La Política de Privacidad contiene una descripción clara y estructurada de cómo tratamos los datos personales. La Política detalla el responsable y su ámbito de aplicación, los principios RGPD que cumplimos y, tratamiento por tratamiento, las categorías de datos, fines, bases jurídicas, origen, plazos de conservación, destinatarios/encargados, transferencias internacionales y la existencia de decisiones automatizadas o perfilado. Incluye además los derechos de los interesados (cómo ejercerlos y cómo oponerse al marketing o retirar el consentimiento), nuestras medidas de seguridad de alto nivel, la obligatoriedad u opcionalidad de los datos solicitados, la política respecto a menores y productos con restricción de edad, los canales de contacto en materia de privacidad, el régimen de transferencias internacionales, y el procedimiento de cambios y fecha de última actualización. Esta Política debe leerse junto con el Aviso Legal y la Política de Cookies.

Tabla de contenido

1. Identificación del Titular del Sitio Web y Contacto. 2

2. Ámbito de Aplicación y Personas Usuarias. 2

3. Principios Aplicables al Tratamiento de los Datos. 4

4. Datos que tratamos. 6

5. Derechos de las personas usuarias. 13

6. Seguridad de la información. 15

7. Comunicación de datos obligatoria u opcional y consecuencias de no facilitarlos. 18

8. Menores de edad y productos con restricciones. 19

9. Canales de contacto en materia de privacidad. 21

10. Transferencias internacionales. 21

11. Encargados del tratamiento y destinatarios. 23

12. Cambios en la Política de Privacidad. 25

13. Fecha de última actualización. 26

1. Identificación del Titular del Sitio Web y Contacto

El responsable indicado gestiona y decide sobre las finalidades y medios de los tratamientos de datos personales realizados a través de este sitio web y sus servicios asociados (tienda online, atención al cliente, comunicaciones transaccionales y, en su caso, marketing), en los términos descritos en esta Política. Dichos tratamientos se rigen por la normativa aplicable en materia de protección de datos, incluyendo el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y, en lo relativo a los servicios de la sociedad de la información y comunicaciones comerciales, la Ley 34/2002, de servicios de la sociedad de la información y el comercio electrónico (LSSICE), así como —cuando proceda— la Directiva ePrivacy y demás normativa sectorial o local aplicable.

1.1. Datos Identificativos del Titular

· Titular: GRUPO NAVARRA NAVIDAD 2000 SL

· Nombre comercial: GRUPO NAVARRA

· Forma jurídica: SOCIEDAD LIMITADA

· NIF/CIF: B12508776

· Domicilio social: Avda. Enrique Gimeno, 28, Polígono Industrial Ciudad del Transporte

12006 Castellón

· Sitio web: www.gruponavarra.com

1.2. Datos de Contacto (comunicación directa y efectiva)

Para contactar con GRUPO NAVARRA puedes utilizar:

· Email (preferente): gruponavarra@gruponavarra.com

· Email (privacidad): rgpd@gruponavarra.com

· Teléfono: (+34) 964 341 042

1.3. Datos Registrales e Identificativos Adicionales

· Registro Mercantil: Registro Mercantil Castellón, Tomo 983, Libro 548, Folio 139,

Sección 8, Hoja CS 15344, I/A 7

· Registro Sanitario – RGSEAA: [XX.XXXXXX/XX]

2. Ámbito de Aplicación y Personas Usuarias

2.1. Ámbito material, canales y territorial

Esta Política de Privacidad se aplica a los tratamientos de datos personales realizados por el Responsable en relación con:

El sitio web www.gruponavarra.com y cualesquiera subdominios o micrositios bajo su control.
Servicios asociados a la tienda online: gestión de cuentas, tramitación de pedidos, atención al cliente, comunicaciones transaccionales y, en su caso, marketing.
Canales de interacción gestionados por el Responsable: formularios web, correo electrónico, chat/soporte, teléfono, mensajería, y perfiles oficiales en redes sociales.
Ámbito territorial: esta Política rige los tratamientos efectuados en la Unión Europea/EEE y aquellos dirigidos a personas situadas en dichos territorios, conforme al RGPD.

Quedan excluidos de esta Política los tratamientos realizados por terceros sobre los que no tenemos control (ver sección 2.3).

2.2. Personas usuarias afectadas

Esta Política se dirige a las personas físicas que interactúan con nosotros a través de los canales anteriores, en particular:

Visitantes del sitio web.
Clientes y personas usuarias registradas (cuentas de cliente).
Suscriptores a comunicaciones comerciales/newsletters (cuando aplique).
Interesados en promociones, sorteos y fidelización (cuando aplique).
Personas que contacten con soporte/atención al cliente (incidencias, reclamaciones).
Seguidores o usuarios que interactúen con nuestros perfiles en redes sociales.
Colaboradores/partners y contactos profesionales persona física (cuando aplique).

NOTA: Si actúas en nombre de una persona jurídica (p. ej., como representante o personal de una empresa), esta Política aplica a los datos personales identificables (contacto profesional persona física). Los meros datos corporativos no personales (p. ej., CIF de empresa, razón social) no quedan amparados por el RGPD, salvo cuando permitan identificar a una persona física.

2.3. Enlaces de terceros y responsabilidad

Nuestros canales pueden incluir enlaces o integraciones hacia sitios, servicios o plataformas de terceros (por ejemplo, pasarelas de pago, redes sociales, empresas de mensajería/transportistas, marketplaces o herramientas de analítica). El Responsable no controla dichas plataformas ni responde de sus políticas o prácticas de privacidad.

Te recomendamos leer las políticas de privacidad de cada tercero antes de facilitarles datos personales o utilizar sus servicios.
En particular, cuando utilices métodos de pago externos, accesos sociales (login con terceros) o consultes envíos con el transportista, el tratamiento de tus datos por esas entidades se regirá por sus propias políticas.
Esta Política no cubre los tratamientos realizados fuera de los sistemas y canales bajo control del Responsable.

