RGPD — Protección de Datos para Usuarios de la UE

1. Ámbito de Aplicación

La presente Política RGPD se aplica a todos los usuarios de la plataforma Jalao que residan en la Unión Europea (UE) o en el Espacio Económico Europeo (EEE), conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).

El tratamiento de datos de usuarios de la UE/EEE es gestionado principalmente por Jalao OÜ, entidad registrada en Tallin, República de Estonia, Estado miembro de la Unión Europea, lo que garantiza el pleno cumplimiento del RGPD.

Esta política complementa la Política de Privacidad general de Jalao. En caso de contradicción entre ambas, prevalecerá la presente Política RGPD para los usuarios de la UE/EEE.

2. Responsable del Tratamiento

Jalao OÜ es el responsable principal del tratamiento de datos personales de los usuarios de la UE/EEE, conforme al artículo 4.7 del RGPD. Jalao DMCC (DMCC Free Zone, Dubái, EAU) actúa como co-responsable del tratamiento conforme al artículo 26 del RGPD, en relación con las operaciones comerciales de la Plataforma.

Ambas entidades han formalizado un acuerdo de co-responsabilidad conforme al artículo 26 del RGPD, estableciendo sus respectivas responsabilidades en materia de protección de datos.

3. Delegado de Protección de Datos (DPO)

El Delegado de Protección de Datos de Jalao es accesible en:

El DPO es el punto de contacto para cualquier cuestión relacionada con el tratamiento de datos personales, el ejercicio de derechos RGPD y la supervisión del cumplimiento normativo.

4. Derechos del Interesado

Conforme a los artículos 15 a 22 del RGPD, todo usuario de la UE/EEE tiene los siguientes derechos:

4.1. Derecho de Acceso (Art. 15)

Derecho a obtener del responsable confirmación de si se están tratando sus datos personales y, en caso afirmativo, acceso a los datos y a la siguiente información: finalidades del tratamiento, categorías de datos, destinatarios, plazo de conservación, existencia de derechos de rectificación/supresión/limitación/oposición, derecho a reclamar ante una autoridad de control, y el origen de los datos.

4.2. Derecho de Rectificación (Art. 16)

Derecho a obtener la rectificación de datos personales inexactos o incompletos. Jalao rectificará los datos sin dilación indebida.

4.3. Derecho de Supresión / Derecho al Olvido (Art. 17)

Derecho a obtener la supresión de datos personales cuando:

• Ya no sean necesarios para la finalidad del tratamiento.
• El interesado retire su consentimiento.
• El interesado se oponga al tratamiento y no existan motivos legítimos.
• Los datos hayan sido tratados ilícitamente.
• Los datos deban suprimirse para cumplir una obligación legal.

Este derecho está sujeto a las excepciones del artículo 17.3 del RGPD, incluyendo obligaciones legales de conservación (ver sección 11).

4.4. Derecho a la Limitación del Tratamiento (Art. 18)

Derecho a obtener la limitación del tratamiento cuando:

• El interesado impugne la exactitud de los datos.
• El tratamiento sea ilícito pero el interesado se oponga a la supresión.
• Jalao ya no necesite los datos pero el interesado los necesite para reclamaciones.
• El interesado se haya opuesto al tratamiento (Art. 21) y se verifique si los motivos legítimos prevalecen.

4.5. Derecho a la Portabilidad de los Datos (Art. 20)

Derecho a recibir los datos personales en un formato estructurado, de uso común y lectura mecánica (JSON o CSV), y a transmitirlos a otro responsable del tratamiento sin impedimento, cuando el tratamiento se base en el consentimiento o en un contrato y se efectúe por medios automatizados.

4.6. Derecho de Oposición (Art. 21)

Derecho a oponerse al tratamiento basado en el interés legítimo (Art. 6.1.f) o en el interés público (Art. 6.1.e), incluyendo la elaboración de perfiles. Jalao dejará de tratar los datos salvo que acredite motivos legítimos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado.

