Política de privacidad

01Quiénes somos y alcance

Esta Política de Privacidad explica cómo SalesFactory OÜ - operador del servicio Jetsend en jetsend.eu, el panel de cliente y el Portal de Devoluciones Jetsend - recopila, utiliza, comparte y protege tus datos personales. Actuamos como data controller del tratamiento descrito a continuación, conforme al Reglamento General de Protección de Datos de la UE (RGPD) y a la legislación nacional aplicable en materia de protección de datos.

La versión de 30 segundos. Solo recopilamos lo necesario para enviar tus paquetes, emitir tu factura y mantener la plataforma segura. Nunca vendemos tus datos. Las cookies analíticas y de marketing son opcionales. Puedes exportar o eliminar tu cuenta en cualquier momento desde tu perfil, o escribiendo a privacy@jetsend.eu.

A quién aplica esta política

Clientes registrados de Jetsend (remitentes y destinatarios de envíos).
Visitantes de jetsend.eu y sus subrutas localizadas.
Contactos comerciales (socios, periodistas, candidatos).

Una Política de cookies separada describe cómo usamos cookies y tecnologías de almacenamiento local similares - lee ambas para una imagen completa.

02Datos que recopilamos

Tratamos cuatro categorías generales de datos personales. La mayoría proviene directamente de ti al registrarte, contratar un envío o contactar con soporte. Otra parte se genera automáticamente por tu navegador o por el transportista que gestiona tu paquete.

2.1. Datos de cuenta

Categoría	Ejemplos	Origen
Identidad	Nombre completo, razón social, NIF/IVA cuando proceda.	Tú, al registrarte
Contacto	Correo electrónico, número de teléfono, dirección postal.	Tú
Credenciales	Hash de contraseña, tokens OAuth (Google, Apple), códigos de un solo uso.	Tú / proveedor de identidad
Perfil de cuenta	Idioma preferido, divisa, zona horaria, preferencias del panel.	Tú

2.2. Datos del envío

Categoría	Ejemplos	Origen
Datos del remitente	Nombre, dirección y teléfono del remitente del paquete.	Tú
Datos del destinatario	Nombre, dirección y teléfono del destinatario del paquete.	Tú
Datos del paquete	Peso, dimensiones, contenido declarado, valor declarado, códigos arancelarios.	Tú
Seguimiento	Etiqueta del transportista, número de seguimiento, estados, prueba de entrega.	Transportista (vía Packlink)
Aduanas	Detalles de la factura comercial, códigos HS, país de origen.	Tú

2.3. Datos de pago

Categoría	Ejemplos	Origen
Facturación	Dirección de facturación, número de IVA, líneas de factura.	Tú
Token de tarjeta	Token del método de pago. El número completo nunca llega a nuestros servidores.	Stripe
Transacción	Importe, divisa, estado, últimos 4 dígitos, código de autorización.	Stripe

Nunca vemos el número completo de tu tarjeta. Los datos se introducen directamente en el entorno PCI-DSS Nivel 1 de Stripe; solo recibimos un token de pago y los últimos cuatro dígitos.

2.4. Datos técnicos

Categoría	Ejemplos	Origen
Dispositivo y registros	Dirección IP (truncada para analítica), agente de usuario, marcas de tiempo de las peticiones.	Tu navegador
Cookies	Cookies de sesión, preferencias, analíticas y marketing. Ver la Política de cookies.	Tu navegador
Geocodificación	Latitud/longitud aproximada derivada de las direcciones que tecleas.	Photon / OpenDataSoft

03Cómo usamos tus datos

Tratamos datos personales únicamente cuando se aplica una de las seis bases legales del artículo 6 del RGPD. La tabla siguiente vincula cada finalidad con su base legal.