3. Principios Aplicables al Tratamiento de los Datos

Aplicamos los principios del art. 5 RGPD a todos los tratamientos descritos en esta Política. A continuación, indicamos qué significan y cómo los cumplimos de forma operativa.

Este apartado se aplica transversalmente; los detalles específicos (bases legales, plazos, destinatarios, transferencias y perfilados) se desarrollan en la Sección 4. Datos que tratamos.

3.1. Licitud, lealtad y transparencia

Qué implica: Tratar datos solo cuando exista una base jurídica válida y de forma comprensible para la persona usuaria.
Cómo lo cumplimos:
- Identificamos la base legal por tratamiento (contrato/servicio, consentimiento, obligación legal, interés legítimo ponderado).
- Ofrecemos capas informativas claras en formularios y esta Política; registramos los consentimientos y permitimos su retirada fácil.
- Evitamos finalidades incompatibles con las informadas.

3.2. Limitación de la finalidad

Qué implica: Usar los datos solo para fines determinados, explícitos y legítimos.
Cómo lo cumplimos:
- Diseñamos cada formulario con fines concretos (p. ej., pedido, soporte, newsletter).
- Antes de cualquier uso adicional, realizamos análisis de compatibilidad y, si procede, nueva información y/o consentimiento.

3.3. Minimización de datos

Qué implica: Tratar solo los datos adecuados, pertinentes y necesarios.
Cómo lo cumplimos:
- Campos obligatorios y opcionales diferenciados; revisiones periódicas para eliminar campos innecesarios.
- Seudonimización o agregación en analítica cuando sea viable.
- Políticas de acceso mínimo (principio “need-to-know”).

3.4. Exactitud

Qué implica: Mantener los datos exactos y actualizados.
Cómo lo cumplimos:
- Herramientas de edición en la cuenta de cliente y canales para solicitar rectificación.
- Verificaciones puntuales (p. ej., email de confirmación, validación de direcciones).
- Procesos para bloquear o depurar registros obsoletos.

3.5. Limitación del plazo de conservación

Qué implica: Conservar los datos no más tiempo del necesario para los fines.
Cómo lo cumplimos:
- Calendario de conservación por tratamiento con plazos y criterios (servicio/garantías, fiscal/contable, prescripción de acciones).
- Anónimización o supresión cuando cesa la finalidad; bloqueo cuando existan obligaciones legales de conservación.

3.6. Integridad y confidencialidad (seguridad)

Qué implica: Garantizar seguridad adecuada frente a accesos o tratamientos no autorizados, pérdida o daño.
Cómo lo cumplimos:
- Cifrado en tránsito (TLS) y controles de acceso basado en roles.
- Copias de seguridad, registro de accesos y gestión de vulnerabilidades.
- Selección de encargados con garantías; acuerdos de encargo de tratamiento y evaluaciones técnicas.
- Procedimiento de gestión de incidentes y notificación de brechas conforme al RGPD.

3.7. Responsabilidad proactiva (accountability)

Qué implica: Poder demostrar el cumplimiento.
Cómo lo cumplimos:
- Registro de actividades de tratamiento y revisiones periódicas.
- Evaluaciones de impacto (EIPD/DPIA) cuando procede.
- Formación al personal y cláusulas de confidencialidad.
- Evaluaciones de interés legítimo y documentación de decisiones.

· Privacidad desde el diseño y por defecto (art. 25 RGPD): Configuramos por defecto la mínima recopilación y exposición de datos; realizamos revisiones de diseño antes de lanzar nuevas funcionalidades (p. ej., nuevos formularios, campañas o integraciones de terceros).

4. Datos que tratamos

En este apartado describimos de forma clara y granular los tratamientos de datos personales que realizamos. Para cada tratamiento indicamos:

a) Interesados: Personas de las que tratamos datos

b) Datos: Datos personales tratados clasificados por categorías

c) Fines: Para qué usamos los datos personales

d) Base jurídica: Base legal y motivos que habilitan el tratamiento de los datos personales

e) Origen y procedencia: De donde se obtienen o proceden los datos personales

f) Conservación: Plazos o criterios establecidos para conservar los datos personales antes de su supresión/destrucción.

g) Destinatarios/encargados: A quiénes comunicamos los datos personales y qué prestadores de servicios utilizamos

h) Transferencias internacionales: Indicamos si se realizan transferencias internacionales de datos fuera de la EEE, los motivos y las garantías adoptadas.

i) Decisiones/perfiles: Si existen decisiones automatizadas o elaboración de perfiles para clasificar o categorizar a los usuarios del sitio web

Esta estructura permite a las personas usuarias comprender qué datos tratamos, por qué, durante cuánto tiempo y con quién se comparten.

4.1. Gestión de cuenta de cliente y autenticación

Interesados: usuarios/as que utilizan o se registran en la web.
Datos: nombre y apellidos; email; teléfono (opcional); dirección(es); ID de cuenta; preferencias; historial básico; hash de contraseña (no visible).
Fines: alta/gestión de cuenta; autenticación; autoservicio de pedidos y devoluciones; avisos de servicio.
Base jurídica: ejecución de contrato/servicio (art. 6.1.b RGPD); interés legítimo en seguridad de la cuenta (6.1.f).
Origen y procedencia: facilitados por la persona usuaria; generados por el sistema (logs de acceso).
Conservación: mientras la cuenta esté activa; tras baja, bloqueo por plazos de prescripción legales.
Destinatarios/encargados: plataforma e-commerce; hosting; autenticación/seguridad.
Transferencias internacionales: pueden existir cuando intervengan proveedores o subencargados con operaciones fuera del EEE; aplicamos las garantías y medidas descritas en la Sección 10 (Transferencias internacionales)
Decisiones/perfiles: detección automática de accesos sospechosos (criterios: IP, dispositivo, intentos fallidos); sin efectos jurídicos.