4.7. Derecho a No Ser Objeto de Decisiones Automatizadas (Art. 22)

Derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o le afecte significativamente. Jalao no realiza decisiones automatizadas de este tipo.

4.8. Derecho a Retirar el Consentimiento

Cuando el tratamiento se base en el consentimiento (Art. 6.1.a), el interesado tiene derecho a retirarlo en cualquier momento. La retirada del consentimiento no afecta a la licitud del tratamiento previo.

5. Cómo Ejercer sus Derechos

Para ejercer cualquiera de los derechos enumerados en la sección 4, el interesado puede dirigirse a:

Plazos de respuesta:

• Jalao responderá en un plazo máximo de 30 días naturales desde la recepción de la solicitud (Art. 12.3 RGPD).
• Este plazo podrá prorrogarse 2 meses adicionales en función de la complejidad y número de solicitudes, informando al interesado en el plazo inicial de un mes.
• El ejercicio de los derechos es gratuito, salvo solicitudes manifiestamente infundadas o excesivas (Art. 12.5 RGPD).

6. Reclamación ante la Autoridad de Control

Sin perjuicio de cualquier otro recurso administrativo o judicial, el interesado tiene derecho a presentar una reclamación ante la autoridad de control competente (Art. 77 RGPD).

Para Jalao OÜ, la autoridad de control competente es:

El interesado puede igualmente reclamar ante la autoridad de protección de datos de su país de residencia dentro de la UE/EEE.

7. Base Legal del Tratamiento

El tratamiento de datos de usuarios de la UE/EEE se fundamenta en las siguientes bases legales del artículo 6 del RGPD:

8. Política de Cookies

8.1. Cookies Estrictamente Necesarias (sin consentimiento)

Conforme al artículo 5.3 de la Directiva 2002/58/CE (ePrivacy), las siguientes cookies no requieren consentimiento:

• Sesión de autenticación: Identificación del usuario. Duración: sesión / 30 días.
• Preferencias: Moneda, idioma, ubicación. Duración: 1 año.
• CSRF token: Protección contra ataques CSRF. Duración: sesión.

8.2. Cookies Opcionales (requieren consentimiento)

• Google Analytics 4: Análisis de comportamiento de navegación. IP anonimizada. Duración: hasta 14 meses. Solo se activan con el consentimiento explícito del usuario.

8.3. Sin Cookies Publicitarias

Jalao no utiliza cookies publicitarias, de seguimiento ni de terceros con fines comerciales o publicitarios.

8.4. Gestión del Consentimiento

El usuario puede gestionar sus preferencias de cookies mediante el banner de cookies de la Plataforma, que se muestra al primer acceso y permite aceptar o rechazar las cookies opcionales. El usuario puede modificar sus preferencias en cualquier momento.

9. Servicios de Terceros

Jalao utiliza los siguientes servicios de terceros que pueden tratar datos personales de usuarios de la UE/EEE. Todos están sujetos a acuerdos de tratamiento de datos (DPA) conforme al artículo 28 del RGPD:

9.1. Supabase

• Función: Base de datos, autenticación y almacenamiento.
• Datos procesados: Datos de cuenta, transacciones, mensajes.
• Ubicación: AWS (opción de regiones UE).
• Garantías: DPA conforme al RGPD, SCCs para transferencias fuera de la UE.

9.2. Vercel

• Función: Alojamiento web y almacenamiento de archivos (Blob).
• Datos procesados: Datos técnicos (IP, navegador), imágenes de productos.
• Ubicación: Infraestructura global con servidores en la UE.
• Garantías: DPA conforme al RGPD.

9.3. Resend

• Función: Envío de correo electrónico transaccional.
• Datos procesados: Email, nombre, contenido del mensaje.
• Garantías: DPA conforme al RGPD.

9.4. TronGrid

• Función: Interacción con la blockchain TRON para transacciones en USDT y DAI.
• Datos procesados: Direcciones de wallet, hashes de transacciones.
• Nota: Los datos en blockchain son públicos e inmutables por naturaleza.

