Política de Privacidad
1. Responsable del tratamiento
Real Zero, S.L. (en adelante, "Real Zero") es la responsable del tratamiento de los datos personales recogidos a través de sus estaciones automatizadas de recuperación (venta presencial) y, en el futuro, de su tienda online de packs de bebidas.
NIF: B-24961658
Domicilio social: Calle Redencilla del Camino 9 — Escalera G, 5°B, 28050 Madrid, España
Contacto: [email protected] · +34 623 345 790
2. Qué datos recogemos y por qué
| Categoría de datos | Cuándo se recogen | Base legal (RGPD) | Finalidad |
|---|---|---|---|
| Datos de la transacción de pago: marca de tarjeta (VISA, Mastercard…), últimos 4 dígitos del PAN, BIN (primeros dígitos), token de pago (cuando se paga con monedero Monyx), método de pago, fecha y hora, importe, producto y estación | Cada vez que se realiza una compra en la estación | Art. 6.1.b — ejecución del contrato de venta | Procesar el cobro, expedir la factura y prevenir el fraude |
| Identificador de cliente recurrente derivado de los datos anteriores (combinación de marca + últimos 4 dígitos, o token de Monyx) | A partir de los datos de transacción | Art. 6.1.f — interés legítimo | Análisis interno de fidelización: detectar clientes recurrentes y mejorar la oferta de producto |
| Datos de facturación (nombre, NIF, dirección) cuando el cliente solicita factura nominativa | Bajo solicitud del cliente | Art. 6.1.c — obligación legal (Ley General Tributaria) | Emisión y conservación de facturas |
| Datos de pedido online (nombre, email, dirección de envío, datos de pago tokenizados por Stripe) — próximamente | Al comprar un pack de bebidas en la web | Art. 6.1.b — ejecución del contrato | Procesar el pedido, enviar el producto y comunicar el estado del pedido |
Nunca recogemos ni almacenamos el número completo de la tarjeta (PAN) ni el CVV; categorías especiales de datos (salud, religión, ideología, datos biométricos, etc.); ni datos de menores de 16 años. Nuestro producto está dirigido al público adulto deportista.
3. Encargados del tratamiento y terceros
Para prestar el servicio dependemos de proveedores externos. Algunos actúan como encargados del tratamiento (procesan datos siguiendo nuestras instrucciones); otros son responsables independientes. Todos están en la UE o bajo un mecanismo de transferencia válido conforme al RGPD (Cláusulas Contractuales Tipo).
| Proveedor | Función | Rol RGPD | Ubicación |
|---|---|---|---|
| Nayax Europe UAB (Lituania) y Nayax Ltd. (Israel) | Procesamiento de pagos en la estación; telemetría; feed de transacciones | Encargado del tratamiento (datos de venta); Responsable (datos KYC del operador) | UE + Israel (con Cláusulas Contractuales Tipo y Salvaguardas Adicionales tras Schrems II). Política de privacidad de Nayax |
| Nayaxvend Iberica SL | Distribuidor local (gestión KYC y comercial) | Responsable independiente | España |
| Stripe Payments Europe Ltd. (próximamente) | Procesamiento de pagos de la tienda online | Encargado del tratamiento | Irlanda. Política de Stripe |
| Holded SL | Software de contabilidad y facturación | Responsable independiente para datos contables | España. Política de Holded |
| Render Services Inc. | Hosting de la aplicación de analítica interna | Encargado del tratamiento | UE (región Frankfurt) |
| Turso (ChiselStrike Inc.) | Base de datos analítica | Encargado del tratamiento | UE |
| Vercel Inc. | Alojamiento de la web pública | Encargado del tratamiento | EE.UU. (SCCs). Política de Vercel |
| Cloudflare Inc. | CDN y control de acceso a la consola interna | Encargado del tratamiento | Global, con SCCs |
| Resend | Envío de correos transaccionales | Encargado del tratamiento | UE |
| Formspree Inc. | Procesamiento de envíos de formularios web | Encargado del tratamiento | EE.UU. (SCCs). Política de Formspree |
| WhatsApp Business (Meta) | Mensajería con clientes vía WhatsApp Business | Responsable independiente para metadatos de mensajería | Irlanda / EE.UU. Términos de WhatsApp Business |
| Anthropic PBC | IA para generación de recomendaciones operativas (uso interno) | Encargado del tratamiento | EE.UU. con SCCs. Solo se envían métricas agregadas de venta, nunca datos identificables del cliente final |
4. Cuánto tiempo conservamos sus datos
| Tipo de dato | Plazo de conservación |
|---|---|
| Datos de transacción agregados (para fidelización y analítica) | 24 meses desde la última compra, después se anonimizan |
| Facturas y datos contables | 6 años (Código de Comercio, art. 30) |
| Datos KYC y operativos del operador (nosotros, ante Nayax) | Mientras dure la relación contractual + plazos legales aplicables |
| Logs de acceso a la consola interna | 12 meses |
| Datos de pedidos online (próximamente) | 6 años por obligación fiscal; los datos de marketing se conservan hasta que retire el consentimiento |
5. Sus derechos
Como interesado, dispone de los siguientes derechos conforme al RGPD y la LOPDGDD:
- Acceso: saber qué datos suyos tratamos.
- Rectificación: corregir datos inexactos.
- Supresión ("derecho al olvido"): pedir que borremos sus datos cuando ya no sean necesarios.
- Limitación del tratamiento.
- Portabilidad: recibir sus datos en un formato estructurado.
- Oposición al tratamiento basado en interés legítimo (incluida la analítica de fidelización).
- No ser objeto de decisiones automatizadas con efectos significativos. (No tomamos decisiones automatizadas sobre clientes finales.)
- Retirar el consentimiento cuando el tratamiento se base en él, sin efecto retroactivo.
Para ejercer cualquiera de estos derechos, escríbanos a [email protected] indicando claramente qué derecho ejerce y aportando algún medio de identificación (los últimos 4 dígitos de la tarjeta usada, la fecha aproximada de la compra, o cualquier otra prueba razonable). Le responderemos en un plazo máximo de 30 días.
Si considera que no hemos atendido correctamente su derecho, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.
6. Transferencias internacionales
Algunos de nuestros proveedores (notablemente Nayax Ltd. en Israel y Anthropic en EE.UU.) están fuera del Espacio Económico Europeo. En esos casos las transferencias se realizan mediante Cláusulas Contractuales Tipo de la Comisión Europea (Decisión 2021/914) y, donde aplica, con las Salvaguardas Adicionales post-Schrems II descritas en el Anexo II del Addendum de Protección de Datos firmado con cada proveedor.
7. Seguridad
Aplicamos medidas técnicas y organizativas razonables: cifrado en tránsito (HTTPS / TLS), cifrado en reposo (AES-256), control de acceso por autenticación multifactor a la consola interna, principio de mínimo privilegio para el personal, y revisión periódica de los accesos. Los secretos sensibles (claves de API, tokens) se guardan cifrados con Fernet (AES-128 + HMAC-SHA256) en nuestra base de datos.
8. Cambios en esta política
Podemos actualizar esta política. Publicaremos la versión vigente en esta misma URL con la fecha de "Última actualización" arriba. Si los cambios son sustanciales y le afectan directamente como cliente identificable, se lo comunicaremos por el canal que corresponda (email transaccional o aviso en la estación).
9. Contacto
Para cualquier consulta sobre esta política o sobre el tratamiento de sus datos:
[email protected]
Real Zero, S.L., Calle Redencilla del Camino 9 — Escalera G, 5°B, 28050 Madrid, España