4.2. Procesamiento de pedidos, envíos y postventa

Interesados: clientes.
Datos: identificación y contacto; direcciones de envío/facturación; datos de pedido (productos, importes, referencias); comunicaciones postventa; devoluciones/garantías.
Fines: tramitación de compras; preparación y entrega; devoluciones; garantías; comunicaciones transaccionales.
Base jurídica: ejecución de contrato (6.1.b); obligaciones legales mercantiles/fiscales (6.1.c).
Origen y procedencia: cliente; actualizaciones de transportistas (tracking).
Conservación: documentación de pedidos/facturas según plazos fiscales/contables; resto mientras sea necesario para garantías y defensa de reclamaciones.
Destinatarios/encargados: almacén; transportistas; ERP/contabilidad; atención al cliente.
Transferencias internacionales: pueden existir cuando intervengan proveedores o subencargados con operaciones fuera del EEE; aplicamos las garantías y medidas descritas en la Sección 10 (Transferencias internacionales).
Decisiones/perfiles: No se realizan.

4.3. Gestión de pagos y prevención del fraude

Interesados: clientes.
Datos: identificadores de transacción; método de pago tokenizado; estado del pago; datos técnicos de operación (IP, huella de dispositivo). No almacenamos números completos de tarjeta.
Fines: cobros y reembolsos; detección y prevención de fraude.
Base jurídica: ejecución de contrato (6.1.b); interés legítimo en seguridad (6.1.f); obligación legal cuando aplique (6.1.c).
Origen y procedencia: pasarelas/entidades financieras; motores antifraude; sistemas propios.
Conservación: registros de pago conforme a normativa financiera y prescripción; indicadores antifraude por el tiempo estrictamente necesario.
Destinatarios/encargados: pasarela de pago; banco; proveedor antifraude.
Transferencias internacionales: pueden existir cuando intervengan proveedores o subencargados con operaciones fuera del EEE; aplicamos las garantías y medidas descritas en la Sección 10 (Transferencias internacionales).
Decisiones/perfiles: scoring antifraude (criterios: incoherencias geográficas, patrones, listas de riesgo); revisión humana ante negativas.

4.4. Atención al cliente y soporte (incidencias y reclamaciones)

Interesados: usuarios/as y clientes.
Datos: identificación/contacto; nº de pedido; contenido de la consulta; adjuntos; registro de comunicaciones.
Fines: gestoría de consultas; incidencias; reclamaciones; mejoras del servicio.
Base jurídica: ejecución de contrato o medidas precontractuales (6.1.b); interés legítimo (6.1.f); obligación legal en reclamaciones formales (6.1.c).
Origen y procedencia: persona interesada; historiales internos.
Conservación: expediente de soporte hasta 24 meses o mientras dure la reclamación y su prescripción.
Destinatarios/encargados: helpdesk; email; telefonía/voz IP.
Transferencias internacionales: pueden existir cuando intervengan proveedores o subencargados con operaciones fuera del EEE; aplicamos las garantías y medidas descritas en la Sección 10 (Transferencias internacionales).
Decisiones/perfiles: No se realizan.

4.5. Comunicaciones transaccionales (servicio)

Interesados: clientes y usuarios con cuenta o pedido.
Datos: identificación/contacto; datos de pedido/servicio.
Fines: notificaciones de pedido, envío, devolución; seguridad de cuenta.
Base jurídica: ejecución de contrato/servicio (6.1.b).
Origen y procedencia: sistemas internos.
Conservación: logs de envío por plazos técnicos y de defensa de intereses.
Destinatarios/encargados: plataformas de email/SMS/mensajería instantánea.
Transferencias internacionales: pueden existir cuando intervengan proveedores o subencargados con operaciones fuera del EEE; aplicamos las garantías y medidas descritas en la Sección 10 (Transferencias internacionales).
Decisiones/perfiles: No se realizan

4.6. Marketing directo y Newsletter

Interesados: suscriptores; clientes (productos/servicios similares).
Datos: email/teléfono; nombre; preferencias; métricas de apertura/clic; historial de compras [si se usa segmentación].
Fines: envío de comunicaciones comerciales; gestión de suscripciones; segmentación básica para relevancia.
Base jurídica: consentimiento (6.1.a) para no clientes; interés legítimo (6.1.f) Para clientes, el envío de comunicaciones sobre productos o servicios similares se ampara también en el art. 21.2 LSSICE, ofreciendo en todo momento un mecanismo sencillo de opt-out.
Origen y procedencia: formularios; casillas de suscripción; compras previas.
Conservación: hasta revocación u oposición; prueba de consentimiento y de baja durante los plazos de prescripción.
Destinatarios/encargados: email marketing/CRM; automatización.
Transferencias internacionales: pueden existir cuando intervengan proveedores o subencargados con operaciones fuera del EEE; aplicamos las garantías y medidas descritas en la Sección 10 (Transferencias internacionales).
Decisiones/perfiles: perfilado comercial básico (criterios: categorías compradas, interacción con emails, preferencias). Derecho a oponerse o retirar consentimiento (ver Sección 5).

4.7. Promociones, descuentos y programas de fidelización

Interesados: participantes.
Datos: identificación/contacto; datos de participación; uso del programa; saldo/puntos (si aplica)
Fines: inscripción; beneficios; cumplimiento de bases legales; entrega de premios.
Base jurídica: ejecución de condiciones (6.1.b); consentimiento si se exige (6.1.a); obligaciones legales (6.1.c).
Origen y procedencia: alta del interesado; sistemas internos.
Conservación: vigencia del programa y prescripción de acciones.
Destinatarios/encargados: plataforma de fidelización; logística/premios.
Transferencias internacionales: pueden existir cuando intervengan proveedores o subencargados con operaciones fuera del EEE; aplicamos las garantías y medidas descritas en la Sección 10 (Transferencias internacionales).
Decisiones/perfiles: cálculo automático de puntos/tiers; sin efectos jurídicos adversos.

