Versión: 1.1
Entrada en vigor: fecha en que el Comerciante instala la App o empieza a usarla (lo que ocurra primero).
Este DPA forma parte de los Términos de Servicio del Proveedor (el “Contrato Principal”).
Juan Angel Garcia Rodenas, autónomo, NIF 44380284J, con domicilio profesional en Arganda del Rey, Madrid, España (en adelante, el “Proveedor” o “Encargado”).
Email de privacidad / contacto RGPD: contacto@argatronics.com
La persona física o jurídica titular/operadora de la tienda Shopify que instala o utiliza la aplicación Nextronics Inventory Manager (la “App”) (en adelante, el “Comerciante” o “Responsable”).
El Comerciante se identifica, a efectos de este DPA, por el dominio de su tienda Shopify (por ejemplo, xxxx.myshopify.com) y/o por el identificador de tienda (shop_id) registrado en los sistemas del Proveedor.
1.1. “Datos Personales”, “Tratamiento”, “Violación de seguridad de los datos personales”, “Interesado”, “Responsable” y “Encargado” tendrán el significado establecido en el Reglamento (UE) 2016/679 (“RGPD”).
1.2. “Datos del Comerciante” son los datos (incluyendo Datos Personales) que el Comerciante carga, exporta, importa o procesa usando la App (incluyendo ficheros CSV/XLSX).
1.3. “Subencargado” es cualquier tercero contratado por el Proveedor para tratar Datos Personales en nombre del Comerciante.
2.1. Este DPA regula el Tratamiento de Datos Personales por parte del Proveedor como Encargado en nombre del Comerciante como Responsable, en relación con la prestación de la App y servicios asociados.
2.2. Los detalles del Tratamiento se describen en el Anexo 1.
3.1. El Proveedor tratará los Datos Personales únicamente conforme a instrucciones documentadas del Comerciante, incluyendo las instrucciones implícitas en el uso de la App y sus configuraciones.
3.2. El Comerciante es responsable de: (i) disponer de base legal para el Tratamiento, (ii) proporcionar información adecuada a los interesados cuando corresponda, y (iii) no incluir datos innecesarios o categorías especiales de datos (art. 9 RGPD), salvo que sea estrictamente necesario y conforme a la ley.
3.3. Si el Proveedor considera que una instrucción infringe el RGPD u otra norma aplicable, lo notificará al Comerciante sin demora indebida.
4.1. El Proveedor garantizará que las personas autorizadas para tratar Datos Personales estén sujetas a deber de confidencialidad.
4.2. El acceso se limitará al personal estrictamente necesario (“need-to-know”).
5.1. El Proveedor aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al art. 32 RGPD.
5.2. Las medidas mínimas se describen en el Anexo 2.
5.3. En particular, los ficheros de importación/exportación se almacenan de forma temporal en una base de datos (PostgreSQL) en formato comprimido (ZIP) y, cuando está habilitado, cifrados a nivel de aplicación (cifrado at-rest) antes de persistirse.
5.4. El Proveedor podrá actualizar dichas medidas para mejorar la seguridad, siempre que no reduzcan materialmente el nivel de protección.
6.1. El Comerciante autoriza al Proveedor a utilizar Subencargados para prestar el servicio (por ejemplo, proveedor de VPS/hosting), conforme a este DPA.
6.2. El Proveedor mantendrá una lista de Subencargados en el Anexo 3 (incluyendo ubicación).
6.3. El Proveedor impondrá a los Subencargados obligaciones de protección de datos equivalentes a las de este DPA.
6.4. El Proveedor notificará cambios materiales en Subencargados mediante correo electrónico a la dirección de contacto del Comerciante y/o mediante aviso en la App, con un preaviso razonable cuando sea posible. El Comerciante podrá oponerse por motivos razonables relacionados con protección de datos.
7.1. Los ficheros y datos se alojan en un VPS operado por OVHcloud en Francia (Unión Europea / EEE).
7.2. En la configuración actual, el Proveedor no realiza transferencias internacionales de Datos Personales fuera del EEE para el almacenamiento principal de ficheros.
7.3. Si en el futuro el Proveedor utilizara Subencargados o ubicaciones fuera del EEE, garantizará una base legal válida (por ejemplo, SCC) y actualizará los Anexos correspondientes.
8.1. El Proveedor asistirá al Comerciante, teniendo en cuenta la naturaleza del Tratamiento, para atender solicitudes de derechos de interesados y cumplir obligaciones relativas a seguridad y evaluaciones de impacto cuando proceda.