9.5. CJ Dropshipping

• Función: Proveedor de productos para dropshipping.
• Datos procesados: Dirección de entrega del comprador, detalles del pedido.
• Ubicación: China.
• Garantías: SCCs para transferencias a terceros países.

9.6. Google Analytics 4

• Función: Análisis del comportamiento de navegación.
• Datos procesados: IP anonimizada, páginas visitadas, dispositivo, fuente de tráfico.
• Ubicación: Servidores de Google (UE/EE.UU.).
• Garantías: Anonimización de IP activada, DPA de Google, Marco de Privacidad de Datos UE-EE.UU.
• Consentimiento: Solo se activa con el consentimiento explícito del usuario.

10. Transferencias Internacionales

Jalao puede transferir datos personales fuera del EEE, principalmente a:

• Emiratos Árabes Unidos (Jalao DMCC) — Protegido mediante Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea (Decisión de Ejecución (UE) 2021/914) y evaluación de impacto de la transferencia (TIA).
• Estados Unidos (proveedores tecnológicos: Supabase, Vercel, Google) — Protegido mediante el Marco de Privacidad de Datos UE-EE.UU. (EU-U.S. Data Privacy Framework) y/o SCCs.
• China (CJ Dropshipping) — Solo datos necesarios para la entrega (dirección). Protegido mediante SCCs y medidas técnicas complementarias.

Medidas técnicas complementarias para todas las transferencias: cifrado en tránsito (TLS 1.3) y en reposo (AES-256), control de acceso basado en roles, minimización de datos transferidos.

11. Conservación de Datos

Conforme al principio de limitación del plazo de conservación (Art. 5.1.e RGPD):

• Cuenta activa: Datos conservados mientras la cuenta esté activa.
• Post-eliminación (datos legales): 5 años (obligaciones AML/CFT, fiscales y mercantiles).
• Datos transaccionales / blockchain: 10 años (regulaciones financieras EAU/Estonia).
• Mensajes: 1 año tras cierre de cuenta.
• Datos KYC: 5 años tras cierre de cuenta.
• Cookies de análisis: Máximo 14 meses.
• Logs de acceso: 12 meses.

Transcurridos estos periodos, los datos se eliminan o anonimizan de forma irreversible.

12. Medidas de Seguridad

Conforme al artículo 32 del RGPD, Jalao implementa las siguientes medidas técnicas y organizativas:

• Cifrado en reposo: AES-256 para datos personales almacenados.
• Cifrado en tránsito: TLS 1.3 para todas las comunicaciones.
• Contraseñas: Hash criptográfico (bcrypt), nunca en texto plano.
• Control de acceso: Principio de mínimo privilegio, autenticación multifactor para acceso a sistemas internos.
• Auditoría: Registro de todos los accesos a datos personales.
• Pruebas de seguridad: Evaluaciones periódicas de vulnerabilidad.
• Plan de respuesta a incidentes: Notificación a la autoridad de control en 72 horas (Art. 33), notificación a los afectados si existe alto riesgo (Art. 34).
• Evaluación de impacto (DPIA): Realizada para el tratamiento de datos financieros y de blockchain conforme al artículo 35 del RGPD.

13. Menores de Edad

La Plataforma no está dirigida a menores de 18 años. Conforme al artículo 8 del RGPD, Jalao no recopila conscientemente datos de menores de 16 años (umbral aplicable en Estonia). Si se detecta que un usuario es menor, se procederá a la suspensión inmediata de la cuenta y a la eliminación de los datos. Los padres o tutores pueden contactar a contact@jalao.market.

14. Contacto

Para cualquier consulta sobre la protección de datos o el RGPD:

Entidad responsable (UE):

• Jalao OÜ — Tallin, República de Estonia.

Co-responsable:

• Jalao DMCC — DMCC Free Zone, Dubái, Emiratos Árabes Unidos.