Prestación del servicio de envíosArt. 6(1)(b) - ejecución de un contrato: Cotizar, contratar, etiquetar, seguir y entregar tus paquetes; gestionar tu cuenta; responder a soporte.
Cumplir obligaciones legalesArt. 6(1)(c) - obligación legal: Facturación, declaraciones de IVA/MOSS, declaraciones aduaneras, controles antiblanqueo, conservación contable.
Prevenir fraude y abusoArt. 6(1)(f) - interés legítimo: Verificación de identidad, bloqueo de contenido prohibido, detección de fraude de pagos, limitación de uso abusivo. Ponderado frente a tus derechos y libertades.
Mejorar el productoArt. 6(1)(a) - consentimiento (analítica): Analítica de producto agregada y con IP truncada vía PostHog (UE). Desactivada por defecto; opt-in en el banner de cookies.
Comunicaciones de marketingArt. 6(1)(a) - consentimiento: Newsletter, anuncios de funcionalidades, ofertas promocionales. Solo opt-in; enlace de baja en cada email.
Defender reclamaciones legalesArt. 6(1)(f) - interés legítimo: Ejercer y defender reclamaciones en disputas, contracargos, investigaciones aduaneras y casos de responsabilidad del transportista.

Sin decisiones automatizadas con efectos legales. Aplicamos controles antifraude basados en reglas (p. ej. límites de velocidad, validación de direcciones) y un revisor humano interviene antes de bloquear cualquier cuenta. No realizamos perfilados que produzcan efectos legales o significativos según el artículo 22 del RGPD.

04Quién recibe tus datos

Para operar el servicio dependemos de un conjunto reducido y auditado de subencargados. Cada uno está vinculado por un contrato escrito de tratamiento de datos, trata datos únicamente bajo nuestras instrucciones y se relaciona a continuación. Los transportistas (DHL, GLS, UPS, InPost y otros) actúan como responsables independientes una vez se les entrega el paquete.

Packlink (Auctane S.L.U.): España / UE; Agregación de transportistas, emisión de etiquetas, seguimiento y trámites aduaneros.
Cloudflare, Inc.: Borde UE; CDN, protección contra bots y mitigación de DDoS. Cláusulas Contractuales Estándar de la UE.
Neon (Databricks Inc.): UE (Fráncfort); Alojamiento de base de datos PostgreSQL gestionada para el panel.
Stripe Payments Europe: Irlanda; Pagos con tarjeta y SEPA. Stripe es responsable independiente PCI-DSS Nivel 1 para datos antifraude.
Resend (Resend Inc.): UE / EE. UU.; Entrega de correo transaccional (inicio de sesión, recibos, actualizaciones de envío). CCT en vigor.
PostHog Inc.: UE (Fráncfort); Analítica de producto. IP truncada. Se carga solo con consentimiento de analítica.
Vercel Inc.: Borde UE; Alojamiento del frontal del sitio de marketing y del panel. Registros de corta duración.
Photon / OpenDataSoft: Francia; Autocompletado y geocodificación de direcciones. Solo se envía la consulta tecleada.
Google LLC: Irlanda (UE); Inicio de sesión OAuth para usuarios que eligen Google. Seguimiento de conversiones solo con consentimiento de marketing.

4.1. Autoridades públicas

Solo cedemos datos personales a autoridades fiscales, aduaneras, judiciales o policiales cuando lo exige un instrumento legal válido (artículo 6(1)(c) RGPD) y únicamente los datos mínimos necesarios.

4.2. Operaciones corporativas

Si Jetsend es adquirida o se fusiona con otra empresa, tus datos podrían transferirse al adquirente bajo las mismas protecciones. Te avisaremos previamente a través del panel y por correo electrónico.

05Transferencias internacionales

Tus datos se almacenan por defecto en la Unión Europea, principalmente en Fráncfort (Neon, PostHog) y en el borde europeo de Cloudflare. Solo se producen transferencias limitadas fuera del EEE cuando la matriz del subencargado está establecida en el extranjero (p. ej. Stripe US, Resend US).

En cada caso, la transferencia se protege con una o varias de las siguientes garantías:

Las decisiones de adecuación de la Comisión Europea para el Reino Unido y Suiza.
Las Cláusulas Contractuales Estándar de la UE (2021/914) y medidas técnicas complementarias.
El EU-US Data Privacy Framework cuando el destinatario está certificado.

