Política de privacidad.

Esta Política explica cómo tratamos los datos personales cuando navegas por yagopartal.com, cuando compras en la tienda, o cuando te pones en contacto con nosotros.

Esta política aplica solo a yagopartal.com. Si accedes a otros dominios o servicios enlazados, se aplicarán sus propias políticas.

1. Responsable del tratamiento

Zoo Portraits, S.L. (España)

• NIF: B66773912
• Domicilio: C/ Diputacio 363, 08009 Barcelona, España
• Email: mail@yagopartal.com
• WhatsApp (solo mensajes): +34 644 44 20 03 (no se atienden llamadas)

Si tienes dudas sobre privacidad o quieres ejercer tus derechos, escribe a mail@yagopartal.com.

2. Qué datos tratamos

Según el uso que hagas del sitio, podemos tratar:

• Datos de compra: nombre y apellidos, email, teléfono (cuando sea necesario para la entrega o ciertos métodos de envío), dirección de envío/facturación, país, idioma/moneda, detalles del pedido, incidencias y comunicaciones asociadas.
• Datos de pago: información necesaria para procesar el pago (por ejemplo, identificadores de transacción). No almacenamos los datos completos de tarjeta; los gestiona el proveedor de pagos.
• Cuenta de cliente (si existe): credenciales y datos básicos del perfil.
• Comunicaciones: mensajes que nos envíes (email o WhatsApp) y la información que incluyas.
• Newsletter/marketing (si te apuntas): email y preferencias, y métricas de envío (aperturas/clics, según configuración).
• Carritos iniciados y recuperación de carrito (si está activado): información del carrito, identificadores técnicos y, si facilitas tu email durante el proceso, comunicaciones para recordar el carrito.
• Datos técnicos y de uso: IP, identificadores de sesión/cookies, navegador, sistema, páginas visitadas, eventos de uso y datos similares (especialmente si aceptas cookies de analítica/marketing).
• Seguridad: registros (logs) y señales técnicas para prevenir fraude y abusos.

No tratamos categorías especiales de datos (salud, ideología, etc.) de forma intencionada. Te pedimos que no las compartas.

3. De dónde vienen los datos

• Directamente de ti: cuando compras, te registras, rellenas formularios o nos escribes.
• De proveedores necesarios para el pedido: confirmaciones de pago, incidencias de entrega, tracking, etc.

4. Finalidades, base legal y conservación

A) Comprar y gestionar pedidos

• Finalidad: procesar el pedido, cobros, fabricación bajo demanda, envío, soporte, devoluciones/reembolsos.
• Base legal: ejecución de contrato (art. 6.1.b RGPD) y obligaciones legales (art. 6.1.c).
• Conservación: durante la relación de compra y, después, el tiempo exigido por normativa fiscal/mercantil y para atender reclamaciones.

B) Pagos

• Finalidad: procesar pagos, resolver devoluciones y prevenir fraude.
• Base legal: ejecución de contrato (art. 6.1.b) y, en su caso, interés legítimo en seguridad (art. 6.1.f).
• Conservación: la necesaria para gestionar el pago y obligaciones legales aplicables.

C) Atención al cliente (email/WhatsApp)

• Finalidad: responder consultas y gestionar incidencias.
• Base legal: interés legítimo (art. 6.1.f) o ejecución de contrato (art. 6.1.b) si la consulta es sobre un pedido.
• Conservación: el tiempo necesario para resolver la consulta y mantener trazabilidad razonable.

D) Newsletter y comunicaciones comerciales

• Finalidad: enviarte novedades, lanzamientos y contenido comercial.
• Base legal: consentimiento (art. 6.1.a).
• Baja: puedes darte de baja desde el enlace del email o escribiendo a mail@yagopartal.com.
• Conservación: hasta que retires tu consentimiento o solicites la baja.

E) Recuperación de carrito (si está activado)

• Finalidad: recordarte un carrito iniciado para que puedas finalizar la compra.
• Base legal: interés legítimo (art. 6.1.f) en facilitar la finalización de compra, salvo que te opongas; y/o consentimiento, según configuración y país.
• Oposición: puedes solicitar que no te escribamos por este motivo.

F) Analítica y marketing (cookies y tecnologías similares)

• Finalidad: medir uso, mejorar la web, y (si lo aceptas) publicidad/retargeting.
• Base legal: consentimiento (art. 6.1.a) cuando no sea estrictamente necesario.
• Conservación: según la duración de cada cookie/tecnología y la configuración que aceptes.

