Privacy policy

Política de Privacidad (versión completa — conforme a la normativa de la UE)

Última actualización: [1 de febrero de 2026]
Controlador de datos: SpireBikes (comercial: spirebikes.com) — [Dirección completa], CIF/NIF: [●], correo: privacy@spirebikes.com, teléfono: 
Delegado de Protección de Datos (DPO): 

Nota: esta política está diseñada para cubrir las obligaciones principales bajo el Reglamento (UE) 2016/679 (RGPD) y la normativa ePrivacy aplicable. Debe personalizarse con los datos concretos de la empresa, proveedores/encargados y prácticas técnicas reales antes de publicarla. La política incluye indicaciones sobre base legal, derechos, cookies, transferencias internacionales y medidas de seguridad. Para interpretaciones legales definitivas, consulte a su asesor jurídico en privacidad.

1. Principios aplicables al tratamiento

Tratamos los datos personales de forma lícita, leal y transparente; con finalidades explícitas, determinadas y legítimas; minimizando la información; asegurando la exactitud; y limitando la conservación. Aplicamos medidas organizativas y técnicas apropiadas para proteger los datos.

2. ¿Qué datos recogemos y por qué?

A continuación se indican las categorías de datos que procesamos, finalidades y base legal aplicable (artículos indicados del RGPD):

  1. Datos identificativos y de contacto (nombre, apellidos, dirección de envío, dirección de facturación, email, teléfono).

    • Finalidad: gestionar pedidos, facturación, atención al cliente y entrega.

    • Base legal: ejecución de contrato (art. 6.1.b RGPD).

  2. Datos de pago (fragmentos de tarjeta, token de proveedor de pagos, historial de transacciones).

    • Finalidad: procesar pagos y prevenir fraudes.

    • Base legal: ejecución de contrato; interés legítimo para prevención de fraude (art. 6.1.b / f).

  3. Datos para marketing (correo electrónico para newsletter, preferencias de marketing).

    • Finalidad: envío de comunicaciones comerciales y personalización.

    • Base legal: consentimiento previo (art. 6.1.a) o, en algunos supuestos concretos, interés legítimo si la ley nacional lo permite y tras evaluación; siempre respetando el derecho de oposición.

  4. Datos técnicos y de uso (dirección IP, identificadores de dispositivo, cookies, registros de actividad, datos de navegador).

    • Finalidad: seguridad, análisis, optimización web, prevención de abusos.

    • Base legal: cookies estrictamente necesarias: interés legítimo / ejecución de contrato; cookies no estrictamente necesarias: consentimiento previo según ePrivacy.

  5. Datos sensibles (salud, religión, origen étnico) — no recogemos salvo que el usuario los facilite expresamente y exista una base legal clara (p. ej. consentimiento explícito para finalidades especiales; art. 9 RGPD). Evítese el envío de datos sensibles por canales no cifrados.

  6. Datos recogidos de terceros (por ejemplo, pasarelas de pago, plataformas logísticas, proveedores de verificación).

    • Finalidad: completar servicios contratados.

    • Base legal: ejecución de contrato / cumplimiento legal.

3. Cómo y cuándo solicitamos consentimiento

  • Para cookies y tecnologías equivalentes que no sean estrictamente necesarias solicitamos consentimiento previo, libre, específico, informado e inequívoco antes de cualquier operación que consuma dichas tecnologías. El usuario debe poder aceptar, rechazar o configurar categorías por separado, y retirar el consentimiento tan fácilmente como lo otorgó.

  • Al registrarse o suscribirse a marketing pedimos consentimiento explícito (checkbox no premarcado) y almacenamos un registro del mismo (quién, cuándo, qué se consintió).

4. Destinatarios y encargados del tratamiento (terceros)

Podemos compartir datos con:

  • Proveedores de hosting y plataformas e-commerce.

  • Pasarelas de pago y entidades bancarias.

  • Proveedores logísticos y transporte.

  • Proveedores de análisis y marketing (por ejemplo, analítica web, email marketing) — siempre bajo contrato de encargado y con cláusulas que garanticen cumplimiento del RGPD.

  • Autoridades públicas cuando la ley lo exige.

Antes de transferir datos a proveedores fuera del EEE, aplicamos salvaguardas apropiadas (por ejemplo, cláusulas contractuales estándar adoptadas por la Comisión Europea, o verificamos una decisión de adecuación).

5. Transferencias internacionales

Si transferimos datos personales fuera del Espacio Económico Europeo:

  • Aplicaremos mecanismos admitidos por la Comisión Europea (decisiones de adecuación, cláusulas contractuales tipo — SCCs —, normas corporativas vinculantes u otras garantías).

  • Informaremos a los interesados y documentaremos las evaluaciones de riesgo realizadas antes de la transferencia.

6. Plazos de conservación

Conservamos los datos el tiempo necesario para las finalidades para las que fueron recogidos y para cumplir obligaciones legales o fiscales. Ejemplos orientativos (personalizar según normativa local y necesidades):

  • Datos de transacciones y facturación: 6 años (o plazo exigido por la normativa fiscal aplicable).

