1. Responsable del tratamiento
La sociedad TRANSPORTS TMD, SAS francesa con un capital social de 15 000 €, inscrita en el Registro Mercantil de Salon-de-Provence con el número 819 965 674, con domicilio social en La Feuillane - Lot 78 - ZA de la Feuillane, 13270 Fos-sur-Mer (Francia), que explota el sitio atlantiqbox.com bajo la marca comercial «Atlantiq Box» (en adelante «Atlantiq Box»), es responsable del tratamiento de sus datos personales, en el sentido del artículo 4 del Reglamento General de Protección de Datos (RGPD — UE 2016/679) y del artículo 3 de la ley Informatique et Libertés modificada n.º 78-17 de 6 de enero de 1978.
Datos del responsable del tratamiento: véase nuestro aviso legal.
2. Delegado de Protección de Datos (DPO)
Conforme al artículo 37 del RGPD, Atlantiq Box ha designado un Delegado de Protección de Datos. Sus datos se comunican al pie de esta página y bajo solicitud.
Puede contactarse con el DPO para cualquier cuestión relativa al tratamiento de sus datos o al ejercicio de sus derechos.
3. Categorías de datos recopilados
Atlantiq Box solo recopila los datos estrictamente necesarios para las finalidades descritas a continuación. Los datos recopilados son los siguientes:
3.1 Datos de identificación
- tratamiento, apellido, nombre;
- dirección de correo electrónico profesional o personal;
- número de teléfono (en formato internacional E.164).
3.2 Datos profesionales (B2B únicamente)
- razón social, forma jurídica;
- número SIREN, SIRET o equivalente europeo;
- número de IVA intracomunitario;
- número EORI (operaciones de importación/exportación).
3.3 Datos de entrega y facturación
- direcciones de entrega y de facturación;
- restricciones del sitio (acceso, horarios).
3.4 Datos transaccionales
- historial de presupuestos, pedidos y facturas;
- medio de pago utilizado (sin almacenamiento de los datos bancarios completos — véase 6.2);
- estado de los pedidos e historial postventa.
3.5 Datos técnicos (cookies estrictamente necesarios)
- sesión de usuario, cesta, preferencia de idioma, divisa seleccionada;
- token CSRF (seguridad de los formularios).
Consulte nuestra política de cookies para más detalle.
3.6 Datos de comunicación
- conversaciones postventa.
No se recopila ningún dato sensible en el sentido del artículo 9 del RGPD (salud, opiniones políticas, religión, orientación sexual, etc.).
4. Bases legales y finalidades
Cada tratamiento se basa en una base legal conforme al artículo 6 del RGPD:
| Finalidad | Base legal (Art. 6 RGPD) | Duración de conservación |
|---|---|---|
| Creación y gestión de la cuenta de cliente | Ejecución del contrato (a) | Durante la vida de la cuenta + 3 años de inactividad |
| Tramitación de pedidos y presupuestos | Ejecución del contrato (a) | 3 años desde el fin de la relación comercial |
| Facturación, contabilidad, fiscalidad | Obligación legal (c) | 10 años (Code de commerce art. L123-22) |
| Servicio al cliente y postventa | Ejecución del contrato (a) | 5 años después de la última interacción |
| Prospección comercial (por correo electrónico B2B) | Interés legítimo (f) | 3 años desde el último contacto o el opt-out |
| Seguridad del sitio (logs, antifraude) | Interés legítimo (f) | 1 año |
| Lucha contra el fraude en el pago | Interés legítimo (f) + obligación legal | Según las obligaciones legales aplicables |
| Respuesta a las solicitudes de derechos RGPD | Obligación legal (c) | 3 años |
5. Destinatarios y subcontratistas
5.1 Destinatarios internos
Los datos son accesibles, dentro del límite estricto de sus funciones, al personal autorizado de Atlantiq Box (equipo comercial, contabilidad, postventa, administración de ventas).
5.2 Subcontratistas
Atlantiq Box recurre a los siguientes subcontratistas, regulados por cláusulas RGPD conformes al artículo 28 del Reglamento:
| Subcontratista | Finalidad | Localización de los datos |
|---|---|---|
| Stripe | Tramitación de los pagos con tarjeta | UE (Irlanda) + EE. UU. (cláusulas tipo) |
| Proveedor de alojamiento del sitio | Alojamiento aplicativo y datos | UE |
| Transportistas asociados | Entrega de los pedidos | UE / UK / CH |
| Servicio de correo electrónico transaccional | Envío de los correos electrónicos de servicio | UE |
Ningún dato se revende o cede a terceros con fines comerciales.