Una copia de las CCT y de nuestro resumen de Evaluación de Impacto de Transferencia están disponibles previa solicitud a dpo@jetsend.eu.

06Cuánto tiempo los conservamos

La conservación se rige por el deber legal (principalmente normativa fiscal y aduanera) y por lo razonablemente necesario para defender reclamaciones. Una vez transcurrido el plazo siguiente, los datos se eliminan o anonimizan de forma irreversible.

Dato	Plazo
Datos de cuenta	Hasta que elimines la cuenta; después, archivados 90 días antes del borrado.
Registros de envío	5 años desde la expedición - requerido por la normativa aduanera y fiscal de la UE.
Facturas y datos de IVA	7 años desde el cierre del ejercicio fiscal - Ley de Contabilidad de Estonia.
Autorización de pago	Stripe almacena tokens; nosotros guardamos los últimos 4 dígitos y el estado durante 5 años.
Tickets de soporte	3 años desde la última respuesta.
Consentimiento de marketing	Hasta su retirada; después, 12 meses como prueba de que se atendió la baja.
Registros de servidor	30 días; después, agregados y anonimizados.
Copias de seguridad	Cifradas; ventana rotativa de 35 días.

07Tus derechos

Conforme al RGPD tienes los siguientes derechos sobre tus datos personales. Puedes ejercerlos escribiendo a privacy@jetsend.eu; respondemos en el plazo de un mes (prorrogable dos meses más en solicitudes complejas).

Acceso (Art. 15): Recibir una copia de los datos personales que tenemos sobre ti.
Rectificación (Art. 16): Corregir datos inexactos o incompletos - la mayoría de campos son editables en tu perfil.
Supresión (Art. 17): Solicitar la eliminación de tus datos, salvo obligaciones legales de conservación.
Limitación (Art. 18): Pausar el tratamiento mientras se investiga una controversia.
Portabilidad (Art. 20): Exportar tus datos en un formato legible por máquina (JSON o CSV).
Oposición (Art. 21): Oponerte al tratamiento basado en intereses legítimos, incluyendo el perfilado.
Retirar consentimiento (Art. 7): Retirar en cualquier momento el consentimiento de analítica o marketing sin afectar al tratamiento previo.
Reclamación (Art. 77): Presentar una reclamación ante tu autoridad de control local.

La primera copia de tus datos es gratuita. Podemos cobrar una tarifa razonable o denegar solicitudes manifiestamente infundadas o excesivas, conforme al artículo 12(5) del RGPD.

08Seguridad y brechas

Aplicamos medidas técnicas y organizativas adecuadas al riesgo, entre ellas:

TLS 1.3 en tránsito; AES-256 en reposo en base de datos y copias de seguridad.
Autenticación de dos factores por hardware en cada cuenta de administración; SSO con Google Workspace.
Acceso de mínimo privilegio revisado trimestralmente; accesos a producción registrados.
Pruebas de penetración por un tercero independiente cada 12 meses.
Cumplimiento PCI-DSS Nivel 1 en la cadena de pagos (gestionado por Stripe).
Programa de divulgación de vulnerabilidades en security@jetsend.eu.

Si una brecha de datos personales puede suponer un riesgo para tus derechos y libertades, notificamos a la autoridad de control competente en un plazo de 72 horas y, cuando el riesgo es alto, te avisamos directamente sin demoras indebidas (artículos 33-34 RGPD).

09Contacto

Equipo de privacidad

privacy@jetsend.eu · Respuesta en un plazo de 3 días hábiles.

Delegado de Protección de Datos

dpo@jetsend.eu

Dirección postal del responsable

SalesFactory OÜ, Harju maakond, Tallinn, Kesklinna linnaosa, Uus-Sadama tn 21-207, 10120 · VAT EE102186309

Atención al cliente (no privacidad): support@jetsend.eu · +40 37 17 01 466.