  • Datos de clientes registrados: mientras exista la relación o hasta que se solicite la supresión.

  • Logs de seguridad: 6 a 24 meses según riesgo y obligaciones.

  • Datos de marketing: hasta que se retire el consentimiento o se ejerza oposición.

7. Derechos de las personas (cómo ejercerlos)

Los interesados tienen, respecto de sus datos personales:

  • Derecho de acceso, rectificación, supresión (derecho al olvido), limitación del tratamiento, portabilidad, oposición y no ser objeto de decisiones automatizadas con efectos legales (cuando proceda).

  • Derecho a retirar el consentimiento en cualquier momento sin afectar la licitud del tratamiento previo.

  • Derecho a presentar una reclamación ante la autoridad de control competente (en España: Agencia Española de Protección de Datos) o la autoridad del Estado miembro donde resida.
    Para ejercer derechos: enviar solicitud a privacy@spirebikes.com o a la dirección postal indicada; facilitaremos el procedimiento y limitaciones legales (por ejemplo, identidad verificable).

8. Seguridad y medidas técnicas y organizativas

Aplicamos medidas técnicas y organizativas adecuadas, incluyendo (entre otras):

  • Cifrado TLS en tránsito para todos los formularios y pagos.

  • Almacenamiento cifrado o segregado de datos sensibles cuando proceda.

  • Control de acceso por roles y autenticación fuerte para personal con acceso a datos.

  • Registro y seguimiento de accesos y auditorías internas.

  • Plan de respuesta a incidentes y notificación de brechas: en caso de violación de datos personales que entrañe riesgo para los derechos y libertades, notificaremos a la autoridad de control dentro de 72 horas y a los afectados cuando sea requerido por la ley.

9. Encargados del tratamiento y contratos

Con cada proveedor/encargado firmamos un contrato que requiere, como mínimo:

  • tratamiento sólo por instrucciones del responsable;

  • cláusulas de confidencialidad;

  • requisitos de seguridad;

  • subcontratación con autorización previa;

  • asistencia para cumplir solicitudes de interesados;

  • notificación ante incidentes de seguridad.

10. Cookies y tecnologías similares (más detalle)

  1. Cookies estrictamente necesarias: permiten la funcionalidad básica (carrito, sesión). Se implementan sin consentimiento previo cuando son imprescindibles para el servicio.

  2. Cookies de preferencias: guardan idioma, preferencias de visualización. Requieren información y, en algunos casos, consentimiento.

  3. Cookies de estadísticas/analítica: se activan con consentimiento; sus datos se anonimizarán/funcionarán con mínimos identificadores cuando sea posible.

  4. Cookies de marketing/redes sociales: requieren consentimiento explícito.
    Proporcionamos una política de cookies separada y una interfaz clara (banner/modal) que permite aceptar/rechazar categorías y acceder a la lista completa de cookies, su duración, finalidad y terceros implicados. Guardamos prueba del consentimiento.

11. Decisiones automatizadas y perfiles

Si utilizamos perfiles o decisiones totalmente automatizadas que tengan efectos jurídicos o equivalentes (por ejemplo, scoring para aprobación de crédito), informaremos con detalle, ofreceremos la lógica significativa empleada, consecuencias previstas y opciones para intervención humana. Si se realiza profiling que suponga alto riesgo, se aplicará una DPIA.

12. Evaluaciones de impacto (DPIA)

Realizaremos una Evaluación de Impacto en materia de protección de datos cuando el tratamiento sea probable que provoque un alto riesgo para los derechos y libertades (p. ej. seguimiento a gran escala, tratamientos de categorías especiales, perfilado masivo). Se documentará la DPIA y se consultará al DPO si procede.

13. Procedimiento en caso de brecha de datos

  • Identificación y contención inmediata.

  • Evaluación del riesgo para los afectados.

  • Notificación a la autoridad de control (72 horas cuando proceda).

  • Comunicación a los interesados si el riesgo es alto.

  • Registro interno de incidentes y medidas correctoras.

14. Menores

No recopilamos conscientemente datos de menores de [16]/la edad establecida por la legislación nacional aplicable para prestar servicios de la sociedad de la información sin el consentimiento parental verificable. Si detectamos datos de un menor sin el consentimiento requerido, tomaremos medidas para su eliminación. (Adaptar la edad según la ley nacional).

15. Modificaciones de la política

Podemos actualizar esta política. Publicaremos la fecha de la última actualización y, cuando los cambios sean relevantes, notificaremos a los clientes registrados o a los interesados por correo electrónico.

16. Contacto y reclamaciones

Para ejercer derechos, consultas o reclamaciones: privacy@spirebikes.com o la dirección postal indicada. También puede presentar una reclamación ante la autoridad de control competente de su país (por ejemplo, Agencia Española de Protección de Datos en España).