4.8. Analítica web y medición

Interesados: visitantes.
Datos: identificadores en línea; eventos de navegación; tipo de dispositivo; IP truncada/anonimizada [si procede].
Fines: medición de audiencia; rendimiento; UX; detección de errores.
Base jurídica: consentimiento vía panel de cookies para analítica no esencial (6.1.a); interés legítimo para métricas estrictamente necesarias y seguridad (6.1.f).
Origen y procedencia: cookies/SDKs e implementaciones de analítica.
Conservación: según la Política de Cookies (tabla de vida útil).
Destinatarios/encargados: proveedores de analítica/experiencia digital.
Transferencias internacionales: pueden existir cuando intervengan proveedores o subencargados con operaciones fuera del EEE; aplicamos las garantías y medidas descritas en la Sección 10 (Transferencias internacionales).
Decisiones/perfiles: no hay decisiones con efectos jurídicos; segmentación estadística agregada.

4.9. Cumplimiento de obligaciones legales, fiscales y contables

Interesados: clientes; proveedores; terceros.
Datos: identificativos; transaccionales; facturación.
Fines: cumplimiento de normativa mercantil/fiscal/consumo/garantía; atención a requerimientos de autoridades.
Base jurídica: obligación legal (6.1.c).
Origen y procedencia: sistemas internos; administraciones públicas.
Conservación: plazos legales (p. ej., documentación mercantil/fiscal).
Destinatarios/encargados: asesoría/gestoría; administración tributaria; juzgados/autoridades.
Transferencias internacionales: pueden existir cuando intervengan proveedores o subencargados con operaciones fuera del EEE; aplicamos las garantías y medidas descritas en la Sección 10 (Transferencias internacionales).
Decisiones/perfiles: No se realizan.

4.10. Relación en redes sociales

Interesados: seguidores y usuarios que interactúan con perfiles oficiales.
Datos: identificadores públicos; comentarios/mensajes; métricas agregadas.
Fines: gestionar presencia/comunidad; responder mensajes; acciones promocionales.
Base jurídica: relación con la persona usuaria en la red e interés legítimo (6.1.f); consentimiento cuando lo requiera la plataforma.
Origen y procedencia: la propia red social.
Conservación: según la dinámica de la red y criterios internos.
Destinatarios/encargados: plataforma social; herramientas de gestión social.
Transferencias internacionales: según políticas de cada red (garantías aplicables).
Decisiones/perfiles: segmentaciones publicitarias de la plataforma (opt-out configurable en la propia red).

4.11. Seguridad del sitio y logs técnicos

Interesados: visitantes y usuarios.
Datos: logs de servidor; IP; identificadores de sesión; eventos de seguridad.
Fines: seguridad y continuidad del servicio; detección/mitigación de incidentes; prevención de abusos.
Base jurídica: interés legítimo (6.1.f); obligación legal de seguridad cuando proceda (6.1.c).
Origen y procedencia: sistemas internos; servicios de seguridad (CDN/WAF).
Conservación: rotación de logs por plazos técnicos mínimos; si hay incidentes, durante su investigación y prescripción.
Destinatarios/encargados: hosting; CDN/WAF/antibot; consultoría de seguridad.
Transferencias internacionales: pueden existir cuando intervengan proveedores o subencargados con operaciones fuera del EEE; aplicamos las garantías y medidas descritas en la Sección 10 (Transferencias internacionales).
Decisiones/perfiles: reglas automáticas de mitigación (bloqueos por tráfico anómalo).

4.12. Notas generales sobre origen y procedencia de los datos

Facilitados directamente por la persona interesada (formularios, cuenta, compras, soporte).
Generados por nuestra actividad (identificadores, historiales, métricas).
Obtenidos de terceros implicados en la operación (pasarela de pago, transportista, redes sociales) conforme a sus políticas y la finalidad comunicada.

4.13. Notas generales sobre destinatarios y encargados del tratamiento

Encargados seleccionados con garantías y contrato art. 28 RGPD.
Cesiones a terceros responsables cuando sean necesarias (p. ej., transportistas para la entrega) o legales (administraciones, autoridades).
Criterios de selección: solvencia técnica y organizativa; seguridad; ubicación y régimen de transferencias.

5. Derechos de las personas usuarias

A continuación, se describen los derechos en materia de protección de datos, cuándo resultan aplicables y cómo puedes ejercerlos. El ejercicio de derechos es gratuito (salvo solicitudes manifiestamente infundadas o excesivas, art. 12.5 RGPD).

5.1. Derechos aplicables (y cuándo proceden)

Acceso: conocer si tratamos tus datos y obtener copia, junto con información sobre fines, categorías, destinatarios, plazos y bases jurídicas.
Rectificación: corregir datos inexactos o incompletos.
Supresión (“derecho al olvido”): pedir la eliminación cuando, entre otros supuestos, los datos ya no sean necesarios, retires tu consentimiento y no haya otra base, te hayas opuesto exitosamente al tratamiento, o deban suprimirse por obligación legal.
Limitación del tratamiento: solicitar el bloqueo temporal de los datos (p. ej., mientras se verifica la exactitud o se valora una oposición).
Portabilidad: recibir los datos que nos facilitaste en formato estructurado y, si es técnicamente posible, transmitirlos a otro responsable.
- Aplica cuando la base jurídica sea consentimiento o ejecución de contrato, y el tratamiento sea automatizado.
Oposición: oponerte al tratamiento basado en interés legítimo (incluido el perfilado asociado) por motivos relacionados con tu situación particular.
- En marketing directo (incluido su perfilado) la oposición es absoluta y siempre respetada.
No ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles, que produzcan efectos jurídicos o te afecten significativamente de modo similar; solicitar intervención humana, expresar tu punto de vista y impugnar la decisión.
Retirar el consentimiento en cualquier momento, sin efectos retroactivos sobre tratamientos ya realizados lícitamente.

