1. Normativa aplicable
La presente Política de Privacidad se adapta a la normativa vigente en materia de protección de datos personales y, en particular, a:
- Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
- Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
- Demás normativa aplicable en materia de protección de datos y comercio electrónico.
El uso de este sitio web implica la aceptación de la presente Política de Privacidad.
2. Responsable del tratamiento
De conformidad con lo dispuesto en la normativa vigente en materia de protección de datos, se informa al usuario que el responsable del tratamiento de sus datos personales es:
- Titular y responsable de la web: Ionut Gabriel Ivan
- NIF: X7243824C
- Domicilio: Apartado 107 — Correos, Avinguda Girona 58, 17130 L'Escala (Girona)
- Correo electrónico de contacto: info@kellerautomoviles.com
- Teléfono: +34 624 00 72 12
- Condición: Empresario individual (trabajador autónomo) dado de alta en España
En adelante, el Responsable del tratamiento o el Propietario.
El Responsable no tiene obligación legal de designar un Delegado de Protección de Datos (DPO) conforme al art. 37 RGPD por su tamaño y la naturaleza de los tratamientos realizados. Para cualquier cuestión relativa a privacidad, el usuario puede dirigirse directamente al correo electrónico indicado.
3. Principios aplicables al tratamiento de datos
El Responsable tratará los datos personales conforme a los principios establecidos en el art. 5 RGPD, garantizando que los datos sean:
- Tratados de manera lícita, leal y transparente.
- Recogidos con fines determinados, explícitos y legítimos.
- Adecuados, pertinentes y limitados a lo necesario (minimización).
- Exactos y actualizados.
- Conservados durante no más tiempo del necesario.
- Tratados de forma que se garantice su seguridad, integridad y confidencialidad.
4. Datos personales que se recogen
A través de los formularios disponibles en la web y de los canales de contacto habilitados, el Responsable podrá recoger los siguientes datos personales:
- Datos identificativos: nombre y apellidos.
- Datos de contacto: dirección de correo electrónico y número de teléfono.
- Datos sobre la consulta: tipo de vehículo que desea importar, presupuesto orientativo y demás información facilitada voluntariamente por el usuario.
- Datos técnicos asociados al envío del formulario: dirección IP (almacenada en plano y mediante hash HMAC), agente de usuario del navegador, dominio de origen y referer. Estos datos se conservan como evidencia inmutable del consentimiento prestado (art. 7.1 RGPD).
Asimismo, el sitio web dispone de un botón de contacto directo mediante WhatsApp, a través del cual el usuario puede comunicarse voluntariamente con el Responsable.
Adicionalmente, el Responsable realiza campañas publicitarias en las plataformas de Meta (Facebook e Instagram) que pueden incluir formularios instantáneos (Meta Lead Ads). Cuando el usuario decide cumplimentar uno de estos formularios sin salir de la plataforma, los datos de contacto que facilita (nombre, correo electrónico y teléfono) son recogidos a través de Meta y puestos a disposición del Responsable con la única finalidad de atender su solicitud. El tratamiento posterior de esos datos por parte del Responsable se rige por la presente Política de Privacidad, y su recogida requiere el consentimiento expreso del usuario manifestado dentro del propio formulario.
El Responsable no recoge categorías especiales de datos (art. 9 RGPD): datos de salud, ideología, religión, origen étnico, afiliación sindical, datos biométricos o genéticos.
5. Finalidad del tratamiento de los datos
Los datos personales facilitados por el usuario serán tratados con las siguientes finalidades:
- Atender solicitudes de información realizadas por los usuarios.
- Elaborar presupuestos y ofrecer asesoramiento personalizado.
- Gestionar la relación precontractual o comercial.
- Mantener comunicaciones relacionadas con el servicio solicitado.
- Conservar evidencia del consentimiento prestado conforme al art. 7.1 RGPD.
- Enviar comunicaciones informativas o comerciales únicamente cuando el usuario haya otorgado su consentimiento expreso.
- Cumplir con las obligaciones legales aplicables (fiscales, contables y mercantiles).
6. Base jurídica que legitima el tratamiento
El tratamiento de los datos personales se basa en:
- El consentimiento expreso del usuario (art. 6.1.a RGPD), para el envío del formulario y para las comunicaciones comerciales opcionales.
- La aplicación de medidas precontractuales solicitadas por el propio usuario (art. 6.1.b RGPD), para la elaboración de presupuestos y la respuesta a consultas.
- El interés legítimo del Responsable (art. 6.1.f RGPD) para la conservación de evidencia del consentimiento, la prevención del fraude y de envíos automatizados al formulario (rate-limiting), y la seguridad del sitio.
- El cumplimiento de obligaciones legales aplicables al Responsable (art. 6.1.c RGPD), en particular en materia fiscal, contable y mercantil.
