Política de privacidad

El responsable del tratamiento de tus datos es Tonyzales, sociedad estonia con código de registro 17173259, domicilio en Tallin, Estonia, e identificador fiscal EU EE102829396.

Para cualquier consulta sobre privacidad o protección de datos, podés escribir a [email protected]. Si vivís en la Unión Europea y considerás que tus derechos no fueron atendidos correctamente, tenés la opción de presentar una reclamación ante la Autoridad de Protección de Datos de Estonia (Andmekaitse Inspektsioon, aki.ee) o ante la autoridad de tu país de residencia.

Cuando creás una cuenta: tu dirección de email, una contraseña hasheada con bcrypt y un secreto TOTP para la verificación en dos pasos. La contraseña en texto plano nunca se guarda en nuestros sistemas.

Cuando hacés un pedido: tu país declarado, el método de pago utilizado, los identificadores que devuelve el procesador de pago (por ejemplo un ID de transacción de Stripe), y tu IP en el momento de la compra. Para pagos con Zelle también almacenamos el comprobante que subiste.

En procesos de verificación reforzada (KYC): cuando una operación supera ciertos umbrales podemos solicitarte una foto de tu documento de identidad emitido por el gobierno. Esa imagen se procesa a través de Stripe Identity, un proveedor especializado de verificación de identidad.

Para fines de seguridad y prevención del fraude: registramos los inicios de sesión, los cambios de país detectados, los intentos fallidos de pago y un hash de tu IP en cada acción sensible.

Si iniciás sesión con un proveedor externo (Google o Facebook): recibimos de ellos tu nombre, tu dirección de email y, si está disponible, tu foto de perfil, únicamente para crear o identificar tu cuenta. No publicamos nada en tu nombre ni accedemos a tu lista de contactos.

Procesar tus compras y entregar los códigos digitales adquiridos. Esta es la base contractual del tratamiento, conforme al artículo 6.1.b del RGPD.

Cumplir nuestras obligaciones legales en materia tributaria, contable, prevención del blanqueo de capitales y financiación del terrorismo. Esta base legal corresponde al artículo 6.1.c del RGPD.

Prevenir fraude, detectar abusos y proteger tanto a los clientes como a la plataforma. Esta base corresponde al interés legítimo del artículo 6.1.f del RGPD.

Enviar comunicaciones sobre el estado de tus pedidos y, si lo autorizaste explícitamente, comunicaciones de marketing. El marketing se basa en tu consentimiento revocable (artículo 6.1.a) y siempre incluye un enlace para darse de baja.

Compartimos lo estrictamente necesario con los siguientes terceros, todos ellos sujetos a sus propias políticas de protección de datos y acuerdos de procesamiento (DPA) con nosotros: Stripe (procesador de pagos con tarjeta), PayPal (pagos PayPal), NowPayments (pagos cripto), Resend Inc. (envío de emails transaccionales), Cloudflare Inc. (red de distribución y almacenamiento R2), Hetzner Online GmbH (alojamiento del servidor en Falkenstein, Alemania), Anthropic PBC (asistencia IA para clasificación de tickets, una vez activada esa función).

Proveedores de inicio de sesión (Google y Meta Platforms/Facebook): solo si eliges autenticarte con ellos. Intercambiamos los datos mínimos para crear o identificar tu cuenta (nombre, correo y, si está disponible, foto de perfil). El tratamiento que ellos hagan de esos datos se rige por sus propias políticas de privacidad.

Compartimos datos con las autoridades competentes cuando una norma legal nos obliga, por ejemplo en respuesta a una solicitud fundada del Fiscal General, la Unidad de Inteligencia Financiera de Estonia (Rahapesu Andmebüroo) o un tribunal con jurisdicción.

Nunca vendemos tus datos personales a terceros y no los usamos para publicidad dirigida fuera de la plataforma.

Nuestra infraestructura principal está en la Unión Europea (Alemania y Estonia). Algunos proveedores procesan datos en otros países, principalmente Estados Unidos. En esos casos exigimos garantías adecuadas, como cláusulas contractuales tipo aprobadas por la Comisión Europea o adhesión al EU-US Data Privacy Framework, según el caso.

Los datos de cuentas activas se conservan mientras la cuenta esté abierta. Si solicitás el cierre, eliminamos los datos personales que no estamos obligados a conservar por ley.

Los registros financieros, fiscales y de prevención del blanqueo de capitales se conservan durante 5 años desde el fin de la relación comercial o desde la fecha de la transacción, lo que ocurra más tarde. Este plazo viene impuesto por la Quinta Directiva AML de la UE y la Ley estonia equivalente.

Los logs de seguridad y antifraude se conservan durante 12 meses, salvo que se incorporen a un caso de fraude bajo investigación, en cuyo caso se retienen hasta el cierre del caso.

Bajo el RGPD tenés derecho a acceder a los datos que tenemos sobre vos, rectificarlos si son inexactos, solicitar su supresión cuando no haya base legal que justifique conservarlos, oponerte a ciertos tratamientos, solicitar la portabilidad de tus datos en un formato estructurado y de uso común, y retirar el consentimiento que hubieras dado en cualquier momento.

Eliminación de tu cuenta y tus datos: podés solicitar la eliminación de tu cuenta y de tus datos personales escribiendo a [email protected] desde el email con el que estás registrado. Procesamos la solicitud en un plazo máximo de 30 días, salvo los registros que la ley nos obliga a conservar (ver sección 6). Si iniciaste sesión con Facebook o Google, también podés revocar el acceso desde la configuración de ese proveedor (en Facebook: Configuración y privacidad → Configuración → Apps y sitios web).

Para ejercer cualquiera de estos derechos, escribinos a [email protected] desde la dirección con la que estás registrado. Respondemos en un plazo máximo de 30 días naturales. Si no recibís respuesta o no estás de acuerdo con ella, podés acudir a la Autoridad de Protección de Datos de Estonia o a la de tu país.

Usamos cookies estrictamente necesarias para el funcionamiento del sitio: una cookie de sesión para mantener tu inicio de sesión, una cookie de carrito para preservar lo que estabas comprando, y cookies firmadas vinculadas a la verificación en dos pasos y al país detectado.

No usamos cookies de publicidad ni de seguimiento de terceros con fines de marketing. Si en el futuro incorporamos alguna, te pediremos consentimiento explícito mediante un banner de cookies antes de activarla.

Tonyzales no está dirigido a menores de 16 años. Si tomamos conocimiento de que abrimos una cuenta a nombre de un menor sin consentimiento parental válido, eliminamos los datos asociados de inmediato. Si sos madre, padre o tutor legal y creés que tu hijo o hija creó una cuenta sin autorización, escribinos a [email protected].

Si modificamos esta política, actualizamos la fecha al pie y, si los cambios afectan derechos sustanciales, notificamos por email a las personas con cuenta activa al menos 15 días antes de la entrada en vigor.