5.2. Cómo ejercer tus derechos

Canales de ejercicio:
- Email del canal de privacidad: rgpd@gruponavarra.com
- Dirección postal del responsable (ver Sección 1).
Contenido mínimo de la solicitud:
- Indica el derecho que deseas ejercer y, en su caso, el tratamiento afectado.
- Aporta datos suficientes para identificarte (p. ej., email de tu cuenta) y tu medio de contacto para la respuesta.
- Si actúas por representación, acredita la autorización.
Acreditación de identidad:
- Podemos pedir verificación razonable (p. ej., respuesta desde el email registrado, código de verificación o copia de documento en casos necesarios).
Plazos de respuesta:
- Respondemos en el plazo máximo de 1 mes desde la recepción; puede ampliarse 2 meses adicionales en caso de solicitudes complejas o numerosas (te informaremos del motivo).
Coste:
- Gratuito. Podremos rechazar o cobrar un canon razonable solo si la solicitud es manifiestamente infundada o excesiva.
Limitaciones legales:
- Es posible que determinados datos no puedan suprimirse o portarse por existir obligaciones legales o intereses legítimos prevalentes debidamente ponderados (te lo explicaremos en la respuesta).

5.3. Derecho a retirar el consentimiento

Cómo hacerlo:
- En cualquier momento mediante los mismos canales indicados arriba, o usando los mecanismos de baja específicos (p. ej., enlace “cancelar suscripción” en newsletters).
Efectos:
- La retirada no afecta a la licitud de los tratamientos basados en tu consentimiento antes de retirarlo.
- Podremos conservar datos bloqueados para atender responsabilidades o cumplir obligaciones legales.

5.4. Oposición al marketing directo y al perfilado con fines de marketing

Derecho absoluto:
- Puedes oponerte en todo momento al envío de comunicaciones comerciales y a su perfilado asociado (segmentación para seleccionar contenidos u ofertas).
Mecanismos rápidos:
- En cada comunicación incluimos un enlace de baja o instrucciones para opt-out inmediato.
- También puedes escribir a rgpd.@gruponavarra.com solicitando la baja total o parcial.
Alcance:
- La oposición al marketing no afecta a comunicaciones transaccionales necesarias para prestar el servicio (p. ej., avisos de pedido).

5.5. Reclamación ante la autoridad de control

Si no estás conforme con nuestra respuesta o consideras vulnerados tus derechos, puedes presentar una reclamación ante la autoridad de control competente.
En España: Agencia Española de Protección de Datos (AEPD)
- Sede electrónica: https://www.aepd.es
- Dirección: C/Jorge Juan, 6, 28001 Madrid
Otras jurisdicciones: si te encuentras en otro país del EEE, puedes dirigirte a tu autoridad nacional de protección de datos.

6. Seguridad de la información

Aplicamos medidas organizativas y técnicas adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales, teniendo en cuenta el riesgo (naturaleza, alcance, contexto y fines del tratamiento) y la evolución tecnológica.

6.1. Enfoque y gobernanza de la seguridad

Gestión de riesgos: identificación, análisis y tratamiento periódico de riesgos sobre los tratamientos y sistemas.
Políticas internas: normas de seguridad, uso aceptable, control de accesos, clasificación de la información y teletrabajo/BYOD.
Privacidad desde el diseño y por defecto (art. 25 RGPD): minimización de datos, configuraciones restrictivas por defecto y revisión previa de nuevas funcionalidades/integraciones.
Roles y responsabilidades: deber de confidencialidad contractual; segregación de funciones en operaciones sensibles.
Formación y concienciación: sesiones periódicas para personal y colaboradores con acceso a datos.
Auditoría y revisión: controles internos y revisiones programadas de cumplimiento y eficacia de medidas.

6.2. Medidas técnicas (alto nivel)

Cifrado y protección de datos:
- Cifrado en tránsito (TLS) y en reposo cuando proceda.
- Hash seguro de contraseñas y políticas de complejidad/rotación cuando aplique.
Control de accesos:
- Principio de mínimo privilegio y need-to-know; autenticación robusta (MFA donde sea posible).
- Registro y revisión de accesos administrativos.
Seguridad de aplicaciones y desarrollo:
- Revisión de dependencias y parches; pruebas (p. ej., análisis estático/dinámico) en ciclos de cambio relevantes.
- Protección frente a OWASP Top 10 (validación de entradas, gestión de sesiones, CSRF, etc.).
Infraestructura y red:
- Segmentación de redes, cortafuegos/WAF, protección anti-bot/DDoS y hardening de sistemas.
Copia de seguridad y continuidad:
- Backups periódicos probados y, cuando procede, cifrados; planes de continuidad y recuperación ante desastres.
Registro y monitorización:
- Logs de seguridad y sistema con retención proporcional; alertas de eventos anómalos y correlación cuando proceda.
Gestión de vulnerabilidades:
- Inventario de activos; actualizaciones de seguridad; escaneos/ pruebas razonables según criticidad.
Borrado/anonimización:
- Políticas de retención y supresión; sanitización segura de soportes y entornos de prueba sin datos reales.

6.3. Medidas organizativas y de terceros

Contratos con encargados (art. 28 RGPD): selección por garantías técnicas/organizativas; acuerdos de encargo; control de subencargados.
Transferencias internacionales: evaluación y garantías adecuadas (p. ej., SCC/DPF) más medidas complementarias si es necesario.
Acceso de personal y proveedores: altas/bajas controladas; credenciales individuales; cláusulas de confidencialidad.
Localización y alojamiento: centros de datos con controles físicos y certificaciones de seguridad.