7. Comunicaciones comerciales
El usuario podrá autorizar de forma opcional el envío de comunicaciones comerciales o informativas mediante la marcación de la casilla correspondiente en el formulario.
- La suscripción a comunicaciones comerciales no es obligatoria y no condiciona la respuesta a la consulta.
- El consentimiento podrá retirarse en cualquier momento.
- Todas las comunicaciones incluirán un mecanismo sencillo y gratuito para darse de baja (enlace en el propio correo).
8. Encargados del tratamiento
El Responsable no realiza cesiones de datos a terceros con fines comerciales. Para la prestación del servicio recurre a los siguientes encargados del tratamiento, con los que mantiene los correspondientes contratos de encargo conforme al artículo 28 RGPD:
| Proveedor | Servicio | Ubicación | Datos tratados |
|---|---|---|---|
| Hostinger International Ltd. | Hosting web, base de datos y envío de correo SMTP | Lituania (UE) | Todos los datos del formulario y del registro de consentimiento, así como los logs técnicos del servidor. |
| Google Ireland Ltd. — Google Workspace | Correo electrónico corporativo (Gmail) y agenda de citas (Calendar) | Irlanda (UE) — matriz Google LLC en EE.UU. | Nombre, email, teléfono y contenido de la consulta, en la medida en que se canalicen por correo electrónico o se cite al usuario como invitado a un evento de calendario. |
| WhatsApp Ireland Ltd. (Meta Platforms, Inc.) | Mensajería instantánea (botón de contacto opcional) | Irlanda (UE) — matriz Meta Platforms, Inc. en EE.UU. | Únicamente los datos que el usuario decida facilitar voluntariamente al iniciar la conversación. |
| Meta Platforms Ireland Ltd. | Publicidad en Facebook e Instagram y formularios instantáneos de captación de contactos (Meta Lead Ads) | Irlanda (UE) — matriz Meta Platforms, Inc. en EE.UU. | Nombre, correo electrónico y teléfono que el usuario facilita voluntariamente al cumplimentar un formulario instantáneo dentro de Facebook o Instagram. |
| Gestoría / asesoría fiscal del Responsable | Contabilidad y obligaciones fiscales | España (UE) | Datos identificativos y fiscales de clientes que hayan llegado a contratar (no se comunican los datos de meros interesados que no contratan). |
| Proveedores de transporte y de seguros | Transporte del vehículo importado y, en su caso, contratación de seguros asociados | Unión Europea | Datos identificativos y de contacto estrictamente necesarios para ejecutar el servicio contratado. |
Los datos sólo se comunicarán a terceros distintos de los anteriores cuando exista una obligación legal (por ejemplo, requerimiento de la Administración Tributaria, Fuerzas y Cuerpos de Seguridad o resolución judicial).
9. Transferencias internacionales de datos
Algunos de los encargados del tratamiento citados en el apartado anterior pueden realizar transferencias internacionales de datos a Estados Unidos. En todos los casos, dichas transferencias cuentan con garantías adecuadas conforme a los artículos 45 y 46 del RGPD:
- Google (Gmail y Calendar): transferencia amparada en la decisión de adecuación de la Comisión Europea de 10 de julio de 2023 sobre el EU-U.S. Data Privacy Framework, y subsidiariamente en las Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión.
- Meta Platforms (WhatsApp, publicidad y formularios instantáneos en Facebook e Instagram): transferencia amparada en la decisión de adecuación de la Comisión Europea de 10 de julio de 2023 sobre el EU-U.S. Data Privacy Framework, al que Meta Platforms, Inc. se encuentra adherida, y subsidiariamente en las Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914, complementadas con las medidas suplementarias contempladas en la política de privacidad de Meta.
- Hostinger: la infraestructura de hosting que sirve a Keller Automóviles está localizada en la Unión Europea. No se producen transferencias internacionales en este servicio.
El Responsable no utiliza otros servicios de terceros que impliquen transferencias internacionales. Las fuentes tipográficas (Manrope) y las librerías JavaScript de la web están auto-hospedadas en el propio dominio para evitar conexiones a CDN o servicios externos durante la navegación.
El usuario puede solicitar una copia o referencia adicional de las garantías aplicables escribiendo a info@kellerautomoviles.com.
10. Plazos de conservación
Los datos personales se conservarán durante los siguientes plazos:
- Datos de meros interesados (consultas sin posterior contratación): hasta 24 meses desde la última comunicación o desde la última muestra de interés activa, salvo que el usuario solicite antes su supresión.
- Datos de clientes (consultas que devienen en contratación): mientras dure la relación comercial y, una vez finalizada, durante los plazos legalmente exigidos.
- Datos fiscales, contables y de facturación: mínimo 4 años conforme al art. 66 de la Ley General Tributaria (Ley 58/2003) y hasta 6 años conforme al art. 30 del Código de Comercio. Aplicará el plazo más largo cuando una misma información esté sujeta a ambas obligaciones.