6. Seguridad de los datos
6.1 Medidas técnicas
- cifrado TLS 1.2+ para todas las comunicaciones;
- almacenamiento de las contraseñas en hash bcrypt con salt aleatorio;
- tokens CSRF en todos los formularios sensibles;
- política de autenticación de doble factor (TOTP) disponible para los Clientes;
- registro de los accesos a los datos sensibles;
- copias de seguridad semanales gestionadas a nivel del proveedor de alojamiento.
6.2 Datos bancarios
Atlantiq Box no almacena ni trata directamente los números de tarjetas bancarias. Los pagos son tratados íntegramente por Stripe, certificada PCI-DSS nivel 1 (el estándar más alto para el tratamiento de tarjetas de pago).
6.3 Notificación de violación
En caso de violación de datos personales que presente un riesgo para los derechos y libertades de las personas afectadas, Atlantiq Box notifica a la CNIL en un plazo de 72 horas e informa a las personas afectadas en el menor plazo posible, conforme a los artículos 33 y 34 del RGPD.
7. Transferencias fuera de la Unión Europea
En principio, sus datos se almacenan y tratan dentro del Espacio Económico Europeo (EEE).
Cuando es necesaria una transferencia a un tercer país (en particular para Stripe, que puede tratar ciertos datos en Estados Unidos), Atlantiq Box se asegura de que dicha transferencia se enmarque en las Cláusulas Contractuales Tipo adoptadas por la Comisión Europea (decisión 2021/914 de 4 de junio de 2021), garantizando un nivel de protección equivalente al asegurado en la Unión Europea.
8. Sus derechos
Conforme a los artículos 15 a 22 del RGPD, dispone de los siguientes derechos sobre sus datos personales:
8.1 Derecho de acceso
Puede obtener confirmación de que se tratan datos que le conciernen y obtener una copia de los mismos, gratuitamente (Art. 15).
8.2 Derecho de rectificación
Puede solicitar la corrección de cualquier dato inexacto o incompleto (Art. 16).
8.3 Derecho de supresión («derecho al olvido»)
Puede obtener la supresión de sus datos en los casos previstos en el artículo 17, sin perjuicio de las obligaciones legales de conservación (en particular las facturas conservadas durante 10 años).
8.4 Derecho a la limitación del tratamiento
Puede solicitar la limitación del tratamiento de sus datos en determinadas situaciones (Art. 18).
8.5 Derecho de oposición
Puede oponerse en cualquier momento al tratamiento de sus datos con fines de prospección comercial (Art. 21).
8.6 Derecho a la portabilidad
Puede recibir sus datos en un formato estructurado, de uso común y legible por máquina (Art. 20).
8.7 Directivas post mortem
Puede definir directivas relativas a la conservación, supresión y comunicación de sus datos personales tras su fallecimiento (artículo 85 de la ley Informatique et Libertés).
8.8 Modalidades de ejercicio
Para ejercer estos derechos, contacte con nuestro DPO por correo electrónico o envíe su solicitud acompañada de una copia de un documento de identidad (que será destruido tras la verificación) a la dirección postal que figura en nuestro aviso legal.
Atlantiq Box responde a su solicitud en el plazo de un mes, prorrogable dos meses si fuera necesario debido a la complejidad o el número de solicitudes (Art. 12.3 del RGPD).
9. Reclamación ante una autoridad de control
Si considera que el tratamiento de sus datos no respeta la normativa, puede presentar una reclamación ante la Commission Nationale de l'Informatique et des Libertés (CNIL):
3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Teléfono: +33 1 53 73 22 22
Sitio web: cnil.fr
También puede dirigirse a la autoridad de control competente de su país de residencia (lista de autoridades en edpb.europa.eu). En España, la Agencia Española de Protección de Datos (AEPD).
10. Cookies
Para el detalle de las cookies utilizadas y las modalidades de gestión de sus preferencias, consulte nuestra política de cookies.
11. Menores
Atlantiq Box no recopila a sabiendas ningún dato de niños menores de 16 años. Los servicios ofrecidos se dirigen a una clientela adulta (particulares mayores de edad) o profesional. Si considera que un menor de 16 años nos ha transmitido sus datos, contacte con nuestro DPO para obtener su supresión.
12. Decisión automatizada y elaboración de perfiles
Atlantiq Box no practica la toma de decisiones exclusivamente automatizada que produzca efectos jurídicos en el sentido del artículo 22 del RGPD. Toda decisión contractual implica una intervención humana (comercial, contabilidad).
13. Modificación de la política
La presente política puede evolucionar para integrar nuevas obligaciones legales, nuevos servicios o nuevas buenas prácticas. La versión aplicable es la publicada en esta página en la fecha de su interacción. Las modificaciones sustanciales son objeto de una notificación por correo electrónico a los Clientes existentes.