6.4. Gestión de incidentes y brechas

Detección y respuesta: procedimiento de gestión de incidentes con canales de reporte, contención, erradicación y lecciones aprendidas.
Notificación de brechas (arts. 33–34 RGPD): evaluación del impacto; notificación a la autoridad de control y, cuando proceda, a las personas afectadas en los plazos y términos exigidos.
Registro de incidentes: documentación de hechos, efectos, datos implicados y medidas correctoras.

Nota: Este apartado describe medidas a alto nivel; por razones de seguridad, no se divulgan configuraciones ni arquitecturas detalladas. Las medidas se ajustan y actualizan según el estado de la tecnología, el principio de proporcionalidad y los resultados de la evaluación de riesgos.

7. Comunicación de datos obligatoria u opcional y consecuencias de no facilitarlos

7.1. ¿Qué datos son obligatorios?

Identificación clara en los formularios: los campos obligatorios estarán marcados (p. ej., con “*” o la etiqueta “obligatorio”).
Criterio de necesidad: solo pedimos como obligatorios los datos estrictamente necesarios para:
- Prestar el servicio o ejecutar el contrato (p. ej., procesar un pedido y entregarlo).
- Cumplir obligaciones legales (p. ej., facturación, fiscalidad, hojas de reclamaciones).
- Garantizar la seguridad del servicio cuando resulte imprescindible (p. ej., verificación de acceso).
Ejemplos habituales (orientativos):
- Cuenta/registro: email, contraseña, nombre [si se exige].
- Compra/envío: nombre y apellidos, dirección postal, email, teléfono de contacto [si el transportista lo requiere].
- Pago: datos suministrados a la pasarela (token); nunca pedimos números completos de tarjeta en nuestro sitio.
- Atención al cliente: email y nº de pedido para localizar la incidencia.

7.2. ¿Qué datos son opcionales?

Campos adicionales que mejoran la experiencia pero no son imprescindibles (p. ej., segundo teléfono, preferencias, fecha de nacimiento para promociones).
Marketing y newsletters: totalmente opcionales y revocables en cualquier momento.
Analítica y cookies no esenciales: solo se activan con tu consentimiento (ver Política de Cookies).

7.3. Consecuencias de no facilitar datos obligatorios

Imposibilidad de prestar el servicio solicitado (p. ej., no podemos enviar un pedido sin dirección válida).
Imposibilidad de tramitar determinadas solicitudes (p. ej., no podemos atender una devolución sin asociarla a un pedido).
Restricciones de acceso a funcionalidades que dependen del dato (p. ej., recuperación de cuenta sin email verificado).
Cumplimiento legal: si la ley exige un dato (facturación, garantías), no podremos completar la operación sin él.

7.4. Transparencia y elecciones sin “dark patterns”

Información previa: antes de enviar cualquier formulario, verás para qué necesitamos cada dato y la base jurídica.
Elecciones claras: casillas no premarcadas para consentimientos; opciones de opt-out visibles para marketing.
Accesibilidad: textos comprensibles y avisos en tiempo real sobre errores de formulario.

7.5. Cómo modificar tus elecciones

Panel de cuenta: actualización de datos y preferencias desde tu perfil.
Baja fácil en marketing: enlace “cancelar suscripción” en cada mensaje o solicitud a rgpd@gruponavarra.com.
Cookies: puedes reconfigurarlas en el panel de consentimiento en cualquier momento.

8. Menores de edad y productos con restricciones

8.1. Política respecto de menores

Edad mínima general de uso del sitio: 18 años, salvo apartados específicamente aptos para menores con consentimiento.
Consentimiento digital en España (LOPDGDD): para servicios de la sociedad de la información, el consentimiento válido puede prestarlo el/la menor a partir de 14 años; por debajo de esa edad, se requiere consentimiento de madre/padre o tutor/a.
Datos de menores:
- No recopilamos deliberadamente datos de menores por debajo de la edad indicada sin la autorización exigible.
- Si detectamos registros sin la debida autorización, bloquearemos o eliminaremos la cuenta/datos con diligencia.
Pruebas de autorización:
- Podemos solicitar verificación razonable de la patria potestad/tutela cuando sea necesario (p. ej., declaración responsable o documento acreditativo).
Ejercicio de derechos:
- Los representantes legales pueden ejercer los derechos de protección de datos en nombre del menor (ver Sección 5).

8.2. Productos/servicios con restricción de edad

Ámbito: determinados productos/servicios comercializados pueden estar sujetos a prohibición o limitación por edad: Bebidas alcohólicas, tabaco y cualquier otro producto no apto para menores de 18 años).
Edad mínima de compra y recepción: 18 años salvo norma específica.
Medidas de verificación (ejemplos):
- Aviso y declaración de mayoría de edad antes de acceder o comprar.
- Controles en el checkout (p. ej., fecha de nacimiento, declaración responsable).
- Comprobación en la entrega por el transportista, con no entrega si no se acredita mayoría de edad.
Política de tolerancia cero: si se detecta uso indebido (p. ej., cuenta a nombre de mayor para un menor), podremos cancelar el pedido/cuenta y restringir el acceso.

8.3. Marketing y diseño responsable

Sin segmentación dirigida a menores respecto a productos restringidos o contenidos no apropiados.
Creatividades y copys adaptados a público adulto cuando se trate de productos con restricción.
Preferencias de comunicación: posibilidad de opt-out total o granular de campañas potencialmente sensibles (ver Sección 5.4).

8.4. Información adicional y cumplimiento normativo

Referencia normativa: normativa de consumo, publicidad, venta a distancia, control de acceso por edad y, en su caso, regulación sectorial aplicable a los productos/servicios ofrecidos.
Ámbitos territoriales: si vendemos o enviamos fuera de España/EEE, se aplicarán además las normas locales sobre edad mínima y venta de productos restringidos.
Trazabilidad y auditoría: mantenemos evidencias proporcionadas de los controles de edad realizados (sin tratar más datos de los necesarios).