- Registro de consentimiento (evidencia del envío del formulario): durante el plazo necesario para acreditar el cumplimiento del art. 7 RGPD, que el Responsable fija en un mínimo de 3 años desde la baja del usuario, prorrogable mientras existan reclamaciones o procedimientos en curso. Los registros se conservan con `withdrawn_at` marcado en caso de retirada, no se borran salvo orden judicial o solicitud expresa.
- Logs técnicos del servidor (IP, agente de usuario, registros de auditoría): hasta 180 días, conforme al principio de minimización.
- Suscriptores de la newsletter: hasta que el usuario se dé de baja a través del enlace incluido en cada comunicación.
11. Derechos del usuario
El usuario tiene derecho a:
- Acceder a sus datos personales (art. 15 RGPD).
- Rectificar datos inexactos (art. 16 RGPD).
- Suprimir sus datos (derecho al olvido, art. 17 RGPD).
- Limitar u oponerse al tratamiento (arts. 18 y 21 RGPD).
- Portabilidad de los datos (art. 20 RGPD).
- Retirar el consentimiento previamente otorgado en cualquier momento, sin que ello afecte a la licitud del tratamiento previo (art. 7.3 RGPD).
- No ser objeto de decisiones automatizadas con efectos jurídicos (art. 22 RGPD — véase apartado 13).
Para ejercer estos derechos, el usuario puede enviar una solicitud, indicando claramente el derecho que desea ejercer y acompañando una copia de su DNI o documento equivalente, a:
El Responsable atenderá las solicitudes en un plazo máximo de un mes desde su recepción, prorrogable hasta un máximo de dos meses adicionales en función de la complejidad y del número de solicitudes, conforme al art. 12.3 RGPD. En caso de prórroga el usuario será informado dentro del primer mes.
Asimismo, el usuario tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si considera que el tratamiento de sus datos no se ajusta a la normativa vigente:
12. Menores de edad
Los servicios y formularios de esta web están dirigidos exclusivamente a mayores de 18 años con capacidad legal para contratar. El Responsable no recoge conscientemente datos personales de menores de edad. Si un padre, madre o tutor detecta que un menor a su cargo ha facilitado datos a través del formulario, puede solicitar su supresión inmediata escribiendo a info@kellerautomoviles.com.
13. Ausencia de decisiones automatizadas y de elaboración de perfiles
El Responsable no toma decisiones automatizadas, incluida la elaboración de perfiles, que produzcan efectos jurídicos sobre el usuario o le afecten significativamente de modo similar (art. 22 RGPD). Toda valoración comercial sobre la consulta del usuario es realizada por el Responsable de forma manual.
14. Medidas de seguridad
El Responsable ha adoptado las medidas técnicas y organizativas necesarias, conforme al art. 32 RGPD, para garantizar la seguridad, confidencialidad e integridad de los datos personales y evitar su pérdida, alteración o acceso no autorizado. Entre otras:
- Cifrado en tránsito: conexión HTTPS obligatoria mediante TLS y política Strict-Transport-Security.
- Cabeceras de seguridad: Content-Security-Policy, X-Frame-Options, Referrer-Policy, X-Content-Type-Options y Permissions-Policy.
- Auto-hospedaje de fuentes tipográficas y librerías JavaScript para evitar conexiones a terceros y reducir la exposición de datos del usuario (IP, agente).
- Control de acceso al área administrativa con contraseñas almacenadas mediante hash bcrypt, bloqueo tras intentos fallidos y protección frente a CSRF.
- Anonimización de IP en el registro de consentimiento mediante HMAC, manteniendo la trazabilidad necesaria sin exponer la IP en claro fuera del registro técnico.
- Rate-limiting por IP, por email y global para prevenir abusos y envíos automatizados.
- Copias de seguridad automáticas y registro de auditoría con retención de 180 días.
- Banner de cookies bloqueante que impide la instalación de cookies no esenciales antes del consentimiento expreso del usuario.
En caso de detectarse una violación de la seguridad de los datos personales con riesgo para los derechos y libertades del usuario, el Responsable la notificará a la AEPD en el plazo de 72 horas conforme al art. 33 RGPD y, en su caso, a los usuarios afectados conforme al art. 34 RGPD.
15. Modificación de la política de privacidad
El Responsable se reserva el derecho a modificar la presente Política de Privacidad para adaptarla a cambios legislativos, jurisprudenciales o a su actividad. Cuando los cambios sean significativos, se informará al usuario a través de los medios disponibles en la web (banner o aviso destacado). La versión actualizada estará siempre accesible en esta página, con su correspondiente fecha y número de versión.
Si tienes cualquier duda sobre esta política o sobre el tratamiento de tus datos, escríbenos a info@kellerautomoviles.com.