5. Carácter obligatorio o facultativo de los datos

• Datos necesarios para comprar: si no los facilitas, no podremos procesar el pedido (por ejemplo, dirección de envío).
• Datos opcionales: newsletter, ciertas comunicaciones, o campos no obligatorios del checkout.

6. A quién podemos comunicar datos (destinatarios)

Compartimos datos solo cuando es necesario para prestar el servicio, por obligación legal o con tu consentimiento.

Proveedores (encargados del tratamiento) habituales en esta web

• Plataforma tienda y backend de comercio: Shopify Inc. (Canadá / EE.UU.) — gestión de pedidos, cuentas de cliente, checkout, recuperación de carritos abandonados.
• Hosting frontend y CDN: Vercel Inc. (EE.UU.) — entrega del sitio web yagopartal.com.
• Producción y logística POD (tier 1): Printful Inc. (EE.UU. / Letonia) — fabricación bajo demanda y envío directo, conectado vía Shopify.
• Producción fine art y dropship (tier 2): WhiteWall GmbH (Alemania) — fabricación e impresión de obra fine art (Hahnemühle Photo Rag, Diasec, marco Hamburgo, ArtBox) y envío directo al comprador. Recibe nombre, dirección de envío, teléfono y datos del pedido.
• Logística especializada fine art (tier 3): Convelio / Velico SAS (Francia) — gestión de envíos de piezas de alto valor con seguro nail-to-nail y ventana de entrega coordinada.
• Pagos:
  • Shopify Payments (Stripe Payments Europe Ltd, Irlanda) — pagos con tarjeta y métodos compatibles.
  • PayPal Sàrl (Luxemburgo) — si eliges ese método.
• Email marketing y automations: Klaviyo Inc. (EE.UU. — DPF certified) — proveedor activo en operación que gestiona dos listas separadas (Newsletter editorial y Drop alerts ediciones limitadas) con sus respectivas finalidades, segmentación y flujos automatizados (bienvenida, carrito abandonado, post-compra, anuncio de drops). Recibe email, nombre, idioma BCP-47, historial de pedidos y comportamiento on-site (solo si has consentido tracking marketing). Los emails operativos (confirmación de pedido, notificaciones de envío) los gestiona Shopify.
• Email transaccional: Shopify Email para confirmaciones de pedido y mensajes operativos.
• Certificados de autenticidad (COA) y blockchain: Verisart Ltd. (Reino Unido — decisión de adecuación UE 2021) — emisión y registro on-chain de certificados de autenticidad. Recibe nombre del comprador, email, datos de la obra y número de edición. Los metadatos mínimos quedan registrados de forma pública e irreversible en blockchain (ver §12 sobre limitaciones técnicas del derecho de supresión).
• Facturación y contabilidad: Holded SL (España) — emisión de facturas, contabilidad y declaraciones fiscales. Recibe datos identificativos, dirección de facturación, NIF/VAT cuando aplique, importes y conceptos de factura.
• Consentimiento de cookies: banner propio basado en localStorage del navegador. No se envían datos sobre tu elección de consentimiento a servicios externos.
• Analítica (solo con tu consentimiento): Google LLC (EE.UU.) — Google Analytics 4 con anonimización de IP, sin Google Signals ni funciones publicitarias activadas.
• Marketing y retargeting (solo con tu consentimiento): Meta Platforms Inc. (EE.UU.) — Meta Pixel para medición de conversiones de campañas en Facebook e Instagram.

Otros destinatarios

• Transportistas (para entregar pedidos).
• Bancos/entidades de pago (según el método elegido).
• Administraciones públicas (si lo exige la ley: fiscal, consumo, etc.).

No vendemos tus datos personales.

