Política de Privacidad Smash de Pagina Web o App de Smash

Política de Privacidad  de Pagina Web o App de Smash. Esta versión de la Política de Privacidad fue actualizada por última vez el: 05/06/2024.

1. ¿QUIÉN ES EL RESPONSABLEDE TRATAMIENTO?

Smash Gifts Tecnologia, S.L.U.  (en adelante “SMASH”, el “Responsable” o “nosotros”) con NIF B- B19894005 ydomicilio en Isabel la Católica, 8-36 46004 - Valencia | Spain es el Responsable del Tratamiento de sus datos personales, los cuales serán tratados de acuerdo con los parámetros expuesto sen la presente política.

SMASH es propietaria del dominio [https://tienda.smash.gifts/] [https://www.smash.gifts/spain] [https://www.smash.gifts/es]  así como de esta página web y/o de la App web y/o cualquier otro tipo de programa informático desarrollado, operado y/o mantenido por Smash (en adelante la “Plataforma”).

Mediante el presente texto, se pone a disposición del usuario (en adelante también referido como “Usuario”, “Interesado”o “usted”) la Política de Privacidad de Smash con objeto de describir la información personal que recogemos, el propósito con el que la usamos y, en general, los procesos y formas en que la tratamos durante el transcurso del usoy/o de la Plataforma por parte de los usuarios (tanto registrados como no registrados según los tratamientos) durante su navegación a través de la misma.

Si desea contactar con nosotros en relación con sus datos personales puede hacerlo en la siguiente dirección: info@smash.gifts.  
2. TRATAMIENTOS Y FINALIDADESPARA LAS QUE TRATAMOS SUS DATOS
El tratamiento de sus datos personales se realiza para las siguientes finalidades:  

a. Funcionalidad de la web (usuarios no registrados):
Finalidad: permitir el uso y navegación de los Usuarios (tanto Usuarios registrados como no registrados) a través de la Plataforma;
Categorías de datos tratados: datos de navegación, incluyendo la dirección IP, hábitos de navegación, preferencias de uso, idioma, sistema operativo, ubicación aproximada sobre región y país acceso, sistema operativo de tu terminal, y cookies cuando sean necesarios para garantizar la finalidad (o cuando se obtenga el consentimiento del Interesado) y datos estadísticos anonimizados;
Categorías de Interesados: usuarios/clientes registrados y no registrados que hagan uso de la Plataforma o de la web;
Método de obtención: a través de la navegación por el entorno de nuestra web;
Bases de legitimación: su consentimiento y nuestro interés legítimo;
Periodo de retención: sus datos personales se conservarán sólo durante el tiempo necesario para el fin para el que se recogieron al inicio, con el máximo de 18 meses desde dicho momento;
Comunicación: los datos recabados podrán ser comunicados a nuestros proveedores de servicios tecnológicos, informáticos y/o de alojamiento de datos esenciales para garantizar la finalidad para la que se recogieron. Sus datos no serán objeto de venta a terceros.

b. Resolución de consultas realizadas por el cliente:
Finalidad: Garantizar la comunicación por parte de los usuarios con SMASH para realizar consultas con atención al cliente, formular quejas, u otras cuestiones similares, a través de cualquiera de los puntos de contacto de SMASH, incluyendo los formularios puestos a disposición del usuario en la Plataforma, así como el resto de las direcciones electrónicas o postales de la misma o herramientas de chatbot;
Categorías de datos tratados: datos identificativos, concretamente nombre y apellidos y datos de contacto, los cuales pueden referirse a la dirección de correo electrónico y/o número de teléfono. En caso de usuarios registrados que hagan uso del chatbot se podrá tratar su IP de usuario;
Categorías de Interesados: usuarios/clientes registrados y no registrados que hagan uso de la Plataforma o página web, que formulen la consulta;
Método de obtención: directamente de los usuarios, cuando éstos rellenan el formulario de contacto o contactan directamente con SMASH;
Bases de legitimación: consentimiento de los usuarios o interés legítimo tras haber recibido la solicitud;
Periodo de retención: una vez alcanzada la finalidad para la que fueron recabados, los datos serán conservados un plazo máximo de 18 meses, salvo en caso de reclamaciones o situaciones que por motivos de interés legítimo requiera la conservación de los mismos durante un plazo superior, que será de 5 años como máximo;
Comunicación: sus datos podrán ser comunicados a nuestros proveedores servicios tecnológicos, informáticos y/o de alojamiento de datos, que sean esenciales para garantizar la finalidad para la que se recogieron. Sus datos no serán objeto de venta a terceros.