9. Canales de contacto en materia de privacidad

Canal preferente: rgpd@gruponavarra.com.
Para: ejercicio de derechos (Sección 5), consultas sobre tratamiento de datos y notificación de incidentes de privacidad.
Qué incluir en tu solicitud: derecho que ejercitas, email vinculado a tu cuenta, medio de respuesta y nº de pedido si aplica.
Verificación razonable de identidad: podremos solicitar confirmación desde el email registrado, código de verificación o, en casos necesarios, documento acreditativo.
Plazo de respuesta: máximo 1 mes, ampliable 2 meses en solicitudes complejas (te informaremos).
Idiomas: Español.
Otros contactos del responsable: ver Sección 1.
Si no quedas conforme: puedes reclamar ante la AEPD (ver Sección 5.5).

10. Transferencias internacionales

Este apartado explica si y cómo pueden salir datos personales del Espacio Económico Europeo (EEE/UE) y qué garantías aplicamos cuando ocurre.

10.1. Marco normativo y criterio general

Objetivo: mantener un nivel de protección esencialmente equivalente al del RGPD cuando un destinatario está fuera del EEE.
Base legal: arts. 44–49 RGPD y doctrina/guías aplicables.
Criterio: evitamos transferencias innecesarias y, cuando son necesarias, aplicamos garantías adecuadas y evaluaciones de riesgo.

10.2. ¿Cuándo puede haber transferencias?

Uso de proveedores globales (alojamiento, email, analítica, anti-fraude, mensajería) con infraestructura o equipos de soporte fuera del EEE.
Soporte de nivel 2/3 por personal ubicado en terceros países.
Servicios en la nube con replicación/backup en regiones extracomunitarias [solo si has configurado así el servicio].

10.3. Garantías que utilizamos (según el caso)

Decisiones de adecuación de la Comisión Europea (p. ej., países/territorios con nivel reconocido).
Cláusulas Contractuales Tipo (SCC) actualizadas por la Comisión Europea entre responsable–encargado o responsables.
Data Privacy Framework (DPF) para entidades certificadas en EE. UU.
Normas Corporativas Vinculantes (BCR).
Otras garantías admitidas por el art. 46 RGPD, según el proveedor.

10.4. Evaluaciones y medidas complementarias

Evaluación del país de destino (TIA): analizamos el marco legal y prácticas del país receptor y los riesgos de acceso por autoridades.
Medidas técnicas: cifrado sólido en tránsito y, cuando es viable, cifrado en reposo con gestión de claves bajo nuestro control; seudonimización/minimización.
Medidas contractuales/organizativas: obligaciones de impugnación de solicitudes gubernamentales, transparencia y notificación, auditorías, registro de accesos.

10.5. Subencargados y localización de datos

Criterios de selección: solvencia, seguridad, ubicación de centros de datos, régimen de transferencias y subprocesadores.
Cadena de subencargo: exigimos que cualquier subencargado cumpla garantías equivalentes (art. 28.4 RGPD).
Información práctica: en la Sección 11 listamos categorías de destinatarios y, cuando sea relevante, regiones de tratamiento.

10.6. Excepciones del art. 49 RGPD (uso limitado)

Consentimiento explícito informado para una transferencia puntual.
Ejecución de contrato contigo o en tu interés (p. ej., logística internacional).
Interés público importante o defensa de reclamaciones jurídicas.
Importante: estas bases son residuales y no se usan para transferencias continuas o sistemáticas.

10.7. Cómo puedes obtener más información

Solicitud de copia de las garantías (extractos de SCC/BCR) y medidas aplicadas: escríbenos al canal de privacidad (Sección 9).
Detalle de proveedores/países: te indicaremos, cuando proceda, el proveedor, la función, la base usada (p. ej., SCC/DPF) y la región implicada.

10.8. Cambios y actualización

Revisión continua de las garantías y configuraciones regionales a la luz de cambios normativos o técnicos.
Notificación: si una modificación sustancial afecta a las transferencias, lo indicaremos en la Sección 12 (Cambios en la Política) y, cuando sea necesario, solicitaremos nuevamente tu consentimiento o facilitaremos nuevas opciones.

11. Encargados del tratamiento y destinatarios

En este apartado indicamos con quién compartimos datos, diferenciando entre encargados del tratamiento (tratan datos por cuenta del Responsable, art. 28 RGPD) y destinatarios terceros que actúan como responsables independientes (p. ej., administraciones, bancos, transportistas en su propia esfera).

11.1. Criterios de selección y garantías (encargados)

Solvencia y especialización: capacidad técnica, continuidad del servicio y reputación.
Seguridad y cumplimiento: medidas organizativas y técnicas adecuadas.
Contrato art. 28 RGPD: objeto, instrucciones documentadas, confidencialidad, seguridad, subencargo, ayuda en ejercicio de derechos, devolución/supresión.
Subencargados: autorización previa (general o específica) y garantías equivalentes en la cadena de tratamiento.
Transferencias internacionales: uso de SCC/DPF/adecuación y medidas complementarias (ver Sección 10).
Auditoría y control: evidencias de cumplimiento, informes y vías de supervisión.

11.2. Categorías de encargados del tratamiento (por función)

Alojamiento y plataforma e-commerce / cloud: hosting, CDN, balanceadores, PaaS/SaaS.
Pasarelas de correo y mensajería transaccional: email/SMS/WhatsApp para avisos de servicio.
Atención al cliente y helpdesk: ticketing, chat, telefonía/voz-IP, grabación [si procede].
Logística (como encargados): preparación de pedidos, almacenamiento y etiquetado.
Prevención de fraude y seguridad: WAF/antibot, monitorización, detección de intrusiones, antifraude de pagos.
Analítica y experiencia digital: herramientas de medición (ver también Política de Cookies).
Marketing y CRM (solo con consentimiento o interés legítimo aplicable): email marketing, automatización, audiencias.
Gestoría/contabilidad y facturación electrónica: soporte administrativo.