8.2. Si el Proveedor recibe directamente una solicitud de un interesado relativa a Datos Personales tratados para el Comerciante, la remitirá al Comerciante sin responderla, salvo obligación legal.
8.3. El Proveedor facilitará, cuando sea técnicamente posible, la supresión de datos asociados a la tienda (por ejemplo, borrado de ficheros subidos dentro del plazo de retención).
9.1. El Proveedor notificará al Comerciante sin demora indebida tras tener conocimiento de una Violación de seguridad de Datos Personales.
9.2. La notificación incluirá, en la medida de lo posible: naturaleza de la brecha, categorías y volumen aproximado, consecuencias probables y medidas adoptadas o propuestas.
10.1. Al finalizar la prestación de servicios o a solicitud del Comerciante, el Proveedor suprimirá o devolverá los Datos Personales, salvo obligación legal de conservación.
10.2. Retención de ficheros (import/export): los ficheros subidos por el Comerciante se conservarán durante un máximo de 7 días, con borrado automático al finalizar dicho plazo, salvo que el Comerciante solicite su supresión antes.
10.2 bis. Descarga controlada: los ficheros de importación/exportación no se exponen mediante acceso directo al sistema de ficheros del servidor. La descarga se realiza mediante endpoints autenticados (por ejemplo, token de sesión) y/o enlaces firmados con caducidad.
10.3. Desinstalación: si el Comerciante desinstala la App, el Proveedor suprimirá o anonimizará los datos asociados a la tienda (incluidos ficheros dentro de retención) en un plazo máximo de 30 días, salvo obligación legal.
10.4. Backups: si existieran copias de seguridad, los datos se eliminarán siguiendo el ciclo de retención de backups del Proveedor y en un plazo razonable, sin acceso activo salvo restauración por incidente.
11.1. El Proveedor pondrá a disposición del Comerciante la información razonablemente necesaria para demostrar el cumplimiento de este DPA.
11.2. El Comerciante podrá solicitar auditorías razonables sujeto a: (i) preaviso mínimo de 15 días, (ii) frecuencia máxima de 1 vez al año, (iii) confidencialidad, y (iv) que no comprometa la seguridad ni los derechos de otros clientes.
11.3. En alternativa, el Proveedor podrá proporcionar evidencias equivalentes (cuestionarios de seguridad, políticas, evidencias de controles) cuando sea suficiente.
12.1. La responsabilidad se regirá por lo pactado en el Contrato Principal, en la medida permitida por la ley aplicable.
12.2. Cada parte será responsable de sus propios incumplimientos del RGPD.
13.1. Este DPA se regirá por la ley de España, sin perjuicio de normas imperativas aplicables en materia de protección de datos.
13.2. Las partes se someten a los tribunales de Madrid (España), salvo norma imperativa aplicable.
14.1. El Comerciante acepta este DPA al instalar la App o al usarla, conforme al Contrato Principal.
14.2. Si el usuario que instala/usa la App lo hace en nombre de una entidad, declara tener autoridad para aceptar este DPA en nombre de dicha entidad.
14.3. El Proveedor podrá registrar evidencias de aceptación (fecha/hora, tienda Shopify, versión del DPA) para fines de cumplimiento.
A. Materia: prestación de la App para importación/exportación de datos en Shopify (incluyendo inventario).
B. Duración: mientras el Comerciante use la App y durante los plazos de retención definidos.
C. Naturaleza: carga de ficheros, almacenamiento temporal (en base de datos en formato ZIP; cifrado at-rest cuando esté habilitado), lectura/validación, transformación, ejecución de import/export, generación de resultados, gestión de errores y trazabilidad técnica.
D. Finalidad: permitir al Comerciante importar/exportar datos y automatizar procesos operativos asociados a su tienda Shopify.
E. Categorías de interesados: clientes del Comerciante, potenciales clientes, contactos/empleados del Comerciante (si aparecen en ficheros).
F. Categorías de datos personales (posibles): nombre, apellidos, email, teléfono, direcciones de envío/facturación, identificadores de cliente/pedido y cualquier otro dato personal incluido por el Comerciante en los ficheros.
G. Categorías especiales (art. 9 RGPD): la App no está diseñada para tratar categorías especiales; el Comerciante no debe incluirlas.
H. Retención:
I. Ubicación: VPS operado por OVHcloud en Francia (UE/EEE).
El Proveedor aplica, como mínimo:
No aplica actualmente, dado que el almacenamiento principal se realiza en Francia (UE/EEE) con OVHcloud.
Última actualización: 2026-02-23