c. Prestación de servicios contratados:
Finalidad: Prestación de servicios de intermediación como Marketplace para la compra, pago y envío de Gift Cards de las empresas Partners;
Categorías de datos tratados: datos identificativos (nombre y apellidos, número de identidad o fiscal, pasaporte o similar); datos de contacto (incluyendo dirección de correo electrónico, número de teléfono, y domicilio postal); datos bancarios y datos de pago (incluyendo alguno de los dígitos de su tarjeta bancaria), en caso de ser necesario para garantizar el pago; datos de acceso a usuarios registrados (contraseña y nombre de usuario);
Categorías de Interesados: usuarios/clientes registrados que hagan uso de la Plataforma o página web, o, en su caso, de las personas que reciben las Gift Cards por invitación de un Usuario;
Método de obtención: directamente del cliente cuando los datos sean incluidos por parte del Usuario a través del uso de la Plataforma. No obstante, podrán obtenerse tras la comunicación de sus datos por las personas físicas o jurídicas (empresas) que envíen las Gift Cards a los Interesados a través de la Plataforma;
Bases de legitimación: el tratamiento es necesario para la ejecución de un contrato en el que el Interesado es parte, y el consentimiento del usuario;
Periodo de retención: mientras dure la prestación de servicios y, tras su finalización, sus datos podrán ser bloqueados durante los plazos previstos legalmente para cumplir con las obligaciones normativas, incluyendo las normativas fiscales, mercantiles y de prevención de blanqueo de capitales, así como durante el plazo de prescripciones legales;
Comunicación: sus datos no serán comunicados con carácter general. No obstante, podrán ser comunicados a nuestros proveedores de servicios tecnológicos, informáticos y/o de alojamiento de datos esenciales para garantizar la finalidad para la que se recogieron, incluyendo a proveedores de servicios de pago y o de comunicaciones, o salvo a las autoridades cuya comunicación sea requerida por obligación legal o requerimiento judicial. Sus datos no serán objeto de venta a terceros.

d. Envío de comunicaciones comerciales de SMASH:
Finalidad: Envío comunicaciones comerciales, ofertas, promociones, o similares, de los productos ofrecidos por Smash en la Plataforma al correo electrónico de los Interesados.  En caso de obtención del consentimiento del Interesado se podrán enviar comunicaciones comerciales personalizadas a los Usuarios de conformidad con sus intereses;
Datos tratados: datos identificativos (nombre y apellidos) y datos de contacto (correo electrónico);
Método de obtención: directamente del usuario;
Bases de legitimación: el consentimiento del usuario en caso de Usuarios no registrados, y en caso de comunicaciones personalizadas. En relación con los Usuarios registrados, se podrá basar en los intereses legítimos de Smash en informar a los Usuarios sobre sus productos o información relevante, y salvo que el Usuario retire su consentimiento o cancele su cuenta;
Periodo de retención: los datos serán tratados hasta que el Usuario retire su consentimiento, y durante máximo 18 meses tras su revocación;
Comunicación: sus datos no serán comunicados a terceras empresas, salvo a aquellas que presten servicios informáticos, tecnológicos y/o técnicos, y solamente con la finalidad de garantizar el envío de comunicaciones comerciales de SMASH.  Sus datos no serán objeto de venta a terceros.

e. Control de acceso biométrico
Finalidad: el interesado podrá seleccionar voluntariamente el uso de medidas de control de acceso biométrico mediante el reconocimiento facial o de sus huellas, como medida de seguridad para acceder a la plataforma o para verificar compras dentro de la misma, entre otras funciones similares;
Datos tratados: datos biométricos, incluyendo la imagen facial o huella dactilar, que tienen la condición de datos especialmente protegidos;
Método de obtención: directamente del usuario, cuando selecciona el reconocimiento biométrico como medida de seguridad para las finalidades de acceder o verificar sus compras, entre otras funcionalidades distintas en la Plataforma;  
Bases de legitimación: el consentimiento del usuario;
Periodo de retención: durante el tiempo necesario para garantizar la finalidad o hasta que el interesado retire su consentimiento o suprima su cuenta;
Comunicación: sus datos no serán comunicados a terceras empresas con la presente finalidad, salvo a aquellas empresas de proveedores técnicos o informáticos necesarios para garantizar la finalidad.

