Legal · 02 / 04

Política de privacidad.

Tus datos son tuyos. Te decimos exactamente qué recogemos, para qué, dónde lo guardamos y cómo borrarlo. No los vendemos. No hacemos perfilados oscuros.

Última actualización · 15 oct 2026 Versión · v4.1 Cumple · RGPD · LOPDGDD
Resumen en una frase: usamos tus datos sólo para que el pedido te llegue, mantenerte al día de tus suscripciones y mejorar el servicio con métricas anónimas. Ni venta ni cesión a terceros con fines publicitarios.

Responsable del tratamiento

ResponsableLa Lonja Market SL (en constitución · CIF en tramitación)
DomicilioCalle Antón Pérez 10, 41740 Lebrija (Sevilla)
Email DPOdpo@shamba.es
Registro AEPDN.º 2024-CADIZ-001423

Qué datos recogemos

Datos que tú nos das

  • Identificativos: nombre, apellidos, DNI/NIE (sólo para facturas con IVA).
  • Contacto: email, teléfono, dirección postal y direcciones de entrega.
  • Pago: método de pago (no almacenamos PAN ni CVV — los gestiona Stripe en su entorno PCI-DSS).
  • Preferencias: alergias, productos que evitas, preferencia de día de entrega.
  • Comunicaciones: mensajes que nos envías por WhatsApp, email o formulario.

Datos que recogemos automáticamente

  • Uso del sitio: páginas visitadas, productos vistos, búsquedas, sesión (anónimo si no hay cuenta).
  • Técnicos: dirección IP truncada, navegador, sistema operativo, idioma.
  • Cookies: ver política de cookies.

Datos que NO recogemos

  • Datos biométricos, salud (excepto alergias declaradas voluntariamente para advertencia), ideología, religión, orientación sexual, origen racial.
  • Geolocalización en tiempo real (sólo dirección de entrega declarada).
  • Contenido de tu agenda, llamadas, SMS u otras apps del móvil.

Para qué los usamos

FinalidadDatos
Gestionar tu cuentaIdentificativos, contacto, preferencias
Procesar y entregar pedidosContacto, dirección, pago, alergias
Suscripciones CSA y parcelasIdentificativos, pago recurrente
Atención al clienteComunicaciones, historial de pedidos
Facturación y obligaciones fiscalesIdentificativos, DNI/NIE, importes
Comunicaciones operacionalesEmail, teléfono — avisos de entrega
Marketing (sólo con consentimiento)Email, preferencias de cesta
Estadísticas y mejora del servicioDatos de uso anonimizados

No tomamos decisiones automatizadas con efectos jurídicos sobre ti. Las recomendaciones de productos son sugerencias estadísticas, no decisiones automatizadas en el sentido del art. 22 RGPD.

Bases legítimas

  • Ejecución de contrato (art. 6.1.b RGPD): para procesar pedidos, suscripciones y atención.
  • Obligación legal (art. 6.1.c): para facturación, fiscalidad, conservación contable.
  • Interés legítimo (art. 6.1.f): seguridad del sistema, prevención de fraude, estadísticas anónimas. Hemos hecho juicio de ponderación documentado — disponible bajo solicitud al DPO.
  • Consentimiento (art. 6.1.a): marketing, cookies no esenciales, comunicaciones de productores. Revocable en cualquier momento.

Cuánto tiempo conservamos tus datos

DatoPlazo de conservación
Cuenta de usuario activaMientras mantengas la cuenta + 1 año tras baja
Pedidos y facturas6 años (art. 30 Código de Comercio)
Datos fiscales4 años (LGT)
Comunicaciones de soporte2 años desde cierre de la incidencia
MarketingHasta revocar consentimiento o 3 años de inactividad
Logs técnicos12 meses

Pasados los plazos, los datos se anonimizan o se borran de forma segura.

Con quién los compartimos

Sólo con encargados del tratamiento estrictamente necesarios para prestar el servicio. Todos firman contrato del art. 28 RGPD:

EncargadoFinalidad
Stripe Payments EuropeProcesamiento de pagos
Hetzner Online (Alemania)Hosting y bases de datos
Postmark · SendgridEnvío transaccional de emails
Twilio · WhatsApp BusinessSMS y mensajería
ProductoresSólo nombre y zona de entrega para preparar la cesta
Repartidores propios + Seur (zona B)Entrega física
Asesoría fiscal Calaf & AsociadosContabilidad y obligaciones legales

No compartimos tus datos con terceros con fines comerciales propios. Ni anunciantes, ni redes sociales para retargeting, ni data brokers.

Transferencias internacionales

Todos nuestros encargados principales operan en el Espacio Económico Europeo (EEE). Las únicas transferencias fuera del EEE son:

  • Stripe — Cláusulas Contractuales Tipo (CCT) y certificación Data Privacy Framework con EE.UU.
  • Twilio — CCT y medidas suplementarias técnicas (cifrado en tránsito y en reposo).

Tus derechos

En cualquier momento puedes ejercitar tus derechos de:

  • Acceso — saber qué datos tenemos.
  • Rectificación — corregir lo incorrecto.
  • Supresión — borrar tus datos («derecho al olvido»).
  • Limitación — pausar el tratamiento mientras se aclara una incidencia.
  • Portabilidad — descargar tus datos en formato JSON.
  • Oposición — al tratamiento basado en interés legítimo.
  • No ser objeto de decisiones automatizadas — no aplicamos.

Cómo ejercitarlos: email a dpo@shamba.es con copia de DNI o desde tu cuenta en «Ajustes > Privacidad > Mis datos». Plazo máximo de respuesta: 30 días.

Si crees que no respetamos tus derechos, puedes reclamar ante la Agencia Española de Protección de Datos (AEPD) en aepd.es.

Seguridad

Aplicamos medidas técnicas y organizativas adecuadas: cifrado en tránsito (TLS 1.3) y en reposo (AES-256), control de accesos por roles, MFA obligatorio para el equipo, auditorías de seguridad anuales, copias de seguridad cifradas y plan documentado de respuesta a incidentes.

En caso de brecha de seguridad con riesgo para tus derechos, te lo notificaremos en menos de 72 horas, conforme al art. 34 RGPD.

Menores de edad

El Sitio no está dirigido a menores de 14 años. No recabamos conscientemente datos de menores sin consentimiento de sus tutores legales. Si detectas que un menor ha facilitado datos sin consentimiento, escríbenos a dpo@shamba.es y los borraremos de inmediato.

Resto de documentación legal