7. Transferencias internacionales

Parte de los proveedores anteriores tratan datos fuera del Espacio Económico Europeo (EEE), principalmente en EE.UU. y Reino Unido. Aplicamos las siguientes garantías:

• EE.UU.: utilizamos la decisión de adecuación EU-US Data Privacy Framework (DPF) (Decisión de Ejecución (UE) 2023/1795 de la Comisión Europea, 10 de julio de 2023) cuando el proveedor está certificado bajo DPF. Están certificados: Google LLC, Meta Platforms Inc., Klaviyo Inc., Vercel Inc. Puedes verificar las certificaciones en https://www.dataprivacyframework.gov/list. Como mecanismo de respaldo ante eventual invalidación del DPF (caso Schrems III en revisión por el TJUE), aplicamos las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Decisión de Ejecución (UE) 2021/914.
• Reino Unido: decisión de adecuación UE-UK (Decisión 2021/1772) + UK International Data Transfer Agreement (IDTA) como respaldo.
• Otros terceros países sin adecuación: SCCs + Evaluación de Impacto de Transferencia (TIA) documentada.

Ejemplos habituales:

• Shopify (infraestructura, backend de comercio y pagos),
• Printful (según el centro de producción/envío),
• Verisart (certificados de autenticidad en blockchain · UK adequacy),
• Klaviyo (email marketing · DPF certified),
• proveedores de pago (Stripe Irlanda · PayPal Luxemburgo),
• Google LLC (GA4, si activo y consentido · DPF certified),
• Meta Platforms (Pixel, si activo y consentido · DPF certified),
• Vercel (nodos CDN de edge · DPF certified).

Para más información sobre proveedores específicos y sus garantías, contacta a privacy@yagopartal.com.

8. Cookies, analítica y publicidad

Este sitio utiliza cookies y tecnologías similares. El consentimiento y la configuración se gestionan mediante nuestro banner de cookies.

• Puedes aceptar, rechazar o configurar categorías (necesarias, preferencias, analítica, marketing).
• Si aceptas analítica/marketing, en esta web pueden activarse herramientas como GA4 y el Meta Pixel.
• Las preferencias de cookies se almacenan localmente en tu navegador (localStorage). No se envían datos sobre tu elección de consentimiento a servicios externos.

Si desactivas cookies, algunas funciones pueden no funcionar correctamente (por ejemplo, carrito, login o preferencias).

9. Tus derechos

Como interesado, puedes ejercer en cualquier momento los siguientes derechos:

• Acceso (art. 15 RGPD): obtener confirmación de si tratamos tus datos y copia de los mismos.
• Rectificación (art. 16): corregir datos inexactos o incompletos.
• Supresión (art. 17, «derecho al olvido»): pedir la eliminación cuando ya no sean necesarios o retires tu consentimiento. Limitación: los datos registrados en blockchain (Verisart) son técnicamente irreversibles · ver §12.
• Limitación del tratamiento (art. 18).
• Oposición (art. 21), incluida la oposición al marketing directo.
• Portabilidad (art. 20): recibir tus datos en formato estructurado y legible por máquina.
• Retirar el consentimiento (art. 7.3) cuando el tratamiento se base en consentimiento. La retirada no afecta a la licitud del tratamiento previo.
• No ser objeto de decisiones automatizadas con efectos jurídicos o significativos (art. 22). Ver §11.

Como ejercerlos: escribe a privacy@yagopartal.com (o mail@yagopartal.com indicando «Solicitud RGPD» en asunto). Si tenemos dudas razonables sobre tu identidad, podremos pedir información adicional para verificarla.

Plazo de respuesta: te responderemos en el plazo de 1 mes desde la recepción (art. 12.3 RGPD). En casos complejos podemos prorrogar 2 meses adicionales, informándote del motivo.

Derecho a reclamar: puedes presentar reclamación ante:

• la Agencia Española de Protección de Datos (AEPD) — autoridad de control jefe (lead supervisory authority), <www.aepd.es>;
• o ante la autoridad de control de tu país de residencia en la UE/EEE: CNIL (Francia), BfDI o autoridad del Land correspondiente (Alemania), Garante (Italia), ICO (Reino Unido bajo UK GDPR), u otra autoridad nacional equivalente.