f. Reclutamiento:
Finalidad: Gestionar la participación del Interesado en los procesos de contratación. Esto incluye el envío de su CV para su evaluación y solicitud de procesos de selección, y para mantenerle informado sobre futuros puestos vacantes por las plataformas o medios de comunicación a través de los cuales el interesado se haya postulado en el puesto, o que sean aplicables según la naturaleza del proceso de selección;
Datos tratados: datos identificativos (nombre y apellido); datos de contacto (correo electrónico, teléfono, dirección postal); datos profesionales y de formación; y perfiles de redes sociales (en su caso);
Método de obtención: directamente del usuario, cuando remite su CV a SMASH o cuando se postula como candidato a través de ofertas publicadas en redes sociales o similares, o a través de empresas de reclutamiento, cuando el usuario haya cedido sus datos personales a los mismos;
Bases de legitimación: el consentimiento del usuario;
Periodo de retención: 18 meses desde la recepción de los datos o desde su actualización;
Comunicación: sus datos no serán comunicados a terceras empresas con la presente finalidad, salvo con empresas de reclutamiento y/o de RR. HH que gestionen las ofertas de empleo por encargo, en caso de ser necesario y siempre que se hay informado al usuario previamente.   Sus datos no serán objeto de venta a terceros.

3. ¿DE DÓNDE PROVIENEN SUSDATOS?

Por norma general, salvo que se hayaindicado lo contrario en cada una de las finalidades descritas en el punto (II)de la presente Política, todos los datos proceden del Interesado, ya sea pormedio del uso de la Plataforma y/o de la navegación a través de la página web(los cuales se recaban a través de las cookies técnicas o aquellas que hayasaceptado), a través de una comunicación realizada por el usuario a través decualquiera de los medios puestos a su disposición, o por cualquier otro medio .En caso de desear información adicional, por favor, contacte con info@smash.gifts.
4. ¿A QUIÉN COMUNICAMOS SUS DATOS?

Con carácter general, SMASH no comunicará sus datos personales a terceros, salvo cuando la prestación de un servicio implique la necesidad de una relación contractual con un encargado del tratamiento y sea estrictamente necesario para la gestión y el mantenimiento de la relación entre el usuario y SMASH, y siempre bajo la previa autorización expresa del usuario y durante el tiempo necesario para permitir las finalidades, y bajo las mismas o similares condiciones, compromisos  y responsabilidades en materia de privacidad y protección de datos a las que se somete SMASH. Al finalizar la cesión, dichos encargados del tratamiento devolverán los datos personales a SMASH y eliminarán cualquier copia en su posesión.

En dicho sentido, y estrictamente con objeto de hacer cumplir las finalidades descritas en la presente Política, SMASH podrá comunicar sus datos personales a las categorías de destinatarios que se indican a continuación:

1.     Proveedoresde servicios esenciales, incluyendo servicios informáticos y tecnológicos, incluyendoservicios de pasarela de pagos, de almacenamiento en la nube, envío decomunicaciones entre otros similares.
 2.     Autoridades públicas, por requerimiento judicial o por imperativo legal. 
3.     Empresasy/o consultores que nos ayuden en la gestión de nuestros servicios y en el cumplimiento finalidades.

El listado completo y actualizado de los sujetos a quienes se podrán comunicar los Datos Personales o que lleguen a tener conocimiento de los mismos como Encargados o Autorizados podrá solicitarse al Responsable del Tratamiento a través de cualquiera de los puntos de contacto que se indican en la presente Política.

En todo caso, los Datos Personales proporcionados no serán objeto de difusión ni venta y, por tanto, no serán comunicados a sujetos indeterminados de ninguna forma.
5. ¿REALIZAMOS TRANSFERENCIASDE DATOS A TERCEROS PAÍSES U ORGANISMOS INTERNACIONALES? 

Por norma general no se realizan transferencias de Datos Personales a terceros países u organizaciones internacionales (“TTI”, en adelante). No obstante, se podrán realizar TTI a nuestras empresas de grupo ubicadas fuera del EEE en caso de que fuese necesario por motivos de gestión recursos técnicos, organizativos y/o administrativos internos. Igualmente, con objeto de garantizar las finalidades, se podrá realizar TTI a nuestros proveedores de servicios tecnológicos, informáticos y/o de alojamiento de datos, que sean esenciales para garantizar la finalidad para la que se recogieron, previa información y obtención del consentimiento del Interesado y siempre mediante la aplicación de algunas de las garantías previstas en los arts. 44 RGPD y siguientes para garantizar un nivel de seguridad adecuado del tratamiento de datos personales, incluyendo la decisión de adecuación (listado de países basados en una decisión de adecuación) o mediante Cláusulas Contractuales Tipo de la Comisión Europea (“CCT”, en adelante). Puede obtener más información sobre las CCT en el siguiente enlace.

