el interés legítimo o el interés público.
- Derecho a retirar el consentimiento: Retirar en cualquier momento el consentimiento otorgado, sin que ello afecte a la licitud del tratamiento anterior.
Cómo ejercer sus derechos
Email: contact@jalao.app
Asunto: "Ejercicio de Derechos — [Nombre del derecho]"
Plazo de respuesta: 30 días naturales (Art. 12.3 RGPD).
Reclamación ante la autoridad de control
El usuario tiene derecho a presentar una reclamación ante:
- Andmekaitse Inspektsioon (Autoridad de Protección de Datos de Estonia) — www.aki.ee
- La autoridad de protección de datos de su país de residencia, si reside en otro Estado miembro de la UE.
El usuario también puede reclamar ante la autoridad de protección de datos de su país de residencia dentro de la UE/EEE.
9. Seguridad
Conforme al artículo 32 del RGPD, Jalao implementa las siguientes medidas técnicas y organizativas para proteger los datos personales:
- HTTPS / TLS: Todas las comunicaciones están cifradas en tránsito mediante TLS.
- Row Level Security (RLS) en Supabase: Políticas de acceso granulares a nivel de fila en la base de datos, garantizando que cada usuario solo accede a sus propios datos.
- Hash SHA-256 de documentos: Los números de documento de identidad se almacenan hasheados, nunca en texto plano.
- Acceso limitado a administradores: Principio de mínimo privilegio para el acceso a datos personales.
- Screening automatizado de sanciones: Verificación automática contra listas de sanciones internacionales (OpenSanctions).
- Monitoreo en tiempo real: Supervisión continua de accesos y actividades sospechosas.
9b. Decisiones automatizadas y screening de sanciones
Jalao realiza verificaciones automatizadas de los datos de los usuarios (nombre completo, dirección de wallet) contra las listas de sanciones internacionales (lista SDN de la OFAC, listas de sanciones de la UE, OpenSanctions). Este tratamiento se basa en la obligación legal (Art. 6.1.c del RGPD) y puede resultar en el bloqueo de una transacción o la suspensión de una cuenta.
Los resultados de estas verificaciones se conservan en nuestros registros de cumplimiento (compliance_logs) durante un mínimo de 5 años, conforme a las obligaciones legales en materia de prevención del blanqueo y sanciones internacionales.
Conforme al artículo 22 del RGPD, usted tiene derecho a solicitar una revisión humana de cualquier decisión automatizada que le afecte significativamente. Para ello, puede contactar contact@jalao.app con el asunto "Revisión humana — [su nombre]". Jalao se compromete a realizar la revisión y comunicar el resultado en un plazo máximo de 15 días hábiles.
10. Menores
La plataforma Jalao no está dirigida a menores de 18 años. Jalao no recopila conscientemente datos personales de menores.
Si se detecta que un usuario es menor de 18 años, se procederá a la suspensión inmediata de la cuenta y a la eliminación de todos los datos asociados.
Los padres o tutores legales pueden contactar a contact@jalao.app para solicitar la supresión de los datos de un menor.
11. Modificaciones
Jalao se reserva el derecho de modificar la presente Política de Privacidad en cualquier momento. Las modificaciones entrarán en vigor desde su publicación en la plataforma.
En caso de modificación sustancial, Jalao notificará a los usuarios por correo electrónico a la dirección asociada a su cuenta.
Se recomienda consultar periódicamente esta página. La fecha de última actualización se indica en la parte superior del documento.