10. Plazos de conservación

Tratamiento	Plazo
Pedidos y datos de compra	6 años (obligaciones AEAT · Ley 58/2003 art. 66)
Reclamaciones de consumo	5 años (TRLGDCU + Código Civil)
Newsletter y marketing	Hasta que retires el consentimiento · si te das de baja, hasta 12 meses adicionales en lista de supresión para evitar reenvio
Logs y seguridad	12 meses (interés legítimo en seguridad)
Cookies analítica	Hasta 14 meses (GA4 server-side default)
Cookies marketing	Hasta 90 días (Meta Pixel) o según consentimiento
Certificados COA on-chain (Verisart)	Permanentes (limitación técnica blockchain · ver §12)

11. Decisiones automatizadas

No realizamos decisiones automatizadas con efectos jurídicos o significativos sobre ti, basadas exclusivamente en tratamiento automatizado. Nuestros proveedores de pago (Shopify Payments, PayPal) pueden aplicar reglas anti-fraude estándar antes de aprobar transacciones · esto se considera necesario para la ejecución del contrato y para evitar fraude conforme al art. 6.1.b y 6.1.f RGPD.

12. Tratamiento en blockchain (Verisart · COA)

Cuando adquieres una edición limitada, emitimos un certificado de autenticidad (COA) registrado mediante Verisart Ltd (Reino Unido) que ancla metadatos mínimos en blockchain pública.

• Datos en cadena: hash criptográfico del certificado, dirección de wallet asignada al certificado, timestamp. No se publica tu nombre, email o dirección física en cadena.
• Datos off-chain (en sistemas de Verisart y Zoo Portraits, S.L.): nombre del comprador, email, datos de la obra y número de edición. Estos sí están sujetos plenamente a tus derechos RGPD.
• Limitación técnica del derecho de supresión (art. 17.3.b RGPD): los metadatos on-chain son técnicamente irreversibles por diseño de la tecnología blockchain. La supresión se ejecuta en los sistemas off-chain de Verisart y Zoo Portraits SL. Los datos on-chain (no nominativos directos) permanecen como registro inmutable de autenticidad de la obra · esto se considera limitación legítima conforme a las Guidelines 4/2018 del Comité Europeo de Protección de Datos (EDPB).
• Base legal: ejecución de contrato (art. 6.1.b RGPD) — el COA forma parte de la prestación de la edición limitada — y consentimiento informado al adquirir.

Si esto te plantea dudas antes de la compra, escribenos a privacy@yagopartal.com.

13. Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos (control de acceso, cifrado en tránsito mediante HTTPS, minimización, etc.). Ningún sistema es 100% seguro; si detectamos un incidente relevante, actuaremos conforme a la normativa aplicable (notificación a AEPD y a interesados afectados conforme arts. 33-34 RGPD).

14. Cambios en esta política

Podemos actualizar esta Política para reflejar cambios legales, técnicos o de negocio. Publicaremos la versión vigente en esta página indicando la fecha de «Última actualización».

15. Verificación de identidad reforzada (KYC antiblanqueo)

Finalidad del tratamiento

Como comerciante de obras de arte, Zoo Portraits SL es sujeto obligado por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. Esta normativa nos obliga a verificar la identidad de nuestros clientes y a documentar el origen de los fondos cuando se superan ciertos umbrales o cuando detectamos señales de riesgo previstas en la ley.

Tratamos tus datos KYC con dos finalidades concretas:

1. Cumplir con las obligaciones legales de identificación, diligencia debida y conservación impuestas por la Ley 10/2010 (artículos 4 a 7, 17, 25).
2. Prevenir el fraude en operaciones individuales, mediante el cotejo de identidad y el seguimiento continuo de la relación de negocio.

Base legal

• Cumplimiento de una obligación legal (artículo 6.1.c del RGPD), conectada con los artículos 4, 5, 6, 7, 17 y 25 de la Ley 10/2010. Esta es la base principal y cubre la identificación, el screening de sanciones, la declaración de origen de fondos y la conservación documental.
• Interés legítimo en la prevención del fraude (artículo 6.1.f del RGPD) en el cotejo continuo de nuestra cartera de clientes contra listas de sanciones actualizadas y en el seguimiento del riesgo operacional.

Categorías de datos que tratamos

Cuando aplica verificación reforzada, podemos recoger:

• Datos identificativos reforzados: nombre y apellidos, fecha de nacimiento, número y tipo de documento (DNI, NIE o Pasaporte), país emisor, fecha de caducidad e imagen del documento.
• Justificante de domicilio: dirección postal y documento acreditativo con antigüedad inferior a 3 meses (factura de suministro, extracto bancario, certificado de empadronamiento).
• Origen de los fondos: declaración escrita firmada sobre la procedencia del dinero empleado en el pago (en los tramos más altos).
• Resultado del screening de sanciones: marcadores binarios de coincidencia con listas PEP (Personas Expuestas Políticamente), OFAC (Office of Foreign Assets Control de EE.UU.), Unión Europea, ONU y listas nacionales.