Las empresas a las que podrían realizarse TTI, por estar ubicados fuera del EEE, son las siguientes:

1.     Smash Brasil: SMASHPOINTS TECNOLOGIA LTDA con sede en Rua Conceição de Monte Alegre, nº 107,Torre B, piso 10, conjunto 101, Cidade Monções, CEP 04563-060, São Paulo, Brasil,es la empresa matriz del grupo de Smash, por lo que se podrían realizar TTI con la finalidad de garantizar las finalidades. Dichas TTI se realizará mediante la aplicación garantías de seguridad adecuadas en cumplimiento del RGPD, a través de CCT. Puede obtener más información sobre las CCT poniéndose en contacto con [info@smash.gifts].
2.     Google: Google LTC, ubicada en1600 Amphitheatre Pkwy, Mountain View, California 94043 es la sociedad del grupo Google que presta servicios de Cloud y Analytics. No obstante, los datos personales podrán estar alojados en los servidores de Google Ireland Ltd. es la sociedad del grupo Google que opera desde el EEE. En caso de llevarse a caboTTI, según la política de privacidad de Google (enlace), estas se realizarán mediante la aplicación garantías de seguridad adecuadas en cumplimiento del RGPD, yasea mediante su certificación y adhesión al Data Privacy Framework EU-US (enlace) o mediante las CCT (enlace).
 3.     Twilio: empresa ubicada en 01Spear St FL 5, San Francisco, California, 94105 con denominación social TwilioInc., para la prestación de servicios de comunicación con los Usuarios. De conformidad con la política de privacidad del proveedor (enlace) las TTI se realizarán mediante garantías de seguridad adecuadas en cumplimiento del RGPD, incluyendo la certificación y adhesión del proveedor al Data Privacy Framework EU-US (enlace)  y/o mediante Cláusulas Contractuales Tipo de la CE (enlace).
4.     Segment: es una empresa del grupo de TwilioInc. con sede en 01 Spear St FL 5, SanFrancisco, California, 94105 que presta servicios de análisis y recolección dedatos de los Usuarios para la gestión interna de los mismos en la prestación delos servicios. De conformidad con la política de privacidad del Twilio (enlace), las TTI se realizarán mediante garantías de seguridad adecuadas en cumplimiento del RGPD, incluyendo la certificación y adhesión del proveedor al Data Privacy Framework EU-US  (enlace)y/o mediante Cláusulas Contractuales Tipo de la CE (enlace).
5.     Clever Tap: empresa ubicada en AngelIndzhov, 607 W Dana St. Suite A Mountain View, CA 94041, con denominación social WizRocket Inc., presta servicios informáticos para el envío de comunicaciones electrónicas. De conformidad con la política de privacidad del proveedor (enlace), las TTI se realizarán mediante garantías de seguridad adecuadas en cumplimiento del RGPD, incluyendola certificación y adhesión del proveedor al Data Privacy Framework EU-US (enlace).
6.     Intercom: permite el intercambio de comunicaciones entre el Usuario y el Responsable a través de la Plataforma para resolución de consultas a los Usuarios. Si bien Intercom puede prestarservicios desde su filial Intercom R&D Unlimited Company ubicada en 124 St Stephen's Green, Dublin 2, DC02 C628; también podría realizarse TTI a sus filiales ubicadas fuera del EEE incluyendo las ubicadas en Reino Unido (Intercom Software UK Limited, con oficinas en “the Warehouse207-211 Old St, PL 9, Londres, EC1V 9NR”) y EE. UU. (Intercom, Inc., condomicilio en “55 2nd Street, Suite 400 San Francisco, CA, 94105”. Dichas TTI, se realizarán, de conformidad su política de privacidad (enlace) mediante garantías adecuadas en cumplimiento del RGPD, incluyendo la certificación y adhesión del proveedor al DataPrivacy Framework EU-US (enlace) o mediante CCT (enlace).
6. ¿TRATAMOSCATEGORÍAS ESPECIALES DE DATOS PERSONALES?