11.3. Categorías de destinatarios (terceros responsables)

Entidades financieras/bancarias: procesan cobros/reembolsos como responsables de sus propias operaciones.
Transportistas y empresas de mensajería: reciben datos de entrega y contacto para prestar el servicio de transporte bajo su propia responsabilidad.
Administraciones públicas, juzgados y fuerzas y cuerpos de seguridad: cuando exista obligación legal o requerimiento.
Plataformas de redes sociales: si interactúas con nuestros perfiles o aceptas cookies/plug-ins sociales, tratan tus datos según sus políticas.
Compañías aseguradoras y mediadores [si aplica]: gestión de incidencias/seguro de envíos.
Proveedores de pago alternativo (wallets, BNPL, PayPal, Bizum, etc.): actúan como responsables de su servicio.

11.4. Finalidades y bases jurídicas de las comunicaciones

Prestación del servicio/ejecución de contrato (art. 6.1.b): compartir datos con logística, plataformas de soporte, email transaccional, hosting.
Obligación legal (art. 6.1.c): comunicaciones a Hacienda, autoridades de consumo, requerimientos judiciales.
Interés legítimo (art. 6.1.f): seguridad, prevención de fraude, defensa jurídica, mejora del servicio (con ponderación).
Consentimiento (art. 6.1.a): marketing, cookies/analítica no esencial, audiencias personalizadas.

11.5. Regla de minimización en las comunicaciones

Datos adecuados y pertinentes: antes de comunicar, reducimos el volumen de datos al mínimo necesario (p. ej., nombre y teléfono para entrega, sin exponer información no necesaria del pedido).
Pseudonimización/cifrado: cuando es viable, empleamos identificadores o cifrado para limitar la exposición.

11.6. Conservación y retorno de datos por los encargados

Fin del servicio: a la terminación, el encargado suprimirá o devolverá los datos según nuestras instrucciones, salvo conservación por obligación legal.
Copias y backups: eliminación segura en copias y entornos de prueba conforme a plazos técnicos razonables.

12. Cambios en la Política de Privacidad

12.1. ¿Cuándo podemos cambiarla?

Motivos habituales: cambios legales o regulatorios, criterios de autoridades (p. ej., AEPD/EDPB), nuevas funcionalidades o tratamientos, sustitución de proveedores o cambio de regiones de alojamiento, mejoras de seguridad.
Principio de transparencia: evitamos cambios que reduzcan tus derechos sin la debida información y, cuando sea necesario, tu consentimiento.

12.2. Cómo te informaremos

Actualización en el sitio web con versión y fecha visibles.
Avisos destacados en el propio sitio y/o por email si el cambio es sustancial (p. ej., nuevas finalidades, bases jurídicas, o transferencias internacionales relevantes).
Mecanismos de consentimiento renovado cuando se exija (p. ej., nuevas finalidades de marketing o nuevas cookies no esenciales).

12.3. Entrada en vigor

La nueva versión será efectiva desde su publicación en el sitio, salvo que indiquemos otra fecha.
Para cambios que requieran consentimiento, serán efectivos desde que lo otorgues; si no lo haces, seguiremos aplicando la versión anterior en lo que te afecte a esos tratamientos.

12.4. Tu revisión y elecciones

Te animamos a revisar periódicamente esta Política. Si no estás de acuerdo con una actualización, puedes modificar tus preferencias, retirar consentimientos o cerrar tu cuenta (Sección 5 y 7).
Si un cambio afecta a comunicaciones comerciales, podrás ejercer oposición/baja inmediata (Sección 5.4).

12.5. Coherencia con otros textos

En caso de conflicto entre esta Política y otras políticas o cláusulas informativas específicas, prevalecerá el texto que resulte más protector para la persona usuaria, salvo obligaciones legales en contrario.

13. Fecha de última actualización

Esta Política de Privacidad fue actualizada el: 01/10/2025

Nombre	Proveedor	Que hace	Expiración	Permitir
Nombre	Proveedor	Que hace	Expiración	Permitir
Carrito de compras	PrestaShop	Esto proporciona y mantiene los productos dentro de su carrito de compras. La desactivación de esta cookie dejaría de permitir las órdenes. Esta cookie no guarda ningún dato personal sobre ningún cliente de la tienda. Esto proporciona y mantiene los productos dentro de su carrito de compras. La desactivación de esta cookie dejaría de permitir las órdenes. Esta cookie no guarda ningún dato personal sobre ningún cliente de la tienda.	30 dias	Permitir
Enlace a cuenta de cliente	PrestaShop	Permite acceder a la cuenta del usuario y mostrar enlaces relacionados. Esta cookie no guarda ningún dato personal sobre ningún cliente de la tienda. Permite acceder a la cuenta del usuario y mostrar enlaces relacionados. Esta cookie no guarda ningún dato personal sobre ningún cliente de la tienda.	Sesión	Permitir
Alertas del sistema	PrestaShop	Envío de notificaciones de stock, pedidos, errores. No interviene en el navegador. Esta cookie no guarda ningún dato personal sobre ningún cliente de la tienda. Envío de notificaciones de stock, pedidos, errores. No interviene en el navegador. Esta cookie no guarda ningún dato personal sobre ningún cliente de la tienda.	No aplica	Permitir

Nombre	Proveedor	Que hace	Expiración	Permitir
Nombre	Proveedor	Que hace	Expiración	Permitir
Productos vistos	PrestaShop	Guarda el historial de productos visitados recientemente. Guarda el historial de productos visitados recientemente.	20 días	Permitir

Política de privacidad