No tratamos categorías especiales de datos (salud, origen racial, orientación, etc.) ni datos relativos a infracciones penales, salvo cuando una coincidencia objetiva en una lista pública de sanciones lo haga necesario para cumplir nuestra obligación.

Destinatarios

Compartimos tus datos KYC únicamente con:

• El administrador único de Zoo Portraits SL, en su condición de representante ante el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales (SEPBLAC). El acceso se limita a esa persona.
• El SEPBLAC, exclusivamente en caso de comunicación por indicio (artículo 18 de la Ley 10/2010). Esta comunicación, si llega a producirse, está sujeta a confidencialidad estricta: la propia normativa nos prohíbe informarte sobre ella (artículo 24 de la Ley 10/2010).
• Stripe Identity (Stripe, Inc., EE.UU.), si decides utilizar su servicio de verificación documental automatizada. Stripe actúa como encargado del tratamiento con un contrato firmado al amparo del artículo 28 del RGPD.
• OpenSanctions (Open Sanctions e.V., Alemania), como proveedor del cotejo con listas internacionales de sanciones. Actúa como encargado del tratamiento.

No cedemos tus datos a terceros con fines comerciales ni para perfilado publicitario.

Transferencias internacionales

Si utilizamos Stripe Identity, se produce una transferencia internacional a Estados Unidos. Esta transferencia se ampara en:

• La Decisión de Adecuación UE-EEUU (Data Privacy Framework, DPF), vigente desde julio de 2023, con Stripe, Inc. certificada en el marco.
• Como medida de respaldo ante posibles cambios futuros del DPF, las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) incluidas en el contrato con Stripe.

OpenSanctions e.V. opera desde Alemania (UE); no hay transferencia internacional asociada al screening.

Plazo de conservación

Conservamos tus datos KYC durante 10 años desde la finalización de la relación de negocio, en cumplimiento del artículo 25 de la Ley 10/2010. Este plazo es de obligado cumplimiento y prevalece sobre tu derecho de supresión en virtud del artículo 17.3.b del RGPD.

Transcurrido ese plazo, eliminamos los datos de forma segura o, si subsisten obligaciones fiscales o de defensa frente a reclamaciones, los bloqueamos hasta el cierre de esas obligaciones.

Tus derechos

Como interesado puedes ejercer:

• Acceso y rectificación: sí, en cualquier momento. Te respondemos en un plazo máximo de un mes (artículo 12 del RGPD).
• Supresión: bloqueada durante el plazo legal obligatorio de 10 años (artículo 17.3.b del RGPD). Una vez finalizado ese plazo, se atiende sin restricciones.
• Portabilidad: no aplica a este tratamiento. El artículo 20 del RGPD limita el derecho de portabilidad a tratamientos basados en consentimiento o ejecución de contrato; los datos KYC se tratan por obligación legal y quedan fuera del ámbito de portabilidad.
• Oposición: no aplica, por las mismas razones que la portabilidad (el tratamiento responde a una obligación legal).
• Reclamación ante la AEPD: puedes presentar reclamación ante la Agencia Española de Protección de Datos (aepd.es) si consideras que el tratamiento no cumple la normativa.

Para ejercer tus derechos contáctanos en privacy@yagopartal.com.

Medidas de seguridad

Aplicamos las siguientes garantías:

• Cifrado AES-256 en reposo sobre la base de datos KYC.
• Cifrado TLS 1.3 en tránsito sobre todas las comunicaciones que contienen datos KYC.
• Acceso restringido únicamente al administrador único como representante SEPBLAC.
• Registro de accesos auditado con conservación de 24 meses sobre cada lectura/modificación.
• Copias de seguridad cifradas en almacenamiento separado, con acceso controlado.

Normativa aplicable: Reglamento (UE) 2016/679 (RGPD) artículos 6.1.c, 6.1.f, 12, 13, 17.3.b, 20, 28, 44 a 49; Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales; Ley 10/2010 de 28 de abril, artículos 4, 5, 6, 7, 17, 18, 24 y 25; Decisión de Ejecución (UE) 2023/1795 (DPF).

Política de privacidad · v1.0 · revisado 19 de mayo de 2026 · Yago Partal Studio