SMASH no solicitará ni tratará datos de “categoría especiales de datos personales”, entendiendo como tales los datos que revelen ”el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”, de conformidad con los artículos 9 y 10 del Reglamento (UE) n. 2016/679.  No obstante, en caso de que el usuario decida compartir tal información, dicho tratamiento será realizado conforme al consentimiento del mismo.

No obstante, Smash pone a disposición de los Usuarios un sistema opcional de reconocimiento biométrico como medida de seguridad para acceder a la Plataforma y/o para verificar las compras dentro de la misma. En caso de aceptación por parte del interesado, Smash podría tratar datos de carácter biométrico, incluyendo su huella dactilar o imagen facial, con la finalidad descrita.
7. MODALIDAD DETRATAMIENTO
El tratamiento de los datos proporcionados se basa en los principios de licitud, transparencia, limitación de la finalidad y conservación, minimización de datos, exactitud, integridad y confidencialidad, y se realizará, en todo caso, con sujeción a lo dispuesto al respecto en la Reglamento UE 2016/679 y de Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

En particular, el tratamiento se podrá llevar a cabo utilizando papel, herramientas informáticas y telemáticas, también de conformidad con lo dispuesto en el artículo 29 del Reglamento UE 2016/679 y, en todo caso, con medios adecuados para garantizar su seguridad y confidencialidad de conformidad con lo dispuesto en el artículo 32 del mismo Reglamento UE núm. 2016/679.
8. DECISIONES AUTOMATIZADAS:

No existe un proceso automatizado detoma de decisiones, ni siquiera para finalidad de elaboración de perfiles, deconformidad con el artículo 13.2 letra f), del Reglamento UE n. 679/2016.
9. COOKIES: 
Adicionalmente a los tratamientos expuestos en la presente Política, SMASH también podrá recabar datos personales a través del uso de cookies y otras tecnologías de seguimiento análogas o similares, tal y como se describe en la Política de Cookies accesible a través del siguiente : https://www.smash.gifts/es/cookies.

10. RETENCIÓN DESUS DATOS PERSONALES:
Por norma general, SMASH conservará sus datos personales solo durante el tiempo que sea necesario para el fin para el que se recogieron al inicio.

Transcurrido el plazo antes señalado, los datos serán automáticamente suprimidos, sin perjuicio de su posterior conservación cuando sea necesario para el cumplimiento de determinadas obligaciones, por disposiciones legales o responsabilidad, o solicitudes y/u órdenes emitidas por las Administraciones Públicas y/o Autoridades de Control, por algunas de las razones indicadas en los apartados anteriores.

Con respecto a los datos relacionados con las comunicaciones de marketing, dejaremos de tratarlos cuando Usted retire su consentimiento. Aun así, la retirada de dicho consentimiento no afectará a la legalidad de cualquier tratamiento realizado previamente ni impedirá el bloqueo de los datos por cumplimiento legal o por las razones expuestas en el párrafo anterior.

11. ¿CUÁLES SON LOS DERECHOSSOBRE SUS DATOS?
De conformidad con el RGPD, el Interesado tiene los siguientes derechos en relación con sus datos personales:

1.     acceso a sus datos, que también puede consultar en la sección"mis datos",
2.     rectificación de sus datos, porque también queremos asegurarnos deque su información es exacta y está actualizada,
3.     supresión de sus datos,
4.     limitación del tratamiento de los datos que le conciernen,
5.     oposición al tratamiento de sus datos, cuando la legitimación parael tratamiento de sus datos sea nuestro interés legítimo,
6.     retirada de su consentimiento para el tratamiento de sus datos,cuando la legitimación para el tratamiento de sus datos sea su consentimiento,y 7.     portabilidad de sus datos, cuando la legitimación para eltratamiento de sus datos sea su consentimiento o la ejecución de un contrato.

Para ejercer sus derechos, el Interesado podrá ponerse en contacto con SMASH a través de las direcciones designadas en la presente Política.
Además, el Interesado tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si tiene dudas o no está satisfecho con el ejercicio de sus derechos o el tratamiento que realizamos, cuyos datos de contacto son:

Agencia Española de Protección de Datos-España- (AEPD)
Registrode entrada:Calle Jorge Juan, 6 //C.P.: 28004 - Madrid
Atención telefónica:+34 901 100 099 // +34 91 266 35 17
https://www.aepd.es/
El Usuario ha sido informado de las condiciones sobre protección de datos personales, aceptando y consintiendo el tratamiento de los mismos por parte de Smash, en la forma y para las finalidades indicadas en la presente Política de Privacidad.